Fortalyse

Cybersécurité7 min

Publié le 12 juin 2026

NIS 2 : votre PME n’est peut-être pas concernée directement, mais vos clients peuvent l’être

Même lorsqu’une PME n’entre pas directement dans le périmètre NIS 2, elle peut être concernée indirectement par les exigences cyber de ses clients, donneurs d’ordre ou partenaires.

La directive NIS 2 est souvent perçue comme un sujet réservé aux grandes entreprises, aux opérateurs critiques, aux collectivités ou aux organisations directement régulées.

Pour beaucoup de PME, la question semble donc simple : sommes-nous concernées ou non ? Mais cette lecture binaire peut être trompeuse.

Même si une PME n’entre pas directement dans le périmètre réglementaire, elle peut être concernée indirectement par ses clients, ses donneurs d’ordre, ses partenaires, ses contrats ou sa place dans une chaîne de sous-traitance.

Le sujet n’est alors pas seulement juridique. Il devient commercial, opérationnel et organisationnel : serez-vous capable de démontrer que votre système d’information est suffisamment maîtrisé ?

La question n’est pas seulement : “sommes-nous soumis à NIS 2 ?”

La première étape reste évidemment de vérifier si l’entreprise est directement concernée par la réglementation. Cette analyse dépend notamment du secteur d’activité, de la taille de l’organisation et de la nature des services fournis.

Mais pour une PME, il faut aussi poser une deuxième question : certains de nos clients, partenaires ou donneurs d’ordre sont-ils eux-mêmes concernés par NIS 2 ou par des exigences cyber renforcées ?

Une entreprise régulée ne regardera pas uniquement sa propre cybersécurité. Elle devra aussi mieux maîtriser ses dépendances, ses prestataires, ses fournisseurs, ses applications, ses hébergements et ses flux de données.

  • Êtes-vous prestataire, éditeur, intégrateur, hébergeur, infogérant ou fournisseur d’une organisation sensible ?
  • Manipulez-vous des données, accès, fichiers, applications ou flux critiques pour vos clients ?
  • Votre interruption de service pourrait-elle bloquer une activité chez un client important ?
  • Vos contrats mentionnent-ils déjà des exigences de sécurité, de confidentialité ou de continuité ?
  • Vos clients commencent-ils à envoyer des questionnaires cyber ou des demandes de preuves ?

Le vrai effet pour les PME : des exigences clients plus concrètes

Dans la pratique, beaucoup de PME ne recevront pas une notification officielle leur disant qu’elles entrent dans le périmètre NIS 2. En revanche, elles peuvent recevoir des demandes beaucoup plus concrètes de leurs clients.

Ces demandes peuvent arriver lors d’un appel d’offres, d’un renouvellement de contrat, d’un audit fournisseur, d’un questionnaire de sécurité ou après un incident cyber dans la chaîne de sous-traitance.

Le dirigeant peut alors découvrir que la cybersécurité n’est plus seulement un sujet technique interne, mais un critère de confiance, de référencement et parfois de maintien de la relation commerciale.

  • Avez-vous une politique de sauvegarde documentée et testée ?
  • Les accès sensibles sont-ils protégés par une authentification forte ?
  • Savez-vous qui dispose des droits administrateur ?
  • Les comptes des anciens salariés ou prestataires sont-ils désactivés rapidement ?
  • Disposez-vous d’une procédure en cas d’incident ou de cyberattaque ?
  • Pouvez-vous expliquer où sont hébergées les données et qui y accède ?
  • Avez-vous un plan de reprise minimal en cas d’arrêt d’un service critique ?

Le risque n’est pas de ne pas avoir le bon document, mais de ne pas avoir de preuves

Face à une demande client, la tentation peut être de produire rapidement une politique de sécurité, une charte ou une réponse déclarative. Ces documents peuvent être utiles, mais ils ne suffisent pas si le système d’information n’est pas réellement maîtrisé.

