Articles Produit

Firewall et NIS2 : votre sécurité réseau mise à l’épreuve

16 juillet 2026

Firewall et NIS2 : ce que la directive exige vraiment de votre pare-feu

Ce qu’il faut retenir

TL;DR

1

La directive NIS2 impose désormais aux PME et ETI de démontrer, et non plus seulement déclarer, leur conformité réseau.

2

Le firewall reste le premier point de défaillance : sans mises à jour, sans règles actualisées et sans journalisation active, il ne répond plus aux exigences réglementaires.

3

Un Next Gen Firewall opéré par une équipe dédiée apporte la visibilité en temps réel, la détection d’intrusion proactive et la traçabilité des accès exigées par NIS2.

4

Concerné ou non par NIS2, les exigences de la directive constituent un socle d’hygiène réseau que toute entreprise a intérêt à adopter.

Firewall et NIS2 : un enjeu urgent

La directive NIS2 concerne, depuis fin 2024, plus de 15 000 entités en France. Parmi ses exigences figurent la traçabilité des accès, la détection d’incidents et la journalisation réseau. Autant d’obligations qui imposent de se concentrer sur un équipement de sécurité en particulier, le firewall.

Avec le firewall, les problématiques souvent rencontrées sont liées à son exploitation. Un firewall ne recevant pas de mise à jour et dont la journalisation (logs) n’est pas correctement effectuée, ne répond pas aux mesures et aux obligations attendues par NIS2 pour une gestion améliorée des risques. C’est pourtant cette situation, entre autres, qui prévaut chez la majorité des PME.

C’est quoi, la directive NIS2 ?

De NIS à NIS2 : un changement d’échelle

Avant de parler de firewall, revenons un instant sur ce que recouvre ce sigle. NIS signifie Network and Information Security, soit sécurité des réseaux et des systèmes d’information. La première directive NIS, adoptée en 2016 et transposée en France en 2018, constituait le premier cadre européen commun en matière de cybersécurité. Son périmètre restait toutefois limité : en France, environ 300 « opérateurs de services essentiels » étaient concernés, essentiellement de grandes organisations des secteurs de l’énergie, du transport, de la santé ou de la banque.

Entre-temps, la menace a changé de nature. Les attaquants ont cessé de viser uniquement les grands comptes, bien défendus, pour se reporter sur leurs sous-traitants, leurs fournisseurs et, plus largement, sur les PME et ETI dont la maturité cyber est moindre. C’est ce constat qui a conduit l’Union européenne à adopter fin 2022 la directive NIS2, applicable depuis le 17 octobre 2024. Le changement d’échelle est considérable : on passe de quelques centaines d’entités régulées à plus de 15 000 en France selon l’ANSSI, réparties dans 18 secteurs d’activité, collectivités territoriales comprises.

Une précision utile : une directive européenne doit être transposée dans le droit de chaque État membre pour produire pleinement ses effets. En France, cette transposition passe par le projet de loi « résilience des infrastructures critiques et renforcement de la cybersécurité », encore en cours d’examen au Parlement au moment où nous écrivons ces lignes. Ce délai ne doit pas être lu comme un sursis : les exigences sont connues, les obligations arriveront avec une période de mise en conformité courte, et les entreprises qui s’y préparent dès maintenant abordent l’échéance sereinement.

Quelles entreprises sont concernées ?

NIS2 repose sur deux critères cumulatifs : le secteur d’activité et la taille de l’entreprise. Dès lors qu’une organisation emploie au moins 50 salariés ou réalise plus de 10 millions d’euros de chiffre d’affaires dans l’un des secteurs visés, elle entre dans le périmètre de la directive.

La directive distingue deux catégories, avec des obligations et des sanctions graduées. Les entités essentielles regroupent les grandes organisations (plus de 250 salariés ou plus de 50 millions d’euros de chiffre d’affaires) des secteurs dits hautement critiques : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, gestion des services TIC, administrations publiques et spatial. Les entités importantes couvrent les entreprises de taille intermédiaire de ces mêmes secteurs, ainsi que des secteurs critiques additionnels : services postaux, gestion des déchets, chimie, agroalimentaire, industrie manufacturière (dispositifs médicaux, électronique, machines, automobile), fournisseurs numériques et recherche.

Concrètement, une PME agroalimentaire de 60 salariés, un sous-traitant électronique de 80 personnes ou un transporteur régional peuvent être concernés, alors même qu’ils ne se perçoivent pas comme des acteurs « critiques ». Pour lever le doute, l’ANSSI met à disposition un test en ligne sur MonEspaceNIS2, qui permet en quelques questions de déterminer si votre organisation entre dans le périmètre et dans quelle catégorie.

