top of page
Rechercher

NIS 2 - l’amendement CS178, l’effet papillon qui change la donne pour le domaine de la tech française

Dernière mise à jour : 14 nov.



ree




Ce qui vient de se passer (et pourquoi ça compte)


Le 09/09/2025, la députée Véronique Riotton (Haute-Savoie) a déposé à l’Assemblée nationale l’amendement CS178 au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Cet amendement a été adopté en commission spéciale le 9 septembre 2025.


Le sujet est passé relativement inaperçu, sans doute éclipsé par les vacances d'été pour certains et la rentrée des classes pour d'autres. Pourtant il élargit considérablement le champ d’application de NIS 2 du côté des éditeurs, hébergeurs, startups, industriels et plus largement de l’écosystème numérique français.


Ce texte, appelé "Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité", constitue le véhicule législatif de transposition de NIS 2 en droit français.




En deux phrases : ce que fait CS178


L’amendement ajoute dans l’article 8, alinéa 7 du projet de loi les mots :

« et les éditeurs de logiciels ».

Derrière cette formule apparemment anodine se cache un changement majeur : l’écosystème logiciel devient explicitement assujetti au régime NIS 2, avec les pouvoirs de contrôle et de sanction de l’ANSSI.


C’est l’effet papillon, quelques mots à peine, mais un impact important sur l’ensemble du tissu numérique français.




De qui parle-t-on ?


Ce texte ne vise pas uniquement les applications “sur étagère”. Il touche toutes les entités qui conçoivent, développent, livrent ou exploitent du code mis à disposition de tiers :

  • les éditeurs de logiciels SaaS, on-premise et d’appliances,

  • les constructeurs, éditeurs de systèmes embarqués et industriels qui conçoivent des solutions OT/IoT,

  • les éditeurs de solutions domotiques et d’environnements connectés,

  • les hébergeurs et infogéreurs, déjà inclus dans le périmètre NIS 2, mais désormais concernés jusque dans leurs activités de développement et d’automatisation (API, scripts, infrastructures as code, outils internes). En pratique, presque tous les acteurs du secteur entrent dans cette catégorie en 2025,

  • les constructeurs et industriels qui développent des firmwares ou intègrent du code dans leurs équipements,

  • ainsi que les startups et acteurs numériques qui conçoivent des services logiciels, même partiellement intégrés dans une offre plus large.


Autrement dit, toute organisation qui produit, intègre ou diffuse du code destiné à autrui entre désormais dans le périmètre NIS 2. L’esprit de cet amendement rejoint le considérant 85 de NIS 2, qui souligne la criticité de la chaîne d’approvisionnement logicielle.




Pourquoi ça a du sens de renforcer la cybersécurité et la résilience


Renforcer la sécurité des opérateurs sans s’assurer de la robustesse des logiciels qu’ils utilisent reviendrait à bâtir une maison sur du sable. L’amendement CS178 corrige ce déséquilibre. Il reconnaît que la résilience dépend autant du code que des infrastructures.


Il donne également à l’ANSSI la capacité d’intervenir, de contrôler et d’imposer des mesures correctives lorsque les éditeurs ou fabricants ne respectent pas les exigences de sécurité.




Ce que cela change concrètement


Pour beaucoup d’acteurs, la conformité NIS 2 ne sera pas une simple formalité. Elle suppose une gouvernance sécurité et des pratiques couvrant tout le cycle de vie du logiciel : conception, développement, exploitation et décommissionnement.


Concrètement, cela signifie :

  • Mettre en place une gouvernance de la sécurité : définir les rôles, responsabilités et processus internes liés à la conformité et à la gestion des incidents.

  • Formaliser une politique de sécurité claire, validée par la direction et diffusée à l’ensemble des collaborateurs.

  • Réaliser des analyses de risques et établir un plan de traitement structuré avec priorisation des actions.

  • Renforcer la sécurité du développement logiciel :

  • Assurer la supervision et journalisation : surveillance des événements de sécurité, corrélation et détection d’incidents.

  • Mettre en œuvre une gestion active des vulnérabilités : patch management, correctifs de sécurité, durcissement des environnements.

  • Gérer les accès et les identités : MFA, séparation des privilèges, revue périodique des droits.

  • Garantir la sécurité opérationnelle (gestion des sauvegardes, supervision, journalisation, correction des vulnérabilités, gestion des configurations...)

  • Encadrer la sécurité dans la chaine de sous-traitance / fournisseurs : exigences contractuelles de sécurité, Plan d'Assurance Sécurité, revues périodiques.

  • Gérer les incidents : processus de gestion des incidents, détection et réponse aux incidents de sécurité, communication interne et externe.

  • Structurer la continuité d’activité et la reprise après sinistre : disposer d'un PCA/PRA sur les activités critiques.

  • ...


Les organisations déjà certifiées ISO 27001 disposeront d’une base solide. Pour les autres, souvent les PME, les ETI ou les startups, il s’agit d’une toute autre histoire ! C'est un vrai chantier de transformation, mêlant culture, processus et discipline. Ce qui demande un effort certain !




