Publicité
ERP IMPLEMENTATION
Stratégie ERP

Directive NIS2 et ERP : ce que les ETI doivent préparer avant octobre 2026

La directive NIS2 impose de nouvelles obligations de cybersécurité aux ETI. Découvrez l'impact sur votre ERP et le plan d'action en 6 étapes pour être conforme.

· 12 min de lecture · Stéphane ZÉ-OGIER
Directive NIS2 et ERP : ce que les ETI doivent préparer avant octobre 2026
#ERP #Cybersécurité #Réglementaire #PME #Cloud

NIS2 n’est pas un RGPD bis, c’est une obligation de résilience. Si votre ERP tombe, votre entreprise s’arrête. La directive européenne part de ce constat pour imposer un niveau de cybersécurité inédit aux entreprises classées « essentielles » ou « importantes ». Et l’ERP, en tant que colonne vertébrale du système d’information, est en première ligne.

La France n’a pas respecté l’échéance de transposition du 17 octobre 2024. Le Sénat a adopté le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité » le 12 mars 2025, et le texte poursuit son parcours à l’Assemblée nationale (nis-2-directive.com). L’adoption définitive est attendue courant 2026, suivie des décrets d’application de l’ANSSI.

Le temps de préparation, lui, est déjà entamé. Voici ce qu’il faut comprendre et ce qu’il faut faire.

NIS2 en 3 minutes, ce qui change par rapport à NIS1

Périmètre élargi : 18 secteurs, seuils abaissés

La directive NIS1 (2016) ne concernait qu’une poignée d’opérateurs d’importance vitale. NIS2 élargit radicalement le périmètre : 18 secteurs d’activité sont désormais couverts (énergie, transports, santé, finance, industrie manufacturière, services numériques, gestion des déchets, espace, etc.). Toute entreprise de plus de 50 salariés ou réalisant plus de 10 millions d’euros de chiffre d’affaires dans ces secteurs est potentiellement concernée.

En France, cela représente des milliers d’ETI et de grandes PME qui n’avaient jusqu’ici aucune obligation formelle de cybersécurité au niveau européen.

Entités essentielles vs entités importantes, deux niveaux d’obligations

NIS2 distingue deux catégories :

  • Entités essentielles (EE) : grandes entreprises dans les secteurs « hautement critiques » (énergie, transports, santé, eau potable, infrastructure numérique, administration publique). Supervision proactive par l’ANSSI, audits réguliers.
  • Entités importantes (EI) : entreprises moyennes dans les mêmes secteurs ou entreprises de toute taille dans les secteurs « critiques » (services postaux, gestion des déchets, industrie chimique, agroalimentaire, fabrication). Supervision réactive, l’ANSSI intervient sur signalement.

Sanctions renforcées

Les amendes prévues par l’article 34 de la directive sont dissuasives (nis2directive.eu) :

  • Entités essentielles : jusqu’à 10 M€ ou 2 % du CA mondial consolidé (le montant le plus élevé)
  • Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA mondial consolidé

Au-delà des amendes, les autorités nationales peuvent ordonner des audits de sécurité aux frais de l’entreprise, suspendre des certifications ou des autorisations, et, pour les entités essentielles, interdire temporairement à des dirigeants d’exercer leurs fonctions managériales.

Pourquoi l’ERP est au cœur de NIS2

L’ERP comme « système d’information critique »

L’article 21 de NIS2 impose des mesures de sécurité sur les « réseaux et systèmes d’information » utilisés pour fournir les services de l’entité. L’ERP remplit cette définition dans la quasi-totalité des cas : il gère la comptabilité, la facturation, les achats, la production, les stocks et souvent les ressources humaines. Aucun processus métier critique ne fonctionne sans lui.

Les données ERP visées

L’ERP concentre les données les plus sensibles de l’entreprise :

  • Financières : comptes clients, comptes fournisseurs, trésorerie, budgets prévisionnels
  • RH : fiches de paie, données personnelles des salariés, contrats
  • Supply chain : carnets de commandes, tarifs fournisseurs, niveaux de stock
  • Clients : historique commercial, conditions tarifaires, données de facturation

Une compromission de l’ERP expose simultanément toutes ces catégories de données.

