NIS2 : Pourquoi votre RSSI a besoin de votre directeur sûreté (et vice-versa)

30 août 2023, 9h30 : quand la sécurité physique décide du sort de la cybersécurité

Ce matin-là, un incendie se déclare dans un datacenter exploité par Proximus, géant belge des télécommunications. En quelques minutes, l'impensable se produit : les numéros d'urgence 112, 101 et 100 – ambulances, pompiers, police – deviennent injoignables à travers tout le pays. Il faudra près de 30 minutes pour rétablir ces services vitaux (Source : CIO Online, 2023).

Un incident de sécurité physique. Des conséquences cyber catastrophiques. Et une question brutale pour tous les responsables sécurité et cyber : votre organisation est-elle vraiment protégée quand 43% des entreprises françaises ont déjà subi au moins une cyberattaque réussie en 2024 (Jedha Bootcamp, Rapport 2025) ?

Pendant ce temps, à Bruxelles et dans les capitales européennes, une révolution réglementaire est en marche. Son nom : la directive NIS2. Et contrairement à ce que croient 90% des professionnels, elle ne parle pas que de cybersécurité.

NIS2 : comprendre la directive qui change tout

Qu'est-ce que NIS2 concrètement ?

NIS2 (Network and Information Security 2) est une directive européenne adoptée en décembre 2022 qui vise à harmoniser et renforcer la cybersécurité à travers l'Union européenne. Elle remplace la directive NIS1 de 2016, jugée trop limitée face à l'explosion des cybermenaces.

L'objectif de NIS2 est simple mais ambitieux : garantir qu'un niveau minimum de cybersécurité soit respecté par toutes les organisations qui gèrent des infrastructures ou des services critiques pour le fonctionnement de nos sociétés.

Concrètement, NIS2 impose trois types d'obligations aux organisations concernées :

1. Gestion des risques cyber Les entités doivent mettre en place des mesures techniques et organisationnelles proportionnées pour protéger leurs réseaux et systèmes d'information. Cela inclut :

• L'analyse régulière des risques

• La sécurisation des accès (physiques ET logiques)

• La protection contre les malwares et intrusions

• La mise en place de sauvegardes sécurisées

• La continuité d'activité et plans de reprise

• La sécurisation de la chaîne d'approvisionnement (prestataires, fournisseurs)

2. Notification des incidents En cas d'incident de sécurité significatif, l'organisation doit notifier l'autorité compétente (l'ANSSI en France) selon un calendrier strict :

• Alerte précoce : 24 heures maximum après la détection

• Notification détaillée : dans les 72 heures avec évaluation de l'impact

• Rapport final : sous 1 mois avec analyse complète et mesures correctives

3. Gouvernance et responsabilité La direction de l'entreprise devient directement responsable de la cybersécurité. Les dirigeants doivent :

• Approuver les mesures de gestion des risques

• Superviser leur mise en œuvre

• Suivre des formations régulières en cybersécurité

• Pouvoir être tenus personnellement responsables en cas de manquements graves

  
  

Ce qui change vraiment avec NIS2 :

• Champ d'application élargi : de 7 à 18 secteurs d'activité couverts

• Nombre d'entités multiplié : de quelques centaines à plusieurs milliers d'organisations concernées

• Sanctions renforcées : jusqu'à 10 millions d'euros ou 2% du CA mondial

• Approche holistique : intégration explicite de la sécurité physique aux côtés de la cybersécurité

  
  

Le calendrier en France

17 octobre 2024 : Date butoir européenne pour la transposition (non respectée par la France)

Mars 2025 : Vote du Sénat sur le projet de loi "Résilience" (CMS Law, mars 2025)

Fin 2025 - début 2026 : Adoption définitive prévue

2025-2027 : Période de mise en conformité progressive avec tolérance de 3 ans accordée par l'ANSSI

Important : Même si la loi n'est pas encore finalisée, les organisations doivent se préparer dès maintenant car certaines obligations (enregistrement, notification d'incidents) seront immédiatement applicables.

NIS2 en France : 10 000 organisations concernées, une dimension physique méconnue

Un changement d'échelle sans précédent

La directive NIS2 (Network and Information Security 2) s'apprête à bouleverser le paysage de la protection des infrastructures critiques en Europe. En France, la transposition est en cours d'examen à l'Assemblée nationale après le vote du Sénat en mars 2025 (CMS Law, mars 2025).

Les chiffres parlent d'eux-mêmes :

• Plus de 10 000 entités concernées en France, contre seulement 300 sous NIS1 (PWC et Orange Cyberdefense, 2024-2025)

• 18 secteurs d'activité désormais couverts au lieu de 7 (ITrust, décembre 2024)

• Sanctions massives : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial (Bouygues Telecom Pro, septembre 2025)

• Délai de notification : 24 heures maximum après la détection d'un incident significatif (Directive NIS2, Article 23)

Sont concernées toutes les organisations de plus de 50 salariés ou avec un chiffre d'affaires supérieur à 10 millions d'euros opérant dans les secteurs critiques : énergie, santé, transports, banques, administration publique, gestion de l'eau, datacenters, services numériques, industrie manufacturière, et bien d'autres (Sigma, octobre 2025).

