NIS2 et PME : Guide Pratique pour les Yvelines et le Val d'Oise (78/95)

77% des cyberattaques en France ciblent les TPE-PME (Cybermalveillance.gouv.fr, 2025). Et 60% des PME victimes ferment dans les 18 mois. Face à ce constat, l'Union européenne a adopté la directive NIS2 — qui multiplie par 30 le nombre d'organisations soumises à des obligations de cybersécurité en France : de 300 entités sous NIS1 à plus de 15 000.

Si vous dirigez une PME en Yvelines (78) ou en Val d'Oise (95), ce guide vous concerne. Pas parce que le mot-clé a du volume — mais parce que vos donneurs d'ordres (Stellantis à Poissy, Dassault à Vélizy, les hôpitaux du 95) vont vous imposer ces exigences bien avant que la loi française ne soit promulguée. Si vous reconnaissez certains des 5 signes qu'il est temps de moderniser votre informatique, NIS2 rend cette modernisation encore plus urgente.

Ce que NIS2 change pour les PME en 2026

De 300 à 15 000+ entités : un changement d'échelle radical

La directive NIS1 (2016) ne concernait que les grands opérateurs d'infrastructures critiques — environ 300 entités en France. NIS2 élargit le périmètre à 18 secteurs et abaisse les seuils : toute entreprise de plus de 50 salariés ou réalisant plus de 10 M€ de CA dans un secteur concerné devient une entité régulée. Et même en dessous de ces seuils, l'obligation peut être indirecte — j'y reviens plus bas, car c'est l'angle le plus sous-estimé.

La Loi Résilience : où en est la France ? (point février 2026)

Soyons transparents : la France est en retard. L'échéance européenne de transposition était le 17 octobre 2024. Le projet de loi (Loi Résilience) a été adopté par le Sénat en mars 2025 et en commission à l'Assemblée nationale en septembre 2025 — à l'unanimité. Mais en février 2026, l'inscription à l'ordre du jour de l'Assemblée est toujours en attente. Le ministère de l'Intérieur est soupçonné de freiner le processus.

Ce retard ne doit pas vous rassurer. La directive européenne est applicable dans ses principes depuis octobre 2024. Le pré-enregistrement ANSSI est ouvert depuis novembre 2025. Et surtout : les grands donneurs d'ordres imposent déjà des exigences NIS2 à leurs sous-traitants. Si vous attendez la promulgation de la loi pour agir, vous serez en retard.

Votre PME est-elle concernée ? Auto-diagnostic

Les critères de taille

NIS2 distingue deux catégories d'entités régulées :

• Entités essentielles : grandes entreprises (> 250 salariés, > 50 M€ de CA) dans les 11 secteurs hautement critiques (énergie, transports, santé, infrastructures numériques, etc.)
• Entités importantes : moyennes entreprises (50 à 249 salariés, 10 à 50 M€ de CA) dans les 18 secteurs concernés

Outil officiel : le simulateur MonEspaceNIS2 de l'ANSSI vous permet de vérifier votre éligibilité en 5 à 10 minutes.

Les 18 secteurs concernés

11 secteurs hautement critiques (entités essentielles) : énergie, transports, secteur bancaire, marchés financiers, santé, eaux potables, eaux usées, infrastructures numériques, gestion des services TIC (B2B), administrations publiques, espace.

7 secteurs critiques (entités importantes) : services postaux, gestion des déchets, produits chimiques, industrie manufacturière, agroalimentaire, fournisseurs numériques, recherche.

L'obligation indirecte : sous-traitants et chaîne d'approvisionnement

C'est l'angle le plus important et le plus sous-estimé par les PME. Même si votre entreprise compte moins de 50 salariés, vous pouvez être impacté par trois mécanismes :

• Exigences contractuelles descendantes : les entités régulées doivent sécuriser leur chaîne d'approvisionnement. Elles imposeront des clauses de cybersécurité dans leurs contrats avec vous.
• Audits de conformité : vos clients régulés devront évaluer régulièrement la conformité de leurs fournisseurs. Un sous-traitant non conforme risque de perdre ses contrats.
• Cible privilégiée : la directive NIS2 elle-même mentionne que "les PME sont de plus en plus la cible d'attaques de la chaîne d'approvisionnement en raison de leurs mesures moins rigoureuses".

Cas terrain : un sous-traitant aéronautique des Yvelines face à NIS2

Prenons l'exemple d'une PME de 35 salariés à Vélizy-Villacoublay, sous-traitant de rang 2 pour Dassault Aviation. Sous les seuils NIS2 directs ? Oui. Concernée quand même ? Absolument. Dassault, en tant qu'entité essentielle (défense + industrie manufacturière), devra sécuriser l'ensemble de sa chaîne de sous-traitance. Notre sous-traitant recevra des exigences contractuelles : politique de sécurité formalisée, plan de continuité d'activité, sauvegardes testées, authentification multi-facteurs. Sans ça, le contrat ne sera pas renouvelé.

