Directive NIS2 : vers une cybersécurité intégrée, au croisement du physique et du numérique

La directive européenne NIS2 est officiellement entrée en vigueur en octobre 2024. Plus exigeante, plus structurante, elle impose un changement de paradigme dans la manière dont les organisations conçoivent leur sécurité. Objectif : renforcer la résilience collective face aux cybermenaces, en s’attaquant aux angles morts de la cybersécurité — notamment la sécurité physique.

Remplaçant la première directive NIS de 2016, NIS2 étend son champ d’application à un plus grand nombre d’organismes opérant dans des secteurs jugés sensibles : énergie, transport, finance, santé, infrastructures numériques ou administrations. Sont concernées les entités dites « essentielles » ou « importantes », y compris leurs fournisseurs, dès lors qu’elles dépassent certains seuils (parfois dès 10 M€ de CA annuel).

Les exigences sont plus fortes :

• Déclaration obligatoire des incidents sous 24 heures,
• Mise en œuvre de contrôles de sécurité renforcés,
• Sanctions en cas de non-conformité pouvant atteindre 10 % du chiffre d’affaires annuel.

Mais surtout, NIS2 rompt avec une approche prescriptive pour privilégier une évaluation dynamique des risques propres à chaque organisation.

D’après le rapport “Cost of a Data Breach 2020” publié par IBM et le Ponemon Institute, les compromissions liées à la sécurité physique sont responsables de 10 % des violations malveillantes et entraînent un coût moyen de 4,36 millions de dollars par incident. Cette statistique alerte sur un point souvent sous-estimé : la jonction entre sécurité physique et cybersécurité.

C’est précisément sur ce point que les exigences NIS2 sont explicites. La directive demande la mise en œuvre de solutions d’authentification forte ou continue, de communications chiffrées (voix, vidéo, texte), et de systèmes d’alerte d’urgence sécurisés.

Dans ce contexte, la convergence entre IT et sécurité physique devient une priorité stratégique. Selon le rapport HID/IFSEC 2024 :

• 48 % des entreprises associent désormais leur DSI aux projets de contrôle d’accès physique,
• 58 % collaborent pour définir des pratiques communes de sécurité,
• 55 % évaluent ensemble les technologies émergentes.

Un mouvement confirmé par Gartner : d’ici 2025, 41 % des entreprises européennes prévoient d’intégrer tout ou partie de leur sécurité physique et logique – contre 31 % en 2020.

La mise en conformité ne se fait pas en un jour. Une démarche évolutive, structurée autour de quatre piliers prioritaires, permet d’avancer de façon pragmatique et maîtrisée.

Sécurité des identifiants

Good : cartes physiques ou virtuelles chiffrées (AES 128)
Better : gestion centralisée des clés et des cycles de vie
Best : tests de pénétration indépendants et certifications

Infrastructure de lecture

Good : stockage sécurisé et lecture chiffrée
Better : conformité au standard IEC 60839-11-5:2020 / OSDPV2
Best : mises à jour via application sécurisée

Contrôleurs d’accès

Good : VLAN dédié, boîtiers sécurisés, firmware à jour
Better : filtrage IP (whitelisting)
Best : chiffrement complet des données (repos + transit)

Systèmes de contrôle d’accès

Good : hébergement sur réseau cloisonné
Better : gestion des vulnérabilités (CVE), SDLC suivi
Best : certificats TLS personnalisés et chiffrement de bout en bout

Au-delà des identifiants classiques, la biométrie offre une protection forte, notamment sur les points d’accès critiques : empreintes digitales avec détection de vie, reconnaissance faciale anti-spoofing, veines de la paume ou scan d’iris.

Combinée à des protocoles sécurisés (OSDP), la biométrie permet une gestion centralisée des droits d’accès, tout en renforçant la traçabilité. À condition bien sûr de respecter les règles strictes du RGPD, notamment sur le chiffrement et le stockage local des gabarits biométriques.

Le vrai défi ne réside pas seulement dans la conformité technique à NIS2, mais dans la capacité des organisations à aligner les exigences réglementaires avec les besoins métier, sans sacrifier la fluidité des accès ou la productivité des équipes. C’est particulièrement critique dans les environnements OT (postes partagés, accès en libre-service, etc.).

La directive NIS2 impose un tournant stratégique. Elle pousse les entreprises à considérer leur sécurité non plus comme une addition de dispositifs, mais comme un tout cohérent, intégrant l’IT, l’OT, l’humain et les processus.

• Cartographier les accès physiques aux systèmes critiques
• Évaluer l’efficacité des dispositifs d’authentification actuels
• Associer l’IT et la sécurité physique dans la gouvernance sécurité
• Intégrer les prestataires et sous-traitants critiques dans la chaîne de conformité
• Planifier un plan de montée en maturité basé sur les priorités NIS2

C’est à ces conditions que les organisations pourront construire des environnements réellement résilients, conformes, et mieux armés face aux menaces hybrides.