Un client mature cherchera de plus en plus à obtenir des preuves : captures de configuration, procédure de sauvegarde, rapport de test, liste des accès sensibles, preuve de MFA, description du dispositif de supervision, processus de gestion des incidents.

Pour une PME, l’enjeu n’est pas de copier les pratiques d’un grand groupe. L’enjeu est de construire un socle crédible, proportionné et démontrable.

  • Une cartographie simple des applications, serveurs, données et prestataires.
  • Une liste claire des comptes sensibles et des droits administrateur.
  • Une politique de sauvegarde compréhensible, avec tests de restauration.
  • Un suivi minimal des mises à jour et vulnérabilités critiques.
  • Une procédure courte de gestion d’incident : qui alerter, qui décide, qui communique.
  • Un registre des prestataires et des dépendances importantes.
  • Une trace des décisions prises, même lorsqu’elles sont simples.

Une PME peut progresser sans transformer NIS 2 en usine à gaz

La bonne réponse n’est pas de lancer un programme lourd, coûteux et déconnecté du terrain. Une PME a souvent besoin d’un plan court, priorisé, adapté à son activité et à ses clients.

Le point de départ consiste à identifier les exigences probables : clients sensibles, contrats importants, données manipulées, services critiques, accès fournis aux clients, rôle de sous-traitant ou de prestataire technique.

Ensuite, il faut relier ces exigences à des actions concrètes : sécuriser les accès, vérifier les sauvegardes, clarifier les responsabilités, documenter les dépendances, tester la reprise et formaliser les procédures essentielles.

  • Identifier les clients ou contrats susceptibles d’imposer des exigences cyber.
  • Lister les preuves déjà disponibles et celles qui manquent.
  • Prioriser les actions qui réduisent vraiment le risque : MFA, sauvegardes, droits, mises à jour, supervision.
  • Documenter simplement ce qui existe déjà au lieu de partir d’une page blanche.
  • Construire une réponse proportionnée, compréhensible par la direction et exploitable par les équipes.

Le sujet touche aussi les prestataires et la sous-traitance

Une PME peut être elle-même sous-traitante, mais elle dépend aussi souvent d’autres prestataires : infogérant, hébergeur, éditeur logiciel, intégrateur, support métier, téléphonie, messagerie, sauvegarde ou cybersécurité.

Si un client vous demande des garanties, vous devrez parfois vérifier vos propres dépendances. Où sont hébergées les données ? Qui administre le serveur ? Qui peut accéder aux sauvegardes ? Qui intervient en cas d’incident ?

La cybersécurité devient alors une chaîne de confiance. Il ne suffit pas de dire que le prestataire s’en occupe. Il faut savoir ce qui est réellement couvert, ce qui ne l’est pas, et comment réagir en cas de problème.

  • Les responsabilités entre la PME et ses prestataires sont-elles clairement définies ?
  • Les accès prestataires sont-ils limités, tracés et désactivables ?
  • Les sauvegardes sont-elles sous votre contrôle ou uniquement chez un tiers ?
  • Les engagements de support et de reprise sont-ils documentés ?
  • Existe-t-il une procédure si un prestataire est lui-même victime d’un incident ?

Ce que doit retenir un dirigeant de PME

NIS 2 ne doit pas être vu uniquement comme une contrainte réglementaire réservée aux organisations directement concernées. Pour de nombreuses PME, son effet sera plus indirect : des clients plus exigeants, des contrats plus précis, des audits fournisseurs plus fréquents et des preuves à fournir.

Attendre la première demande client pour s’organiser expose à répondre dans l’urgence, avec des informations incomplètes et une vision floue du système d’information.

À l’inverse, une PME qui connaît ses actifs critiques, ses accès, ses sauvegardes, ses prestataires et ses procédures d’incident dispose déjà d’un avantage : elle peut rassurer ses clients sans promettre plus que ce qu’elle maîtrise réellement.

