Signalement incident NIS2 en 24 heures : le guide pratique pour les PME
Signalement incident NIS2 en 24 heures : le guide pratique pour les PME
Vendredi, 17h42. Votre responsable administratif vous appelle : « Plus personne n'accède au serveur de fichiers. » Vous pensez à une panne réseau. En réalité, un ransomware chiffre vos données depuis trois heures. Et le compteur NIS2 vient de démarrer.
Vous avez 24 heures pour envoyer une alerte préliminaire à l'autorité compétente. Pas 24 heures ouvrées - 24 heures calendaires. Week-end, jour férié, pont de l'Ascension : le délai ne bouge pas.
80 % des TPE-PME ne sont pas préparées à faire face à un incident cyber, selon le rapport Cybermalveillance 2025. Et parmi celles qui connaissent NIS2, la majorité n'a aucun processus documenté pour respecter cette obligation. Si vous n'avez jamais simulé ce scénario dans votre entreprise, cet article est votre point de départ. Avant d'aller plus loin, vérifiez si NIS2 s'applique à votre structure - la réponse pourrait vous surprendre.
Que dit exactement la règle des 24 heures NIS2 ?
La directive NIS2 (transposée en France par la Loi Résilience, attendue mi-2026) impose un processus de notification en trois temps après un incident « significatif ». Première étape : une alerte préliminaire (early warning) dans les 24 heures suivant la prise de connaissance de l'incident. Cette alerte n'exige pas une analyse complète - elle doit simplement confirmer qu'un incident a eu lieu, indiquer s'il est vraisemblablement d'origine malveillante, et signaler tout impact transfrontalier potentiel. Vient ensuite une notification détaillée sous 72 heures, puis un rapport final dans un délai d'un mois.
Ce qui change par rapport au RGPD : le délai passe de 72 à 24 heures pour la première alerte. Et les amendes sont à la hauteur de l'urgence - jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, avec une responsabilité personnelle des dirigeants. Entre 15 000 et 18 000 entités seront concernées en France. Si votre PME opère dans un secteur essentiel ou important, vous en faites probablement partie.
Pourquoi la plupart des PME vont rater ce délai ?
Soyons directs : 1 PME sur 3 a déjà été touchée par un incident cyber en 2024 (BizTech Magazine). Parmi celles-ci, combien auraient été capables de notifier une autorité en 24 heures ? Quasiment aucune. Et ce n'est pas un problème technique - c'est un problème de processus.
Quand un incident survient sans playbook, voici ce qui se passe réellement. L'équipe panique. Le dirigeant cherche le numéro du prestataire informatique. Le prestataire rappelle lundi. Personne ne sait qui doit contacter l'ANSSI, ni comment, ni avec quelles informations. Le délai de 24 heures expire dans la confusion. Résultat : à l'incident cyber s'ajoute un défaut de conformité - avec les amendes qui vont avec. Si vous n'avez pas encore de checklist incident response, c'est le moment d'y remédier. 64 % des PME françaises ne savent même pas ce qu'est NIS2. L'ignorance ne protège pas des sanctions.
Photo by Rodolfo Gaion on Pexels
Qu'est-ce qu'un incident « significatif » au sens de NIS2 ?
Tous les incidents ne déclenchent pas l'obligation de notification. NIS2 vise les incidents ayant un impact significatif sur la fourniture de vos services. Concrètement, trois critères : l'incident a causé ou peut causer une perturbation opérationnelle grave, il a touché d'autres personnes physiques ou morales en provoquant des dommages matériels ou immatériels importants, ou il pourrait se propager à d'autres entités.
Un ransomware qui bloque votre ERP ? Significatif. Une fuite de données clients ? Significatif. Un phishing isolé sans conséquence ? Probablement pas. Mais attention : dans le doute, NIS2 recommande de notifier. Mieux vaut une alerte « inutile » qu'une amende pour signalement tardif. Le coût moyen d'un incident cyber atteint désormais 345 000 $ selon Atlantic Digital - et ce montant ne tient pas compte des sanctions réglementaires qui viendraient s'y ajouter. La vraie question n'est pas « est-ce significatif ? » mais « ai-je un processus pour trancher en moins d'une heure ? ».
À quoi ressemble un playbook de signalement en 24 heures ?
Voici un processus réaliste pour une PME de 20 à 250 employés, sans équipe sécurité dédiée. Il tient sur une page. Affichez-le dans votre salle serveur, dans le bureau du dirigeant et dans votre outil de documentation interne.
H+0 à H+1 - Détection et qualification :
Qui a détecté l'incident ? Isoler le système affecté. Remplir la fiche d'impact (type, périmètre, données concernées). Décision : significatif ou non.
H+1 à H+4 - Mobilisation :
Appeler votre contact technique. Rassembler les preuves (logs, captures d'écran). Préparer le formulaire d'alerte préliminaire ANSSI.
H+4 à H+24 - Notification :
Soumettre l'alerte préliminaire. Informer votre assureur cyber. Documenter chaque action horodatée. Commencer la remédiation. Consultez notre checklist cybersécurité complète pour vérifier que rien ne manque à votre dispositif.
Qui fait quoi quand personne n'est « responsable sécurité » ?
