NIS2 et Loi Résilience : quand la cybersécurité impose de repenser la sécurité physique

La directive européenne NIS2 (Network and Information Security Directive 2), adoptée le 14 décembre 2022 par le Parlement européen, est transposée en droit français par la Loi Résilience. Cette transposition marque un tournant considérable : le périmètre des entités soumises à des obligations de cybersécurité passe d'environ 500 opérateurs à près de 15 000 entités réparties sur 18 secteurs d'activité. Au-delà de la dimension purement numérique, cette réglementation a des conséquences directes et profondes sur la sécurité physique des infrastructures.

La première directive NIS (2016) ciblait principalement les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN). Son périmètre restait limité et son application inégale selon les États membres.

NIS2 corrige ces lacunes en élargissant considérablement le champ d'application :

Les 18 secteurs concernés

• Secteurs hautement critiques (Annexe I) : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace
• Autres secteurs critiques (Annexe II) : services postaux, gestion des déchets, fabrication-production-distribution de produits chimiques, production-transformation-distribution de denrées alimentaires, fabrication, fournisseurs numériques, recherche

Entités essentielles vs entités importantes

La Loi Résilience distingue deux niveaux d'entités :

• Entités essentielles : soumises à 20 objectifs de sécurité, contrôles proactifs de l'ANSSI, sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial
• Entités importantes : soumises à 15 objectifs de sécurité, contrôles réactifs (sur incident ou signalement), sanctions pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial

Les critères de classification reposent sur la taille de l'entité (nombre d'employés, chiffre d'affaires, total de bilan) et sur la criticité du secteur d'activité.

C'est l'un des aspects les plus structurants de NIS2 et de la Loi Résilience : la directive impose explicitement de traiter la sécurité de l'environnement physique des systèmes d'information. L'article 21 de la directive mentionne la "sécurité physique et environnementale" parmi les mesures de gestion des risques.

Pourquoi la sécurité physique est concernée

Un système d'information ne peut être sécurisé si l'accès physique aux équipements n'est pas contrôlé. Les vecteurs d'attaque physique sont nombreux :

• Accès non autorisé aux salles serveurs, aux baies de brassage, aux locaux techniques
• Connexion de dispositifs malveillants (clés USB piégées, boîtiers d'interception réseau) sur les infrastructures
• Manipulation physique des équipements de réseau (switchs, routeurs, pare-feux)
• Sabotage des alimentations électriques ou des systèmes de climatisation des datacenters
• Ingénierie sociale permettant l'accès à des zones restreintes

Impact concret sur les systèmes de sûreté

La mise en conformité NIS2 impose de revoir en profondeur les dispositifs de sécurité physique :

Contrôle d'accès : - Mise en place d'une authentification forte (badge + code, badge + biométrie) pour l'accès aux zones sensibles hébergeant des systèmes d'information critiques - Traçabilité complète des accès avec conservation des journaux conformément à la politique de sécurité - Gestion rigoureuse des droits d'accès avec revue périodique et suppression immédiate en cas de départ - Cloisonnement physique des zones selon leur niveau de criticité

Vidéosurveillance : - Supervision vidéo des accès aux zones critiques avec enregistrement et conservation adaptée - Protection des systèmes de vidéosurveillance eux-mêmes contre les cyberattaques (caméras IP, NVR, VMS) - Segmentation réseau des flux vidéo pour éviter qu'un compromission du système de vidéosurveillance ne serve de pivot vers le SI de production - Mise à jour régulière des firmwares des caméras et des équipements réseau dédiés

Détection d'intrusion : - Détection périmétrique et volumétrique des zones hébergeant des équipements critiques - Corrélation des alarmes intrusion avec les événements de cybersécurité (approche SOC/PSOC convergent) - Levée de doute systématique et procédures d'intervention documentées

• T4 2026 : début des audits réguliers par l'ANSSI pour les entités essentielles
• Notification d'incident : alerte initiale sous 24 heures, rapport intermédiaire sous 72 heures, rapport final sous un mois
• Les entités disposent d'un délai de mise en conformité, mais les contrôles proactifs peuvent intervenir à tout moment pour les entités essentielles

1. Cloisonner les approches : traiter la cybersécurité et la sécurité physique en silos est la première erreur. NIS2 impose une vision intégrée. 2. Négliger les systèmes de sûreté eux-mêmes : les caméras IP, les contrôleurs d'accès et les centrales d'alarme sont des objets connectés au réseau. Ils constituent des surfaces d'attaque. 3. Sous-estimer la documentation : la conformité NIS2 repose largement sur la capacité à démontrer les mesures prises. Politique de sécurité physique, procédures, registres d'accès, PCA/PRA : tout doit être formalisé. 4. Oublier la supply chain : les prestataires intervenant sur les systèmes de sûreté (installateurs, mainteneurs, télésurveilleurs) sont eux-mêmes soumis à des exigences de sécurité dans le cadre de la gestion des risques liés aux tiers.

• Cartographier les systèmes d'information et identifier ceux dont la sécurité physique est insuffisante
• Auditer les dispositifs de contrôle d'accès, de vidéosurveillance et de détection d'intrusion
• Évaluer la maturité cyber des systèmes de sûreté déployés (firmware, segmentation réseau, gestion des mots de passe)
• Formaliser une politique de sécurité physique intégrée à la PSSI (politique de sécurité des systèmes d'information)
• Former les équipes sûreté aux enjeux cyber et réciproquement

Le Cabinet SURTYS, implanté à Salon-de-Provence dans les Bouches-du-Rhône, dispose d'une double expertise en sûreté physique et en gouvernance de la sécurité des systèmes d'information. Nous accompagnons les entités essentielles et importantes dans leur mise en conformité NIS2, en intégrant dès la conception la convergence entre sécurité physique et cybersécurité. Audits, schémas directeurs de sûreté, cahiers des charges techniques : notre approche indépendante garantit des préconisations adaptées à vos enjeux. Contactez-nous pour évaluer votre niveau de maturité.