NIS2 et la cybersécurité : ce que les PME qui font développer un SaaS doivent comprendre maintenant

Pendant longtemps, la cybersécurité réglementaire, c'était « pour les grands groupes ». Avec NIS2, ce n'est plus le cas. Cette directive européenne, transposée en France sous la supervision de l'ANSSI (l'agence nationale chargée de la sécurité des systèmes d'information), fait basculer des milliers de PME dans le périmètre des entités soumises à des obligations strictes. Et ça change beaucoup de choses quand on s'apprête à faire développer un SaaS ou une application métier. Dans cet article, on décrypte ce que NIS2 impose concrètement à une PME, pourquoi la conformité devient un argument commercial, et quels réflexes intégrer dès le cahier des charges pour ne pas se retrouver à tout refaire plus tard.

NIS2, en clair : qui est concerné et pourquoi ça vous regarde

NIS2 (« Network and Information Security 2 ») est une directive européenne qui élargit massivement la liste des entreprises devant atteindre un certain niveau de cybersécurité. Là où la première version visait surtout les très grosses structures, NIS2 inclut désormais :

• les entreprises de 50 salariés ou plus, ou qui dépassent 10 M€ de chiffre d'affaires, dans une vingtaine de secteurs (santé, énergie, transports, services numériques, agroalimentaire, gestion des déchets, fabricants, etc.) ;
• les prestataires numériques : hébergeurs, éditeurs SaaS, fournisseurs de services managés ;
• par effet domino, beaucoup de sous-traitants plus petits qui travaillent pour ces entités.

Concrètement, même une PME de 30 personnes peut se retrouver indirectement concernée parce qu'un de ses gros clients lui demande de prouver qu'elle respecte les bonnes pratiques. Selon Le Journal du Net, on parle de plusieurs milliers de PME françaises qui entrent ainsi « dans le radar de l'ANSSI ». Le chiffre exact varie selon les estimations, mais l'ordre de grandeur est clair : ça touche beaucoup plus de monde que NIS1.

Ce que NIS2 demande concrètement à votre futur SaaS ou appli métier

NIS2 ne dicte pas une liste de technos à utiliser. Elle fixe des objectifs de sécurité que votre produit et votre organisation doivent atteindre. Pour un porteur de projet qui fait développer un outil, ça se traduit par plusieurs chantiers à anticiper dès la conception :

• Gestion des risques : avoir identifié les scénarios de cyberattaque qui pourraient toucher votre produit (vol de données clients, indisponibilité, fraude).
• Sécurité de la chaîne d'approvisionnement : savoir quelles briques tierces (bibliothèques de code, services cloud, API) sont utilisées dans votre SaaS et quel est leur niveau de fiabilité.
• Gestion des incidents : pouvoir détecter une attaque, la contenir, et la notifier dans les 24 à 72 heures selon la gravité.
• Continuité d'activité : sauvegardes, plan de reprise, capacité à redémarrer après un incident.
• Contrôle d'accès renforcé : authentification forte (deux facteurs minimum), gestion fine de qui peut voir ou modifier quoi.
• Chiffrement des données sensibles, au stockage comme pendant les échanges.

Ce qui change pour votre projet : ces exigences coûtent beaucoup moins cher si elles sont intégrées dès le cahier des charges que si elles arrivent après coup. Reprendre une architecture pour y ajouter du chiffrement, de la traçabilité ou une authentification forte, c'est souvent 2 à 3 fois plus long que de le prévoir au départ.

La conformité comme avantage compétitif, pas comme corvée

Le réflexe classique face à une nouvelle réglementation, c'est de la voir comme une contrainte. NIS2 mérite une lecture différente. Quand vous vendez un SaaS ou une appli métier à une entreprise concernée par NIS2, votre client va vous demander des comptes. Pouvoir répondre rapidement, documents à l'appui, devient un argument de vente.

Concrètement, ça veut dire :

• Gagner des appels d'offres parce que vous documentez vos pratiques de sécurité quand vos concurrents bottent en touche.
• Rassurer les directions métier qui ont peur de signer avec un petit éditeur, en montrant une maturité supérieure à ce que la taille de votre structure laisse penser.
• Réduire les frictions commerciales : moins de questionnaires sécurité interminables à remplir, parce que vous avez déjà un dossier prêt.

L'IA ne change rien à cette logique : aucune automatisation, aucun assistant intelligent ne dispense de respecter la règle. Au contraire, plus vos produits intègrent de l'IA (et donc plus ils brassent de données), plus la rigueur réglementaire devient un différenciateur. La conformité n'est pas un coût mort, c'est un actif commercial.

L'identité sans mot de passe : un signal de ce qui s'en vient

Un sujet revient dans les publications récentes : la fin progressive du mot de passe au profit d'attributs électroniques certifiés et de mécanismes type passkeys (clés d'accès stockées de façon sécurisée sur votre appareil, sans saisie de mot de passe). Pourquoi en parler dans un article sur NIS2 ?

Parce que c'est exactement le genre d'évolution que les régulateurs poussent indirectement. NIS2 impose une authentification robuste. Les mots de passe classiques, même longs, restent le maillon faible : vol par phishing, réutilisation entre services, fuites de bases de données. Les passkeys et les identités numériques certifiées (portefeuilles d'identité européens, France Identité, etc.) répondent à ce problème.

Pour un porteur de projet, l'enjeu est simple : si vous concevez aujourd'hui un SaaS avec uniquement « login + mot de passe », vous prenez le risque de devoir tout refaire d'ici 2 à 3 ans. Demandez à votre prestataire de prévoir une architecture d'authentification ouverte, capable d'intégrer ces nouveaux standards quand votre marché les exigera.

Les 5 réflexes à intégrer dès maintenant dans votre cahier des charges

Si vous lancez un projet de développement dans les prochains mois, voici les points à mettre noir sur blanc avec votre prestataire :

1. Hébergement et localisation des données : où sont stockées les données ? Quelles certifications (ISO 27001, HDS pour la santé, SecNumCloud pour les sujets sensibles) ?
2. Authentification : prévoir dès le départ le double facteur et une architecture ouverte aux passkeys.
3. Journalisation (traces de qui fait quoi dans l'application) : indispensable pour détecter un incident et le notifier dans les délais NIS2.
4. Sauvegardes et plan de reprise : à quelle fréquence, testés comment, restaurables en combien de temps ?
5. Documentation de sécurité : votre prestataire doit vous remettre un dossier exploitable (architecture, choix techniques, dépendances tierces), pas seulement du code.

Ces cinq points ne transforment pas votre projet en forteresse, mais ils vous évitent les mauvaises surprises et alignent votre produit sur ce que NIS2 attendra.

En résumé

NIS2 fait entrer des milliers de PME françaises dans une logique de cybersécurité encadrée par l'ANSSI, et l'effet domino touche aussi leurs prestataires et fournisseurs. Pour un porteur de projet, la bonne nouvelle, c'est que la directive ne dicte pas de technos précises, mais des objectifs. La mauvaise, c'est que les ignorer au stade du cahier des charges coûte cher à corriger ensuite. Bien anticipée, la conformité devient un atout commercial concret face à des clients qui, eux, n'auront pas le choix de s'y plier.

// sources
NIS2 et les PME : Journal du Net · Transposition de NIS2 : Journal du Net · La conformité, avantage compétitif : Journal du Net · La fin du mot de passe : Journal du Net