La réglementation NIS2 s’impose aux industriels — et les délais sont comptés
Si vous dirigez ou gérez les systèmes d’information d’une PME ou ETI industrielle en France, la directive NIS2 vous concerne probablement déjà. Sa transposition nationale, le Référentiel Cyber France (ReCyF), publié en version 2.5 en mars 2026, fixe 20 objectifs de sécurité obligatoires pour les Entités Importantes (EI) et Entités Essentielles (EE). Si il est peu probable que l’ANSSI sanctionne les EI à court terme (notamment par manque de moyens humains), il n’est jamais trop tôt pour se préparer.
Gouvernance, gestion des risques, architecture des systèmes, continuité d’activité, réaction aux crises cyber… La liste est longue. Et pour une PME industrielle, elle est souvent redoutable : qui dans votre organisation est réellement en capacité de piloter ce chantier ?
Le piège de l’industrie manufacturière : l’IT ne suffit pas
C’est là que beaucoup d’entreprises industrielles se trouvent exposées. La conformité NIS2 ne porte pas uniquement sur vos systèmes bureautiques (messagerie, ERP, postes de travail). Elle s’étend à l’ensemble des systèmes d’information contribuant à vos activités — y compris vos environnements opérationnels : automates, SCADA, supervision, réseaux OT.
Or ces environnements ont des contraintes radicalement différentes de l’IT classique :
- Des équipements industriels souvent vieux de 10 à 20 ans, impossibles à patcher simplement
- Des protocoles propriétaires sans authentification native
- Une disponibilité opérationnelle non négociable : on ne peut pas « rebooter » une ligne de production comme un serveur bureautique
- Des prestataires et intégrateurs qui interconnectent directement vos réseaux
Un consultant IT généraliste, aussi compétent soit-il, n’a pas les clés pour traiter ces problématiques. C’est précisément pour cela qu’il existe un référentiel dédié à la cybersécurité industrielle : la norme ISA/IEC 62443.
ISA/IEC 62443 : le seul référentiel conçu pour votre réalité industrielle
La norme ISA/IEC 62443 est la référence mondiale pour la sécurité des systèmes d’automatisation et de contrôle industriels (IACS). Elle structure la démarche de sécurisation spécifiquement pour les environnements OT : évaluation des niveaux de sécurité, segmentation des zones industrielles, gestion des accès sur des équipements contraints, plan de continuité adapté aux lignes de production.
Je suis certifié PECB ISA/IEC 62443 Lead Implementer — une certification qui atteste d’une maîtrise complète de la mise en œuvre et du pilotage d’un programme de cybersécurité industrielle, couvrant l’évaluation des risques, la définition des politiques, la réponse aux incidents et la surveillance des environnements IACS.
Ce n’est pas une formation théorique. C’est une expertise opérationnelle que je mets aujourd’hui au service de clients industriels que j’accompagne.
Mon accompagnement : de l’audit à la conformité, sans vous noyer dans la technique
Je propose aux PME et ETI industrielles un parcours d’accompagnement structuré en trois temps pour répondre aux exigences du ReCyF / NIS2 :
1. Audit de maturité cyber (IT + OT)
État des lieux de votre posture de sécurité au regard des 20 objectifs du ReCyF. Identification des écarts prioritaires. Rapport clair et actionnable.
2. Feuille de route personnalisée
Priorisation des actions en fonction de votre secteur, de vos contraintes opérationnelles et de vos ressources. Pas de solution universelle : une trajectoire réaliste, adaptée à votre taille et à votre organisation.
3. Pilotage de la mise en conformité
Accompagnement dans la durée pour mettre en œuvre les mesures, coordonner les parties prenantes internes et externes, et vous préparer à répondre aux enjeux de conformité de vos grands donneurs d’ordre qui eut sont très probablement soumis à NIS2.
Vous êtes une PME ou ETI industrielle ? Parlons-en.
La conformité NIS2 n’est pas une option. Mais elle n’a pas à devenir un projet incontrôlable. Avec la bonne méthode et le bon expert, c’est un chantier maîtrisable — et une opportunité de renforcer durablement la résilience de vos opérations.
Échangeons ensemble, nous évaluerons en 30 minutes si votre entreprise est concernée, à quel niveau, et ce qu’il est raisonnable de faire dans votre situation.
Clément Donzel — Expert en cybersécurité IT et OT, certifié ISA/IEC 62443 Lead Implementer et ISO/IEC 27001 Lead Implementor
