nis2-pro.fr
Annexe I — secteur hautement critique

Énergie et NIS2 : un secteur hautement critique sous surveillance accrue

Le secteur de l'énergie figure en Annexe I de la directive NIS2, qui le qualifie de hautement critique. Une cyberattaque réussie contre un opérateur électrique, gazier ou pétrolier peut paralyser des pans entiers de l'économie, compromettre la continuité de services essentiels — hôpitaux, transports, eau — et menacer directement la sécurité nationale. Entre 2022 et 2024, 119 incidents de cybersécurité ont été recensés dans le secteur de l'énergie, dont 53 en 2022, 27 en 2023 et 39 en 2024. L'électricité concentre 36 % de ces incidents, suivi par le secteur pétrolier (25 %) et le gaz naturel (23 %). En France, la transposition de NIS2 par la Loi Résilience élargit considérablement le périmètre des entités concernées, au-delà des 300 OIV déjà régulés par la Loi de Programmation Militaire.

Périmètre : quelles entités du secteur énergie sont concernées

La directive NIS2 couvre l'ensemble de la chaîne énergétique : production, transport, distribution, stockage et commercialisation d'électricité, de pétrole, de gaz naturel, de chauffage urbain et d'hydrogène. En France, le périmètre regroupe à la fois de grands opérateurs — EDF, Engie, TotalEnergies, RTE, Enedis, GRDF, GRTgaz — et des centaines d'entités de taille moyenne et régionale (producteurs renouvelables, coopératives, gestionnaires de réseaux locaux).

La directive distingue deux catégories :

  • Entités essentielles (EE) : ≥ 250 salariés OU CA ≥ 50 M€ OU bilan ≥ 43 M€ dans un secteur hautement critique. Supervision renforcée, sanctions pouvant atteindre 2 % du chiffre d'affaires mondial ou 10 M€.
  • Entités importantes (EI) : entre 50 et 249 salariés OU 10 à 50 M€ de CA. Obligations allégées, sanctions maximales de 1,4 % du CA ou 7 M€.

En France, 10 000 à 15 000 entreprises sont concernées par NIS2, contre 500 sous NIS1. La plupart des grands opérateurs énergétiques, déjà désignés Opérateurs d'Importance Vitale (OIV) sous la LPM, devront articuler leurs obligations OIV avec le nouveau cadre NIS2. De nombreuses entités moyennes, jusqu'ici non régulées, entrent désormais dans le dispositif.

Pour identifier son statut, la plateforme officielle MonEspaceNIS2 permet depuis novembre 2025 un pré-enregistrement et une auto-évaluation. L'ANSSI mettra à disposition un référentiel technique — le ReCyF — pour guider la mise en conformité.

Cadre réglementaire : articulation de NIS2 avec la LPM et le règlement NCCS

Le secteur de l'énergie fait déjà l'objet de plusieurs couches réglementaires qui se cumulent avec NIS2. La Loi de Programmation Militaire (LPM), en vigueur depuis 2013, impose aux OIV de sécuriser leurs Systèmes d'Information d'Importance Vitale (SIIV) selon 20 règles strictes. Environ 300 OIV sont qualifiés, répartis dans 12 secteurs d'activité vitale, dont l'énergie occupe une place centrale. Les audits sur ces systèmes critiques doivent être réalisés par des prestataires qualifiés PASSI-LPM, seule qualification reconnue par l'ANSSI pour auditer les infrastructures OIV.

Avec NIS2, les obligations européennes s'ajoutent : les entités essentielles et importantes doivent déclarer tout incident significatif dans les 24 heures à l'ANSSI, puis transmettre une notification complète sous 72 heures. Elles doivent mettre en œuvre les 10 mesures de l'article 21 de la directive (analyse de risques, gestion des incidents, sécurité de la chaîne d'approvisionnement, etc.) et se soumettre aux contrôles de l'ANSSI. Le projet de Loi Résilience a été adopté au Sénat les 11-12 mars 2025, examiné en commission spéciale à l'Assemblée nationale le 10 septembre 2025, et sa promulgation est attendue au premier semestre 2026, suivie des décrets techniques au deuxième trimestre.

Parallèlement, le règlement européen Network Code on Cybersecurity (NCCS), entré en application en 2024, concerne spécifiquement le secteur électrique. Le NCCS vise à établir une norme européenne pour la cybersécurité des flux électriques transfrontaliers, incluant des règles d'évaluation des risques cyber, des exigences minimales communes, la certification de cybersécurité des produits et services, et la gestion de crise. Les opérateurs électriques identifiés comme entités à impact élevé ou critique doivent réaliser une évaluation des risques tous les trois ans et établir un plan de réduction des risques. Ce règlement s'applique en complément de NIS2, sans s'y substituer.

Spécificités cybersécurité : risques IT et OT, surface d'attaque étendue

Le secteur de l'énergie présente une particularité : il cumule une surface d'attaque IT (systèmes de gestion, bases de données, facturation, relations client) et une surface d'attaque OT (systèmes de contrôle industriel, SCADA, automates programmables, capteurs, RTU). L'interconnexion croissante entre IT et OT, nécessaire à la transition numérique et à l'optimisation des réseaux, multiplie les points d'entrée exploitables. Selon l'ANSSI, le ciblage d'infrastructures critiques, notamment dans les secteurs des télécommunications et de l'énergie, via des tentatives de sabotage, reste très prisé des acteurs étatiques.

