nis2-pro.fr
Annexe II — autre secteur critique

Agroalimentaire et NIS2 : un secteur stratégique sous pression cyber

Périmètre : quelles entités du secteur sont concernées

La directive NIS2 cible les entreprises de 18 secteurs stratégiques qui dépassent les seuils de 250 employés OU 50 millions d'euros de CA OU 43 millions d'euros de bilan annuel pour les entités essentielles, et entre 50 et 249 employés OU 10 à 50 millions d'euros de CA pour les entités importantes. Pour le secteur agroalimentaire, inscrit à l'annexe II de la directive en tant que secteur critique, sont visées les structures de taille significative intervenant dans la production, la transformation et la distribution de denrées alimentaires en gros et en logistique.

Les acteurs français directement concernés incluent les grands groupes agroalimentaires comme Lactalis, Danone, LDC, Bigard, Tereos ou Bel, les centrales d'achat de la grande distribution, les plateformes logistiques alimentaires nationales, ainsi que les coopératives agricoles et industrielles d'envergure. La désignation exclut les agriculteurs individuels, les petites coopératives locales et la restauration, qui ne répondent pas aux critères de taille.

Le périmètre traduit une approche pragmatique : l'objectif n'est pas de réguler l'ensemble de la filière, mais de sécuriser les maillons concentrant le risque systémique. Une cyberattaque sur un industriel comme Lactalis peut perturber la chaîne d'approvisionnement de millions de Français ; une attaque sur une centrale d'achat paralyse des dizaines de magasins.

Cadre réglementaire : articulation NIS2 avec les autres textes sectoriels

La transposition française de NIS2 via la Loi Résilience est attendue au premier semestre 2026, la promulgation ayant été reportée à juillet 2026. Le secteur agroalimentaire relève à la fois de la directive européenne NIS2 et de réglementations sanitaires nationales et européennes déjà existantes, notamment le paquet hygiène, les règlements HACCP, et les dispositifs de traçabilité imposés par la Direction générale de l'alimentation (DGAL).

L'ANSSI, désignée autorité nationale pour NIS2 en France, pilote la transposition et supervisera les contrôles. Le 17 mars 2026, elle a publié le Référentiel Cyber France (ReCyF), document de travail qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Le ReCyF correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience et pourra être invoqué par les entités en cas de contrôle.

Les sanctions prévues sont dissuasives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles. Les dirigeants peuvent également voir leur responsabilité personnelle engagée, une rupture majeure par rapport aux régimes précédents.

Spécificités cybersécurité : risques propres au secteur

L'industrie manufacturière, la santé et l'agroalimentaire figurent parmi les trois secteurs les plus ciblés en 2024-2025, car une attaque sur ce type d'organisation a des impacts immédiats sur la capacité de production et donc le chiffre d'affaires. Les incidents cyber représentent le plus gros risque pour les entreprises en 2026, notamment après les attaques sur la brasserie Asahi au Japon et le site allemand d'Arla Foods en 2025.

Les usines agroalimentaires combinent systèmes de gestion (ERP, MES, traçabilité) et automates de production (OT — Operational Technology). La traçabilité informatique est essentielle pour le suivi de la chaîne depuis la production jusqu'au consommateur, et tout dysfonctionnement peut engendrer des impacts critiques sur l'intégrité du produit alimentaire ou la continuité de la chaîne de transformation, avec des enjeux de disponibilité, d'intégrité, de confidentialité et de traçabilité.

Les vecteurs d'attaque spécifiques incluent :

  • Ransomware sur les systèmes de production : blocage des lignes, impossibilité de fabriquer ou conditionner
  • Compromission de la traçabilité : impossibilité de rappeler des lots en cas de contamination, risque sanitaire majeur
  • Attaque sur l'IoT industriel : capteurs de température, sondes, automates connectés mal sécurisés
  • Exfiltration de données : recettes de fabrication, secrets industriels, données clients

Le secteur cumule systèmes techniques complexes mais souvent mal protégés, infrastructures critiques sensibles aux arrêts de production, et faible culture de la cybersécurité dans de nombreuses entreprises, notamment les PME. La maturité cybersécurité reste très inégale, avec un retard marqué chez les industriels de taille intermédiaire et les coopératives.

Incidents marquants : cas réels récents

JBS Foods, mai 2021 : paralysie mondiale d'un géant de la viande

Le 30 mai 2021, JBS, entreprise brésilienne de transformation de viande fournissant environ un cinquième de la viande mondiale, a subi une cyberattaque par ransomware paralysant ses abattoirs de bœuf et de porc aux États-Unis, Canada et Australie. JBS a payé une rançon de 11 millions de dollars en Bitcoin. L'attaque, attribuée au groupe russe REvil, a forcé la fermeture de 13 usines américaines pendant plusieurs jours. Les abattoirs américains ont traité 22 % de bovins en moins qu'une semaine auparavant et 18 % de moins qu'un an plus tôt, et la transformation de porc a également chuté.

