NIS2 et PME françaises : checklist de conformité avec des outils open source (2026)
La directive NIS2 est applicable en France depuis octobre 2024. Des dizaines de milliers de PME dans les secteurs critiques sont concernées — sans forcément le savoir. Ce guide vous donne la checklist complète pour atteindre la conformité NIS2 Article 21 avec des outils open source gratuits, hébergés en France.
NIS2 : qui est concerné parmi les PME françaises ?
La directive NIS2 distingue deux catégories. Les entités essentielles (énergie, transports, santé, eau, infrastructure numérique) et les entités importantes (services postaux, gestion des déchets, chimie, alimentation, industrie, numérique). Une PME de 50 salariés dans la santé numérique ou l\'hébergement cloud est directement concernée.
L\'ANSSI a mis en place un outil d\'auto-évaluation en ligne. Si vous avez un doute, utilisez-le. Les sanctions vont jusqu\'à 7 M€ pour les entités importantes — une raison suffisante pour agir maintenant plutôt qu\'après un contrôle.
Checklist NIS2 en 8 étapes avec outils open source
Inventaire des actifs numériques (Netbox)
Netbox (open source) permet de cartographier l'ensemble de votre infrastructure IT — serveurs, réseaux, applications. La NIS2 exige un registre des actifs à jour. Netbox exporte en JSON/CSV pour les audits.
Évaluation des risques (OpenRMF / MONARC)
MONARC (développé par CASES Luxembourg) est l'outil d'analyse de risques open source de référence en Europe. Il génère des rapports conformes aux exigences NIS2 Article 21.
Gestion des vulnérabilités (Greenbone / GVM)
Greenbone Community Edition (anciennement OpenVAS) scanne votre infrastructure et identifie les CVE non patchés. Gratuit, auto-hébergeable sur Debian/Ubuntu. Lancez un scan hebdomadaire minimum.
Durcissement des systèmes (OpenSCAP)
OpenSCAP applique les profils CIS Benchmarks (RHEL, Ubuntu, Windows) et génère des rapports de conformité HTML. Intégrez-le dans votre CI/CD pour vérifier chaque déploiement.
SIEM et supervision (Wazuh)
Wazuh est le SIEM open source le plus déployé en Europe. Il remplace Splunk pour les PME : détection d'intrusion, conformité PCIDSS/NIS2, alertes en temps réel, intégration MITRE ATT&CK.
Gestion des logs (Graylog Community)
Graylog Community Edition centralise vos logs applicatifs et système. La NIS2 impose une conservation des logs d'au moins 12 mois pour les entités importantes. Graylog gère cela nativement.
Continuité d'activité et sauvegardes (Bacula)
Bacula Enterprise (édition communautaire) gère les sauvegardes chiffrées multi-sites. La NIS2 exige des PCA/PRI testés. Documentez vos RTO/RPO et testez la restauration trimestriellement.
Notification d'incidents (procédure ANSSI)
La NIS2 impose de notifier l'ANSSI dans les 24h pour les incidents significatifs. Préparez un template d'incident, désignez un point de contact ANSSI, et testez la procédure annuellement.
Mise en conformité NIS2
Audit NIS2 gratuit pour votre PME — résultat en 48h
D-Open réalise un diagnostic NIS2 de votre infrastructure avec les outils open source adaptés à votre secteur. Rapport de conformité + plan d\'action priorisé.
Demander mon audit NIS2 gratuit →Tableau comparatif des outils open source NIS2
| Outil | Fonction NIS2 | Article NIS2 | Hébergement |
|---|---|---|---|
| Wazuh | SIEM / Détection intrusion | Art. 21 (d) | Auto-hébergé France |
| GVM / Greenbone | Gestion vulnérabilités | Art. 21 (b) | Auto-hébergé |
| OpenSCAP | Durcissement systèmes | Art. 21 (b) | Local / CI-CD |
| MONARC | Analyse des risques | Art. 21 (a) | Auto-hébergé |
| Graylog CE | Centralisation logs | Art. 23 (notification) | Auto-hébergé |
| Bacula CE | Sauvegardes chiffrées | Art. 21 (c) | Auto-hébergé France |
FAQ — NIS2 et PME françaises
La NIS2 s'applique-t-elle aux PME françaises ?▼
Oui, si votre PME opère dans un secteur critique (énergie, transport, santé, finance, numérique, eau) et dépasse certains seuils : 50 salariés ou 10 M€ de CA pour les entités importantes. L'ANSSI publie un outil d'auto-évaluation gratuit.
Quelles sont les sanctions NIS2 pour une PME non conforme ?▼
Pour les entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial. Pour les entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial. Des sanctions progressives sont prévues via des mises en demeure avant amende.
Quels outils open source pour la conformité NIS2 ?▼
Wazuh (SIEM/détection), GVM/Greenbone (gestion vulnérabilités), OpenSCAP (durcissement), MONARC (analyse risques), Graylog (gestion logs), Bacula (sauvegardes), Netbox (inventaire actifs). Tous sont gratuits et hébergeables en France.
En combien de temps peut-on se conformer à NIS2 ?▼
Une PME qui part de zéro peut atteindre un niveau de conformité NIS2 opérationnel en 3 à 6 mois avec un accompagnement structuré. Les 8 étapes de ce guide, bien exécutées, couvrent les exigences Article 21 (mesures techniques) et Article 23 (notification).
Passez à l\'action
Conformité NIS2 en 3 mois avec des outils open source
D-Open vous accompagne de l\'audit initial au plan d\'action priorisé, en utilisant uniquement des outils open source hébergés en France. Sans budget excessif.
Démarrer mon audit NIS2 gratuit →Sans engagement · Résultat en 48h · 100 % open source · Hébergé en France