L'article méconnu de NIS2 : la protection physique obligatoire

Voici ce que la plupart des analyses passent sous silence : NIS2 impose explicitement la sécurisation physique des infrastructures numériques.

L'article 21 de la directive exige la mise en place de "mesures techniques, opérationnelles et organisationnelles" incluant notamment (Directive NIS2, Article 21) :

• La sécurité physique et environnementale des locaux hébergeant les systèmes critiques

• Le contrôle d'accès physique aux zones sensibles

• La protection contre les intrusions physiques

• La surveillance continue des infrastructures critiques

Comme le souligne l'Alliance SPAC dans son guide de préparation à NIS2 : "Les organisations désignées devront mieux encadrer les menaces physiques avec un matériel certifié : clôture, portail, vidéosurveillance, alarme, système de contrôle d'accès" (Smart Buildings Alliance, juin 2024).

Cette exigence n'est pas anodine : elle marque la reconnaissance officielle que la cybersécurité ne peut plus être pensée indépendamment de la sécurité physique.

La convergence des menaces : quand le physique rencontre le cyber

Les attaques hybrides, nouvelle réalité du terrain

En 2024, une tendance inquiétante s'est confirmée : la convergence entre cyberattaques et intrusions physiques. Le rapport officiel 2025 sur la cybercriminalité en France alerte sur ce phénomène :

"Le rapport 2025 met en lumière un phénomène inquiétant : la convergence entre le monde numérique et les actions concrètes sur le terrain. [...] Il s'agit de coupures de câbles, de dégradations de datacenters ou d'interruptions volontaires de réseaux stratégiques. Ces actes visent à provoquer un impact réel et mesurable." (CIDFP, Rapport cybercriminalité 2025, juillet 2025)

Exemples concrets d'attaques hybrides recensées en 2024 :

1. L'intrusion physique comme vecteur cyber Des cybercriminels ont combiné une intrusion physique avec une attaque informatique, en connectant un implant sur le réseau interne afin d'y avoir accès de manière persistante (Proginov, Tendances cybersécurité 2024). Cette technique, appelée "physical-to-cyber attack", contourne la plupart des dispositifs de cybersécurité qui ne surveillent que les accès distants.

2. La compromission des équipements IoT En 2024, une attaque ciblant des caméras de surveillance connectées a permis à des hackers de compromettre le réseau principal d'un datacenter asiatique (Jerlaure, janvier 2025). Les équipements de sécurité physique deviennent ainsi des portes d'entrée pour les cyberattaques.

3. Les sabotages d'infrastructures critiques Le livre blanc cybersécurité d'un bâtiment tertiaire de la Smart Buildings Alliance liste les vecteurs d'attaques exploitant la convergence physique-cyber : vol de données via le système de vidéoprotection, ingérence dans la maquette numérique d'un bâtiment pour faciliter l'intrusion (Smart Buildings Alliance, juin 2024).

Les vulnérabilités créées par le cloisonnement

Chez CARINEL, nous constatons sur le terrain que le principal facteur de vulnérabilité n'est pas technique mais organisationnel : le cloisonnement entre équipes de sécurité physique, sûreté et cybersécurité.

Scénarios de failles observés :

Scénario 1 : La porte dérobée physique

• Un contrôle d'accès défaillant (badge non désactivé d'un ancien employé) permet une intrusion dans une salle serveur

• L'équipe sécurité physique n'a pas informé le RSSI du dysfonctionnement

• L'intrus connecte un dispositif USB malveillant sur un serveur critique

• Résultat : exfiltration de données pendant 3 mois avant détection

Scénario 2 : La maintenance non coordonnée

• Un prestataire de maintenance HVAC accède au datacenter pour réparer la climatisation

• L'équipe technique lui donne un accès réseau temporaire pour paramétrer les sondes IoT

• Cet accès n'est pas supervisé par le RSSI ni communiqué à l'équipe sûreté

• 6 mois plus tard, cet accès est exploité pour une attaque ransomware

Scénario 3 : L'équipement de sécurité compromis

• Le système de vidéosurveillance n'est pas inclus dans le périmètre de responsabilité du RSSI

• Les caméras fonctionnent avec des mots de passe par défaut jamais changés

• Un attaquant les compromet pour cartographier les zones sensibles et planifier son intrusion

• Résultat : vol de serveurs contenant des données sensibles

• 
  

Ces scénarios ne sont pas théoriques. En France, 86% des décideurs informatiques ont signalé que leur entreprise a été victime d'un ransomware en 2024, contre 53% en 2023 (Guardia Cybersecurity School, janvier 2025).

L'augmentation est phénoménale et s'explique en partie par l'exploitation de ces vulnérabilités à l'interface physique-cyber.