L'attaque a débuté par une phase de reconnaissance en février 2021, suivie d'une exfiltration de données de mars à mai 2021 : 45 Go vers le site de partage Mega, et potentiellement 5 To de données vers des serveurs à Hong Kong. Cet incident a révélé la vulnérabilité systémique du secteur face à un acteur concentrant 20 % de la capacité d'abattage américaine.

Lactalis, 2022 : cyberattaque sur le numéro un français

En France, le groupe Lactalis a été victime d'une cyberattaque en 2022, entraînant des perturbations dans ses activités. Bien que peu médiatisée, cette attaque a touché un acteur majeur de la filière laitière française et européenne, démontrant que même les leaders du secteur ne sont pas épargnés.

Groupe Avril, novembre 2021 : attaque déclenchée par un fichier vérolé

En novembre 2021, le Groupe Avril, acteur majeur de l'agroalimentaire français, a été victime d'une cyberattaque déclenchée après l'ouverture d'un fichier vérolé. L'incident illustre la vulnérabilité des groupes de taille intermédiaire face au phishing et aux erreurs humaines.

Asahi Japon, septembre 2025 : paralysie logistique

Le 29 septembre 2025, le géant japonais de la bière Asahi a vu ses systèmes informatiques responsables des commandes, de la logistique et des expéditions paralysés, obligeant l'entreprise à suspendre commandes et livraisons, interrompre ses centres d'appel et passer temporairement à des traitements manuels.

Ces exemples confirment que 36 % des professionnels de l'agroalimentaire ont subi une cyberattaque au cours de l'année écoulée, et 70 % des entreprises touchées ont connu un impact sur leur production ou leur organisation interne.

Mesures techniques prioritaires pour le secteur

NIS2 impose dix mesures minimales détaillées à l'article 21 de la directive. Trois d'entre elles sont particulièrement critiques pour l'agroalimentaire.

Analyse de risques et sécurité des systèmes d'information

Le ReCyF impose une approche par les risques documentée, avec analyse formelle (EBIOS RM ou équivalent) pour les entités essentielles. Pour l'agroalimentaire, cela signifie cartographier les actifs critiques : serveurs de traçabilité, automates de conditionnement, réseaux OT, bases de données produits. L'objectif est d'identifier les scénarios de compromission les plus graves (perte de traçabilité, arrêt de production, contamination par falsification de paramètres) et de prioriser les investissements.

→ Lien interne : /mesures/analyse-risques-securite-si

Gestion des incidents de sécurité et continuité d'activité

La directive impose une notification à l'ANSSI sous 24 heures en cas d'incident significatif, un rapport intermédiaire sous 72 heures, puis un rapport final sous un mois. Pour un industriel agroalimentaire, cela nécessite un dispositif de détection (SOC interne ou externalisé via un Prestataire de Détection des Incidents de Sécurité — PDIS), une procédure de qualification et d'escalade, et une capacité de réponse rapide via un Prestataire de Réponse aux Incidents de Sécurité (PRIS).

Le plan de continuité d'activité (PCA) doit inclure des scénarios cyber : comment assurer la production si l'ERP est chiffré ? Comment maintenir la traçabilité si les bases sont corrompues ? Les tests réguliers, via exercices de crise, sont obligatoires.

→ Lien interne : /mesures/gestion-incidents, /mesures/continuite-activite

Sécurité de la chaîne d'approvisionnement

Les acteurs de la chaîne d'approvisionnement sont de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d'importance plus critiques. Pour un groupe agroalimentaire, cela impose d'évaluer la maturité cyber de ses fournisseurs IT, de ses intégrateurs OT, de ses prestataires logistiques et même de ses équipementiers (fabricants de robots, de capteurs). Des clauses contractuelles NIS2 doivent être intégrées, et des audits tiers-partie réalisés périodiquement.

→ Lien interne : /mesures/chaine-approvisionnement

Autres mesures essentielles : cyber-hygiène et formation des collaborateurs (pour éviter l'ouverture de fichiers vérolés), contrôle d'accès et gestion des identités (notamment pour les comptes à privilèges sur les systèmes OT), cryptographie et chiffrement (protection des données de traçabilité), authentification multifacteur (MFA) pour tous les accès distants.

→ Liens internes : /mesures/cyber-hygiene-formation, /mesures/rh-controle-acces-actifs, /mesures/cryptographie-chiffrement, /mesures/mfa-communications-securisees

Prestataires qualifiés ANSSI à mobiliser

Le ReCyF précise que les entités peuvent s'appuyer sur des prestataires qualifiés par l'ANSSI pour démontrer leur conformité. Quatre qualifications sont particulièrement pertinentes pour le secteur agroalimentaire.

