NIS2 et systèmes de sûreté connectés : ce que vos caméras ont à voir avec la directive européenne
La transposition française de NIS2 n’est pas encore finalisée. Mais l’ANSSI est claire : n’attendez pas. Les enregistrements obligatoires démarrent au second semestre 2026. Les premiers contrôles arrivent fin 2026-2027. Et les sanctions — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial — s’activeront à partir de 2027. Ce n’est plus un sujet pour juristes. C’est un chantier opérationnel.
De quoi parle-t-on exactement ? NIS2 — pour Network and Information Security 2 — est une directive européenne adoptée en 2022 qui impose aux organisations de prendre la cybersécurité au sérieux. Pas comme une bonne pratique. Comme une obligation légale assortie de sanctions réelles. En France, c’est l’ANSSI qui en supervise l’application : elle publie les référentiels, accompagne les entités concernées, audite et, le cas échéant, sanctionne.
Sous la précédente version du texte, environ 500 grandes entreprises entraient dans le champ. Avec NIS2, on passe à entre 10 000 et 15 000 entités en France. PME de plus de 50 salariés, ETI, opérateurs dans l’énergie, les transports, la santé, l’eau, les infrastructures numériques — si vous opérez dans l’un de ces secteurs, vous êtes probablement concerné. Et si vous gérez des systèmes de sûreté connectés sur ces sites, vos équipements entrent dans le périmètre.
Ce que NIS2 impose concrètement
L’article 21 de la directive liste dix mesures minimales. En pratique, voici ce que l’ANSSI va vérifier : une analyse de risques documentée — pas un tableau Excel, une démarche structurée. Un plan de gestion des incidents — qui fait quoi, en combien de temps, avec quelle notification. Une sécurisation de la chaîne d’approvisionnement — vos fournisseurs critiques sont dans le périmètre. Des contrôles d’accès renforcés — le MFA n’est plus une option. Et surtout : une implication documentée de la direction.
Ce dernier point mérite qu’on s’y arrête. NIS2 ne s’adresse pas seulement aux DSI et aux RSSI. Il parle aux dirigeants, aux membres du conseil d’administration, aux DG. La conformité n’est plus une affaire de techniciens. C’est une responsabilité de gouvernance — avec une responsabilité personnelle à la clé.
Le Référentiel Cyber France (ReCyF v2.5) : la traduction opérationnelle
En mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF v2.5), qui traduit les exigences NIS2 en 20 objectifs de sécurité concrets. Gouvernance, maintien en condition de sécurité, segmentation réseau, gestion des incidents, supervision — chaque objectif correspond à des preuves tangibles que l’ANSSI peut exiger lors d’un contrôle.
Et l’ANSSI l’a dit explicitement : elle audite la réalité opérationnelle, pas la documentation papier. Avoir des politiques écrites sans les avoir mises en œuvre ne protège pas. Ce qui protège, c’est pouvoir montrer des journaux de formation, des résultats d’audits, des registres de risques à jour, des preuves de tests effectifs.
Ce que ça change pour vos systèmes de sûreté
C’est là que beaucoup d’organisations ont un angle mort. Les systèmes de vidéoprotection, de contrôle d’accès et les VMS connectés sont désormais dans le périmètre NIS2 au même titre que les systèmes d’information classiques. Or, ils ont souvent été déployés sans les exigences de sécurité qui s’appliquent à l’informatique de gestion : mises à jour non appliquées, accès distants sans traçabilité, flux vidéo non chiffrés, segmentation réseau inexistante.
Concrètement, les questions à se poser dès maintenant : les API d’accès aux flux vidéo vérifient-elles les droits de chaque requête ? Les accès au VMS sont-ils authentifiés avec des mécanismes robustes — certificats, authentification multifacteur ? Les logs sont-ils conservés et auditables ? La segmentation entre caméras, serveur VMS et postes opérateurs est-elle documentée ? Ces questions ne sont pas théoriques : ce sont précisément les mécanismes que l’ANSSI retrouve le plus souvent dans les incidents réels.
C’est parce que Komanche a anticipé ces exigences que K-Safe n’a pas à être mis en conformité après coup. Chiffrement natif AES-256, authentification mutuelle par certificats X.509, traçabilité complète des accès, architecture conforme aux référentiels ANSSI, chaîne de valeur 100 % française — ces choix de conception répondent directement à plusieurs des 20 objectifs ReCyF. Les objectifs complémentaires sont adressés dans le cadre d’un plan d’accompagnement personnalisé, déployé selon le niveau de maturité de chaque organisation et les priorités définies conjointement. K-Safe entre dans votre périmètre NIS2 comme une réponse — pas comme un problème supplémentaire à gérer.