L'approche CARINEL : convergence sans confusion face à NIS2

Comprendre pour mieux converger

Notre conviction chez CARINEL : NIS2 ne doit pas être vue comme une contrainte réglementaire de plus, mais comme une opportunité de briser les silos qui affaiblissent la protection globale de votre organisation.

Comme nous l'expliquons dans notre guide "Sécurité vs Sûreté", la distinction reste essentielle :

• Sécurité (Safety) : protection contre les risques accidentels et environnementaux

• Sûreté (Security) : protection contre les actes malveillants intentionnels

• Cybersécurité : protection des systèmes d'information contre les menaces numériques

Mais ces trois domaines interagissent constamment. Un incendie dans un datacenter (sécurité) peut être accidentel ou criminel (sûreté) et avoir des conséquences cyber catastrophiques. Une cyberattaque (cybersécurité) peut nécessiter une intrusion physique préalable (sûreté).

Les cinq piliers de la convergence CARINEL pour NIS2

Pilier 1 : Gouvernance unifiée

Créer un Comité de Pilotage Convergence Sécurité-Sûreté-Cyber incluant :

• Direction générale (portage stratégique)

• Responsable sécurité physique (prévention accidents, conformité réglementaire)

• Responsable sûreté (protection contre malveillance physique)

• RSSI ou prestataire cybersécurité (cybersécurité et protection SI)

• Représentants opérationnels (remontées terrain)

Rôle CARINEL : Nous animons et facilitons ce comité, en tant qu'experts en sécurité physique/sûreté capables de créer les ponts avec les équipes cyber.

Objectif : éliminer les angles morts où personne n'assume la responsabilité.

Pilier 2 : Évaluation intégrée des risques (méthodologie Red Traffic Analyses)

Notre méthodologie propriétaire Red Traffic Analyses (RTA) évalue simultanément :

• Les vulnérabilités de sécurité physique exploitables par des malveillants

• Les menaces sûreté pouvant créer des risques cyber

• Les points de convergence où sécurité, sûreté et cyber se renforcent mutuellement

• Les effets dominos entre différents types d'incidents

Concrètement pour NIS2 :

• Cartographier tous les accès physiques aux zones hébergeant des systèmes critiques

• Identifier les équipements de sécurité physique connectés au réseau

• Évaluer la robustesse des procédures de gestion des prestataires et visiteurs

• Analyser la chaîne de responsabilité en cas d'incident hybride

  
  

Pilier 3 : Architecture de protection convergente (Security Circle Model)

Notre Security Circle Model (SCM) organise la protection selon trois cercles concentriques intégrant simultanément les enjeux physiques et cyber :

Cercle externe : Veille et dissuasion

• Monitoring des menaces cyber ET physiques de l'environnement

• Relations avec autorités (police, pompiers, ANSSI)

• Communication sur la posture de sécurité globale

Cercle intermédiaire : Détection et contrôle

• Systèmes de contrôle d'accès physique ET logique coordonnés

• Vidéosurveillance cyber-sécurisée (changement mots de passe par défaut, segmentation réseau)

• Détection d'intrusion physique ET cyber corrélées

Cercle interne : Protection rapprochée

• Sécurisation physique des salles serveurs (clôture, détection périmétrique)

• Durcissement cyber des systèmes critiques

• Procédures d'urgence unifiées (confinement, évacuation, isolement réseau)

  
  

Pilier 4 : Mesures techniques transversales

Pour répondre à NIS2, nous recommandons des solutions servant à la fois la sécurité physique et cyber :

📌 Contrôle d'accès biométrique avec logs centralisés

• Bénéfice Sécurité Physique : Maîtrise des entrées zones sensibles

• Bénéfice Cyber : Traçabilité complète, corrélation avec accès logiques

• Conformité NIS2 : Article 21 (contrôle accès)

📌 Vidéosurveillance segmentée sur VLAN dédié

• Bénéfice Sécurité Physique : Surveillance continue locaux

• Bénéfice Cyber : Protection contre compromission caméras

• Conformité NIS2 : Article 21 (sécurité physique)

📌 Système de géolocalisation personnel (datacenter)

• Bénéfice Sécurité Physique : Alerte agression, évacuation d'urgence

• Bénéfice Cyber : Détection présence anormale hors horaires

• Conformité NIS2 : Article 21 (détection incidents)

📌 Cloisonnement réseau équipements IoT

• Bénéfice Sécurité Physique : Protection incendie, climatisation

• Bénéfice Cyber : Limitation propagation attaque via IoT

• Conformité NIS2 : Article 21 (sécurité réseau)

📌 Procédure unifiée visiteurs/prestataires

• Bénéfice Sécurité Physique : Contrôle entrées physiques

• Bénéfice Cyber : Validation accès réseau temporaires

• Conformité NIS2 : Article 21 (gestion sous-traitants)

Pilier 5 : Culture de sécurité partagée

La conformité NIS2 ne se décrète pas, elle se construit. Formation transversale de tous les acteurs, avec CARINEL comme facilitateur de la convergence :

• Sensibiliser les équipes sécurité physique aux enjeux cyber (via nos formations ou nos partenaires)

• Former les équipes IT aux vulnérabilités physiques (notre expertise cœur)

• Créer des exercices de crise multi-scénarios (cyber + physique)

• Développer des réflexes de communication inter-équipes

  
  

Les erreurs à éviter dans votre mise en conformité NIS2

Erreur n°1 : Traiter NIS2 comme un projet purement IT

Symptôme : Le RSSI pilote seul la conformité NIS2 Conséquence : Les exigences de sécurité physique sont négligées Impact : Non-conformité partielle, vulnérabilités exploitables

Notre recommandation : Constituer dès maintenant une équipe projet mixte incluant sécurité, sûreté, cyber, juridique et métiers.

