Un MacBook oublié dans un TGV Paris-Lyon. Un smartphone pro tombé d'une poche lors d'un rendez-vous client. Ces scénarios arrivent chaque semaine dans les ETI françaises. Et depuis la transposition de NIS 2 en droit français, ce ne sont plus de simples incidents IT : ce sont des manquements potentiels à la conformité réglementaire.
Cet article vous explique ce qu'est NIS 2, si votre entreprise est concernée, et pourquoi les terminaux de vos collaborateurs sont au centre du sujet.
NIS 2 en trois minutes : d'où ça vient, qui est visé
NIS 2 (Network and Information Security, version 2) est une directive européenne entrée en vigueur en janvier 2023. La France l'a transposée via la loi de mars 2026, accompagnée d'un référentiel technique publié par l'ANSSI : le RECYF v2.5 (Référentiel Cyber France). Pensez au RECYF comme le mode d'emploi concret de NIS 2 pour les entreprises françaises.
Qui est visé ? Deux catégories :
- Les entités essentielles (EE) : énergie, transport, santé, eau, infrastructures numériques, administrations publiques. Les exigences sont maximales.
- Les entités importantes (EI) : industrie, agroalimentaire, services postaux, gestion des déchets, chimie, recherche, et bien d'autres. Les exigences sont adaptées mais réelles.
Si votre entreprise dépasse 50 salariés ou 10 millions d'euros de chiffre d'affaires dans l'un de ces secteurs, vous êtes probablement concerné. L'ANSSI estime que plus de 15 000 entités en France entrent dans le périmètre.
Le parallèle avec le RGPD est utile : au début, tout le monde pensait que ça ne les concernait pas. Puis les contrôles ont commencé. NIS 2 suit la même trajectoire, mais avec un focus sur la cybersécurité plutôt que sur les données personnelles.
Pourquoi l'endpoint est devenu le maillon central
Il y a dix ans, sécuriser une entreprise revenait à protéger un périmètre réseau. Un pare-feu, un proxy, un VPN : le « château fort » fonctionnait parce que tout le monde travaillait au bureau, sur du matériel fixe.
Ce modèle est mort.
Le télétravail généralisé, les politiques BYOD et la multiplication des appareils mobiles ont dissous le périmètre. Vos collaborateurs accèdent au SI depuis leur salon, un Starbucks ou un train. Leur smartphone contient des mails confidentiels, des accès VPN, parfois des documents stratégiques. Leur MacBook se connecte à des réseaux Wi-Fi inconnus.
C'est pour ça que le RECYF consacre 8 de ses 20 objectifs de sécurité aux terminaux. Patching, chiffrement, accès distants, gestion des identités, administration, sauvegarde, détection d'incidents, durcissement de configuration : tout passe par l'appareil. Les 12 objectifs restants sont organisationnels (gouvernance, RH, audit, gestion de crise). Importants, mais pas du ressort de votre console MDM.
NIS 2 n'est pas une punition
Un point que beaucoup d'articles sur le sujet oublient de mentionner : NIS 2 n'est pas conçu pour vous piéger. Le RECYF n'est pas une liste de sanctions déguisée. C'est un cadre qui structure ce que vous faites probablement déjà en partie.
Si votre flotte mobile est gérée par un endpoint manager, vous avez déjà couvert certaines mesures sans le savoir : le chiffrement est activé par défaut sur iOS dès qu'un code de verrouillage est défini. Android Enterprise isole les données pro des données perso. FileVault protège les Mac. Ce ne sont pas des fonctionnalités exotiques.
L'enjeu n'est pas de tout construire de zéro. C'est de formaliser ce qui existe, de combler les trous, et de pouvoir le prouver en cas de contrôle. Le RECYF vous donne la grille ; à vous de cocher les cases.
Cinq questions à vous poser cette semaine
Pas besoin de lire les 47 pages du RECYF pour démarrer. Cinq questions suffisent pour évaluer où vous en êtes :
- Êtes-vous EI ou EE ? La réponse détermine le niveau d'exigence. Si vous ne savez pas, l'ANSSI a publié un outil d'auto-évaluation sur MonEspaceNIS2.
- Vos terminaux sont-ils tous inventoriés ? Combien d'appareils accèdent au SI ? Qui les utilise ? Si vous n'avez pas de réponse précise, c'est le premier chantier.
- Le chiffrement est-il actif partout ? Smartphones, portables, tablettes. Un appareil non chiffré perdu dans un train, c'est une fuite de données.
- Les mises à jour OS sont-elles forcées ? Le RECYF exige le patching « dans les délais recommandés par l'éditeur ». Si vos utilisateurs repoussent les mises à jour indéfiniment, vous avez un problème de conformité.
- Qui a les droits admin sur quoi ? La séparation des privilèges est l'un des 8 chantiers endpoint du RECYF. Si tout le monde est admin sur son poste, c'est un risque documenté.
Si vous avez répondu « je ne sais pas » à plus de deux questions, le sujet mérite votre attention avant la prochaine vague de contrôles.
Par où continuer
Cet article pose le cadre. Le suivant entre dans le détail : les 8 chantiers du RECYF qui touchent directement vos terminaux, expliqués sans jargon, avec une priorisation par vagues (urgent, structurant, consolidant). C'est le passage de « je comprends l'enjeu » à « je sais quoi faire ».
En attendant, un conseil : téléchargez le RECYF v2.5 sur le site de l'ANSSI et parcourez la table des matières. Rien que ça vous donnera une idée de l'ampleur du sujet. Spoiler : c'est plus accessible qu'il n'y paraît.
Cet article propose une lecture pédagogique du RECYF v2.5 (17/03/2026). Il ne se substitue pas à une analyse de conformité formelle ni au texte officiel publié par l'ANSSI.