NIS2 pour agences web et SaaS : que faire concrètement ?

Le numérique est l’un des secteurs les plus directement ciblés par la directive NIS2, et pourtant l’un des moins bien préparés en France. Les agences web, SaaS B2B, ESN, MSP/MSSP, hébergeurs cloud et infogéreurs sont explicitement listés dans les annexes de la directive, et beaucoup d’entre eux sont concernés quelle que soit leur taille. Mais la plupart fonctionnent encore avec des effectifs limités, sans RSSI, et sans structuration cyber documentée. Cet article fait le point sur ce que NIS2 demande concrètement aux acteurs du numérique en 2026, avec un plan d’action pragmatique.

Le numérique, secteur prioritaire NIS2

La directive distingue plusieurs catégories d’activités numériques relevant de NIS2.

Catégorie « infrastructures numériques » (annexe I, secteur hautement critique) : opérateurs DNS, registres de noms de domaines de premier niveau (TLD), points d’échange Internet (IXP), fournisseurs de services cloud (IaaS, PaaS, SaaS), opérateurs de centres de données, fournisseurs de réseaux de diffusion de contenu (CDN), fournisseurs de services managés (MSP), fournisseurs de services de sécurité managés (MSSP), opérateurs de communications électroniques (téléphonie, Internet, fibre), prestataires de services de confiance.

Catégorie « fournisseurs de services numériques » (annexe II, autres secteurs critiques) : places de marché en ligne, moteurs de recherche en ligne, plateformes de réseaux sociaux.

À ces catégories explicites s’ajoute l’effet chaîne d’approvisionnement : tout prestataire numérique fournissant une entité essentielle ou importante peut être appelé à se conformer indirectement.

Qui est concerné parmi les acteurs numériques ?

La règle générale (50 salariés ou 10 M€ de CA) ne s’applique pas pour certains acteurs.

Sont concernés quelle que soit leur taille : opérateurs DNS, registres TLD, IXP, fournisseurs de services managés (MSP), fournisseurs de services de sécurité managés (MSSP), prestataires de services de confiance, certains fournisseurs de communications électroniques. Ces structures sont concernées dès le premier euro de chiffre d’affaires.

Sont concernés avec les seuils habituels (50 salariés ou 10 M€ de CA pour entités importantes, 250 salariés ou 50 M€ pour entités essentielles) : autres fournisseurs cloud et SaaS, datacenters non critiques, places de marché, moteurs de recherche, réseaux sociaux.

Pour une agence web classique, la situation dépend de l’activité réelle :

• agence qui livre des sites WordPress et passe à autre chose : généralement hors champ direct, sauf si grande taille,
• agence qui héberge et exploite des sites de clients (infogérance, MSP) : concernée comme MSP quel que soit l’effectif,
• agence qui développe et exploite des SaaS B2B : concernée comme fournisseur cloud au-dessus des seuils.

Pour un SaaS B2B, la situation est généralement claire : si le service est cloud-based et facturé à l’usage, l’éditeur est un fournisseur cloud au sens NIS2 dès qu’il dépasse 50 salariés ou 10 M€ de CA.

Pourquoi NIS2 cible particulièrement le numérique

Trois raisons expliquent que la directive accorde une attention spéciale aux acteurs du numérique.

Première raison : la criticité systémique. Une attaque sur un grand fournisseur cloud peut paralyser des centaines de milliers d’entreprises clientes (cf. les pannes AWS ou Azure de ces dernières années). Une attaque sur un MSP peut compromettre simultanément tous les clients qu’il gère (cas Kaseya en 2021).

Deuxième raison : l’effet d’amplification des supply chain attacks. Une vulnérabilité dans un composant logiciel largement diffusé (Log4Shell, MOVEit, …) peut être exploitée à grande échelle. Les acteurs qui développent ou intègrent du logiciel sont en première ligne.

Troisième raison : la dépendance des services essentiels au numérique. Hôpitaux, banques, énergie, transport : tous reposent sur des fournisseurs numériques qui doivent eux-mêmes être sécurisés pour que la chaîne tienne.

Obligations spécifiques aux acteurs numériques

Les dix mesures de l’article 21 NIS2 s’appliquent à tous les acteurs concernés, mais elles prennent une coloration particulière dans le numérique.

Sécurité du développement et du déploiement : intégration de scans de vulnérabilités dans les pipelines CI/CD, revue de code, tests d’intrusion sur les nouvelles versions majeures, gestion des dépendances tierces (SBOM, dependency check). Pour un éditeur SaaS, c’est un volet incontournable.

Sécurité de l’hébergement : configuration sécurisée des environnements (durcissement, désactivation des services inutiles), chiffrement des données client au repos et en transit, journalisation et conservation des logs, sauvegardes immuables, plan de continuité avec RTO/RPO chiffrés.

Sécurité de la chaîne d’approvisionnement amont : audit des fournisseurs de composants critiques (CDN, base de données managée, services tiers d’authentification), plans de réversibilité, alternatives identifiées en cas de défaillance.

Notification d’incident : procédure spécifique pour les incidents affectant la disponibilité, l’intégrité ou la confidentialité des services rendus aux clients. Pour un MSP qui subit un ransomware, la notification doit être faite à la fois aux clients impactés (obligation contractuelle), à l’ANSSI (NIS2) et à la CNIL (RGPD si données personnelles).

Continuité d’activité : pour les services managés et SaaS, le plan de continuité doit garantir que les services essentiels rendus aux clients continuent à fonctionner même en cas d’incident majeur. Cela passe par des architectures haute disponibilité, des tests de bascule réguliers, et des procédures dégradées documentées.

Gestion des accès clients : MFA obligatoire pour les accès clients à leurs propres environnements, gestion stricte des comptes à privilèges, journalisation détaillée des accès, alertes sur les comportements anormaux.