La cybersécurité devient progressivement un sujet de confiance commerciale. Pour une PME, s’y préparer de manière pragmatique peut protéger l’activité, mais aussi renforcer la crédibilité auprès des clients importants.

À lire selon votre situation

Prolonger la lecture vers une action concrète

Ces liens permettent de relier le sujet de l’article à une page plus opérationnelle : offre, cas d’usage, lexique ou prise de contact.

Premier diagnostic SI PME

Clarifier rapidement votre exposition, vos dépendances, vos sauvegardes, vos accès sensibles et vos priorités SI.

Faire le point

Cybersécurité PME

Mettre en place des mesures opérationnelles proportionnées : accès, sauvegardes, vulnérabilités, prestataires et incidents.

Voir l’accompagnement cyber

Audit SI PME

Obtenir un regard externe sur l’organisation SI, les risques, les dépendances et les points de fragilité prioritaires.

Découvrir l’audit SI

Cartographie du système d’information

Comprendre pourquoi la cartographie SI est souvent le point de départ pour répondre aux exigences cyber et contractuelles.

Lire l’article lié

Risque cyber via les prestataires

Identifier les risques liés aux prestataires, aux accès externes, à l’hébergement, aux outils métier et à la chaîne de sous-traitance.

Lire l’article lié

DSI à temps partagé

Installer un pilotage régulier des sujets SI et cyber sans recruter immédiatement une direction informatique interne.

Voir la DSI temps partagé

Questions fréquentes

Les points à clarifier

Ces réponses permettent de replacer le sujet dans un contexte PME, avec une lecture orientée décision, risques et actions concrètes.

Une PME non soumise directement à NIS 2 doit-elle s’en préoccuper ?

Oui, si elle travaille avec des clients, donneurs d’ordre ou partenaires qui renforcent leurs exigences cyber. Elle peut devoir fournir des preuves sur ses accès, sauvegardes, prestataires, incidents ou procédures de continuité.

Comment savoir si une PME est directement concernée par NIS 2 ?

Il faut vérifier le secteur d’activité, la taille de l’entité, la nature des services fournis et les critères applicables. L’ANSSI met à disposition des ressources et un simulateur MonEspaceNIS2 pour aider les organisations à se situer.

Accéder au simulateur MonEspaceNIS2

Quelles actions lancer en priorité dans une PME ?

Les priorités les plus utiles sont généralement la cartographie des actifs et prestataires, la sécurisation des comptes sensibles, l’authentification forte, la vérification des sauvegardes, le suivi des vulnérabilités critiques et une procédure simple de gestion d’incident.

Ressources liées

Pour aller plus loin

Ces contenus permettent d’approfondir le sujet, de comparer les angles d’approche et de relier la réflexion à des actions concrètes.

Pilotage SI8 min

Checklist diagnostic SI dirigeant : les points à vérifier dans une PME

Une grille de lecture pratique pour préparer un premier échange SI et identifier les priorités avant d’engager un audit ou une mission.

Lire la ressource
Continuité d’activité9 min

PRA, PCA, RTO, RPO : comprendre les différences pour une PME

Une sauvegarde ne suffit pas à garantir la reprise d’activité. Pour décider correctement, une PME doit comprendre la différence entre PCA, PRA, RTO et RPO, puis relier ces notions aux métiers, aux données et aux priorités réelles.

Lire la ressource
Cybersécurité10 min

EDR, XDR, SIEM, SOC, MDR : que faut-il vraiment comprendre pour une PME ?

Les solutions cyber avancées ne sont utiles que si elles répondent à un besoin clair, avec des alertes traitées, des responsabilités définies et une capacité réelle d’intervention.

Lire la ressource

Premier échange

Votre PME est-elle prête à répondre aux exigences cyber de ses clients ?

Un premier échange permet de clarifier votre exposition, vos clients sensibles, vos preuves disponibles et les actions prioritaires à mettre en place sans transformer le sujet en usine à gaz.

Faire un premier diagnostic SIVoir l’accompagnement cyber PME