Services · Cluster d'accompagnement · Conformité
La loi allemande de transposition NIS2 est en vigueur depuis le 6 décembre 2025. Environ 29 500 entreprises tombent pour la première fois sous l'obligation en Allemagne ; la transposition française suit. Nous amenons les entreprises mid-market et les opérateurs essentiels dans un cadre de conformité solide — sur Microsoft Purview, Microsoft Entra ID et Microsoft Defender. Pragmatique, sans surenchère.
Pour la direction · Réduction du risque en euros
Nous traduisons NIS2 en euros : risque d'amende, exposition de la direction, effet assurantiel, coûts des mesures vs coûts de l'inaction. NIS2-Readiness à prix fixe avec gap-analysé documentée et plan de mesures priorisé — défendable face aux actionnaires, conseil de surveillance et lors d'un audit. Vous savez ce que vous pouvez opposer à la responsabilité — par écrit.
Pour les responsables de département · NIS2 Audit-Defense
Nous livrons le rapport de livrable documenté : gap-analysé NIS2 face à l'Annexe II de la directive UE 2022/2555, plan de mesures priorisé avec évaluation d'effort et de risque, dossier audit-defense avec structures de preuves pour les demandes des autorités. Discovery-Spike comme premier mandat type avec squelette de business case pour DAF et achats — prêt pour la prochaine séance de comité de pilotage et le rapport annuel de sécurité.
Pour la direction IT · Defender XDR, Purview, Entra
Configuration concrète plutôt que théorie : Microsoft Defender XDR (Endpoint, E-mail, Cloud, Identity) avec pipeline d'Incident Reporting pour l'obligation de déclaration sous 24 h, Microsoft Purview (classification de données, DLP, Insider Risk, Audit), Entra ID Conditional Access et Privileged Identity Management, raccordement SIEM Sentinel. Mapping Annexe II NIS2 par mesure. Vous parlez directement avec l'architecte qui implémente aussi le stack.
NIS2 est là
La loi NIS2UmsuCG est la transposition allemande de la directive UE 2022/2555. Elle est entrée en vigueur le 6 décembre 2025 et élargit drastiquement le cercle des entreprises soumises. En France, la transposition est portée par le projet de loi Résilience. Environ 29 500 entreprises allemandes tombent pour la première fois sous NIS2 — dont beaucoup d'industriels mid-market, fabricants alimentaires, prestataires IT, fournisseurs d'énergie régionaux.
La nouveauté centrale par rapport à la première directive NIS : NIS2 ne couvre plus seulement les branches d'infrastructures critiques classiques, mais aussi les secteurs essentiels et importants dans leur largeur — de la production alimentaire aux fabricants de certaines machines, en passant par les fournisseurs de services IT gérés. Si vous exploitez une entreprise moyenne à partir de 50 collaborateurs et 10 M€ de chiffre d'affaires dans l'un des 18 secteurs NIS2, vous êtes très probablement concerné.
Trois conséquences sont particulièrement marquantes : premièrement, une obligation de reporting d'incident dans les 24 heures auprès des autorités compétentes. Deuxièmement, un système documenté de gestion des risques avec des mesures techniques et organisationnelles claires. Troisièmement — et c'est souvent négligé — une responsabilité personnelle directe de la direction. Celui qui délègue le sujet sans superviser de façon documentée a, selon NIS2, un problème personnel.
Quatre briques de conformité
Microsoft a construit ces trois dernières années un stack de conformité cohérent. Quatre outils en forment la base — ils s'imbriquent, mais constituent chacun un objet de licence et de configuration distinct.
Assessment, gap-analysé, roadmap. Nous évaluons votre situation actuelle face aux exigences NIS2, identifions les plus grandes lacunes et priorisons les mesures selon risque et effort. Résultat : un programme d'implémentation clairement formulé que direction et IT portent conjointement.
Classification de données, Data Loss Prevention (DLP), Insider-Risk-Management, audit. Microsoft Purview adresse la question : quelles sont nos données critiques, qui les voit et qui à le droit d'en faire quoi. Central pour RGPD et NIS2 à part égale.
