Microsoft Cloud · Conformité
La loi allemande de transposition NIS2 est en vigueur depuis le 6 décembre 2025. Environ 29 500 entreprises allemandes sont concernées pour la première fois. Nous inscrivons PME, ETI et opérateurs OIV/OSE dans un cadre de conformité solide — sur Microsoft Purview, Microsoft Entra ID et Microsoft Defender. Pragmatique, sans surcharge.
NIS2 est là
Le NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) est la transposition allemande de la directive UE 2022/2555. Il est entré en vigueur le 6 décembre 2025 et élargit drastiquement le cercle des entreprises assujetties. Environ 29 500 entreprises allemandes sont concernées pour la première fois — beaucoup d'industriels mécaniques de taille moyenne, fabricants alimentaires, prestataires IT, énergéticiens régionaux.
La principale nouveauté par rapport à la première directive NIS : NIS2 ne couvre plus seulement les secteurs OIV classiques, mais aussi les secteurs essentiels et importants dans toute leur largeur — de la production alimentaire aux fabricants de certaines machines, en passant par les fournisseurs de services IT managés. Une entreprise moyenne d'au moins 50 salariés et 10 M€ de CA opérant dans l'un des 18 secteurs NIS2 est très probablement concernée.
Trois conséquences sont particulièrement marquantes. Première : une obligation de notification des incidents au BSI (Office fédéral allemand de la sécurité informatique) sous 24 heures. Deuxième : un système documenté de gestion des risques avec des mesures techniques et organisationnelles claires. Troisième — et c'est souvent négligé — une responsabilité personnelle directe de la direction. Qui a délégué le sujet sans surveillance documentée a, sous NIS2, un problème personnel.
Quatre briques de conformité
Microsoft a construit ces trois dernières années un stack de conformité cohérent. Quatre outils en forment la base — ils s'imbriquent, mais chacun reste son propre objet de licence et de configuration.
Évaluation, analyse d'écarts, feuille de route. Nous mesurons votre situation actuelle face aux exigences NIS2, identifions les principales lacunes et priorisons les mesures par risque et effort. Résultat : un programme d'implémentation clairement formulé, porté conjointement par direction et DSI.
Classification des données, Data Loss Prevention (DLP), Insider Risk Management, audit. Microsoft Purview répond à la question : quelles sont nos données critiques, qui les voit, qui a le droit d'en faire quoi ? Central pour le RGPD comme pour NIS2.
Gestion des identités et des accès. Authentification multifacteur, Conditional Access, Privileged Identity Management, Identity Protection. Qui veut être conforme NIS2 doit d'abord maîtriser les identités — c'est le levier le plus puissant pour le risque le plus faible.
Endpoint Security, Email Security, Cloud Security, Identity Security. Microsoft Defender XDR fédère les produits Defender individuels en une plateforme de télémétrie. L'obligation de reporting d'incident NIS2 devient opérationnellement remplissable — à condition que le stack soit correctement configuré et que l'équipe sache l'utiliser.
Notre démarche
NIS2 n'est pas un projet de 4 semaines. Mais ce n'est pas non plus un programme de 24 mois. Nous travaillons avec nos clients en quatre phases nettement séparées — chaque phase livre un résultat autonome, qui a de la valeur même si la phase suivante est reportée.
Quatre semaines. Nous vérifions votre éligibilité (secteur, taille, statut OIV/OSE), inventorions les actifs critiques et faisons l'état des lieux dans Microsoft 365, Entra ID et Defender. Résultat : une image claire de la situation initiale, sans embellissement.
Trois à quatre semaines. Par exigence NIS2 et par outil Microsoft, une évaluation des écarts. Ce qui est aujourd'hui couvert, ce qui l'est partiellement, ce qui ne l'est pas. Pour chaque écart : une mesure, un effort, une contribution au risque. Résultat : un catalogue de mesures priorisé.
4 à 9 mois. Mise en œuvre des mesures priorisées — Quick Wins (MFA, Conditional Access, règles DLP de base) d'abord, puis les sujets structurels (Insider Risk, SIEM, Incident Response). Par vagues, avec des jalons clairs.
En continu. NIS2 n'est pas un état final de projet, c'est une discipline continue. Revue de conformité trimestrielle, audit annuel, tuning continu des règles Defender. Au choix dans le cadre de nos contrats Application Care.
Coûts d'implémentation — le chiffre honnête
On nous pose souvent la question : « Combien NIS2 va-t-il nous coûter ? » Une réponse honnête a deux faces. Côté conseil et implémentation, pour les entreprises moyennes de 50 à 500 salariés, nous tablons sur un programme dont nous cadrons le coût ensemble dès le Discovery. Cette fourchette couvre l'évaluation, l'analyse d'écarts, le déploiement des Quick Wins, la configuration de Microsoft Purview/Entra ID/Defender et la mise en place des processus d'Incident Response.
Côté licences, s'y ajoutent des upgrades Microsoft — typiquement passage de Microsoft 365 E3 à E5, ou packs Defender/Purview complémentaires. Nous le chiffrons en transparence via notre License Cost Calculator. Par salarié, cela représente un surcoût mensuel entre 8 € et 25 € — la fourchette dépend fortement de la situation de départ.
Ce que ces coûts n'incluent pas : renouvellements matériels (par exemple pour le durcissement endpoint), audits externes par des prestataires certifiés, accompagnement juridique pour la déclaration de conformité. Sur demande, nous intégrons ces postes dans un budget global, mais nous renvoyons en général à des partenaires spécialisés.