Dans une PME, il n'y a pas de RSSI. Il y a un dirigeant, un office manager, peut-être un développeur ou un prestataire externe. C'est exactement pour cela qu'il faut nommer les rôles avant l'incident, pas pendant.
| Rôle | Qui dans votre PME | Responsabilité |
|---|---|---|
| Décideur incident | Dirigeant / DG | Décide si l'incident est significatif, autorise la notification |
| Coordinateur technique | Responsable IT / prestataire | Isole les systèmes, collecte les preuves, assiste la remédiation |
| Rédacteur alerte | Office manager / DAF | Remplit et soumet le formulaire ANSSI dans les 24h |
| Contact assurance | DAF / dirigeant | Informe l'assureur cyber dans les délais contractuels |
| Communication interne | RH / dirigeant | Informe les équipes, gère les questions |
Ce tableau doit être validé et imprimé. Chaque personne doit connaître son rôle avant qu'un incident ne survienne. Testez-le une fois par trimestre avec un exercice de simulation. C'est ce niveau de préparation qui fait la différence entre une crise maîtrisée et le chaos.
Combien coûte un défaut de signalement par rapport à la préparation ?
Voici le calcul que tout dirigeant pragmatique devrait poser sur la table. Le coût de ne rien préparer est désormais chiffrable - et il dépasse largement le coût de la conformité.
| Scénario | Coût estimé |
|---|---|
| Incident cyber moyen (rançon + arrêt + récupération) | 345 000 $ |
| Amende NIS2 maximale | 10 M EUR ou 2 % du CA mondial |
| Refus d'indemnisation assurance (41 % des demandes refusées - MoneyGeek) | Totalité du sinistre à votre charge |
| Perte de contrats (67 % des entreprises en 2024 - Marsh McLennan) | Variable, souvent critique |
| MSP traditionnel | 100-250 EUR / utilisateur / mois |
| Solutions conformité type Vanta/Drata | 7 500-50 000 EUR / an |
| Fusion AI - IT managé + conformité intégrée | Voir nos tarifs |
Quand le coût de l'absence de conformité dépasse celui de la mise en place, le choix n'est plus stratégique - il est arithmétique. La question n'est pas « pouvons-nous nous le permettre ? » mais « pouvons-nous nous permettre de ne rien faire ? ».
Votre assurance cyber couvrira-t-elle un incident mal signalé ?
41 % des demandes d'indemnisation cyber sont refusées, selon MoneyGeek. La première cause de refus ? Le non-respect des obligations de prévention et de notification inscrites dans le contrat. Si vous n'avez pas de processus de signalement documenté, si vous ne pouvez pas prouver que vous avez notifié dans les délais, votre assureur a un motif légitime de refuser le remboursement.
Les cyberattaques ont augmenté de 49 % au premier semestre 2025 (Identity Week). Les assureurs le savent. Ils durcissent leurs exigences. Un playbook de signalement NIS2 n'est pas seulement une obligation réglementaire - c'est une condition de couverture. Consultez les contrôles que votre assurance cyber exige vraiment pour aligner votre posture. Si vous doutez de votre niveau de préparation, commencez par notre quiz cybersécurité : 3 minutes pour un diagnostic honnête.
Photo by Boys in Bristol Photography on Pexels
Comment passer de zéro à « conforme NIS2 » en 30 jours ?
Vous n'avez pas besoin de tout réinventer. Vous avez besoin d'un système où votre conformité est le sous-produit naturel de votre bonne gestion IT. C'est exactement la logique de Fusion AI : un IT managé qui intègre nativement les exigences NIS2, y compris le processus de signalement.
Voici ce que ça donne concrètement :
- 45 minutes pour connecter votre environnement.
- Premier rapport de posture en 48 heures - vous savez exactement où vous en êtes.
- Conformité complète en 30 jours - playbook incident, politique de signalement, registre d'incidents, prêt pour l'ANSSI.
Pas de projet à six mois. Pas de consultant facturé à la journée. Un système qui tourne, qui surveille, qui vous alerte, et qui génère la documentation que l'ANSSI ou votre assureur vous demandera. Conforme NIS2, prêt ISO 27001 - et surtout, la sérénité de savoir que si vendredi à 17h42 votre serveur tombe, quelqu'un sait exactement quoi faire. Vous méritez de dormir tranquille.
Les 5 erreurs qui transforment un incident en catastrophe réglementaire
1. Pas de fiche de qualification. Sans critères écrits, personne ne peut décider si l'incident est « significatif » - et le temps file.
2. Un seul point de contact. Si votre prestataire IT est votre unique recours et qu'il ne répond pas un samedi, votre délai de 24 heures est déjà compromis.
3. Aucune trace horodatée. L'ANSSI demandera une chronologie précise. Sans journal d'actions, impossible de prouver votre diligence.
4. Confondre notification et résolution. L'alerte préliminaire n'exige pas d'avoir résolu le problème - elle exige d'avoir signalé son existence. Beaucoup de PME retardent le signalement en voulant « d'abord comprendre ».
5. Ignorer l'assureur. La notification NIS2 ne remplace pas la déclaration de sinistre. Ce sont deux processus distincts, avec des délais distincts. Vérifiez votre posture avec le quiz ISO 27001 pour identifier les lacunes avant qu'un incident ne les révèle.
Votre prochaine étape concrète
Vous avez lu cet article. Vous comprenez l'obligation. Vous voyez les risques. La question est simple : avez-vous un processus documenté qui tient en situation réelle ?
Si la réponse est non - ou « je ne sais pas » - voici ce que nous vous proposons. Un scan de sécurité gratuit de votre environnement. En quelques minutes, vous obtenez une cartographie claire : ce qui est couvert, ce qui ne l'est pas, et ce qu'il faudrait mettre en place pour respecter la règle des 24 heures NIS2.
Pas d'engagement. Pas de commercial au téléphone. Juste un diagnostic factuel pour prendre votre décision en connaissance de cause.
Lancer mon scan de sécurité gratuit →
Ou si vous préférez explorer d'abord : démarrez un essai gratuit et voyez par vous-même comment Fusion AI transforme la conformité en routine, pas en projet.