Risques concrets : ransomware sur l’ERP = arrêt total

Le panorama de la cybermenace 2024 publié par l’ANSSI confirme la menace : 4 386 événements de sécurité traités (+15 % par rapport à 2023), dont 1 361 incidents confirmés impliquant des acteurs malveillants. Les PME et ETI restent les premières victimes, représentant 37 % des cas de ransomware traités (ANSSI, Panorama de la cybermenace 2024).

À l’échelle mondiale, le coût moyen d’une violation de données a atteint 4,88 millions de dollars en 2024, soit une hausse de 10 % par rapport à l’année précédente, la plus forte progression annuelle depuis la pandémie (IBM, Cost of a Data Breach Report 2024).

Un ransomware qui chiffre la base de données ERP ne se contente pas de voler des données, il paralyse l’ensemble des opérations. Plus de facturation, plus de paie, plus de commandes fournisseurs. L’arrêt est immédiat et total.

Les 7 obligations NIS2 qui impactent directement votre ERP

L’article 21 de la directive détaille les mesures de gestion des risques que chaque entité doit mettre en œuvre. Voici les sept qui concernent directement l’ERP.

1. Analyse de risques et politique de sécurité du SI

Vous devez formaliser une analyse de risques couvrant l’ensemble de vos systèmes d’information, ERP inclus. Cette analyse doit être revue régulièrement et approuvée par la direction, pas déléguée au seul RSSI.

Impact ERP : cartographier les flux de données dans l’ERP, identifier les modules critiques, évaluer les scénarios de compromission (accès non autorisé, chiffrement par ransomware, exfiltration de données).

2. Gestion des incidents : notification ANSSI sous 24h/72h

NIS2 impose un calendrier strict de notification en cas d’incident significatif :

  • 24 heures : alerte initiale à l’ANSSI (ou au CSIRT compétent)
  • 72 heures : rapport d’incident détaillé
  • 1 mois : rapport final avec analyse des causes et mesures correctives

Impact ERP : votre ERP doit disposer de mécanismes de détection d’intrusion ou être couvert par un SIEM. Vous devez pouvoir identifier un incident sur l’ERP, évaluer son périmètre et notifier dans les délais. Sans journalisation (logs) adéquate, c’est impossible.

3. Continuité d’activité : PRA/PCA incluant l’ERP

La directive exige un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) testés. L’ERP étant le système le plus critique pour la plupart des entreprises, il doit être au centre de ces plans.

Impact ERP : définir le RTO (temps de reprise maximal) et le RPO (perte de données maximale tolérée) pour l’ERP. Tester la restauration complète au moins une fois par an. Un PRA/PCA qui n’inclut pas l’ERP est un PRA/PCA de façade.

4. Sécurité de la chaîne d’approvisionnement

C’est l’une des nouveautés majeures de NIS2 : la directive s’étend à vos fournisseurs. Si votre éditeur ERP, votre intégrateur ou votre hébergeur est compromis, vous êtes responsable d’avoir évalué ce risque en amont.

Impact ERP : exiger de votre éditeur (SAP, Odoo, Cegid, Sage, Microsoft, etc.) des certifications de sécurité (ISO 27001, SOC 2), des engagements contractuels sur les délais de correction de vulnérabilités et des audits réguliers. Pour les ERP cloud, vérifier les certifications de l’hébergeur (SecNumCloud en France, C5 en Allemagne).

5. Gestion des vulnérabilités et correctifs (patching ERP)

L’application des correctifs de sécurité doit être systématique et documentée. Les ERP, qu’ils soient cloud ou on-premise, publient régulièrement des patchs de sécurité.

Impact ERP : mettre en place un processus de veille sur les bulletins de sécurité de votre éditeur (SAP Security Patch Day, Odoo Security Advisories, Microsoft Patch Tuesday). Appliquer les correctifs critiques dans un délai défini (idéalement sous 30 jours). Documenter chaque application de patch.