Erreur n°2 : Sous-estimer l'ampleur du chantier

Réalité terrain : Les entreprises victimes de ransomware mettent en moyenne 6,4 mois pour s'en remettre, avec des pertes pouvant atteindre 2,8% de leur chiffre d'affaires annuel (Guardia Cybersecurity School, janvier 2025).

Notre recommandation : Démarrer immédiatement avec :

1. Auto-diagnostic de maturité (êtes-vous concerné ?)

2. Gap analysis (quels écarts avec NIS2 ?)

3. Roadmap priorisée (quick wins + chantiers structurants)

Erreur n°3 : Négliger les prestataires et la chaîne d'approvisionnement

NIS2 impose la maîtrise des risques de la supply chain. Cela inclut :

• Les prestataires de maintenance des systèmes de sécurité physique

• Les installateurs d'équipements connectés

• Les fournisseurs de services cloud et datacenter

• Les sous-traitants ayant accès à vos locaux sensibles

Cas concret : Selon Gartner, 45% des entreprises dans le monde auront subi une attaque sur leur chaîne d'approvisionnement logicielle d'ici fin 2025, soit une augmentation de 300% par rapport à 2021 (Oodrive, juin 2025).

Notre recommandation : Cartographier exhaustivement tous les prestataires ayant un accès physique OU logique à vos infrastructures critiques, et exiger leur conformité NIS2.

Erreur n°4 : Attendre la transposition définitive pour agir

Piège : "On verra quand la loi sera votée"

Réalité : L'ANSSI a indiqué un délai de conformité de 3 ans mais avec des obligations immédiates d'enregistrement et de notification d'incidents (Lockself, juillet 2025).

Notre recommandation : Anticiper en mettant en œuvre dès maintenant les mesures de base :

• Inventaire des actifs critiques

• Cartographie des accès physiques et logiques

• Mise à jour des procédures de gestion d'incidents

• Revue de la cybersécurité des équipements de sécurité physique

  
  

Vulnérabilités convergence : les points de vigilance par secteur

Méthodologie d'évaluation CARINEL

Pour évaluer votre niveau de maturité face à NIS2, nous recommandons une approche structurée en trois phases, en collaboration avec nos partenaires experts en cybersécurité :

Phase 1 : Diagnostic de l'existant

• Cartographie exhaustive des systèmes critiques (IT, OT, IoT)

• Inventaire des équipements de sécurité physique connectés

• Analyse de l'organisation : qui fait quoi entre sécurité, sûreté et cyber ?

• Identification des zones grises de responsabilité

Phase 2 : Identification des vulnérabilités convergence

• Équipements de sécurité physique mal sécurisés (mots de passe par défaut, firmware obsolète)

• Gestion défaillante des prestataires (accès physiques et logiques non maîtrisés)

• Absence de corrélation entre alertes physiques et cyber

• Procédures d'incident cloisonnées par domaine

Phase 3 : Roadmap de convergence

• Quick wins techniques (3 mois)

• Architecture convergente (6-12 mois)

• Culture et gouvernance (12-24 mois)

  
  

Points de vigilance sectoriels critiques

Secteur Santé (hôpitaux, cliniques, laboratoires)

Enjeux spécifiques NIS2 :

• Protection des données de santé sensibles

• Continuité des soins en cas d'incident

• Multiplication des équipements médicaux connectés (IoT)

Vulnérabilités physique-cyber typiques :

• ❌ Équipements médicaux connectés sans segmentation réseau

• ❌ Badges d'accès actifs d'anciens personnels ou intérimaires

• ❌ Caméras de vidéoprotection non sécurisées dans zones sensibles

• ❌ Accès prestataires de maintenance biomédicale non tracés

Recommandations CARINEL :

• Segmenter tous les équipements médicaux IoT sur VLAN dédié

• Mettre en place procédure stricte de désactivation des badges (départ, fin de mission)

• Sécuriser la vidéoprotection (changement mots de passe, VLAN dédié, chiffrement)

• Contractualiser les exigences NIS2 avec tous les prestataires biomédicaux

  
  

Secteur Industrie & Sites Seveso

Enjeux spécifiques NIS2 :

• Protection des systèmes de contrôle-commande (SCADA, automates)

• Prévention des accidents majeurs (directive Seveso)

• Sécurisation de la supply chain complexe

  
  

Vulnérabilités physique-cyber typiques :