Portail NIS 2, preuves et pression de marché


Les entités concernées devront déclarer leurs preuves de conformité et notifier les incidents via le portail de l'ANSSI MonEspaceNIS2. Même sans sanctions immédiates, les clients déjà soumis à NIS 2 (opérateurs essentiels ou importants) demanderont très vite des preuves à leurs fournisseurs ; c'est à dire la liste des entités mentionnés plus haut.


La pression commerciale arrivera avant la pression réglementaire : la conformité NIS 2 deviendra rapidement un prérequis dans les appels d’offres, les (fameux et tant redoutés) questionnaires et les audits de sécurité.




Sanctions : ce qu’il faut savoir


En cas de non-conformité, les conséquences peuvent être significatives :


  • amendes jusqu’à 10 millions € ou 2 % du chiffre d’affaires mondial (le plus élevé),

  • injonctions de mise en conformité, audits, suspension d’activité pour les dirigeants,

  • responsabilité personnelle des dirigeants en cas de négligence grave,

  • publication publique du manquement, avec impact réputationnel fort.


En clair, la sécurité devient un sujet de gouvernance à part entière et la responsabilité des dirigeants est désormais pleinement engagée avec NIS 2.




Un alignement clair avec le Cyber Resilience Act (CRA)



L’amendement CS178 s’inscrit dans la même logique que le CRA, qui impose la sécurité dès la conception et sur tout le cycle de vie des produits numériques. Il marque un premier pas vers une cohérence entre les cadres européens et nationaux : la sécurité logicielle devient une exigence réglementaire.




Les cinq questions à se poser dès maintenant


  1. Suis-je concerné ? (éditeur, intégrateur, industriel, hébergeur, startup…)

  2. Ai-je des preuves tangibles ? (politiques, analyses de risques, tests, sauvegardes, journalisation)

  3. Quel est mon écart par rapport à NIS 2 / ISO 27001 ?

  4. Comment suis-je organisé pour notifier un incident ?

  5. Mes contrats couvrent-ils les obligations de sécurité exigées ?




Plan d’action pragmatique


Pour structurer la démarche et anticiper la mise en conformité :


  • Définir une organisation sécurité claire (rôles, responsabilités, pilotage).

  • Mettre en place une politique de sécurité formalisée et diffusée.

  • Réaliser un inventaire des actifs informationnels sous l’angle sécurité et conformité.

  • Réaliser une analyse de risques et mettre en œuvre un plan de traitement des risques.

  • Nommer un sponsor exécutif (CTO, Direction) et un pilote conformité (RSSI, responsable conformité).

  • Cartographier les produits, composants, dépendances open source et sous-traitants.

  • Évaluer les écarts entre la situation actuelle et les exigences NIS 2 / ISO 27001.

  • Prioriser les chantiers critiques : vulnérabilités, patching, supervision, incidents, sauvegardes.

  • Renforcer l’hygiène de sécurité quotidienne : mots de passe, MFA, mises à jour, durcissement, cloisonnement.

  • Durcir la sécurité dans les développements : revues de code, pipeline CI/CD, gestion des secrets, SBOM, durcissement des environnements.

  • Centraliser les preuves : journaux, tickets, rapports d’audit, traces de tests.

  • Mettre à jour les contrats : sécurité, maintenance, patchs, réversibilité, fin de vie.

  • Planifier des pentests, les audits internes et les exercices PCA /PRA.


Il ne s'agit pas un sprint, mais une démarche d’amélioration continue !




Eunoia Security Hub, un levier pour piloter sa conformité, gérer les risques et la gouvernance sécurité


Mettre en œuvre la conformité NIS 2 est un travail de structurant et de pilotage sur la durée !

C’est précisément ce que facilite Eunoia Security Hub, à travers une plateforme conçue pour aider les entités à gérer leur gouvernance, leurs risques et leur conformité.


Concrètement, Eunoia Security Hub permet de :

  • faire appliquer l’organisation SSI définie,

  • assurer la gestion des actifs informationnels,

  • évaluer et suivre la conformité, tout en capitalisant sur les contrôles déjà en place,

  • réaliser et suivre les risques,

  • faire le suivi du plan de traitement des risques

  • centraliser la gestion des preuves,

  • automatiser certains contrôles en s’appuyant sur les composants existants du système d’information,

  • contextualiser les vulnérabilités et les non-conformités pour mieux prioriser les plans d'action.


Eunoia Security Hub n’est pas un produit miracle, mais un moyen concret pour structurer la conformité NIS 2 sans repartir d’une page blanche, faciliter le travail collaboratif et permettre de sortir de l'enfer des fichier Excel.




Pour conclure

L’amendement CS178 marque un tournant discret mais décisif dans la mise en œuvre de NIS 2 en France. En intégrant explicitement les éditeurs de logiciels et par extension, l’ensemble des acteurs qui conçoivent ou exploitent du code. La résilience numérique dépend autant de la qualité du code que de la robustesse des infrastructures. 


La sécurité ne se limite plus aux infrastructures critiques, elle commence dans le code, chez ceux qui le conçoivent.


Chacun, de l'éditeur à l'hébergeur en passant par la startup, a désormais un rôle concret à jouer pour renforcer la sécurité.

Les entités qui s’y prépareront dès maintenant transformeront cette contrainte en un avantage ! Les autres risquent de le subir, au fil des exigences clients, des audits et des futures sanctions.

 
 
 

Commentaires

bottom of page