NIS2 oblige les DSI à intégrer les appareils Edge dans le périmètre d’audit

29.04.2026

6 min de lecture

Les équipements d’usine, les capteurs et les périphériques Edge relevaient longtemps du domaine des équipes OT – peu pertinents pour les DSI. NIS2 a changé la donne. Celui qui ne clarifie pas maintenant qui porte la gouvernance s’expose à un audit avec une faiblesse majeure.

Les points clés en bref

NIS2 fait de l’OT un sujet pour les DSI. Les exploitants d’installations essentielles dans les secteurs KRITIS doivent inclure les périphériques Edge et les composants OT dans leur périmètre ISMS.
Le manque de gouvernance est réel. Les CISO connaissent les exigences de sécurité, mais pas les actifs OT. Les DSI connaissent les actifs, mais pas le périmètre NIS2. Personne ne porte les deux.
La responsabilité du conseil est personnelle. NIS2 rend les membres de la direction personnellement responsables des manquements à la conformité – pas seulement le département IT.
L’obligation de déclaration d’incident s’applique aussi aux incidents OT. Alerte précoce en 24h, notification en 72h – même si le capteur concerné se trouve dans l’usine.
L’inventaire des actifs est le début. Celui qui ne sait pas quels périphériques Edge sont connectés au réseau ne peut ni les protéger ni les déclarer.

Qu’est-ce que l’Industrie IoT dans le contexte NIS2 ? L’Industrie IoT désigne les appareils connectés dans les environnements de production, d’énergie et d’infrastructure : capteurs, systèmes de contrôle (PLC, DCS), passerelles Edge et systèmes de surveillance de l’état. Dès que ces appareils sont connectés au réseau d’entreprise via la couche Edge, ils entrent dans le périmètre ISMS pour les entreprises concernées par NIS2. La différence avec la sécurité IT classique : les appareils OT fonctionnent souvent sans possibilité de correction, avec des protocoles propriétaires et des durées de vie de 10-20 ans.

Le mécanisme qui a changé la situation est simple : NIS2 élargit considérablement le champ d’application par rapport à la première directive NIS. Sont désormais concernés les entreprises moyennes à partir de 50 employés ou 10 Mio € de chiffre d’affaires dans certains secteurs – énergie, transport, eau, santé, infrastructure numérique et industrie de transformation pour produits critiques.

Le résultat : de nombreuses entreprises qui n’étaient jusqu’ici pas dans le champ réglementaire doivent maintenant démontrer un ISMS complet – incluant tous les appareils connectés. Et cela représente typiquement plusieurs centaines à plusieurs milliers de composants OT dans les entreprises de production.

35.000+

Entreprises concernées par KRITIS en DE

Source: Estimation BSI du périmètre NIS2, 2024

Qui porte la gouvernance : le CIO ou le CISO ?

La réponse honnête est la suivante : c’est la question ouverte dans la plupart des entreprises DACH. La situation typique est la suivante : le CISO connaît les exigences NIS2 et l’architecture de sécurité informatique, mais n’a pas de vue d’ensemble sur les actifs OT et n’a pas d’accès direct aux systèmes d’usine. Le CIO a une vue sur le réseau et porte la responsabilité de l’infrastructure informatique, mais l’OT relevait traditionnellement de l’équipe de production ou d’usine.

Aspect	CIO	CISO
Obligations NIS2	Responsabilité du cadre de conformité	Mesures de sécurité techniques
Inventaire d’actifs OT	Vue réseau disponible	Souvent pas d’accès direct
Signalement d’incidents	Pas toujours responsable	Formellement souvent premier responsable
Reporting au conseil	Connexion régulière au conseil	Souvent présent uniquement lors d’incidents

La réponse structurelle que NIS2 impose : l’une des deux rôles doit prendre la propriété de l’ensemble du périmètre des actifs – et le conseil doit activement décider de cela. Non pas comme une délégation, mais comme un assignement formel qui est documenté dans le ISMS.