• ❌ Systèmes SCADA accessibles depuis le réseau de gestion

• ❌ Capteurs IoT (température, pression) sans authentification

• ❌ Accès physiques maintenance externe non corrélés avec accès réseau

• ❌ Cloisonnement insuffisant entre IT et OT (Operational Technology)

Recommandations CARINEL :

• Micro-segmentation stricte entre réseaux IT, OT et IoT

• Authentification forte (biométrie) pour accès zones critiques de production

• Traçabilité complète des interventions prestataires (physique + réseau)

• Exercices de crise scénarios hybrides (cyber + accident industriel)

  
  

Secteur Financier (banques, assurances, fintech)

Enjeux spécifiques NIS2 :

• Protection des données financières sensibles

• Conformité croisée (NIS2 + DORA + RGPD)

• Sécurisation des agences et centres de données

Vulnérabilités physique-cyber typiques :

• ❌ Systèmes de vidéosurveillance agences connectés au réseau métier

• ❌ Contrôles d'accès physiques non intégrés à la gestion des identités (IAM)

• ❌ Datacenters avec procédures sécurité incendie déconnectées du PCA cyber

• ❌ Prestataires de sécurité physique sans clause de confidentialité cyber

Recommandations CARINEL :

• Intégrer contrôle d'accès physique et IAM (Identity Access Management)

• Corréler logs d'accès physique et connexions VPN/systèmes critiques

• Tester régulièrement les scénarios de bascule datacenter (cyber + physique)

• Auditer la cyber-hygiène des prestataires de sécurité physique

  
  

Secteur Éducation & Recherche (universités, organismes de recherche)

Enjeux spécifiques NIS2 :

• Protection de la recherche sensible

• Accueil de nombreux visiteurs/étudiants/chercheurs temporaires

• Multiplicité des sites et équipements distribués

Vulnérabilités physique-cyber typiques :

• ❌ Accès WiFi invité mal segmenté du réseau de recherche

• ❌ Salles serveurs accessibles avec clés physiques non tracées

• ❌ Équipements de recherche coûteux connectés sans supervision cyber

• ❌ Gestion des accès chercheurs visiteurs non formalisée

Recommandations CARINEL :

• Segmentation stricte réseau invités / réseau recherche / réseau administratif

• Contrôle d'accès biométrique ou à badge tracé pour salles techniques

• Inventaire et sécurisation de tous les équipements de laboratoire connectés

• Processus formalisé d'accueil chercheurs externes (charte, durée limitée, supervision)

  
  

Secteur Transport (aéroports, gares, logistique)

Enjeux spécifiques NIS2 :

• Sécurité des voyageurs et continuité opérationnelle

• Systèmes de gestion de trafic et signalisation critiques

• Flux importants de personnes et marchandises

Vulnérabilités physique-cyber typiques :

• ❌ Systèmes de signalisation et affichage connectés sans protection

• ❌ Caméras de surveillance périmètre sur réseau non segmenté

• ❌ Accès zones techniques avec badges de prestataires jamais désactivés

• ❌ Systèmes de gestion de parking/billetterie avec failles exploitables

Recommandations CARINEL :

• Audit complet cybersécurité de tous les systèmes d'affichage et signalisation

• Architecture réseau en zones (publique, restreinte, critique) avec firewalls

• Procédure automatisée de désactivation badges fin de contrat prestataire

• Tests de pénétration incluant dimension physique (tailgating, badge cloning)

  
  

Les 5 vulnérabilités convergence les plus fréquentes (tous secteurs)

D'après notre expérience terrain, voici les cinq vulnérabilités à l'interface physique-cyber que nous retrouvons le plus fréquemment :

1. Équipements de sécurité physique non cyber-sécurisés (85% des organisations)

• Caméras IP, interphones, contrôles d'accès avec mots de passe par défaut

• Firmware jamais mis à jour, parfois obsolète depuis plusieurs années

• Connexion directe au réseau de production sans segmentation

2. Gestion défaillante des prestataires (78% des organisations)

• Badges d'accès physique actifs après fin de contrat

• Accès réseau temporaires non révoqués ou non limités dans le temps

• Absence de clause contractuelle sur les exigences cyber des prestataires

• Pas de corrélation entre base RH/achats et gestion des accès

3. Absence de corrélation alertes physiques-cyber (92% des organisations)

• Systèmes de détection intrusion physique indépendants du SOC/CERT

• Logs d'accès physique non centralisés ni corrélés avec accès logiques

• Alertes vidéosurveillance non intégrées à la supervision cyber

• Impossibilité de reconstituer un incident hybride a posteriori

4. Cloisonnement organisationnel entre équipes (89% des organisations)

• Responsable sécurité physique et RSSI qui ne se parlent jamais

• Budgets séparés empêchant les investissements mutualisés

• Procédures d'urgence cloisonnées (évacuation vs. isolement réseau)

