La majorité des entités importantes au sens NIS2 sont des ETI de 50 à 250 salariés sans RSSI à temps plein. Beaucoup n'ont pas d'équipe cybersécurité dédiée, parfois un DSI seul, parfois un responsable IT polyvalent, parfois rien de structuré sur le sujet.
NIS2 ne leur demande pas de recruter un RSSI. Le ReCyF intègre un principe de proportionnalité explicite : le niveau d'effort attendu s'adapte à la maturité de l'entité et à ses ressources. Ce que la directive attend, c'est une démarche structurée, documentée et cohérente avec le niveau de risque réel
de l'organisation, pas une organisation calquée sur celle d'un grand groupe.
Ce guide explique comment aborder cette démarche de manière réaliste : quel modèle d'organisation retenir, quels objectifs ReCyF prioriser,
quelles briques techniques externaliser, et comment construire une feuille de route de conformité en 12 mois
sans ressource cybersécurité interne dédiée.
Pour comprendre les obligations NIS2 dans leur ensemble, consultez notre Guide complet NIS2 en France 2026.
Pour déterminer votre statut entité essentielle ou entité importante, consultez notre guide : NIS2 : comment savoir si vous êtes concerné ?
Le ReCyF de l'ANSSI est explicite sur ce point : le niveau d'effort attendu est proportionné à la maturité de l'entité et aux ressources dont elle dispose.
Une ETI de 80 salariés entité importante n'est pas évaluée avec les mêmes critères qu'un opérateur d'infrastructure critique entité essentielle.
Ce que NIS2 attend concrètement d'une organisation sans RSSI interne, c'est la capacité à démontrer trois choses : que les risques ont été identifiés,
que des mesures adaptées ont été mises en place, et que ces mesures sont maintenues et vérifiées dans le temps. La forme organisationnelle retenue pour y parvenir, ressource interne, prestataire externe, ou combinaison des deux, est laissée à l'appréciation de l'entité.
La directive n'impose pas la désignation d'un RSSI à titre officiel pour les entités importantes. Elle impose la désignation d'un référent ou d'un contact identifié pour les questions de cybersécurité, ce peut être un DSI, un responsable IT, ou un prestataire externe mandaté. Ce contact doit être en mesure
de répondre aux sollicitations de l'ANSSI et de produire les preuves de conformité demandées.
Pour une ETI sans RSSI, la proportionnalité se traduit par une logique de priorisation. Tous les objectifs ReCyF n'ont pas le même poids ni la même complexité de mise en œuvre. Certains peuvent être adressés rapidement avec peu de ressources, une politique de gestion des mots de passe,
un inventaire des actifs, une procédure de notification des incidents. D'autres nécessitent un accompagnement technique externe : backup immuable, détection active, PRA testé.
L'erreur la plus fréquente dans les ETI sans RSSI est de vouloir tout traiter simultanément, ce qui conduit à une dispersion des efforts sans résultat probant. Une démarche réaliste commence par les objectifs les plus critiques et les plus accessibles, et progresse par phases documentées.
Il n'existe pas de modèle universel. Le choix dépend de la taille de l'entité, de la maturité IT existante, du budget disponible et de la complexité
de l'environnement à sécuriser. Voici les trois approches les plus adaptées aux ETI sans RSSI dédié.
Un DSI ou responsable IT existant prend en charge le pilotage de la démarche NIS2 en complément de ses fonctions. Il identifie les écarts, coordonne
les prestataires externes sur les sujets techniques, et constitue le dossier de conformité.
Ce modèle fonctionne bien lorsque l'entité dispose d'un DSI avec une bonne culture technique, d'un environnement IT relativement simple,
et d'un budget permettant de s'appuyer sur des prestataires externes pour les briques techniques spécialisées. Il atteint ses limites sur les entités
avec des environnements complexes ou sur les périmètres OT, où l'expertise cybersécurité spécifique fait défaut.
Un RSSI externe intervient sur une mission de 6 à 12 mois pour piloter l'ensemble du programme NIS2 : diagnostic, feuille de route, implémentation, transfert de compétences. Il peut ensuite être maintenu à temps très partiel pour le suivi.
Cette solution est particulièrement adaptée aux PME et ETI qui n'ont pas besoin, ni les moyens, d'un RSSI à temps plein, mais qui doivent se conformer
à NIS2 dans des délais serrés. C'est l'approche qui offre le meilleur équilibre entre expertise et coût pour la majorité des entités importantes françaises.
