Les 5 erreurs de risk management cyber que font les PME sous NIS2 en 2026
Depuis l'entrée en vigueur de NIS2 en France, la majorité des PME et ETI concernées ont amorcé une démarche de mise en conformité. Pourtant, les erreurs méthodologiques restent nombreuses — et certaines peuvent coûter cher, aussi bien en sanctions qu'en vulnérabilités réelles.
Cet article analyse les 5 erreurs les plus fréquentes constatées lors d'audits et de missions de conseil en risk management cyber auprès de PME françaises soumises à NIS2. Pour chaque erreur, nous précisons l'impact réglementaire, le coût estimé de correction, et les solutions disponibles sur le marché.
Périmètre : Cette analyse porte sur les entités dites « importantes » (OE) au sens de NIS2 — principalement les PME et ETI entre 50 et 250 salariés dans les secteurs concernés. Les entités « essentielles » font l'objet d'exigences plus strictes non développées ici.
Erreur #1 — Confondre inventaire IT et cartographie des risques
La majorité des PME démarrent leur démarche NIS2 par un inventaire de leurs actifs IT : serveurs, postes, applications SaaS. C'est une étape nécessaire, mais elle ne constitue pas une cartographie des risques au sens de NIS2.
NIS2 exige une analyse de risques structurée, c'est-à-dire l'identification des menaces, l'évaluation de la vraisemblance et de l'impact, et la définition de mesures de traitement priorisées. Un simple tableau Excel listant les actifs ne satisfait pas à cette exigence.
Risque réglementaire : En cas d'audit ANSSI, l'absence d'analyse de risques formalisée constitue une non-conformité majeure. Pour une entité importante, l'amende maximale est fixée à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel.
Solution : Adopter un référentiel reconnu — ISO 27005 pour les structures avec ressources internes, ou EBIOS Risk Manager (méthode ANSSI) pour une approche souveraine. Des outils comme OneTrust GRC, Drata ou des solutions distribuées par des MSP spécialisés permettent de structurer cette démarche avec un accompagnement opérationnel.
Erreur #2 — Exclure les prestataires tiers du périmètre de risque
NIS2 introduit une obligation explicite de gestion des risques liés à la chaîne d'approvisionnement (article 21). Cela signifie que vos prestataires — hébergeur cloud, éditeur SaaS, sous-traitant IT, cabinet de paie — font partie de votre périmètre de risque.
En pratique, la majorité des PME auditées en 2025-2026 ne disposent d'aucun processus d'évaluation cyber de leurs prestataires critiques. Questionnaire de sécurité, clauses contractuelles, droit d'audit : ces mécanismes sont quasi-inexistants dans les contrats en place.
Impact opérationnel : Une compromission chez un prestataire tiers sans clause de notification peut déclencher une obligation de déclaration d'incident auprès de l'ANSSI dans les 24 heures — sans que vous en soyez informé à temps.
Solution : Cartographier vos 10 à 15 prestataires les plus critiques. Pour chacun : questionnaire de maturité cyber, clause NIS2 dans le contrat, et processus de notification d'incident. Des modèles de clauses sont disponibles auprès du CLUSIF et de cabinets spécialisés comme Wavestone ou les équipes GRC de KPMG Cyber.
Erreur #3 — Sous-estimer le coût réel de mise en conformité
Le budget alloué à la mise en conformité NIS2 est systématiquement sous-estimé lors de la phase de cadrage. Les PME anticipent un projet technique (outils + quelques jours de conseil), alors qu'il s'agit d'un programme structurel touchant gouvernance, processus, outils et humain.
| Poste | PME <100 sal. | ETI 100–250 sal. | Remarque |
|---|---|---|---|
| Audit initial / gap analysis | 5 000–10 000 € | 15 000–30 000 € | Varie selon périmètre SI |
| Conseil / accompagnement conformité | 8 000–20 000 € | 25 000–60 000 € | Durée 3–9 mois |
| Outils GRC / plateforme risques | 2 000–6 000 €/an | 6 000–20 000 €/an | SaaS ou MSP managé |
| Formation + sensibilisation équipes | 1 500–4 000 € | 4 000–12 000 € | Obligatoire NIS2 Art.20 |
| Total estimé (année 1) | 15 000–40 000 € | 50 000–120 000 € | Hors CAPEX sécurité |
Source : estimations Cyber-Risk-Monitor d'après les tarifs de marché observés en 2025-2026 (cabinets conseil, MSP, éditeurs GRC). Ces chiffres sont des fourchettes indicatives — le coût réel dépend fortement du niveau de maturité initial.
