Conformité NIS2,
simple, rapide,
transparente.

Vous pouvez l'être de deux façons : directement, si vous êtes dans un secteur listé par la directive (numérique, infrastructures, fabrication critique, etc.) ; indirectement, si vous êtes sous-traitant d'une entité concernée ou d'administrations régulées. La pression contractuelle des donneurs d'ordre est aujourd'hui la principale raison pour laquelle des TPE/PME doivent se conformer. Le quiz NIS2 vous donne une réponse claire en 5 minutes.

Nous cartographions vos actifs critiques (serveurs, applications, données, processus métier), identifions les menaces qui pèsent dessus (cybercriminalité, intrusion, fuite, indisponibilité), évaluons la probabilité et l'impact de chacune, puis déterminons un plan de traitement priorisé. La méthodologie s'inspire d'EBIOS RM allégée et des recommandations ANSSI. Pour une PME, l'analyse tient sur un tableau structuré de 15 à 30 risques principaux.

Pour l'authentification : MFA obligatoire sur les comptes administrateurs (clé physique FIDO2 type YubiKey idéalement), MFA généralisée pour les utilisateurs (application TOTP), MFA sur tous les accès distants et applications cloud. Pour le chiffrement : TLS 1.2 minimum (1.3 recommandé) sur les sites web exposés, chiffrement des disques (BitLocker, FileVault), chiffrement des bases de données contenant des données sensibles, sauvegardes chiffrées et immuables. Ces solutions de sécurité sont alignées sur les bonnes pratiques ANSSI et CNIL.

Le pré-audit identifie les écarts majeurs et donne une feuille de route. C'est le bon point d'entrée si vous ne savez pas par où commencer. L'audit de sécurité complet couvre les dix mesures de l'article 21 en détail, avec entretiens, tests de configuration, vérification des vulnérabilités et rapport opposable à un donneur d'ordre, à un assureur cyber ou à un responsable sécurité interne. Il convient quand vous devez prouver votre conformité.

Oui. Notre méthodologie est alignée sur la famille ISO 27000 — en particulier ISO 27001 (système de management de la sécurité de l'information) et ISO 27002 (recueil de mesures de sécurité). Pour les structures qui visent une certification ISO 27001, notre audit constitue une excellente base de préparation. Les exigences NIS 2 et ISO 27001 se recoupent fortement (~80% des contrôles). Nous couvrons aussi l'articulation avec HDS, SecNumCloud et SOC 2 selon votre contexte.

Pour une PME de 10 à 50 personnes avec un niveau IT moyen, comptez entre 2 et 4 mois entre le pré-audit et la conformité opérationnelle. Les écarts les plus longs à combler sont généralement la documentation (politique de sécurité, plan de continuité), la mise en place du MFA, la journalisation des accès et le déploiement de solutions de sécurité durables (EDR, sauvegardes immuables, gestion des vulnérabilités).

Nos audits combinent revue de configuration en lecture (paramètres MFA, journalisation, durcissement, patch management), analyse de votre exposition externe (HTTPS, DNS, services exposés), revue des comptes à privilèges, et analyse des incidents de sécurité passés. Pour les structures qui le souhaitent, nous orientons vers des partenaires PASSI pour des tests d'intrusion approfondis (pentest), qui dépassent le périmètre d'un audit NIS2 standard.

La deadline française du 17 octobre 2026 marque la fin de la transposition opérationnelle. Les sanctions prévues vont jusqu'à 10 M€ ou 2% du CA mondial pour les entités essentielles, 7 M€ ou 1,4% pour les entités importantes. Plus immédiatement, vos donneurs d'ordre régulés peuvent suspendre les contrats de sous-traitance si vous ne pouvez pas prouver un niveau de sécurité numérique satisfaisant.

Non. Notre audit n'est pas un audit PASSI au sens ANSSI. Il est conçu pour les TPE/PME qui n'ont ni le budget (8-25 k€) ni l'obligation réglementaire d'aller chez un PASSI. Pour les entités essentielles très exposées, un audit qualifié reste recommandé. Nous pouvons vous orienter vers nos partenaires PASSI au besoin. Pour la majorité des PME, un audit de conformité standard est suffisant et exploitable.

Oui, dans certains cas. Le Diag Cybersécurité de BPI France subventionne jusqu'à 32% des prestations d'audit et de mise en conformité pour les PME éligibles. Nous vous aidons à monter le dossier. Compte tenu des délais d'instruction, nous recommandons de démarrer la démarche dès le début du pré-audit.

À l'issue de l'audit complet, vous disposez d'une matrice de conformité reprenant les dix mesures de l'article 21 NIS 2, d'un rapport détaillé, et le cas échéant d'une attestation. Ces documents sont conçus pour être joints aux questionnaires fournisseurs sécurité. Plusieurs de nos clients ont sécurisé des contrats grâce à ces livrables.

À distance, par défaut, ce qui nous permet de garder des tarifs accessibles. Tous les entretiens se font en visio, les tests techniques par accès distant sécurisé. Une visite sur site est possible en option pour les structures qui le souhaitent (frais de déplacement en sus, à partir de 350€).