C'est exactement ce type de situation que nous rencontrons dans nos audits informatiques en Yvelines — des PME qui découvrent l'obligation au moment où leur donneur d'ordres leur envoie un questionnaire de conformité cyber.

Les 10 mesures de cybersécurité obligatoires (expliquées pour dirigeants, pas pour DSI)

L'article 21 de NIS2 impose 10 mesures minimales. Voici ce qu'elles signifient concrètement pour une PME de 50 à 200 salariés — en langage dirigeant :

1. Analyse des risques et politique de sécurité

Ce que ça veut dire : cartographier vos systèmes informatiques, identifier ce qui pourrait tomber en panne ou être attaqué, et formaliser une politique de sécurité écrite. Mon conseil : commencez par un simple inventaire de vos actifs critiques — serveurs, logiciels métier, données clients. 80% des PME que nous auditons n'ont pas cette cartographie.

2. Gestion des incidents (24h / 72h / 1 mois)

Le point qui fait le plus peur aux dirigeants : en cas d'incident significatif, vous devrez notifier l'ANSSI en 24 heures (alerte initiale), fournir un rapport intermédiaire en 72 heures, et un rapport final complet en 1 mois. Cela suppose d'avoir des outils de détection et un plan de réponse prêts avant l'incident.

3. Continuité d'activité et sauvegardes

Sauvegardes régulières testées, plan de reprise après sinistre (PRA), gestion de crise. Attention : avoir une sauvegarde ne suffit pas — il faut l'avoir testée. En cas de ransomware, combien de temps votre activité à Poissy ou Cergy serait-elle paralysée ?

4. Sécurité de la chaîne d'approvisionnement

Évaluer la sécurité de vos propres fournisseurs, inclure des clauses cyber dans vos contrats, auditer vos prestataires IT. C'est l'effet cascade : vous devez aussi sécuriser votre aval, pas seulement satisfaire votre amont.

5 à 10. Les six autres mesures en résumé

• Sécurité des acquisitions IT : sécuriser vos achats logiciels, mises à jour, correctifs
• Évaluation de l'efficacité : audits réguliers, tests d'intrusion, exercices de simulation
• Cyber-hygiène et formation : sensibilisation des employés, formation obligatoire des dirigeants
• Cryptographie : chiffrement des données sensibles au repos et en transit
• Contrôle d'accès : principe du moindre privilège, revue des droits, gestion des identités
• Authentification multi-facteurs (MFA) : sur tous les accès critiques, VPN, messagerie

Sanctions : votre entreprise ET vous personnellement

Amendes administratives

Les sanctions sont alignées sur le RGPD en termes de sévérité :

• Entités essentielles : jusqu'à 10 M€ ou 2% du CA mondial (le plus élevé)
• Entités importantes : jusqu'à 7 M€ ou 1,4% du CA mondial

Responsabilité personnelle du dirigeant

C'est la vraie nouveauté de NIS2. L'article 20 stipule que les organes de direction doivent approuver les mesures de cybersécurité, superviser leur mise en œuvre, et suivre une formation. En cas de négligence : amende personnelle jusqu'à 140 000 €, et pour les entités essentielles, interdiction temporaire d'exercer. La cybersécurité n'est plus "un truc de la DSI".

Le vrai calcul : ne rien faire vs se conformer

Le coût moyen d'une cyberattaque pour une PME se situe entre 14 720 € et 59 000 € — et peut grimper à 466 000 € selon la gravité (Sekost, CriseHelp). Un audit de cybersécurité complet coûte entre 2 000 et 10 000 € HT. L'investissement dans la conformité est un assurance, pas un coût.

PME des Yvelines et du Val d'Oise : pourquoi vous êtes en première ligne

Yvelines (78) : aéronautique, défense, automobile — et leurs sous-traitants

Le département des Yvelines est le 2e pôle de recherche privée en Île-de-France avec 23 000 employés en R&D. Stellantis (Poissy), Dassault Aviation (Vélizy), Thales, Safran, Renault (Guyancourt), Bouygues — autant d'entités essentielles ou importantes au sens de NIS2 qui vont imposer des exigences cyber à leurs chaînes de sous-traitance. Si vous êtes sous-traitant industriel dans le 78, préparez-vous dès maintenant.

Val d'Oise (95) : chimie, industrie, logistique Roissy

Le Val d'Oise compte plus de 41 000 établissements actifs et concentre des secteurs directement visés par NIS2 : chimie/plasturgie, industrie manufacturière, et surtout le hub logistique de Roissy-CDG — transport aérien, fret, messagerie, autant de secteurs hautement critiques au sens de la directive. Un diagnostic informatique en Val d'Oise est la première étape pour évaluer votre exposition.