PASSI – Prestataire d'Audit de la Sécurité des Systèmes d'Information

Le PASSI réalise des audits de vulnérabilité, tests d'intrusion et audits de configuration sur l'infrastructure IT et, de plus en plus, OT. Pour un industriel alimentaire, cela inclut l'audit des serveurs de traçabilité, des automates de conditionnement, des réseaux convergés IT/OT. Les entités essentielles doivent réaliser des audits réguliers, et le recours à un PASSI qualifié constitue une preuve de conformité reconnue.

PDIS – Prestataire de Détection des Incidents de Sécurité

Le PDIS opère un SOC (Security Operations Center) capable de surveiller en continu les logs, détecter les anomalies et alerter en cas d'incident. Pour une PME agroalimentaire, externaliser la détection vers un PDIS qualifié est souvent plus réaliste que de monter un SOC interne. Le PDIS assure la couverture 24/7, l'analyse des événements et la remontée d'alertes qualifiées permettant de respecter le délai de notification de 24 heures.

PRIS – Prestataire de Réponse aux Incidents de Sécurité

Le PRIS intervient en cas d'incident avéré : forensic, éradication du malware, restauration des systèmes, accompagnement juridique pour la notification ANSSI. Pour un groupe victime d'un ransomware comme JBS, le PRIS gère la crise technique, isole les systèmes compromis, analyse l'étendue de la compromission et aide à la reprise. Le recours à un PRIS qualifié accélère la sortie de crise et limite l'impact opérationnel.

PACS – Prestataire d'Accompagnement et de Conseil en Sécurité

Le PACS accompagne l'entité dans sa démarche de mise en conformité : analyse de risques, rédaction de la politique de sécurité (PSSI), définition du plan d'action, préparation aux audits ANSSI. Pour une coopérative ou un ETI sans RSSI interne, le PACS structure la démarche et assure le lien avec l'écosystème (PASSI, PDIS, PRIS).

L'ensemble de ces qualifications est référencé sur le site officiel de l'ANSSI : https://cyber.gouv.fr/produits-services-qualifies.

→ Lien interne : /prestataires

Calendrier et prochaines étapes : Loi Résilience, MonEspaceNIS2, ReCyF

Le député Philippe Latombe a écrit au Premier ministre en février 2026 pour souligner l'urgence à inscrire le projet de loi Résilience à l'ordre du jour, la date évoquée pour la promulgation étant juillet 2026. Le vote en hémicycle est attendu pour juillet 2026, et les décrets techniques suivront dans la foulée. L'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF).

Échéances clés

  • Juillet 2026 : promulgation attendue de la Loi Résilience
  • T3-T4 2026 : publication des décrets d'application par l'ANSSI, définissant les mesures techniques et les modalités de contrôle
  • Dès maintenant : pré-enregistrement ouvert sur MonEspaceNIS2
  • 2026-2029 : période de transition progressive, jusqu'à 3 ans pour certaines catégories d'entités

Le pré-enregistrement sur MonEspaceNIS2, la plateforme officielle de l'ANSSI, est ouvert depuis novembre 2025. Il permet aux entités de s'identifier, de qualifier leur statut (entité essentielle ou importante), et de recevoir les communications officielles de l'autorité.

Actions immédiates recommandées

  1. S'auto-évaluer sur MonEspaceNIS2 pour déterminer si l'entité est concernée
  2. Télécharger le ReCyF sur MesServicesCyber et réaliser un gap analysis interne
  3. Lancer une analyse de risques (EBIOS RM, ISO 27005 ou équivalent) pour identifier les actifs critiques et les scénarios prioritaires
  4. Solliciter un PACS qualifié pour structurer la démarche de mise en conformité
  5. Cartographier les prestataires critiques (IT, OT, logistique) et évaluer leur maturité cyber
  6. Mettre en place un dispositif de détection et réponse (PDIS/PRIS ou capacités internes)
  7. Former les dirigeants et les équipes : NIS2 engage la responsabilité personnelle du dirigeant exécutif, qui doit approuver la PSSI et répondre de la conformité

La transposition n'est pas finalisée, mais ce serait une erreur de considérer cela comme un sursis. Le ReCyF est disponible depuis mars 2026 et donne une feuille de route opérationnelle. Les cyberattaques n'attendent pas. Les entreprises qui s'y prennent maintenant construisent leur conformité de manière progressive et maîtrisée ; celles qui attendront la promulgation définitive auront beaucoup moins de temps pour combler des écarts qui prennent plusieurs mois à adresser sérieusement.

Le message de l'ANSSI est clair : la menace cyber est déjà active, les incidents se multiplient, et le secteur agroalimentaire, maillon essentiel de la souveraineté alimentaire française, doit se préparer dès maintenant.

→ Lien interne : /qui-est-concerne
→ Texte officiel directive NIS2 : https://eur-lex.europa.eu/eli/dir/2022/2555/oj
→ Portail ANSSI NIS2 : https://cyber.gouv.fr/la-directive-nis-2

← Tous les secteurs régulésSource ANSSI ↗