6. Chiffrement et gestion des accès

NIS2 exige des mesures de chiffrement des données « au repos » et « en transit », ainsi qu’une gestion rigoureuse des accès.

Impact ERP : activer le chiffrement TLS pour toutes les connexions à l’ERP. Chiffrer la base de données au repos (Transparent Data Encryption ou équivalent). Mettre en place l’authentification multifacteur (MFA) pour tous les accès à l’ERP, sans exception. Implémenter le contrôle d’accès basé sur les rôles (RBAC) et revoir les droits trimestriellement.

7. Formation et sensibilisation des utilisateurs ERP

L’article 20 de NIS2 impose que les membres de la direction suivent des formations en cybersécurité et approuvent personnellement les mesures de gestion des risques. Cette responsabilité ne peut pas être déléguée (DLA Piper).

Impact ERP : former tous les utilisateurs de l’ERP aux bonnes pratiques (gestion des mots de passe, détection du phishing, signalement des incidents). Former spécifiquement la direction aux enjeux de cybersécurité liés à l’ERP. Documenter ces formations, elles seront vérifiées en cas d’audit.

Ce que les éditeurs ERP préparent pour NIS2

SAP, Trust Center et détection des menaces

SAP renforce son offre de sécurité autour de S/4HANA : Trust Center avec tableau de bord de conformité, audit trail renforcé sur toutes les transactions, et SAP Enterprise Threat Detection pour la détection d’anomalies en temps réel. Les clients SAP on-premise devront néanmoins gérer eux-mêmes le patching et la sécurité de l’infrastructure.

Odoo, sécurité by design et SOC 2

Odoo mise sur une approche « security by design » avec un programme de bug bounty actif et un hébergement Odoo.sh certifié SOC 2. La transparence est un point fort : les advisories de sécurité sont publiés rapidement. La limite : les instances Odoo auto-hébergées restent sous la responsabilité totale du client.

Microsoft Dynamics 365, Compliance Manager et Azure Security

Microsoft Dynamics 365 bénéficie de l’écosystème Azure Security Center et du Compliance Manager, qui aide à cartographier la conformité réglementaire (NIS2 inclus). L’avantage est l’intégration native avec Microsoft Defender et Sentinel pour la détection des menaces. L’inconvénient : le coût des licences de sécurité avancées s’ajoute au coût de l’ERP.

Cegid et Sage, certifications en cours

Cegid progresse vers la certification ISO 27001 sur l’ensemble de son offre cloud. Sage renforce la sécurité de Sage X3 et Sage 100 avec des audits de pénétration réguliers. Les deux éditeurs français sont poussés par la réglementation française, qui tend à être plus prescriptive que la directive européenne sur certains points.

Plan d’action NIS2 pour votre ERP, 6 étapes

Étape 1, Identifier si votre entreprise est concernée

Commencez par l’arbre de décision :

  1. Votre entreprise opère-t-elle dans l’un des 18 secteurs NIS2 ?
  2. Comptez-vous plus de 50 salariés OU réalisez-vous plus de 10 M€ de CA ?
  3. Si oui aux deux : vous êtes concerné. Reste à déterminer si vous êtes « entité essentielle » ou « entité importante ».

L’ANSSI met à disposition le portail MonEspaceNIS2 pour accompagner les entreprises dans cette qualification.

Étape 2, Cartographier les flux de données critiques dans l’ERP

Identifiez pour chaque module ERP :

  • Quelles données transitent (nature, volume, sensibilité)
  • Quels sont les flux entrants et sortants (EDI fournisseurs, API bancaires, connexions CRM)
  • Où les données sont stockées (cloud, on-premise, hybride)
  • Qui y accède et avec quels droits

Cette cartographie est le socle de votre analyse de risques.

