Microsoft Cloud · Compliance
La loi allemande de transposition NIS2 est en vigueur depuis le 6 décembre 2025. Environ 29 500 entreprises allemandes tombent pour la première fois sous l'obligation. Nous inscrivons PME, ETI et KRITIS dans un cadre Compliance solide — sur Microsoft Purview, Microsoft Entra ID et Microsoft Defender. Pragmatique, sans surcharge.
NIS2 est là
La loi allemande de transposition NIS2 et de renforcement de la cybersécurité (NIS2UmsuCG) est la transposition allemande de la directive UE 2022/2555. Elle est entrée en vigueur le 6 décembre 2025 et élargit drastiquement le cercle des entreprises soumises à l'obligation. Environ 29 500 entreprises allemandes tombent pour la première fois sous NIS2 — beaucoup d'entre elles sont des constructeurs de machines de taille intermédiaire, des fabricants alimentaires, des prestataires informatiques, des fournisseurs d'énergie régionaux.
La nouveauté centrale par rapport à la première directive NIS : NIS2 ne couvre plus seulement les secteurs KRITIS classiques, mais aussi les secteurs essentiels et importants dans leur largeur — de la production alimentaire aux fabricants de certaines machines en passant par les fournisseurs de services informatiques gérés. Toute entreprise moyenne à partir de 50 salariés et 10 M€ de chiffre d'affaires opérant dans l'un des 18 secteurs NIS2 est très probablement concernée.
Trois conséquences sont particulièrement impactantes : premièrement, une obligation de déclaration d'incident sous 24 heures auprès de la BSI (Office fédéral allemand de la sécurité de l'information). Deuxièmement, un système de gestion des risques documenté avec des mesures techniques et organisationnelles claires. Troisièmement — et c'est souvent oublié — une responsabilité personnelle directe des dirigeants. Quiconque délègue le sujet sans surveillance documentée s'expose, sous NIS2, à un problème personnel.
Quatre briques Compliance
Microsoft a construit ces trois dernières années une stack Compliance cohérente. Quatre outils en forment le socle — ils s'imbriquent mais sont chacun des objets distincts de licence et de configuration.
Assessment, gap-analyse, roadmap. Nous évaluons votre situation actuelle face aux exigences NIS2, identifions les plus grandes lacunes et priorisons les mesures par risque et par effort. Résultat : un programme d'implémentation clairement formulé, porté conjointement par la direction et l'IT.
Classification des données, Data Loss Prevention (DLP), Insider Risk Management, audit. Microsoft Purview adresse la question : quelles sont nos données critiques, qui les voit, qui peut en faire quoi. Central pour le RGPD comme pour NIS2.
Gestion des identités et des accès. Authentification multifacteur, Conditional Access, Privileged Identity Management, Identity Protection. Qui veut devenir conforme NIS2 doit d'abord maîtriser les identités — c'est le levier le plus élevé pour le risque le plus faible.
Endpoint Security, Email Security, Cloud Security, Identity Security. Microsoft Defender XDR réunit les produits Defender individuels en une plateforme de télémétrie. L'obligation de déclaration d'incident issue de NIS2 devient ainsi opérationnellement satisfiable — à condition que la stack soit proprement configurée et que l'équipe sache l'exploiter.
Notre approche
NIS2 n'est pas un projet de 4 semaines. Mais ce n'est pas non plus un programme de 24 mois. Nous travaillons avec nos clients en quatre phases clairement distinctes — chaque phase livre un résultat autonome qui garde sa valeur même si la phase suivante est reportée.
Quatre semaines. Nous vérifions votre éligibilité (secteur, taille, classement KRITIS), inventorions les actifs critiques et relevons l'état actuel dans Microsoft 365, Entra ID et Defender. Résultat : une image claire de la situation de départ, sans embellissement.
Trois à quatre semaines. Pour chaque exigence NIS2 et chaque outil Microsoft, une évaluation des lacunes. Ce qui est satisfait aujourd'hui, partiellement, pas du tout. Par lacune, une mesure, un effort, une contribution au risque. Résultat : un catalogue de mesures priorisé.
4 à 9 mois. Implémentation des mesures priorisées — Quick Wins (MFA, Conditional Access, règles DLP de base) en premier, puis les sujets structurels (Insider Risk, SIEM, Incident Response). En vagues, avec des jalons clairs.
En continu. NIS2 n'est pas un état final de projet, mais une discipline continue. Revue Compliance trimestrielle, audit annuel, tuning continu des règles Defender. Au choix dans le cadre de nos contrats Application Care.
Coûts d'implémentation — le chiffre honnête
Nous entendons souvent la question : « Combien NIS2 nous coûte-t-il ? » Une réponse honnête comporte deux volets. Côté conseil et implémentation, nous calculons pour les entreprises moyennes de 50 à 500 salariés un programme dont les coûts sont précisés ensemble lors du premier échange. Cette fourchette couvre l'assessment, la gap-analyse, le déploiement des Quick Wins, la configuration de Microsoft Purview/Entra ID/Defender et la mise en place des processus de réponse aux incidents.
Côté licences s'ajoutent les mises à niveau Microsoft — typiquement de Microsoft 365 E3 vers E5 ou des packs Defender et Purview complémentaires. Nous le calculons en toute transparence via notre License Cost Calculator. Par salarié, cela représente un surcoût mensuel entre 8 € et 25 € — la fourchette dépend fortement de la situation de départ.