BTP et services : l'impact indirect par les donneurs d'ordres

Le BTP est le secteur le plus représenté dans les deux départements (2 875 entreprises d'installation électrique dans le 95 seul). Le BTP n'est pas directement dans les 18 secteurs NIS2. Mais un sous-traitant BTP de 30 salariés à Versailles qui travaille pour Bouygues Construction (entité essentielle) devra démontrer sa conformité cyber pour conserver ses marchés. Même logique pour les prestataires IT intervenant dans les hôpitaux ou collectivités du 78/95.

Se mettre en conformité : plan d'action en 5 étapes

Étape 1 — Vérifier son éligibilité sur MonEspaceNIS2

Rendez-vous sur le simulateur ANSSI. En 5 à 10 minutes, vous saurez si vous êtes directement concerné. Si non, évaluez votre exposition indirecte : combien de vos clients sont eux-mêmes des entités régulées ?

Étape 2 — Réaliser un audit de cybersécurité

Un audit 360° couvre l'ensemble des 10 mesures NIS2 : cartographie des actifs, analyse des risques, test des sauvegardes, évaluation des accès, revue des contrats fournisseurs. C'est le point de départ indispensable — on ne peut pas sécuriser ce qu'on ne connaît pas. Nous proposons un diagnostic gratuit de 60 minutes pour évaluer votre niveau de maturité.

Étape 3 — Déployer les 10 mesures par priorité

Toutes les mesures ne se valent pas en termes d'urgence. Commencez par : (1) sauvegardes testées + PRA, (2) MFA sur les accès critiques, (3) politique de gestion des incidents. Ces trois actions couvrent 80% du risque immédiat pour un investissement limité.

Étape 4 — Former les équipes et les dirigeants

NIS2 impose explicitement la formation des dirigeants en cybersécurité. Mais la sensibilisation des employés est tout aussi critique : le phishing représente 60% des attaques (CESIN). Un email de formation mensuel ne suffit pas — il faut des exercices pratiques (simulations de phishing, gestion de crise).

Étape 5 — Documenter, maintenir, améliorer

La conformité NIS2 n'est pas un projet ponctuel. C'est un processus continu : audits réguliers, mise à jour des politiques, tests d'intrusion périodiques. Si vous construisez en parallèle une stratégie IA conforme et sécurisée, vous alignerez modernisation et conformité — deux investissements qui se renforcent mutuellement.

Ressources et aides disponibles en Île-de-France

• ANSSI — MonEspaceNIS2 : simulateur d'éligibilité et pré-enregistrement
• MesServicesCyber : portail de notification d'incidents
• Cybermalveillance.gouv.fr : assistance et ressources gratuites pour TPE-PME
• CCI Yvelines (78) et CCI Val d'Oise (95) : diagnostics cybersécurité avec conseillers spécialisés
• Urgence Cyber Île-de-France : plateforme d'assistance régionale en cas d'incident

Limite à mentionner : les chèques diagnostic et investissement Cyber de la Région Île-de-France étaient dotés jusqu'à 5 000 € et 10 000 € respectivement, mais ont été clôturés en février 2025. Vérifiez auprès de la Région si de nouveaux dispositifs ont été ouverts depuis.

FAQ — NIS2 et PME

Ma PME de moins de 50 salariés est-elle concernée par NIS2 ?

Pas directement, sauf exceptions (fournisseur de services numériques, DNS, services de confiance). Mais si vous êtes sous-traitant d'une entité régulée — un donneur d'ordres aéronautique à Vélizy ou un hôpital à Cergy — vous serez soumis aux mêmes exigences via la chaîne d'approvisionnement. Vos clients vous imposeront des clauses cyber dans leurs contrats.

Quand NIS2 entre-t-elle en vigueur en France ?

La directive européenne est applicable depuis le 18 octobre 2024. La Loi Résilience française est en cours d'adoption (adoptée au Sénat mars 2025, en commission Assemblée septembre 2025). En février 2026, l'inscription à l'ordre du jour est toujours en attente. Mais n'attendez pas : le pré-enregistrement ANSSI est ouvert et les donneurs d'ordres imposent déjà les exigences à leurs sous-traitants.

Combien coûte la mise en conformité NIS2 pour une PME ?

Audit initial : 2 000 à 10 000 € HT. Mise en conformité complète : 7 000 à 20 000 €. À comparer avec le coût moyen d'une cyberattaque (14 720 à 59 000 €) et le taux de faillite post-attaque (60% dans les 18 mois). L'investissement est une assurance.

Quelles sont les sanctions NIS2 pour les dirigeants ?

Amende personnelle jusqu'à 140 000 €. Pour les entités essentielles : interdiction temporaire d'exercer. L'entreprise risque jusqu'à 10 M€ ou 2% du CA mondial.

Comment savoir si mon entreprise est une entité essentielle ou importante ?

Utilisez le simulateur MonEspaceNIS2 de l'ANSSI. En 5 à 10 minutes, vous aurez votre réponse.