Étape 3, Auditer les accès et les droits

Passez en revue l’ensemble des comptes utilisateurs de l’ERP :

  • Supprimez les comptes inactifs (anciens salariés, prestataires partis)
  • Vérifiez que chaque utilisateur a le niveau de droits minimum nécessaire (principe du moindre privilège)
  • Activez le MFA sur tous les comptes, en priorité les comptes administrateurs
  • Mettez en place une revue trimestrielle des droits

Étape 4, Mettre en place le PRA/PCA ERP

Définissez des objectifs réalistes :

  • RTO (délai de reprise) : combien de temps votre entreprise peut-elle fonctionner sans ERP ? Pour la plupart des ETI, la réponse est « quelques heures, pas quelques jours ».
  • RPO (perte de données tolérée) : la dernière sauvegarde date de quand ? Si la réponse est « hier soir », vous perdrez une journée de travail.

Testez votre plan de reprise au moins une fois par an avec un exercice complet de restauration.

Étape 5, Sécuriser la supply chain logicielle

Exigez de chaque acteur de votre chaîne ERP :

  • Éditeur : certifications ISO 27001 ou SOC 2, politique de divulgation des vulnérabilités, SLA de correction des failles critiques
  • Intégrateur : clause de confidentialité renforcée, audit de sécurité des développements spécifiques
  • Hébergeur : certifications (SecNumCloud, HDS si données de santé, C5 en Allemagne), localisation des données en UE

Documentez ces exigences dans vos contrats. NIS2 vous rend responsable du maillon faible de votre chaîne.

Étape 6, Documenter et tester

La conformité NIS2 repose sur la preuve documentaire :

  • Politique de sécurité du SI (PSSI) couvrant l’ERP
  • Registre des incidents avec les trois niveaux de notification (24h, 72h, 1 mois)
  • PRA/PCA testé et daté
  • Revues d’accès trimestrielles signées
  • Preuves de formation de la direction et des utilisateurs
  • Contrats fournisseurs avec clauses de sécurité

Organisez un exercice de crise cyber annuel simulant une attaque sur l’ERP. Un plan non testé est un plan qui échouera le jour J.

Calendrier NIS2, dates clés pour les entreprises françaises

ÉchéanceÉvénement
17 octobre 2024Date limite de transposition UE (non respectée par la France)
12 mars 2025Adoption du projet de loi par le Sénat français
7 mai 2025Avis motivé de la Commission européenne à la France pour retard de transposition
Courant 2026Adoption définitive attendue (Assemblée nationale + promulgation)
Post-adoptionPublication des décrets d’application par l’ANSSI
Post-adoptionEnregistrement obligatoire des entités sur MonEspaceNIS2
Post-adoption + délaiPremières obligations de notification d’incidents

Le retard de transposition ne doit pas servir d’excuse pour reporter la préparation. Les exigences techniques de NIS2 sont connues depuis 2022. Les entreprises qui attendent la promulgation pour commencer seront en retard le jour où les décrets tomberont.

NIS2 vs RGPD : ne pas confondre

RGPDNIS2
ObjetProtection des données personnellesRésilience des systèmes d’information
PérimètreToute entreprise traitant des données personnellesEntreprises dans 18 secteurs au-dessus des seuils
Ce qui est protégéLes données des personnesLa disponibilité et l’intégrité du SI
Sanctions max20 M€ ou 4 % du CA10 M€ ou 2 % du CA (EE)
Responsabilité directionDPO obligatoireDirection personnellement responsable (art. 20)

Les deux réglementations se complètent. Un ERP conforme NIS2 n’est pas automatiquement conforme RGPD (et inversement). Pour approfondir la dimension données personnelles, consultez notre guide ERP et RGPD : conformité et protection des données.

Pour approfondir la sécurisation de votre ERP au-delà du cadre NIS2, lisez notre guide complet Cybersécurité ERP : protéger votre système de gestion et notre comparatif ERP cloud vs on-premise, le modèle de déploiement impacte directement vos obligations de PRA et de patching. Pour valider votre niveau de préparation, partez sur un audit de conformité NIS2 ciblé sur l’ERP : 3 à 5 jours d’intervention, 10 à 20 K€ selon la taille du SI. Résultat : une feuille de route chiffrée avec les écarts à combler, pas un rapport générique de 200 pages.

Publicité

📧 Ne manquez aucun de nos guides ERP

Recevez nos conseils d'experts pour réussir votre projet ERP et éviter les pièges coûteux.

Articles liés