NIS2 en 2026 : ce qui change concrètement pour la gestion des accès
La directive NIS2 est transposée. Les sanctions sont réelles : jusqu’à 10M€ ou 2% du CA mondial pour les entités essentielles, 7M€ ou 1,4% pour les entités importantes. Et la responsabilité personnelle des dirigeants est engagée. Ce qui suit n’est pas un résumé juridique — c’est l’analyse praticienne de ce que NIS2 change concrètement dans la gestion des accès.
Les 4 exigences NIS2 qui impactent directement la gestion des identités
**Exigence 1 : gestion des accès et des droits (article 21-2-i).** NIS2 impose une politique de contrôle d’accès fondée sur le principe du moindre privilège. Concrètement, cela signifie : inventaire exhaustif des comptes à privilèges, revue périodique des habilitations, révocation des accès non justifiés. Un déploiement PAM n’est plus un « nice to have » — c’est une obligation implicite.
**Exigence 2 : sécurité de la chaîne d’approvisionnement (article 21-2-d).** Les accès des prestataires et sous-traitants à vos systèmes critiques doivent être traçés, limités dans le temps, et révocables immédiatement. C’est le cas d’usage type du Just-in-Time access via CyberArk ou Okta.
**Exigence 3 : gestion des incidents (article 21-2-b).** Les incidents liés aux identités (compromission de compte, élévation de privilèges) doivent être détectés, qualifiés et notifiés. Sans enregistrement des sessions privilégiées et sans alertes automatisées, cette obligation est intenable.
**Exigence 4 : continuité d’activité (article 21-2-c).** Les systèmes de gestion des identités sont eux-mêmes des composants critiques. Si votre serveur CyberArk tombe, personne ne peut accéder aux systèmes de production. Le PCA doit inclure un plan de secours pour l’IAM et le PAM.
Ce que nous observons chez nos clients OIV
La plupart des OIV que nous accompagnons avaient déjà une PSSI conforme à la LPM (loi de programmation militaire). Mais NIS2 élargit le périmètre : les systèmes OT (SCADA, automates) sont désormais explicitement couverts.
Concrètement, cela signifie que la segmentation IT/OT ne suffit plus. Les accès des mainteneurs industriels aux automates doivent être gérés avec le même niveau de rigueur que les accès admin sur l’IT — coffre-fort, traçabilité, temporalité.
Les 3 actions prioritaires pour un RSSI OIV
- Auditer les accès privilégiés sur les systèmes OT — pas seulement l’IT
- Mettre en place un PAM couvrant IT ET OT avec traçabilité unifiée
- Documenter la politique de gestion des accès tiers (prestataires, mainteneurs) avec Just-in-Time
Évaluer votre conformité NIS2 sur le volet accès et identités