Un prestataire de sécurité managée prend en charge l'ensemble des obligations techniques NIS2 : backup immuable, détection active, supervision
des incidents, PRA testé, rapports auditables. Le référent interne se concentre sur les volets gouvernance et organisationnel.
Ce modèle est le plus adapté aux entités sans ressource IT structurée, ou dont l'activité principale est éloignée du numérique, une ETI industrielle avec
un parc IT limité mais des environnements OT critiques, par exemple. Il implique de choisir un prestataire capable de démontrer sa propre conformité NIS2 sur la chaîne d'approvisionnement.
Le ReCyF structure 20 objectifs de sécurité. Les 15 premiers s'appliquent aux entités importantes. Pour une ETI sans RSSI, tous ne présentent pas
le même niveau d'urgence ni la même complexité de mise en œuvre. Voici une lecture pragmatique de ces 15 objectifs, organisée par priorité.
Ces objectifs peuvent être adressés en interne avec peu de ressources externes. Ils constituent le socle minimal attendu par l'ANSSI et couvrent
les risques les plus immédiats.
Inventaire des actifs : Cartographier l'ensemble des systèmes, serveurs, postes, applications et accès. C'est le prérequis de tout le reste : on ne protège pas ce qu'on ne connaît pas.
Gestion des accès et des identités : Revue des comptes administrateurs, suppression des comptes orphelins, mise en place de l'authentification multifacteur sur les accès critiques. Mesure à fort impact, faible coût de mise en œuvre.
Politique de sécurité formalisée : Document décrivant les règles de base : gestion des mots de passe, utilisation des équipements, procédure
en cas d'incident. Court, pragmatique, exploitable lors d'un contrôle.
Procédure de notification des incidents : Qui prévient qui, dans quel délai, avec quelles informations. L'obligation NIS2 de notification sous 24 heures impose d'avoir cette procédure prête avant tout incident.
Ces objectifs requièrent une expertise technique que la majorité des ETI sans RSSI ne possède pas en interne. Ils s'externalisent naturellement.
Sauvegarde immuable et PRA testé : Immuabilité au niveau du stockage, isolation physique, tests documentés avec RTO/RPO mesurés. C'est la brique technique la plus critique pour les objectifs 14 et 15 du ReCyF.
Cloisonnement réseau : Segmentation entre les environnements de production, d'administration et les postes utilisateurs. Réduit la surface d'attaque
en cas de compromission.
Détection active : Déploiement d'un EDR sur les postes et serveurs, avec une capacité d'alerte et d'escalade en cas d'événement suspect.
Gestion des vulnérabilités : Processus de suivi des mises à jour et des correctifs de sécurité sur l'ensemble du parc.
Ces objectifs nécessitent que les précédents soient en place et stabilisés avant d'être adressés.
Tests de restauration réguliers avec rapports auditables : Fréquence et périmètre adaptés à la criticité des systèmes, avec documentation exploitable lors d'un contrôle ANSSI.
Cartographie des dépendances applicatives : Identification de l'ordre de restauration des systèmes pour éviter les blocages en cascade lors d'une reprise.
Sensibilisation des collaborateurs : Programme de formation aux risques cyber adapté au contexte de l'entité. L'objectif 1 du ReCyF porte explicitement sur la gouvernance et la formation.
Évaluation des prestataires critiques : Revue des clauses contractuelles et du niveau de sécurité des prestataires TIC les plus sensibles.
Pour une ETI sans RSSI, certaines briques techniques ne peuvent pas être gérées de manière fiable en interne. Elles requièrent une expertise spécialisée, une infrastructure dédiée, ou une disponibilité 24h/24 qu'un DSI polyvalent ne peut pas assurer seul. Les externaliser n'est pas un aveu de faiblesse,
c'est la démarche la plus cohérente avec le principe de proportionnalité du ReCyF.
C'est la brique la plus critique au regard des objectifs 14 et 15 du ReCyF. Mettre en place un backup immuable au niveau du stockage, avec isolation physique, réplication cloud souveraine et tests documentés, nécessite une infrastructure et une expertise que la grande majorité des ETI sans RSSI
ne possèdent pas.
Ce que le prestataire doit fournir en complément de l'infrastructure : des rapports de tests de restauration réguliers avec RTO/RPO mesurés,
une documentation d'architecture exploitable lors d'un contrôle ANSSI, et un SLA précis sur les délais d'intervention et de maintenance.