Pas concerné par NIS2 ? Les bonnes pratiques restent les mêmes

Si votre entreprise n’entre pas dans le périmètre de la directive, la question de la protection de votre réseau ne disparaît pas pour autant, et ce pour au moins trois raisons.

D’abord, parce que les exigences de NIS2 ne sont pas des inventions réglementaires : journalisation active, mises à jour régulières, segmentation du réseau, authentification multi-facteurs, sauvegardes testées. Ce sont les fondamentaux de l’hygiène informatique que l’ANSSI recommande de longue date à toutes les organisations, quelle que soit leur taille. La directive ne fait que rendre obligatoire ce qui relevait déjà des bonnes pratiques.

Ensuite, par effet de ruissellement : NIS2 impose aux entités régulées de maîtriser la sécurité de leur chaîne d’approvisionnement. Autrement dit, si vos clients sont concernés, ils vous demanderont tôt ou tard des garanties sur votre propre niveau de sécurité, questionnaires et clauses contractuelles à l’appui. Un fournisseur incapable de démontrer une gestion sérieuse de son firewall pourra se voir écarté d’un appel d’offres, sans qu’aucun texte ne l’y oblige directement.

Enfin, parce que les attaquants ne consultent pas le Journal officiel avant de choisir leurs cibles. Les PME restent les premières victimes des cyberattaques précisément parce qu’elles s’estiment trop petites pour intéresser qui que ce soit. Les recommandations détaillées dans cet article valent donc pour toute entreprise soucieuse de sa cybersécurité, qu’elle soit ou non dans le périmètre réglementaire.

Quels impacts de NIS2 sur votre sécurité réseau ?

De la conformité déclarative à la conformité démontrable

La directive NIS2 introduit un changement de logique et vous demande dorénavant de démontrer que votre sécurité réseau fonctionne dans son ensemble.

Concrètement, l’article 21 de la directive impose parmi d’autres, des exigences autour de la gestion et l’analyse des incidents d’abord, avec une obligation de notification à l’ANSSI sous 24 heures en cas d’incident significatif. D’où la nécessité de documenter en continu les flux et les règles de filtrage.

La mise en place d’une sécurité technique minimale comprenant de l’authentification multi-facteurs (MFA), du chiffrement de données, du cloisonnement de réseaux, un contrôle et une gestion des accès granulaire et traçable, un firewall actif avec journalisation, des tests de sauvegardes, un plan de continuité d’activité, etc. Autrement dit, sans journalisation active et sans inspection applicative, aucune de ces exigences ne peut être satisfaite.

À cela s’ajoute une nouveauté majeure introduite par NIS2 avec des sanctions en cas de non-respect, pouvant atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes et jusqu’à 10 millions d’euros ou 2 % pour les entités essentielles.

NIS2 transforme d’une certaine manière le firewall d’équipement technique en une pièce maîtresse d’un dispositif qui se doit d’être conforme à la réglementation européenne.

Pourquoi un firewall traditionnel ne suffit plus ?

Le symptôme du firewall fantôme, mal exploité

Dans de nombreux cas, le firewall a été déployé et configuré une fois par un intégrateur, puis il a vécu en quasi-autonomie.

Les logs s’accumulent sans analyse, les mises à jour firmware qui permettent de corriger les nouvelles failles de sécurité ou d’ajouter de nouvelles règles de détection accusent du retard.

On est ici face à un problème de charge où les équipes IT des PME gèrent simultanément les postes utilisateurs, la téléphonie, les sauvegardes, le cloud et les incidents du quotidien. Assurer alors la supervision proactive d’un firewall exige une disponibilité et une expertise que peu d’organisations peuvent fournir sur le long terme. Et c’est précisément cette exposition par défaut qui font des PME des cibles privilégiées des cyberattaques.

La conformité de votre Firewall avec NIS2, désormais incontournable

Un firewall mal exploité ne devient pas une passoire du jour au lendemain, mais le risque s’accumule silencieusement : chaque faille publiée et non corrigée élargit un peu plus la brèche. L’ANSSI le confirme dans son panorama de la cybermenace 2025 : les équipements de bordure (pare-feu, VPN, passerelles) restent la porte d’entrée préférée des attaquants, précisément parce qu’ils sont exposés en permanence sur Internet. Un firewall dont le firmware accuse plusieurs mois de retard cumule donc deux problèmes : un risque de compromission bien réel et une source de non-conformité réglementaire.

