La directive européenne NIS2 redéfinit les règles du jeu en matière de cybersécurité pour des milliers d’organisations. Bien plus qu’un impératif réglementaire, elle impose une refonte globale de la sécurité des accès, des identités et des systèmes. Explications.
Par Steven Commander, Directeur Consultants et Régulations HID – ASSA ABLOY
La directive européenne NIS2 est officiellement entrée en vigueur en octobre 2024. Plus exigeante, plus structurante, elle impose un changement de paradigme dans la manière dont les organisations conçoivent leur sécurité. Objectif : renforcer la résilience collective face aux cybermenaces, en s’attaquant aux angles morts de la cybersécurité — notamment la sécurité physique.
Un cadre plus strict, pour un périmètre élargi
Remplaçant la première directive NIS de 2016, NIS2 étend son champ d’application à un plus grand nombre d’organismes opérant dans des secteurs jugés sensibles : énergie, transport, finance, santé, infrastructures numériques ou administrations. Sont concernées les entités dites « essentielles » ou « importantes », y compris leurs fournisseurs, dès lors qu’elles dépassent certains seuils (parfois dès 10 M€ de CA annuel).
Les exigences sont plus fortes :
- Déclaration obligatoire des incidents sous 24 heures,
- Mise en œuvre de contrôles de sécurité renforcés,
- Sanctions en cas de non-conformité pouvant atteindre 10 % du chiffre d’affaires annuel.
Mais surtout, NIS2 rompt avec une approche prescriptive pour privilégier une évaluation dynamique des risques propres à chaque organisation.
« La sécurité ne peut plus être segmentée. La directive NIS2 est une opportunité pour revoir l’architecture globale d’accès, en s’appuyant sur des technologies interopérables et éprouvées », souligne Steven Commander, expert PACS chez HID.
Le maillon faible ? Le contrôle d’accès
D’après le rapport “Cost of a Data Breach 2020” publié par IBM et le Ponemon Institute, les compromissions liées à la sécurité physique sont responsables de 10 % des violations malveillantes et entraînent un coût moyen de 4,36 millions de dollars par incident. Cette statistique alerte sur un point souvent sous-estimé : la jonction entre sécurité physique et cybersécurité.
C’est précisément sur ce point que les exigences NIS2 sont explicites. La directive demande la mise en œuvre de solutions d’authentification forte ou continue, de communications chiffrées (voix, vidéo, texte), et de systèmes d’alerte d’urgence sécurisés.
Dans ce contexte, la convergence entre IT et sécurité physique devient une priorité stratégique. Selon le rapport HID/IFSEC 2024 :
- 48 % des entreprises associent désormais leur DSI aux projets de contrôle d’accès physique,
- 58 % collaborent pour définir des pratiques communes de sécurité,
- 55 % évaluent ensemble les technologies émergentes.
Un mouvement confirmé par Gartner : d’ici 2025, 41 % des entreprises européennes prévoient d’intégrer tout ou partie de leur sécurité physique et logique – contre 31 % en 2020.
Une approche « Good / Better / Best » pour avancer concrètement
La mise en conformité ne se fait pas en un jour. Une démarche évolutive, structurée autour de quatre piliers prioritaires, permet d’avancer de façon pragmatique et maîtrisée.
Sécurité des identifiants
- Good : cartes physiques ou virtuelles chiffrées (AES 128)
- Better : gestion centralisée des clés et des cycles de vie
- Best : tests de pénétration indépendants et certifications
Infrastructure de lecture
- Good : stockage sécurisé et lecture chiffrée
- Better : conformité au standard IEC 60839-11-5:2020 / OSDPV2
- Best : mises à jour via application sécurisée
Contrôleurs d’accès
- Good : VLAN dédié, boîtiers sécurisés, firmware à jour
- Better : filtrage IP (whitelisting)
- Best : chiffrement complet des données (repos + transit)
Systèmes de contrôle d’accès
- Good : hébergement sur réseau cloisonné
- Better : gestion des vulnérabilités (CVE), SDLC suivi
- Best : certificats TLS personnalisés et chiffrement de bout en bout
Biométrie, MFA, chiffrement : les piliers de la résilience
Au-delà des identifiants classiques, la biométrie offre une protection forte, notamment sur les points d’accès critiques : empreintes digitales avec détection de vie, reconnaissance faciale anti-spoofing, veines de la paume ou scan d’iris.
Combinée à des protocoles sécurisés (OSDP), la biométrie permet une gestion centralisée des droits d’accès, tout en renforçant la traçabilité. À condition bien sûr de respecter les règles strictes du RGPD, notamment sur le chiffrement et le stockage local des gabarits biométriques.
L’enjeu : aligner sécurité, conformité et expérience utilisateur
Le vrai défi ne réside pas seulement dans la conformité technique à NIS2, mais dans la capacité des organisations à aligner les exigences réglementaires avec les besoins métier, sans sacrifier la fluidité des accès ou la productivité des équipes. C’est particulièrement critique dans les environnements OT (postes partagés, accès en libre-service, etc.).
NIS2, levier stratégique pour la résilience
La directive NIS2 impose un tournant stratégique. Elle pousse les entreprises à considérer leur sécurité non plus comme une addition de dispositifs, mais comme un tout cohérent, intégrant l’IT, l’OT, l’humain et les processus.
- Cartographier les accès physiques aux systèmes critiques
- Évaluer l’efficacité des dispositifs d’authentification actuels
- Associer l’IT et la sécurité physique dans la gouvernance sécurité
- Intégrer les prestataires et sous-traitants critiques dans la chaîne de conformité
- Planifier un plan de montée en maturité basé sur les priorités NIS2
C’est à ces conditions que les organisations pourront construire des environnements réellement résilients, conformes, et mieux armés face aux menaces hybrides.