• Pas de comité transverse sécurité-sûreté-cyber

5. IoT industriel et bâtiment non maîtrisé (71% des organisations)

• Capteurs de climatisation, éclairage, énergie connectés sans supervision

• Systèmes de gestion technique de bâtiment (GTB) accessibles depuis Internet

• Absence d'inventaire exhaustif de tous les objets connectés

• Pas de politique de sécurité spécifique pour l'IoT

  
  

Priorités d'actions selon votre secteur

🏥 SECTEUR SANTÉ

• Priorité 1 : Sécuriser équipements médicaux IoT

• Priorité 2 : Gérer prestataires biomédicaux

• Priorité 3 : Former personnel aux risques hybrides

🏭 SECTEUR INDUSTRIE

• Priorité 1 : Cloisonner IT/OT/IoT

• Priorité 2 : Sécuriser accès zones ATEX

• Priorité 3 : Tester scénarios crise hybrides

🏦 SECTEUR FINANCE

• Priorité 1 : Intégrer contrôle accès physique/IAM

• Priorité 2 : Auditer datacenters (physique+cyber)

• Priorité 3 : Contractualiser prestataires sécurité

🎓 SECTEUR ÉDUCATION

• Priorité 1 : Segmenter réseaux invités/recherche

• Priorité 2 : Tracer accès salles serveurs

• Priorité 3 : Sécuriser équipements labo

🚆 SECTEUR TRANSPORT

• Priorité 1 : Protéger systèmes signalisation

• Priorité 2 : Segmenter zones (publique/critique)

• Priorité 3 : Automatiser gestion badges prestataires

  
  

Les 10 actions prioritaires pour démarrer votre convergence NIS2

Horizon 1 mois :

1. Auto-diagnostic : Utilisez le simulateur ANSSI (MonEspaceNIS2) pour confirmer si vous êtes concerné

2. Audit flash physique-cyber : Listez tous les équipements de sécurité physique connectés au réseau (caméras, contrôle d'accès, capteurs IoT, badges RFID)

3. Cartographie des responsabilités : Qui fait quoi entre sécurité, sûreté et cyber ? Identifiez les zones grises

Horizon 3 mois :

4. Comité de pilotage convergence : Première réunion avec agenda minimal : périmètre NIS2, gap analysis initiale, quick wins identifiés. CARINEL peut animer ce comité et faciliter le dialogue entre vos équipes sécurité physique et cyber.

5. Sécurisation équipements IoT : Changer TOUS les mots de passe par défaut, segmenter sur VLAN dédié, mettre à jour firmware

6. Procédure visiteurs/prestataires : Validation systématique double (physique + IT) pour tout accès à zone sensible

Horizon 6 mois :

7. Red Traffic Analyses : Audit convergence complet avec méthodologie CARINEL (vulnérabilités croisées physique-cyber), en coordination avec vos experts cyber ou nos partenaires

8. Formation croisée : Premier module de sensibilisation mutuelle équipes sécurité/sûreté/cyber. CARINEL peut concevoir et animer ces formations.

9. Exercice de crise hybride : Simulation scénario "intrusion physique + cyberattaque" pour tester coordination

Horizon 12 mois :

10. Roadmap 3 ans : Plan de convergence structuré aligné sur NIS2, budgets pluriannuels, indicateurs de performance unifiés

    
    

Conclusion : de la contrainte à l'opportunité stratégique

NIS2, révélateur d'une transformation nécessaire

La directive NIS2 ne fait que formaliser une réalité que nous observons depuis des années : les menaces ne connaissent pas les organigrammes.

Les cybercriminels n'hésitent plus à combiner intrusions physiques et attaques numériques. Les menaces hybrides incluent désormais des coupures de câbles, dégradations de datacenters et interruptions volontaires de réseaux stratégiques, souvent coordonnées avec des cyberattaques (CIDFP, Rapport 2025). Les vulnérabilités naissent systématiquement aux interfaces entre sécurité physique, sûreté et cybersécurité.

NIS2 n'est pas une contrainte de plus. C'est le signal que les régulateurs européens ont compris cette réalité. C'est une opportunité de briser enfin les silos qui affaiblissent votre protection globale.

L'avantage compétitif de la convergence

Les organisations qui anticipent cette transformation en retirent des bénéfices concrets :

Optimisation budgétaire

• Mutualisation des investissements sécurité-sûreté-cyber

• Élimination des redondances (systèmes séparés qui font la même chose)

• Meilleure négociation avec les prestataires (périmètre global)

Résilience renforcée

• Détection plus rapide des incidents hybrides (corrélation des alertes)

• Réponse plus coordonnée aux crises multi-facettes

• Réduction du temps de récupération (procédures unifiées)

Conformité facilitée

• Une gouvernance unifiée simplifie le pilotage NIS2, mais aussi DORA, ISO 27001, etc.

• Moins de risque de zones grises où personne n'est responsable

• Documentation et traçabilité améliorées pour les audits

Différenciation commerciale

• Dans les appels d'offres, une posture de sécurité globale mature fait la différence

• Rassure clients et partenaires sur votre capacité de résilience

• Valorise votre organisation comme acteur responsable

  
  

Notre conviction chez CARINEL

La technologie seule ne résoudra jamais les défis de NIS2.