Que le reporting au conseil sur la sécurité OT doit maintenant inclure

NIS2 prescrit explicitement que la direction soit régulièrement informée des risques de cybersécurité et qu’elle effectue des formations. Cela signifie : les risques de sécurité OT doivent être extraits du reporting technique et préparés dans un format qui informe les décisions du conseil d’administration.

Trois éléments qui manquent dans chaque rapport au conseil sur la sécurité OT :

Premièrement : le nombre et la criticité des actifs OT non gérés. Aucun inventaire n’est un risque quantifiable. Si 300 des 800 appareils OT ne sont pas enregistrés dans le ISMS, c’est une déclaration pour le conseil.

Deuxièmement : le statut des correctifs et l’exposition aux vulnérabilités connues. Les appareils OT qui n’ont pas reçu de mises à jour depuis des années et contiennent des CVE connues sont auditable et doivent être signalés s’ils sont concernés.

Troisièmement : le statut d’isolement des segments. Combien d’appareils OT ont un accès non contrôlé au réseau d’entreprise ? C’est la question qu’un auditeur pose en premier.

Foire aux questions

La directive NIS2 s’applique-t-elle également aux entreprises industrielles de taille moyenne qui ne sont pas explicitement KRITIS ?

Oui, si elles appartiennent à l’un des secteurs réglementés et dépassent les seuils. La NIS2 fait la distinction entre « installations essentielles » (grandes entreprises dans des secteurs critiques) et « installations importantes » (entreprises de taille moyenne). Les « installations importantes » sont également soumises à des obligations de sécurité et de surveillance – seulement avec des amendes maximales un peu moins élevées. La fabrication de produits critiques (dispositifs médicaux, chimie, automobile) est explicitement dans le périmètre.

En quoi la conformité NIS2 diffère-t-elle de la norme ISO 27001 pour les environnements OT ?

ISO 27001 est une norme volontaire avec un périmètre optionnel. La NIS2 est une obligation légale avec un périmètre défini. En pratique : les entreprises certifiées ISO 27001 ont une bonne base de départ, mais le périmètre OT doit souvent être explicitement élargi. La NIS2 exige en outre des mesures techniques concrètes (sécurité de la chaîne d’approvisionnement, chiffrement, MFA) et des obligations de déclaration qui vont au-delà d’une certification ISO 27001-ISMS.

Quels sont les trois premiers étapes pour un DSI qui doit prendre en charge la gouvernance OT ?

Premièrement : créer un inventaire complet des actifs OT (des outils comme Claroty, Dragos ou Nozomi aident à la détection passive du réseau sans perturbation de la production). Deuxièmement : vérifier et documenter la segmentation du réseau entre OT et IT, et où se situent réellement les limites. Troisièmement : clarifier formellement avec le CISO qui est responsable de quelles parties des exigences NIS2 et l’ancrer dans les documents ISMS.

Comment fonctionne en pratique l’obligation de déclaration sous 24 heures en cas d’incident OT ?

En cas d’incident significatif (interruption importante des opérations ou impact sur d’autres), une alerte précoce doit être envoyée à l’autorité compétente (en Allemagne, le BSI) dans un délai de 24 heures. Dans un délai de 72 heures, suit une déclaration plus détaillée, et après un mois, un rapport final. Cela nécessite en interne des voies d’escalade claires et des modèles de déclaration préétablis – qui font défaut dans la plupart des environnements OT.

Quelles technologies aident à la gouvernance de la sécurité OT sans interruption de production ?

Détection passive du réseau (aucun scan actif qui pourrait perturber les systèmes de contrôle), intégration SIEM spécifique à l’OT (Splunk OT Security, Microsoft Sentinel avec connecteurs OT) et plateformes de gestion d’actifs qui unissent IT et OT dans une seule vue. Important : les appareils OT réagissent différemment aux scans que les appareils IT – les méthodes de scan agressives de l’IT peuvent causer des pannes dans les environnements OT.