Conseil en sûreté pour les entreprises : NIS2, APSAD et convergence cyber-physique en 2026

Le contexte sécuritaire des entreprises françaises se complexifie considérablement en 2026. La transposition de la directive européenne NIS2 par la loi Résilience, les exigences croissantes des assureurs en matière de conformité APSAD, et la convergence désormais incontournable entre sécurité physique et cybersécurité imposent aux dirigeants une vision globale de la protection de leur entreprise. Le Cabinet SURTYS, conseil indépendant en sûreté basé à Salon-de-Provence, analyse ces évolutions et leurs implications concrètes pour les entreprises des Bouches-du-Rhône et de la région PACA.

De NIS1 à NIS2 : un périmètre considérablement élargi

La directive européenne NIS2 (Network and Information Security), transposée en droit français par la loi Résilience, représente un changement de paradigme. Là où la première directive NIS (2016) ne concernait qu'environ 500 opérateurs de services essentiels (OSE) en France, NIS2 élargit le périmètre à 10 000 à 15 000 entités.

Qui est concerné ?

NIS2 distingue deux catégories :

Entités essentielles (EE) : - Énergie, transports, banque, infrastructures des marchés financiers - Santé, eau potable, eaux usées - Infrastructures numériques, gestion des services TIC - Administrations publiques, espace

Entités importantes (EI) : - Services postaux et d'expédition - Gestion des déchets - Fabrication, production et distribution de produits chimiques - Production, transformation et distribution de denrées alimentaires - Fabrication (dispositifs médicaux, produits informatiques, équipements électriques, machines, véhicules) - Fournisseurs numériques, recherche

Les obligations concrètes

Les entités concernées devront :

• Réaliser une analyse de risques couvrant à la fois les menaces cyber et physiques
• Mettre en oeuvre des mesures de sécurité proportionnées et documentées
• Notifier les incidents à l'ANSSI dans des délais stricts (24h pour l'alerte initiale, 72h pour le rapport détaillé)
• Assurer la sécurité de la chaîne d'approvisionnement : les sous-traitants et fournisseurs critiques sont également concernés
• Former les dirigeants : la loi Résilience impose une obligation de formation des organes de direction aux enjeux de cybersécurité

Sanctions : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

L'un des apports majeurs de NIS2 est la reconnaissance officielle de la convergence entre sécurité physique et cybersécurité. Cette convergence, que les professionnels de la sûreté prônent depuis des années, devient une obligation réglementaire.

Pourquoi cette convergence est critique

Les systèmes de sûreté physique sont aujourd'hui des systèmes informatiques à part entière :

• Caméras IP : serveurs web embarqués, connectées au réseau de l'entreprise, vulnérables aux attaques (botnets Mirai, etc.)
• Contrôle d'accès : les systèmes modernes fonctionnent sur des réseaux IP, avec des bases de données centralisées
• Hypervision : serveurs applicatifs connectés à de multiples sous-systèmes
• Alarme intrusion : transmetteurs IP, supervision à distance via le cloud

Un attaquant qui compromet le système de vidéoprotection ou de contrôle d'accès peut :

• Désactiver les caméras avant une intrusion physique
• Ouvrir à distance des portes contrôlées
• Accéder au réseau interne de l'entreprise via un équipement de sûreté mal sécurisé

Les mesures à mettre en oeuvre

• Segmentation réseau : isoler les systèmes de sûreté sur un VLAN dédié, avec firewall
• Durcissement des équipements : changement des mots de passe par défaut, désactivation des services inutiles, mise à jour des firmwares
• Chiffrement : flux vidéo et données de contrôle d'accès chiffrés (TLS/HTTPS)
• Gestion des accès : authentification forte pour l'administration des systèmes de sûreté
• Supervision : monitoring des équipements de sûreté par le SOC (Security Operations Center) de l'entreprise

Les référentiels APSAD (Assemblée plénière des sociétés d'assurances dommages), gérés par le CNPP, constituent la référence en matière de protection des entreprises contre les risques d'incendie, d'intrusion et de vol.

Les principaux référentiels applicables

• APSAD R81 : vidéosurveillance (conception, installation, maintenance)
• APSAD R82 : détection d'intrusion
• APSAD R83 : contrôle d'accès
• APSAD D83 : télésurveillance
• APSAD R7 : détection automatique d'incendie
• APSAD R17 : extinction automatique à eau (sprinklers)

Pourquoi la conformité APSAD est stratégique

• Réduction des primes d'assurance : une installation certifiée APSAD permet d'obtenir des réductions significatives sur les primes (jusqu'à 15-25 % selon les risques)
• Couverture garantie : en cas de sinistre, l'assureur peut contester la prise en charge si l'installation ne respecte pas les règles APSAD mentionnées au contrat
• Vérification périodique : les installations APSAD doivent faire l'objet de vérifications périodiques (Q18 pour la maintenance) sous peine de perte de la certification

Le piège des installations non conformes

De nombreuses entreprises investissent dans des systèmes de sûreté sans vérifier leur conformité APSAD. Or, une installation de vidéosurveillance ou de détection d'intrusion non conforme peut se révéler sans valeur en cas de sinistre si le contrat d'assurance fait référence aux règles APSAD.

Conseil indépendant vs. recommandations d'installateurs

Un installateur de systèmes de sûreté est un vendeur de solutions. Son modèle économique repose sur la vente de matériel et de prestations d'installation et de maintenance. Même de bonne foi, ses recommandations sont orientées par :

• Son catalogue produit et ses partenariats fabricants
• Sa rentabilité (systèmes à forte marge)
• Sa capacité technique (il recommande ce qu'il sait installer)

Un consultant indépendant n'a aucun lien commercial avec les fabricants ou installateurs. Son conseil est orienté exclusivement vers l'intérêt du client.

Les bénéfices mesurables

• Économies sur l'investissement : un audit indépendant identifie les surdimensionnements et les doublons. Économie constatée : 10 à 30 % sur le budget d'investissement
• Optimisation des marchés : la rédaction de cahiers des charges précis et neutres favorise la concurrence et fait baisser les prix
• Réduction des litiges : des spécifications claires et un suivi de chantier rigoureux réduisent les contentieux avec les entreprises
• Pérennité des installations : le choix de solutions interopérables et standardisées évite la dépendance à un fournisseur unique (vendor lock-in)
• Conformité assurée : le consultant vérifie la conformité réglementaire et APSAD dès la conception

Quand faire appel à un consultant ?

• Construction neuve ou réhabilitation : dès la phase de programmation
• Renouvellement d'un parc : avant de lancer un marché de remplacement
• Incident ou sinistre : pour diagnostiquer les failles et prioriser les améliorations
• Mise en conformité : NIS2, APSAD, RGPD, Code du travail
• Fusion / acquisition : audit de sûreté du site acquis

Le Cabinet SURTYS, implanté à Salon-de-Provence, accompagne les entreprises des Bouches-du-Rhône, de la région PACA et au-delà dans l'audit, le conseil et l'ingénierie de sûreté. Indépendant de tout fabricant et installateur, nous vous apportons un regard objectif et une expertise technique pointue pour optimiser vos investissements de sécurité et garantir votre conformité. Contactez-nous pour un premier échange.