Vous pouvez acheter les meilleures caméras IP, les firewalls les plus performants, les contrôles d'accès biométriques les plus sophistiqués. Mais si vos équipes travaillent en silos, si le responsable sécurité physique ne parle jamais au RSSI, si vos procédures d'urgence sont cloisonnées par domaine... vous resterez vulnérable.

Ce qui fait la différence, c'est l'organisation, la gouvernance, la culture. C'est de créer les conditions pour que sécurité physique, sûreté et cybersécurité (avec vos partenaires experts) travaillent ensemble au service d'un objectif commun : la protection globale de votre organisation.

C'est exactement ce que nos méthodologies Red Traffic Analyses (RTA) et Security Circle Model (SCM) permettent de construire. En tant qu'experts en sécurité physique et sûreté, nous créons les ponts et facilitons le dialogue avec vos équipes cyber ou vos prestataires cybersécurité.

Le bon moment pour agir, c'est maintenant

Avec la transposition de NIS2 en cours et une application effective prévue pour 2026, vous avez une fenêtre d'opportunité pour anticiper plutôt que subir.

Les organisations qui attendent la publication des décrets d'application pour démarrer leur mise en conformité se retrouveront sous pression, avec :

• Des délais courts pour tout mettre en place

• Une concurrence forte pour recruter ou faire appel aux bons prestataires

• Un risque d'être pris de court lors des premiers audits ANSSI

À l'inverse, celles qui agissent dès 2025 :

• Étalent leurs investissements dans le temps

• Prennent le temps de faire les choses correctement

• Montent en maturité progressivement

• Sont prêtes le jour J avec une longueur d'avance

La question n'est plus "faut-il se préparer à NIS2 ?"La question est : "comment transformer cette obligation en avantage stratégique ?"

"Au-delà de la technologie, la sûreté est un enjeu humain. C'est par l'information, la formation, la définition des rôles et des responsabilités de chacun que nous créons une culture positive de sécurité au sein des organisations."

Passez à l'action : votre diagnostic convergence NIS2

CARINEL vous propose une démarche progressive en 3 étapes :

Étape 1 : Auto-évaluation guidée (À distance, 30 min)

• Vérification de votre assujettissement à NIS2

• Identification de votre catégorie (Entité Essentielle ou Importante)

• Questionnaire de pré-diagnostic sur vos pratiques actuelles

• Première identification des enjeux de convergence

Étape 2 : Audit convergence (Sur site, 1 à 2 jours selon taille)

• Évaluation approfondie des vulnérabilités à l'interface physique-cyber

• Identification des 5 risques critiques immédiats selon votre secteur

• Diagnostic de maturité organisationnelle (gouvernance, culture, procédures)

• Liste priorisée des actions correctives

• Note : Pour la partie cybersécurité approfondie, nous collaborons avec nos partenaires experts cyber

Étape 3 : Roadmap stratégique (1/2 journée de restitution)

• Présentation des résultats d'audit en Comité de Direction

• Plan d'actions structuré sur 6-12-24 mois

• Budget prévisionnel par phase (quick wins, architecture, culture)

• Estimation du ROI et des risques évités

Nos accompagnements sur-mesure :

• Mise en conformité NIS2 - Volet sécurité physique et convergence

• Audit et sécurisation de tous les équipements de sécurité physique connectés

• Animation du comité de pilotage convergence

• Facilitation du dialogue entre vos équipes sécurité physique et cyber

• Coordination avec vos équipes IT ou nos partenaires cybersécurité

• Formation des équipes

• Sensibilisation dirigeants aux enjeux NIS2 et convergence

• Formation croisée équipes sécurité physique/sûreté pour comprendre les enjeux cyber

• Ateliers pratiques sur scénarios hybrides physique-cyber

• Exercices de crise convergence

• Conception de scénarios hybrides adaptés à votre secteur

• Animation d'exercices grandeur nature (intrusion + cyber)

• Débriefing et plan d'amélioration continue

• Méthodologies propriétaires CARINEL

• Red Traffic Analyses (RTA) : Évaluation des vulnérabilités convergence

• Security Circle Model (SCM) : Architecture de protection intégrée

• Formation à l'utilisation de ces outils pour autonomisation

  
  

Pourquoi choisir CARINEL pour votre convergence NIS2 ?

Notre différence : l'expertise sécurité physique et sûreté

CARINEL est expert en sécurité physique et sûreté, notre cœur de métier depuis notre création. Nous ne vendons pas de technologies, nous ne sommes affiliés à aucun fabricant d'équipements. Notre valeur ajoutée est purement méthodologique et organisationnelle.

