Depuis la publication du Référentiel Cyber France par l’ANSSI le 17 mars 2026, une asymétrie de marché s’est installée. Les Entités Importantes au sens de NIS2 — typiquement des ETI de 50 à 250 salariés réalisant entre 10 et 50 millions d’euros de chiffre d’affaires — reçoivent depuis des mois des propositions commerciales calibrées sur les exigences applicables aux Entités Essentielles, c’est-à-dire les grandes entreprises de secteurs hautement critiques.
Cette asymétrie n’est pas neutre. Une démarche de mise en conformité pensée pour une Entité Essentielle représente typiquement un budget annuel de 80 à 150 k€ avec EBIOS Risk Manager complet, audit annuel, plan d’action sur 18 à 24 mois. Une démarche réellement adaptée à une Entité Importante peut être trois à quatre fois moins coûteuse. La différence n’est pas anecdotique : elle conditionne la capacité financière d’une ETI à absorber l’effort de conformité sans grever sa marge opérationnelle.
Trois éléments factuels permettent de cadrer correctement la question.
1. Ce que dit le règlement européen
L’article 21 de la directive (UE) 2022/2555 (NIS2) impose les mêmes dix mesures techniques et organisationnelles minimales aux Entités Essentielles et aux Entités Importantes, avec une formulation explicite : « appropriées et proportionnées ». Cette formulation, souvent ignorée par les lecteurs pressés du règlement, ouvre un espace de proportionnalité considérable que l’ANSSI a précisé dans son référentiel français.
2. Ce que change le ReCyF v2.5
Le Référentiel Cyber France publié en mars 2026 comme document de travail traduit les exigences NIS2 en vingt objectifs de sécurité. La différenciation Entité Essentielle / Entité Importante y est explicite et structurante : les Entités Importantes sont tenues d’atteindre les quinze premiers objectifs, les Entités Essentielles les vingt. Les cinq objectifs supplémentaires applicables aux seules Entités Essentielles (objectifs 16 à 20) couvrent l’approche formelle par les risques, les audits réguliers, le durcissement avancé des configurations, l’administration depuis des ressources dédiées, et la supervision de sécurité renforcée.
L’ANSSI précise par ailleurs que « ReCyF intègre un principe de proportionnalité selon lequel le niveau d’effort attendu est adapté à la maturité des entités et aux ressources dont elles disposent ». Ce principe est officialisé dans le référentiel, pas seulement déduit de la formulation du règlement.
Enfin, l’ANSSI a annoncé un second référentiel à venir, « Cyber Départ », qui constituera un sous-ensemble du Référentiel Cyber France pour les entités les moins matures. Cette publication complétera le dispositif pour permettre aux organisations en début de structuration cyber d’engager une démarche progressive.
3. Le mode de supervision n’est pas le même
Au-delà des objectifs eux-mêmes, le mode de supervision diverge nettement. Les Entités Essentielles sont soumises à une supervision ex ante par l’ANSSI : contrôles proactifs, audits réguliers, vérifications préalables. Les Entités Importantes ne sont soumises qu’à une supervision ex post : l’autorité n’intervient qu’en cas d’incident notifié, de plainte ou de suspicion de manquement. Cette différence opérationnelle implique qu’une Entité Importante peut documenter de manière plus légère sa démarche de mise en conformité sans s’exposer à un contrôle inopiné, sous réserve évidemment de pouvoir produire les éléments de conformité en cas de demande.
Les plafonds de sanctions diffèrent également. Les Entités Essentielles peuvent être sanctionnées jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel. Les Entités Importantes sont plafonnées à 7 millions d’euros ou 1,4 %. La suspension temporaire des fonctions de direction ne s’applique qu’aux Entités Essentielles.
Ce que cela change concrètement
Une Entité Importante qui démarre son chantier de mise en conformité NIS2 en 2026 a tout intérêt à demander explicitement à ses consultants ou prestataires que le périmètre de la mission soit calibré sur les quinze objectifs ReCyF, en intégrant le principe de proportionnalité dès le cadrage. Concrètement, cela signifie :
- Ne pas appliquer par défaut une démarche EBIOS Risk Manager complète si elle excède le niveau d’effort proportionné à la maturité et aux ressources de l’entité.
- Ne pas systématiquement viser un niveau de couverture audit ANSSI compatible avec un contrôle ex ante, alors que l’entité ne sera contrôlée qu’ex post.
- Limiter le périmètre documentaire au strict nécessaire, sans démultiplier les politiques et procédures.
- Privilégier les preuves d’effectivité opérationnelle (logs, indicateurs, exercices) plutôt que la documentation théorique.
- Anticiper la publication de Cyber Départ pour les entités les moins matures, qui pourrait offrir un point d’entrée encore plus modeste.
Pour les responsables qui commandent ces démarches
Si vous êtes dirigeant ou directeur financier d’une Entité Importante et que vous recevez une proposition de mise en conformité NIS2 chiffrée au-dessus de 80 k€ annuel, posez trois questions simples à votre prestataire potentiel.
Première question : le périmètre couvre-t-il les quinze objectifs ReCyF applicables aux Entités Importantes, ou les vingt objectifs applicables aux Entités Essentielles ? Si la réponse est ambiguë, vous payez probablement pour des obligations qui ne s’appliquent pas à vous.
Deuxième question : la démarche EBIOS proposée est-elle calibrée en jours-homme proportionnés à votre profil de risque réel, ou applique-t-elle un standard d’Entité Essentielle ? Une démarche EBIOS proportionnée à une Entité Importante peut se conduire en deux à cinq jours, pas en quinze.
Troisième question : le livrable inclut-il un suivi vivant du référentiel ou s’agit-il d’une analyse statique qui vieillira en six mois ? L’ANSSI insiste sur la dimension dynamique de la démarche de risque. Une analyse annuelle est une réponse partielle à une exigence vivante.
En conclusion
Les Entités Importantes représentent l’écrasante majorité des 18 000 entités françaises désormais dans le périmètre NIS2. La plupart n’ont ni les budgets ni les équipes des grandes entreprises pour absorber un chantier disproportionné. Le ReCyF v2.5 reconnaît cette réalité en officialisant un principe de proportionnalité et en différenciant les obligations. Reste à ce que les démarches commerciales qui leur sont proposées intègrent réellement cette nuance, plutôt que de leur vendre un dispositif d’Entité Essentielle sous couvert de prudence.
Cette différence de calibrage ne réduit pas l’enjeu de la mise en conformité — les sanctions de 7 millions d’euros restent dissuasives, et la responsabilité personnelle des dirigeants reste engagée. Elle invite simplement à ce que l’effort de conformité soit proportionné à l’organisation qui le porte. C’est probablement la nuance la plus importante à intégrer pour une ETI en 2026.
Sources : directive (UE) 2022/2555 article 21 ; Référentiel Cyber France v2.5 publié par l’ANSSI le 17 mars 2026 ; recommandation européenne 2003/361/CE sur la définition de la PME ; communication ANSSI du 17 mars 2026.
Commentaires récents