Ce que les coûts n'incluent pas : renouvellements matériels (par exemple pour le durcissement des endpoints), audits externes par des auditeurs certifiés, accompagnement juridique pour la déclaration de conformité. Nous calculons ces postes sur demande dans un budget global, mais orientons généralement vers des partenaires spécialisés.
Délimitation honnête
Nous faisons de la conformité NIS2 sur stack Microsoft. Trois domaines dans lesquels nous mobilisons sciemment des partenaires :
Sécurité OT (Operational Technology). Pilotages de machines, systèmes SCADA, capteurs industriels — c'est une discipline propre avec ses propres outils (Claroty, Nozomi, Microsoft Defender for IoT comme pont). Chez les clients industriels, nous mobilisons des partenaires OT spécialisés.
Sécurité physique. Contrôle d'accès, onduleurs, protection incendie, sites redondants — NIS2 l'exige, nous ne le livrons pas. Ici nous orientons vers des partenaires Facility Management.
Audits de conformité. Le tampon juridique sur la déclaration de conformité est posé par un organisme d'audit certifié, pas par nous. Nous préparons l'audit, documentons les mesures et vous accompagnons à travers la vérification — le tampon vient d'un tiers.
Questions fréquentes (FAQ)
NIS2 (directive UE 2022/2555) est la deuxième version de la Network and Information Security Directive. En Allemagne, elle a été transposée par la loi NIS2UmsuCG (loi allemande de transposition NIS2), entrée en vigueur le 6 décembre 2025. Environ 29 500 entreprises allemandes tombent pour la première fois sous l'obligation.
Trois critères conduisent à l'obligation : secteur (18 secteurs mentionnés dans NIS2 comme l'énergie, les transports, les banques, la santé, les services informatiques, les fabricants de certains produits), taille (entreprises moyennes à partir de 50 salariés et 10 M€ de chiffre d'affaires) et criticité (classement KRITIS). Nous vérifions l'éligibilité dès la première heure du premier échange.
NIS2 prévoit pour les entités essentielles des sanctions allant jusqu'à 10 M€ ou 2 % du chiffre d'affaires annuel mondial. Pour les entités importantes jusqu'à 7 M€ ou 1,4 % du chiffre d'affaires. S'y ajoute une responsabilité directe des dirigeants — la direction est personnellement engagée, pas seulement l'IT.
Pour les entreprises moyennes, nous calculons réalistement un budget de mise en œuvre entre 50 000 € et 150 000 €. Cela englobe l'assessment, la gap-analyse, la configuration des outils Microsoft (Purview, Entra ID, Defender), la formation et la construction des obligations de reporting. Les coûts récurrents s'ajoutent via les licences et la surveillance continue.
Pour la plupart des exigences, oui. Microsoft Purview, Microsoft Entra ID, Microsoft Defender et Microsoft Sentinel couvrent l'essentiel des exigences NIS2. Des lacunes demeurent en sécurité OT (Operational Technology, pilotage de machines), en exigences sectorielles spécifiques et en protection physique. Nous adressons ces lacunes via des partenaires.
Réalistement 6 à 12 mois pour les entreprises moyennes — du premier assessment jusqu'à l'exploitation productive des outils de conformité. Les Quick Wins (authentification multifacteur, Conditional Access, règles DLP de base) sont déployables en 4 à 8 semaines. La maturité complète, y compris les processus de réponse aux incidents, prend plus longtemps.
Le RGPD protège les données à caractère personnel. NIS2 protège la disponibilité et l'intégrité des services critiques — c'est-à-dire la cybersécurité au sens large, avec des obligations claires de gestion des risques, de déclaration d'incident (délai de 24 heures !) et de responsabilité des dirigeants. Les deux règlements s'imbriquent, mais couvrent des biens protégés différents.
30 min Premier échange ou 45 min Architecture
Nous évaluons l'éligibilité, la maturité et les plus grandes lacunes lors d'un premier échange. Pour les setups complexes avec plusieurs sites, parts OT ou structures de groupe directement dans notre appel Architecture de 45 min.
Services d'accompagnement
Les projets d'engineering sont rarement isolés — logique de licences, clarification d'architecture, quality gates, transfert de connaissances et exploitation de suivi tournent généralement en parallèle.
En amont · architecture
Avant l'implémentation : structure du tenant, modèle de données, concept de sécurité, mapping d'intégration. Le résultat est un document d'architecture que toute équipe d'engineering peut reprendre.
Voir la page →
En amont · CSP
Quels bundles de licences pour quels utilisateurs, quels add-on SKUs sont nécessaires, où vous êtes sur- ou sous-licencié. Acheté via partenaire licences Microsoft.
Voir la page →
Pendant · quality gate
Deuxième avis indépendant pendant un projet d'implémentation en cours. Quality gates basés sur CMMI, revues de risques, prix fixe par gate.
Voir la page →
Pendant · adoption
Un programme d'apprentissage dynamique sur 4–6 semaines avec formation de lancement, phases d'application et sessions avancées. Matrice de formation pour rôles et thèmes.
Voir la page →
Après · exploitation
Après le go-live : contrat Application Care prévisible avec forfait mensuel, basé sur SLA. Inclut releases, hotfixes, extensions, durcissement du tenant.
Voir la page →
Après · connaissances
Quand les développeurs d'origine sont partis ou que la documentation est obsolète — rétro-ingénierie de la solution existante avec un résultat documenté : carte du code, modèle de données, inventaire de customizing.
Voir la page →