Ce que nous apportons :

• ✅ Expertise sécurité physique/sûreté : C'est notre ADN, notre cœur de métier historique

• ✅ Facilitation de la convergence : Nous créons les ponts entre vos équipes sécurité, sûreté et cyber (en partenariat avec des experts cyber)

• ✅ Méthodologies éprouvées : Red Traffic Analyses (RTA) et Security Circle Model (SCM) développées sur le terrain

• ✅ Approche pragmatique : Nous priorisons les quick wins et l'acceptabilité opérationnelle

• ✅ Indépendance totale : Nos recommandations sont uniquement guidées par vos besoins

Notre positionnement unique sur NIS2

90% des cabinets traitent NIS2 sous l'angle cybersécurité uniquement. Résultat : la dimension sécurité physique obligatoire est négligée, créant des vulnérabilités que les audits ANSSI détecteront.

À l'inverse, les cabinets de cybersécurité maîtrisent le cyber mais ignorent souvent les enjeux de sécurité physique et sûreté.

CARINEL apporte ce qui manque aux deux approches :

• Notre expertise approfondie en sécurité physique et sûreté (contrôle d'accès, vidéoprotection, protection périmétrique, gestion des flux)

• Notre capacité à identifier les vulnérabilités convergence que ni les experts cyber ni les responsables sécurité ne voient seuls

• Notre réseau de partenaires experts en cybersécurité avec qui nous collaborons pour une approche globale

• Nos méthodologies de convergence qui créent enfin le dialogue entre sécurité physique et cyber

Le résultat : Nous intervenons comme facilitateur et coordonnateur de votre mise en conformité NIS2, en assurant que la dimension sécurité physique soit traitée avec le même professionnalisme que la dimension cyber, et surtout que les deux convergent efficacement.

Contactez nos experts

📞 Échange téléphonique découverte (30 min) : - Prenez rendez-vous pour un premier diagnostic téléphonique gratuit au 01 89 71 59 06

📧 Contact expert NIS2 : Envoyez-nous votre contexte au info@carinel.com ou https://www.carinel.com/contact, - nous vous rappelons sous 48h.

CARINEL - Cabinet de conseil en sécurité physique et sûretéOrganisme de formation certifié QUALIOPIExpert reconnu en convergence sécurité-sûreté-cybersécurité

Nos domaines d'intervention :

• Accompagnement conformité NIS2, DORA, RCE

• Audit convergence sécurité physique - cybersécurité

• Méthodologie Red Traffic Analyses (RTA) et Security Circle Model (SCM)

• Formation des équipes sécurité, sûreté et IT

• Exercices de crise multi-scénarios

Sources et références documentaires

Cet article s'appuie sur les sources officielles et rapports d'expertise suivants :

Directive NIS2 et documentation officielle :

• Directive européenne NIS2 (2022/2555), Articles 21 et 23

• ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), Plateforme MonEspaceNIS2

• Projet de loi "Résilience" relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, France, 2024-2025

Cabinets de conseil et analyses sectorielles :

• PWC France, "Directive NIS 2 : un nouveau cadre pour renforcer la cybersécurité et la résilience à l'échelle de l'Union Européenne", 2024

• Orange Cyberdefense, "Tout sur NIS2 en 2024", 2024-2025

• CMS Law, "Cybersécurité : anticiper la transposition de la directive NIS 2", mars 2025

• ITrust, "Directive NIS2 : Tout ce que vous devez savoir", décembre 2024

• Lockself, "NIS2, DORA, CRA : Guide des nouvelles réglementations cyber 2024-25", juillet 2025

Rapports sur les cybermenaces :

• Jedha Bootcamp, "Les cyberattaques en France - Rapport 2025", mise à jour juin 2024

• CIDFP, "Cybercriminalité : le rapport officiel 2025 dévoilé", juillet 2025

• Guardia Cybersecurity School, "Cybersécurité : les perspectives pour 2025", janvier 2025

• Oodrive, "Cyberattaques 2025 : les 10 menaces clés à surveiller" (données Gartner), juin 2025

Documentation sectorielle :

• Smart Buildings Alliance, "Cybersécurité : un guide pour se préparer à la directive NIS 2" et "Livre blanc cybersécurité d'un bâtiment tertiaire", juin 2024

• Proginov, "Chiffres et tendances de la cybersécurité en 2024"

• Jerlaure, "Datacenters et cybersécurité : Les menaces à anticiper en 2025", janvier 2025

Médias spécialisés :

• CIO Online, "Pannes, catastrophes et ransomwares : pourquoi les RSSI doivent faire face à tous les scénarios" (référence incendie datacenter Proximus, août 2023)

• Bouygues Telecom Pro, "Directive NIS 2 : la nouvelle donne européenne pour la cybersécurité des entreprises", septembre 2025

• Sigma, "Cybersécurité : comprendre la directive NIS2 en France", octobre 2025

Note méthodologique : Toutes les données chiffrées mentionnées dans cet article proviennent de sources publiques et vérifiables. Les analyses et recommandations reflètent l'expertise CARINEL en matière de sécurité physique, sûreté et méthodologies de convergence.

Cet article a été rédigé par les experts CARINEL sur la base de la documentation officielle de la directive NIS2, des rapports de l'ANSSI, et de notre expérience terrain en accompagnement d'organisations vers la convergence sécurité-sûreté-cybersécurité.