Identity- et Access-Management. Authentification multifacteur, Conditional Access, Privileged Identity Management, Identity Protection. Qui veut devenir conforme à NIS2 doit d'abord maîtriser les identités — c'est le levier le plus élevé avec le risque le plus faible.
Endpoint-Security, E-mail-Security, Cloud-Security, Identity-Security. Microsoft Defender XDR réunit les différents produits Defender en une plateforme de télémétrie. L'obligation d'Incident Reporting issue de NIS2 devient ainsi opérationnellement réalisable — à condition que le stack soit proprement configuré et que l'équipe sache l'utiliser.
Notre approche
NIS2 n'est pas un projet de 4 semaines. Mais ce n'est pas non plus un programme de 24 mois. Nous travaillons avec nos clients en quatre phases clairement séparées — chaque phase livre un résultat autonome, qui a de la valeur même si la phase suivante est repoussée.
Quatre semaines. Nous évaluons votre concernance (secteur, taille, classement essentiel/important), inventorions les actifs critiques et faisons l'état des lieux dans Microsoft 365, Entra ID et Defender. Résultat : une image claire de la situation de départ, sans embellissement.
Trois à quatre semaines. Par exigence NIS2 et par outil Microsoft, une évaluation des écarts. Ce qui est rempli aujourd'hui, partiellement, pas du tout. Par lacune, une mesure, un effort, une contribution au risque. Résultat : un catalogue de mesures priorisé.
4 à 9 mois. Mise en œuvre des mesures priorisées — Quick Wins d'abord (MFA, Conditional Access, règles DLP de base), puis les sujets structurels (Insider-Risk, SIEM, Incident-Response). Par vagues, avec des jalons clairs.
En continu. NIS2 n'est pas un état projet final, mais une discipline continue. Revue trimestrielle de conformité, audit annuel, tuning continu des règles Defender. Au choix dans le cadre de nos contrats Application Care.
Coûts d'implémentation — le chiffre honnête
Nous entendons souvent la question : « Combien nous coûte NIS2 ? ». Une réponse honnête a besoin de deux versants. Côté conseil et implémentation, pour des entreprises moyennes de 50 à 500 collaborateurs, nous calculons un programme dont nous délimitons ensemble les coûts lors du premier échange. Cette fourchette couvre l'assessment, la gap-analysé, le roll-out des Quick Wins, la configuration de Microsoft Purview/Entra ID/Defender et la mise en place des processus d'Incident Response.
Côté licences, s'ajoutent des montées en gamme Microsoft — typiquement de Microsoft 365 E3 vers E5 ou des packs Defender/Purview complémentaires. Nous calculons cela de manière transparente via notre License Cost Calculator. Par collaborateur, il en résulte un supplément mensuel — l'amplitude dépend fortement de la situation de départ.
Ce que les coûts n'incluent pas : renouvellements matériels (par exemple pour le durcissement endpoint), audits externes par des organismes certifiés, accompagnement juridique pour la déclaration de conformité. Sur demandé, nous intégrons ces postes dans un budget global, mais nous renvoyons généralement vers des partenaires spécialisés.
Délimitation honnête
Nous faisons de la conformité NIS2 sur stack Microsoft. Trois domaines dans lesquels nous intégrons sciemment des partenaires :
Sécurité OT (Operational Technology). Automatismes industriels, systèmes SCADA, capteurs industriels — c'est une discipline propre avec ses propres outils (Claroty, Nozomi, Microsoft Defender for IoT comme passerelle). Chez les clients industriels, nous intégrons des partenaires OT spécialisés.
Sécurité physique. Contrôle d'accès, onduleurs, protection incendie, sites redondants — NIS2 l'exigé, nous ne le livrons pas. Nous renvoyons ici vers des partenaires Facility Management.
Audits de conformité. Le tampon juridique sur la déclaration de conformité est apposé par un organisme certifié, pas par nous. Nous préparons l'audit, documentons les mesures et vous accompagnons à travers la vérification — le tampon vient d'un tiers.