Cas pratique : une agence web qui devient infogéreuse

Beaucoup d’agences web sont passées progressivement de la livraison de sites à l’infogérance (hébergement managé, mise à jour des sites WordPress et e-commerce, surveillance, intervention en cas de panne). Cette évolution les fait basculer dans la catégorie fournisseur de services managés au sens NIS2, avec des conséquences importantes.

Pour une agence de 8 personnes qui infogère 50 sites WordPress de clients PME, voici les actions concrètes à mener avant le 17 octobre 2026 :

Politique de sécurité : un document de 10-15 pages décrivant les principes de sécurité de l’agence, le périmètre des services, les rôles et responsabilités. Approuvé par le dirigeant.

Analyse de risques : cartographie des actifs (serveurs, plateformes de gestion, accès clients), identification des menaces principales (compromission d’un compte admin, ransomware, vol de données), plan de traitement.

MFA généralisée : sur tous les comptes administratifs internes, sur tous les accès aux serveurs gérés, sur tous les CMS clients (au moins pour les comptes admin).

Sauvegardes immuables : pour tous les sites infogérés, avec test de restauration documenté au moins une fois par an.

Plan de réponse aux incidents : procédure détaillée incluant la communication aux clients en cas d’incident affectant leur site, la notification à l’ANSSI dans les 24h-72h si l’incident est significatif, le retour d’expérience post-incident.

Charte fournisseurs : pour les services tiers utilisés par l’agence (Cloudflare, Stripe, Mailgun, etc.), évaluation de leur niveau de sécurité, identification des alternatives en cas de défaillance.

Formation : sensibilisation annuelle des collaborateurs (1h minimum), exercices phishing, formation cybersécurité spécifique pour le dirigeant.

L’effort total représente 4 à 8 semaines de travail réparties sur 3 à 4 mois, plus quelques milliers d’euros de prestation externe (audit, modèles de politiques, paramétrage technique).

Cas pratique : un SaaS B2B de 25 personnes

Pour un éditeur SaaS B2B de 25 personnes au-dessus du seuil des 10 M€ de CA, l’enjeu est plus large. Voici les chantiers à structurer.

Sécurité produit : revue de l’architecture, intégration des scans de sécurité dans la CI/CD, gestion des secrets (Vault, AWS Secrets Manager), tests d’intrusion annuels.

Sécurité opérationnelle : durcissement des serveurs, configuration sécurisée du cloud, journalisation centralisée, surveillance des comportements anormaux.

Sécurité d’accès clients : SSO et MFA disponibles, gestion fine des permissions, journalisation des actions sensibles, capacité à fournir aux clients leurs propres journaux.

Continuité : architecture multi-AZ ou multi-région selon la criticité, sauvegardes immuables, plan de bascule testé, RTO/RPO contractuels affichés.

Conformité documentée : politique de sécurité, charte fournisseurs, plan de continuité, plan de réponse aux incidents, rapport d’audit annuel. Idéalement, démarche ISO 27001 lancée.

Notification client : procédure et délais documentés pour informer les clients en cas d’incident affectant leurs données.

Pour un SaaS B2B, NIS2 est aussi un argument commercial : la capacité à fournir un dossier de conformité sérieux est rapidement décisive sur les ventes B2B grands comptes.

Le piège du « on est sur AWS, donc on est protégés »

Beaucoup d’éditeurs SaaS pensent que l’utilisation d’un grand fournisseur cloud (AWS, Azure, GCP) suffit à les rendre conformes. C’est une erreur. Les fournisseurs cloud opèrent un modèle de responsabilité partagée : ils sécurisent l’infrastructure, vous sécurisez votre application, vos configurations, vos accès et vos données.

Concrètement, AWS chiffre les disques mais ne configure pas vos buckets S3 (combien de fuites de données via des buckets en lecture publique ?). AWS fournit IAM mais ne gère pas la rotation de vos clés. AWS journalise tout mais ne configure pas vos alertes pour vous.

Une démarche NIS2 doit explicitement adresser le périmètre client du cloud, c’est-à-dire l’usage que vous en faites.

ROI commercial de la conformité NIS2 dans le numérique

Pour un acteur numérique qui vend en B2B, la conformité NIS2 a un ROI commercial direct. Plusieurs effets concrets observés chez nos clients :

Réduction du cycle de vente B2B grands comptes : un dossier de conformité sérieux raccourcit le passage par la sécurité du donneur d’ordre, qui peut prendre plusieurs mois en absence de documentation.

Différenciation tarifaire : sur des appels d’offres comparables, le prestataire conforme NIS2 avec rapport opposable peut justifier une tarification 10-20% supérieure.

Réduction des primes d’assurance cyber : en 2026, les compagnies d’assurance demandent systématiquement une preuve de conformité minimale (souvent inspirée des dix mesures NIS2) pour souscrire ou renouveler.

Argument de pitch commercial : la mention « Conforme NIS2 » sur les supports commerciaux et les RFP est rapidement attendue par les acheteurs grands comptes.

Conclusion

Le numérique est l’un des secteurs les plus directement concernés par NIS2, et la mise en conformité y est à la fois un devoir réglementaire et un levier commercial. Pour une agence web devenue infogéreuse, un éditeur SaaS B2B, un MSP ou un MSSP, la démarche structurée de mise en conformité prend 3 à 6 mois et 5 000 à 15 000 € d’investissement total. Le ROI commercial seul justifie généralement l’effort dès la deuxième vente B2B significative.

Pour démarrer concrètement : le quiz NIS2 en 5 minutes, le pré-audit à 299 € calibré pour les acteurs numériques, et l’audit complet à 1 500 € qui produit un rapport opposable adapté aux questionnaires fournisseurs.