Sans ces éléments, l'infrastructure technique ne suffit pas à démontrer la conformité.
Pour approfondir les exigences NIS2 spécifiques au backup, consultez notre guide : NIS2 et backup : quelles obligations techniques concrètes ?
Déployer et opérer un EDR ou un XDR nécessite une capacité d'analyse et de réponse que peu d'ETI peuvent assurer seules. Une alerte détectée à 2h
du matin sans personne pour y répondre n'a pas de valeur opérationnelle. L'externalisation vers un prestataire qui assure la surveillance et l'escalade résout ce problème structurellement.
Ce point est directement lié aux objectifs ReCyF sur la détection et la réponse aux incidents et c'est l'un des premiers qu'un auditeur ANSSI vérifiera
lors d'un contrôle post-incident sur une entité importante.
L'obligation NIS2 de notification sous 24 heures implique d'avoir une procédure opérationnelle et une capacité de détection suffisamment rapide
pour identifier un incident significatif dans ce délai. Pour une ETI sans équipe de sécurité dédiée, externaliser la supervision vers un prestataire qui assure cette détection et accompagne la notification à l'ANSSI est souvent la seule option réaliste.
L'objectif 1 du ReCyF porte explicitement sur la gouvernance et la sensibilisation. Construire et déployer un programme de sensibilisation adapté
au contexte de l'entité: phishing simulé, formations courtes, communication interne peut être externalisé vers un prestataire spécialisé en SAT
(Security Awareness Training). Le coût est généralement faible par rapport à l'impact sur la réduction des risques humains.
Un prestataire technique qui intervient sur les briques critiques (backup, détection, supervision) est lui-même un prestataire de la chaîne d'approvisionnement au sens NIS2. Il doit être en mesure de démontrer son propre niveau de sécurité et de produire les documents nécessaires
à votre dossier de conformité. Un prestataire qui ne peut pas fournir ces éléments crée un angle mort dans votre conformité, indépendamment
de la qualité technique de sa solution.
Une feuille de route réaliste pour une ETI sans RSSI repose sur trois phases distinctes. Chaque phase a des livrables précis, ce sont ces livrables
qui constituent progressivement le dossier de conformité.
L'objectif de cette phase est d'établir une base documentaire et de traiter les risques les plus immédiats avec les ressources internes disponibles.
Livrable de phase : inventaire des actifs, politique de sécurité, procédure de notification, rapport de diagnostic ReCyF.
L'objectif est de déployer les briques techniques critiques et de sécuriser les prestataires de la chaîne d'approvisionnement.
Livrable de phase : architecture backup documentée, rapport de premier test de restauration, contrats prestataires mis à jour, cartographie des dépendances.
L'objectif est de stabiliser la démarche, de tester l'ensemble du dispositif et de préparer la capacité de démonstration face à un contrôle ANSSI.
Livrable de phase : rapport de test complet, rapport d'exercice de crise, évaluation de conformité ReCyF documentée.
À l'issue de cette feuille de route, l'entité doit être en mesure de produire sur demande : un inventaire des actifs à jour, une politique de sécurité formalisée, une architecture backup documentée avec preuves d'immuabilité, un registre des tests de restauration avec RTO/RPO mesurés, les contrats prestataires incluant les clauses NIS2, et les rapports d'exercices de crise. C'est ce dossier que l'ANSSI demandera en premier lieu lors d'un contrôle
post-incident.
Se conformer à NIS2 sans RSSI interne est faisable pour la grande majorité des entités importantes, à condition d'adopter une démarche structurée
et progressive. Le principe de proportionnalité du ReCyF est conçu précisément pour rendre cette démarche accessible aux organisations de taille intermédiaire.
Les trois leviers sont la priorisation des objectifs ReCyF par urgence et complexité, le choix d'un modèle d'organisation adapté au profil de l'entité,
et l'externalisation des briques techniques qui nécessitent une expertise ou une disponibilité impossibles à assurer seul. Sur ces briques techniques,
le choix du prestataire est structurant : il doit être capable de produire les preuves de conformité dont vous aurez besoin lors d'un contrôle ANSSI.
VYTALX accompagne les entreprises des secteurs régulés dans la mise en place des briques techniques critiques : backup immuable, PRA testé, détection active avec les rapports auditables nécessaires à votre dossier de conformité NIS2.