Questions fréquentes
NIS2 (directive UE 2022/2555) est la deuxième édition de la Network and Information Security Directive. En Allemagne, elle a été transposée par la loi NIS2UmsuCG, entrée en vigueur le 6 décembre 2025. En France, la transposition est portée par le projet de loi Résilience. Environ 29 500 entreprises allemandes tombent pour la première fois sous l'obligation ; en France, plusieurs milliers d'entreprises supplémentaires sont concernées.
Trois critères mènent à l'obligation : secteur (18 secteurs nommés dans NIS2 comme l'énergie, les transports, les banques, la santé, les services IT, certains fabricants), taille (entreprises moyennes à partir de 50 collaborateurs et 10 M€ de chiffre d'affaires) et criticité (classement entités essentielles/importantes). Nous vérifions la concernance lors de la première heure du premier échange.
NIS2 prévoit pour les entités essentielles des amendes pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires annuel mondial. Pour les entités importantes, jusqu'à 7 M€ ou 1,4 % du CA. S'y ajoute une responsabilité directe de la direction — la direction est personnellement engagée, pas seulement l'IT.
Pour les entreprises moyennes, le budget d'implémentation est calculé individuellement. Il comprend l'assessment, la gap-analysé, la configuration des outils Microsoft (Purview, Entra ID, Defender), la formation et la mise en place des obligations de reporting. Les coûts récurrents s'y ajoutent via les licences et la supervision continue. Tarif sur demandé.
Pour la plupart des exigences, oui. Microsoft Purview, Microsoft Entra ID, Microsoft Defender et Microsoft Sentinel couvrent la majeure partie des exigences NIS2. Des lacunes subsistent en sécurité OT (Operational Technology, automatismes industriels), exigences sectorielles spécifiques et protection physique. Nous adressons ces lacunes via des partenaires.
Réalistement 6 à 12 mois pour des entreprises moyennes — du premier assessment à l'exploitation productive des outils de conformité. Les Quick Wins (authentification multifacteur, Conditional Access, règles DLP de base) sont réalisables en 4 à 8 semaines. La maturité complète incluant les processus d'Incident Response prend plus de temps.
Le RGPD protège les données personnelles. NIS2 protège la disponibilité et l'intégrité des services critiques — donc la cybersécurité au sens large, avec des obligations claires en gestion des risques, reporting d'incidents (délai de 24 heures !) et responsabilité de la direction. Les deux règlements s'imbriquent mais couvrent des biens protégés différents.
À emporter · deux documents
Deux niveaux de profondeur pour deux besoins de lecture. La fiche descriptive est une référence rapide (3 à 5 min) téléchargeable immédiatement. Le livre blanc est une étude marché avec méthodologie et données comparatives (15 à 30 min) — vous le recevez par e-mail après une courte demandé.
3-5 min de lecture · téléchargement direct · sans formulaire
Synthèse concise : périmètre, indicateurs, modèle de tarification, déroulé — idéale à transmettre au DAF, aux achats ou au métier.
15-30 min de lecture · par e-mail sur demandé
Méthodologie, données comparatives, cadre de recommandation — matériel d'argumentation interne auprès des décideurs.
Services connexes
Les structures QM sont la base d'une conformité durable — processus documentés, traces d'audit.
Voir →
Obligation de conformité parallèle pour les systèmes IA — même montée en gouvernance.
Voir →
Architecture sécurisée comme prérequis — stratégie tenant, Conditional Access, DLP.
Voir →
Configurer le stack Microsoft au sens des obligations NIS2 — identité, M365, Defender.
Voir →
30 min Premier échange ou 45 min Architecture
Nous évaluons la concernance, le niveau de maturité et les plus grandes lacunes lors d'un premier échange. Pour les setups complexes avec plusieurs sites, parts OT ou structures de groupe, directement dans notre Architecture-Call de 45 min.
À emporter
Référence rapide de deux pages avec structure des packages, périmètres de livraison et trois raisons d'arades — téléchargeable immédiatement, sans formulaire. Idéale à transmettre au DAF, aux achats ou au lead IT.
3-5 min de lecture · téléchargement direct · sans formulaire