Avec NIS2 exigeant des logs exploitables, des règles à jour, une capacité de détection et de réponse documentée, il apparaît clair pour les PME et les ETI de devoir s’équiper rapidement d’un firewall Next Generation, en lieu et place de leur firewall traditionnel.

Découvrir le Firewall Cloud unyc

NextGen Firewall : un firewall opéré grâce à une prise en charge dédiée

NGFW et FWaaS : deux notions complémentaires

La compréhension des concepts derrière un NGFW et un FWaaS, souvent confondus, est importante pour pouvoir s’aligner correctement avec la directive NIS2.

Le Next Generation Firewall (NGFW) désigne un ensemble de capacités allant de l’inspection applicative profonde, du système de prévention des intrusions (IPS) et de la détection comportementale au filtrage par URL. Le Firewall-as-a-Service (FWaaS) désigne un mode de déploiement, hébergé dans le cloud, configuré et maintenu par le fournisseur (non pas par le client). À savoir également que les deux peuvent se combiner pour répondre aux exigences NIS2.

Là où un firewall traditionnel « voit » du trafic, un NGFW « voit » des usages et des comportements, puis agit en conséquence. Les capacités natives d’un NGFW, s’il est bien configuré, permettent de journaliser chaque session en détail, de bloquer les comportements anormaux et d’avoir une visibilité en temps réel depuis une console unique. Ces fonctionnalités clés de la sécurité réseau vont bien au-delà d’un équipement de première génération, qui plus est sous-exploité.

À lire : approfondir les mécanismes en jeu du FWaaS avec Firewall-as-a-Service : fonctionnement et sécurité réseau.

Un firewall opéré change beaucoup de choses vis-à-vis de NIS2

Un firewall dit « opéré » est un équipement dont les règles de surveillance sont révisées régulièrement, dont les alertes sont traitées sans délai par une équipe dédiée et dont le maintien en conditions opérationnelles est suivi de près, avec proactivité. Ce modèle répond de façon réaliste aux exigences NIS2.

Ce ne sont pas tant les capacités techniques de l’équipement qui le permettent, mais le fait qu’une équipe dédiée soit responsable de son maintien et de sa conformité, au jour le jour.

Avec un firewall opéré dans un cadre NIS2, l’intérêt devient finalement double, puisque votre équipe en charge de la sécurité peut reprendre la main sur la stratégie IT à l’échelle de l’entreprise, les choix d’architecture, la relation avec les différentes branches métiers et le recueil des besoins, etc. Elle ne se cantonne plus seulement à la maintenance d’un équipement de sécurité périmétrique.

Et dans ce contexte de sécurité globale, la garantie de continuité d’exploitation informatique, un autre pilier des exigences NIS2, se trouve elle aussi renforcée.

L’offre unyc face aux exigences NIS2

Une réponse concrète pour les PME et ETI

unyc propose un Firewall Cloud, basé sur la technologie FortiGate de Fortinet et hébergé sur ses propres infrastructures : aucun équipement physique à installer dans vos locaux, ni investissement matériel de départ.

Les rôles sont clairement répartis. unyc héberge la plateforme, en assure le maintien en conditions opérationnelles et accompagne le déploiement. Votre prestataire informatique, partenaire unyc, opère quant à lui votre firewall au quotidien : configuration des règles de filtrage, activation des fonctions de sécurité (prévention d’intrusion, filtrage applicatif) et suivi des alertes. Pour une PME ou une ETI, cette répartition est la plus réaliste : elle combine une infrastructure maintenue par un opérateur et un partenaire de proximité qui connaît votre réseau. Si votre prestataire habituel ne fait pas encore partie du réseau unyc, il peut le rejoindre.

Le modèle Firewall-as-a-Service donne ainsi accès à un niveau de protection NGFW sans investissement initial, avec un abonnement ajustable à la taille de votre organisation et au nombre de sites à couvrir. C’est une réponse directe pour les entités soumises à NIS2 et pour une équipe IT qui peut enfin se concentrer sur l’essentiel tout en faisant les bons choix.

Guide : comment choisir un Firewall-as-a-Service

NIS2 rend visible les menaces qui existaient déjà et oblige maintenant les organisations à une conformité démontrable. Pour beaucoup d’entre elles, le firewall sera le premier chantier de mise en conformité, essentiellement parce qu’il reste mal exploité.

Confier son firewall, et plus largement la sécurité informatique de son entreprise, à un partenaire dont c’est le métier, c’est transformer une contrainte réglementaire en une norme de sécurité pérenne.