Délimitation honnête
Nous faisons de la conformité NIS2 sur stack Microsoft. Trois domaines où nous impliquons délibérément des partenaires :
Sécurité OT (Operational Technology). Supervision machine, SCADA, capteurs industriels — c'est une discipline propre avec ses propres outils (Claroty, Nozomi, Microsoft Defender for IoT comme pont). Chez les clients industriels, nous mobilisons des partenaires OT spécialisés.
Sécurité physique. Contrôle d'accès, onduleurs, protection incendie, sites redondants — NIS2 l'exige, nous ne le livrons pas. Nous renvoyons vers des partenaires Facility Management.
Audits de conformité. Le tampon juridique sur la déclaration de conformité est posé par un organisme de contrôle certifié, pas par nous. Nous préparons l'audit, documentons les mesures, vous accompagnons à travers l'examen — mais le tampon vient d'un tiers.
Questions fréquentes
NIS2 (directive UE 2022/2555) est la deuxième version de la Network and Information Security Directive. En Allemagne, elle a été transposée par le NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), entré en vigueur le 6 décembre 2025. Environ 29 500 entreprises allemandes sont concernées pour la première fois.
Trois critères déclenchent l'obligation : le secteur (18 secteurs cités par NIS2 — énergie, transports, banques, santé, services IT, fabricants de certains produits), la taille (entreprises moyennes à partir de 50 salariés et 10 M€ de chiffre d'affaires) et la criticité (statut OIV/OSE). Nous vérifions l'éligibilité dès la première heure du Discovery.
NIS2 prévoit pour les entités essentielles des amendes jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial annuel. Pour les entités importantes, jusqu'à 7 M€ ou 1,4 % du CA. À cela s'ajoute une responsabilité directe de la direction — les dirigeants sont personnellement engagés, pas seulement la DSI.
Pour les entreprises moyennes, nous tablons réalistement sur un budget d'implémentation entre 50 000 € et 150 000 €. Cela couvre l'évaluation, l'analyse d'écarts, la configuration des outils Microsoft (Purview, Entra ID, Defender), la formation et la mise en place des obligations de reporting. Des coûts récurrents s'ajoutent via les licences et la surveillance continue.
Pour la plupart des exigences, oui. Microsoft Purview, Microsoft Entra ID, Microsoft Defender et Microsoft Sentinel couvrent l'essentiel des exigences NIS2. Des lacunes subsistent sur la sécurité OT (supervision machines), sur certaines exigences sectorielles spécifiques et sur la protection physique. Nous traitons ces lacunes via des partenaires.
Réalistement 6 à 12 mois pour les entreprises moyennes — du premier assessment au fonctionnement productif des outils de conformité. Les Quick Wins (MFA, Conditional Access, règles DLP de base) sont déployables en 4 à 8 semaines. La maturité complète, incluant les processus d'Incident Response, demande plus de temps.
Le RGPD protège les données personnelles. NIS2 protège la disponibilité et l'intégrité des services critiques — la cybersécurité au sens large, avec des obligations claires sur la gestion des risques, le reporting des incidents (délai de 24 heures !) et la responsabilité des dirigeants. Les deux régimes s'imbriquent mais couvrent des objets de protection différents.
Discovery 30 min ou Architecture 45 min
Nous évaluons éligibilité, niveau de maturité et plus grandes lacunes lors d'un premier échange. Pour les setups complexes — sites multiples, parts d'OT, structures de groupe — directement dans notre Architecture Call de 45 min.
Services d'accompagnement
Les projets Engineering tournent rarement seuls — logique de licences, clarification d'architecture, Quality Gates, transfert de savoir et exploitation suivent en parallèle. Voici les services d'accompagnement les plus fréquents, ajoutables dans Discovery-Spike, Sprint à prix fixe ou contrats Application Care.
En amont · Architecture
Avant l'implémentation : structure tenant, modèle de données, concept de sécurité, mapping des intégrations. Le résultat est un document d'architecture sur lequel toute équipe Engineering peut continuer — y compris une autre que nous.
Voir →
En amont · CSP
Quels bundles de licences pour quels utilisateurs, quelles SKU add-on nécessaires, où vous êtes sur- ou sous-licenciés. En tant que partenaire de licences Microsoft — avec l'option de n'utiliser le CSP que comme contrôle, sans maximisation de marge.
Voir →
Pendant · Quality Gate
Deuxième avis indépendant pendant un projet d'implémentation en cours — que nous le menions nous-mêmes ou qu'un autre partenaire le mène. Quality Gates basés CMMI, revues de risques, prix fixe par gate.
Pendant · Adoption
Pas le classique atelier de 2 jours oublié au bout d'une semaine, mais un programme d'apprentissage dynamique sur 4 à 6 semaines, avec formation initiale, phases d'application et sessions de consolidation. Matrice de formation par rôles et par sujets.
Voir →
Après · Exploitation
Après le go-live : un contrat Application Care planifiable, au forfait mensuel, basé SLA. Y compris releases, hotfixes, extensions, durcissement tenant — et accompagnement continu, pas seulement réaction sur ticket.
Voir →
Après · Savoir
Quand les développeurs initiaux sont partis, le partenaire précédent injoignable ou la documentation obsolète — Reverse Engineering de la solution existante avec un résultat documenté : carte du code, modèle de données, inventaire de customization.
Voir →
