NIS2 et Collectivités Locales : Vers une mise en conformité concrète et mutualisée

La directive NIS2, attendue pour une transposition en droit français à la rentrée 2025, imposerait de nouvelles obligations aux collectivités locales et territoriales, notamment celles de plus de 30 000 habitants. Elle impliquerait des mesures fortes en matière de gouvernance cyber, de gestion des risques, et de sécurisation de la chaîne d'approvisionnement.

Pourtant, sur le terrain, la réalité est contrastée : faibles moyens, manque de profils qualifiés, difficulté à mobiliser les décideurs.

Lors d'un webinaire organisé par Board of Cyber en juin 2025, trois intervenants sont venus partager leur expérience pour aider les collectivités à se mettre en mouvement face à ces enjeux majeurs :

• Anne-Sophie Colléaux, Coordinatrice du dispositf CYBIAH - Campus Cyber,
• Justine Terzi, chargée de mission cybersécurité pour la Métropole du Grand Paris,
• Vincent Thau, responsable secteur public chez Board of Cyber.

Cet article revient sur les temps forts de cet échange et les conseils concrets partagés pour répondre à la directive NIS2, en particulier sur le volet critique de l'évaluation cyber des fournisseurs.

Pourquoi NIS2 est une opportunité pour les collectivités

30% des collectivités ont été victimes d'un rançongiciel en 2024. Pourtant, trop de DSI / RSSI peinent encore à faire entendre leur voix auprès des élus. « Il faut cesser de voir la cybersécurité comme un centre de coûts. Elle permet de proposer des services plus résilients et plus innovants aux citoyens », insiste Anne-Sophie Colléaux.

La directive NIS2 impose aux collectivités de :

• Désigner un RSSI ou un pilote cyber
• Intégrer la cybersécurité dans leur stratégie globale
• Détecter, notifier et réagir rapidement en cas d'incident
• Encadrer la chaîne d'approvisionnement, maillon faible souvent oublié
• Sensibiliser les agents (80% des risques sont humains)

Elle instaure un statut d'« entité essentielle » (communes > 30 000 habitants), et renforce la responsabilité juridique en cas de non-conformité.

« Mieux vaut anticiper que de subir », ajoute Anne-Sophie Colléaux. "Des outils anciens, comme le site web d'une piscine municipale, peuvent rester connectés et exposer la collectivité."

Le retour d'expérience de la Métropole du Grand Paris : un modèle à suivre

C'est dans ce contexte que le programme CYBIAH – piloté par le Campus Cyber – accompagne les acteurs économiques franciliens les plus vulnérables (TPE, PME, structures de l’économie sociale et solidaire) dans leur montée en maturité cyber. Ce dispositif est intégralement financé par la Région Île-de-France et l’Union européenne.

S’appuyant sur le programme CYBIAH piloté par le Campus Cyber, la Métropole du Grand Paris propose un accompagnement 100 % gratuit à ses 130 communes. Cette initiative démontre la capacité de CYBIAH à être répliqué et adapté aux spécificités du secteur public local.

Le dispositif s'appuie sur 3 étapes :

1. Analyse externe via Board of Cyber pour identifier les communes les plus vulnérables
2. Diagnostic personnalisé mené par des experts
3. Plan de sécurisation avec un accompagnement jusqu'à la mise en place des mesures

Une brique spécifique NIS2 a été ajoutée :

« Nous passons 250 points de contrôle avec les communes concernées » explique Justine Terzi. « L’objectif est de démystifier la directive, de l’expliquer clairement pour lever les freins. »

Quelques chiffres clés :

• 100% des places du programme remplies en 20 jours
• 20 communes accompagnées depuis février 2025
• 15 communes en liste d’attente

Le constat est clair : la demande est forte. Mais seulement 14% des collectivités se sentent prêtes face à la menace cyber.

Dans la continuité de cette dynamique, une nouvelle phase du programme, “CYBIAH 2.0”, intégrera prochainement un accompagnement sur les enjeux d’intelligence artificielle (IA).

Comment Board of Cyber accompagne les collectivités : zoom sur la gestion des risques fournisseurs

« Dans un contexte de ressources limitées, la mutualisation est la clé pour accélérer la mise en conformité » souligne Vincent Thau.

Board of Cyber intervient à la première étape du programme : l'évaluation de la maturité cyber grâce à sa plateforme Security Rating. Celle-ci permet :

• De cartographier l’exposition publique d’une collectivité
• D’identifier les interfaces sensibles, les failles (phishing, usurpation, admin exposées...)
• De restituer un score clair et compréhensible pour dialoguer avec les élus
• D’observer la progression dans le temps
• De créer un observatoire mutualisé à léchelle d’un territoire

« On ne se contente pas d’une photo à l’instant T. La plateforme permet un suivi dans le temps et une animation continue du plan de remédiation ».

Board of Cyber permet aussi d’évaluer les fournisseurs critiques :

« La Métropole du Grand Nancy utilise notre solution pour vérifier les risques cyber de ses sous-traitants lors du référencement. Cela devient une exigence clé de NIS2 ».

Ce volet est trop souvent oublié, alors qu'il est au cœur de l'article 21 de NIS2, qui impose d'assurer la sécurité de la chaîne d'approvisionnement.

Ce qu’il faut retenir : conseils concrets pour les collectivités

• Ne pas attendre la transposition pour agir
• S'appuyer sur des dispositifs existants comme Cybiah
• Commencer par un diagnostic simple avec Board of Cyber
• Ne pas négliger les fournisseurs : ils peuvent être la porte d’entrée d’une attaque
• Mutualiser à l’échelle du territoire : c’est plus efficace et moins coûteux

« La cybersécurité n’est pas une charge, c’est un levier d’innovation et de confiance »

Prochaines étapes pour les collectivités territoriales

Vous représentez une commune, une communauté d'agglomération ou une métropole ? Vous souhaitez reproduire le modèle de la Métropole du Grand Paris et passer à l'action ?

Board of Cyber peut vous aider à :

• Diagnostiquer la maturité cyber de vos entités
• Construire un observatoire de votre territoire
• Évaluer vos fournisseurs critiques et anticiper NIS2

Contactez notre spécialiste Vincent Thau via ce formulaire

Pour étudier les conditions de déploiement sur votre territoire, prenez rendez-vous avec l’équipe CYBIAH, pilotée par le Campus Cyber : [email protected]