Solution : Faire réaliser un gap analysis documenté avant tout engagement budgétaire. Cela permet de prioriser les chantiers à fort impact et d'éviter de sur-investir sur des points déjà conformes. Certains MSP cyber proposent cette étape à coût fixe (entre 3 000 et 8 000 € selon la taille), ce qui offre une lisibilité immédiate.
Erreur #4 — Déléguer la conformité au DSI sans impliquer la direction générale
NIS2 est explicite sur ce point : l'article 20 impose que les organes de direction approuvent les mesures de gestion des risques cyber et puissent être tenus responsables en cas de non-conformité. La directive ne peut donc pas être portée uniquement par le DSI ou le RSSI — elle requiert un engagement formel de la direction.
En pratique, dans les PME sans RSSI dédié, la conformité NIS2 est souvent traitée comme un projet IT supplémentaire. Cette approche crée deux problèmes : un manque de ressources (budgétaires et humaines) et une incapacité à prendre des décisions de gestion de risques qui dépassent le périmètre IT.
Solution : Constituer un comité de pilotage NIS2 incluant un représentant de la direction, le DSI/RSSI, et si possible le DPO ou le DAF. Formaliser ce comité par une charte interne et planifier des points de gouvernance trimestriels. Pour les PME sans RSSI interne, le recours à un vCISO (RSSI externalisé) permet de combler ce rôle à un coût maîtrisé, généralement entre 1 500 et 4 000 €/mois selon le niveau d'engagement.
Erreur #5 — Traiter NIS2 comme un projet ponctuel plutôt qu'un programme continu
La conformité NIS2 n'est pas un label que l'on obtient une fois pour toutes. C'est un système de management de la sécurité de l'information en continu, qui exige des revues périodiques, une adaptation aux nouvelles menaces, et une documentation maintenue à jour.
Les PME qui ont conduit un projet de mise en conformité en 2024-2025 et pensent avoir « terminé » sont exposées à une dérive rapide de leur posture réglementaire : turnover des équipes, évolution du SI, nouveaux prestataires non évalués, incidents non documentés.
| Activité | PME <100 sal. | ETI 100–250 sal. | Fréquence |
|---|---|---|---|
| Revue analyse de risques | RSSI externe / vCISO | RSSI interne + outil GRC | Annuelle minimum |
| Test de réponse aux incidents | Exercice tabletop | Exercice + simulation technique | Annuelle (NIS2 Art.21) |
| Évaluation prestataires critiques | Questionnaire simplifié | Questionnaire + scoring | Annuelle ou à chaque renouvellement |
| Sensibilisation équipes | E-learning + phishing test | Programme structuré multimodal | Continue + revue annuelle |
| Mise à jour documentation | PSSI, PCA, registre incidents | PSSI, PCA, PRA, SMSI complet | À chaque changement majeur |
Source : Cyber-Risk-Monitor d'après les exigences NIS2 (Dir. UE 2022/2555) et retours d'expérience terrain 2025-2026.
Solution : Intégrer NIS2 dans la planification opérationnelle annuelle au même titre que les clôtures comptables ou les revues RH. Le coût de maintien en conformité — estimé entre 5 000 et 15 000 €/an pour une PME avec support MSP — est sans commune mesure avec celui d'une sanction ou d'un incident non géré.
Conclusion — Par où commencer concrètement
Ces cinq erreurs ne sont pas des fautes de débutants : elles reflètent la complexité réelle d'une directive qui mêle technique, juridique, et gouvernance organisationnelle. L'enjeu pour les PME en 2026 n'est pas de tout faire parfaitement, mais de démontrer une démarche structurée, documentée et évolutive.
Pour les PME qui démarrent, trois actions prioritaires permettent de sécuriser l'essentiel :
- Mandater un gap analysis — 2 à 5 jours avec un prestataire spécialisé — pour savoir où vous en êtes réellement.
- Formaliser votre analyse de risques avec un outil ou un consultant, en appliquant EBIOS RM ou ISO 27005.
- Désigner un responsable conformité NIS2 (interne ou externalisé sous forme de vCISO) avec mandat et budget dédiés.
Des acteurs comme Wavestone, KPMG Cyber, Deloitte Cyber, ou des MSP spécialisés tels que Resilium proposent des accompagnements adaptés à cette phase initiale, avec des offres structurées pour les budgets PME. L'essentiel est de commencer avec une évaluation honnête de la situation réelle — et de ne pas confondre activité et conformité.