Les vecteurs d'attaque typiques incluent :

La convergence IT/OT est un facteur aggravant. Des attaques comme WannaCry ou NotPetya ont d'abord infiltré les réseaux informatiques avant de se propager aux environnements OT, causant des pannes massives et des centaines de millions de dollars de dommages. Le cycle de vie très long des équipements OT — souvent plus de 25 ans — complique la mise à jour et le patching, laissant des systèmes vulnérables exposés.

Incidents marquants : le secteur énergie sous pression constante

Entre 2022 et 2024, les opérateurs énergétiques européens ont été particulièrement ciblés. Les attaques ont visé Fortum (Finlande), Repsol et Iberdrola (Espagne), Eni et Acea (Italie), Engie (France), Israel Electric Company, Gazprom, Lukoil et Rosneft (Russie), Eesti Energia (Estonie), Tata Power (Inde), Taipower (Taïwan). Plusieurs cas illustrent l'ampleur de la menace :

  1. Pologne, décembre 2025 : une série d'attaques informatiques contre les infrastructures électriques polonaises, coordonnées et à visée destructive, a failli provoquer un blackout national. Cet événement a marqué les esprits et accéléré la prise de conscience européenne.

  2. Colonial Pipeline, mai 2021 : l'attaque par ransomware contre ce réseau stratégique américain a interrompu la distribution de pétrole sur la côte Est, coûtant des dizaines de millions de dollars et provoquant des pénuries.

  3. Itron, avril 2025 : le groupe américain Itron, acteur majeur des technologies de gestion de l'énergie, a confirmé une intrusion au sein de ses systèmes. L'entreprise équipe environ 110 millions de foyers et d'entreprises de compteurs pour la gestion de la consommation énergétique des réseaux, notamment pour l'eau, le gaz et l'électricité.

  4. Engie, 2022-2024 : parmi les 119 incidents recensés mondialement, l'opérateur français figure dans la liste des cibles majeures, confirmant la pression constante sur les infrastructures européennes.

Ces incidents démontrent que la menace n'est ni hypothétique ni lointaine. Selon l'IRIS, en 2023, plus de 200 cyber incidents signalés ont touché le secteur énergétique, et plus de la moitié étaient dirigés contre l'Europe.

Mesures techniques prioritaires : renforcer la résilience

La directive NIS2 impose 10 catégories de mesures techniques et organisationnelles (article 21). Pour le secteur de l'énergie, six mesures sont particulièrement critiques :

1. Analyse de risques et sécurité des systèmes d'information

Chaque entité doit cartographier ses actifs IT et OT, identifier les vulnérabilités, évaluer les menaces et définir des plans de traitement des risques. Le NCCS impose une réévaluation tous les trois ans pour les opérateurs électriques à impact élevé. Le référentiel EBIOS Risk Manager de l'ANSSI est une méthode recommandée.

2. Gestion des incidents de sécurité

Les opérateurs doivent mettre en place des capacités de détection 24/7, documenter les procédures de réponse et déclarer tout incident significatif à l'ANSSI sous 24 heures. Le déploiement de SOC (Security Operations Center) ou le recours à un PDIS (Prestataire de Détection des Incidents de Sécurité) qualifié ANSSI est souvent indispensable.

3. Continuité d'activité et reprise après incident

Les infrastructures énergétiques doivent garantir la résilience opérationnelle. Cela suppose des PCA/PRA testés régulièrement, des sauvegardes redondantes, des sites de secours et des procédures de bascule automatique pour les systèmes critiques.

4. Sécurité de la chaîne d'approvisionnement

La compromission de fournisseurs — compteurs, automates, onduleurs, capteurs IoT — est un vecteur d'attaque majeur. Les opérateurs doivent imposer des clauses de cybersécurité contractuelles, auditer leurs sous-traitants critiques, et privilégier des équipements certifiés ou qualifiés par l'ANSSI.

5. Cryptographie et chiffrement

Les communications entre systèmes SCADA, RTU et centres de contrôle doivent être chiffrées. Le chiffrement des données au repos (bases de données, fichiers de configuration) et en transit (VPN, TLS) protège contre l'interception et l'exfiltration. L'ANSSI recommande l'usage de produits qualifiés SecNumCloud pour le stockage de données sensibles.

6. Contrôle d'accès, gestion des identités et authentification multifactorielle

La segmentation réseau entre IT et OT, le contrôle d'accès basé sur les rôles (RBAC), et l'authentification forte (MFA) limitent l'expansion latérale des attaquants. La gestion stricte des comptes à privilèges est essentielle pour protéger les systèmes critiques.

Une attention particulière doit être portée à la formation et la sensibilisation des collaborateurs, car l'erreur humaine demeure le premier vecteur d'infection (phishing, ingénierie sociale).

Prestataires qualifiés ANSSI à mobiliser

La complexité technique des infrastructures énergétiques et le cumul de réglementations (LPM, NIS2, NCCS) rendent souvent indispensable le recours à des prestataires qualifiés ANSSI. Six qualifications sont particulièrement pertinentes pour le secteur :

  • PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : pour réaliser les audits de conformité NIS2, identifier les vulnérabilités IT et OT, et tester la résistance aux attaques.
  • PASSI-LPM : obligatoire pour auditer les SIIV des OIV, cette qualification plus exigeante concerne les infrastructures critiques soumises à la LPM.
  • PRIS (Prestataire de Réponse aux Incidents de Sécurité) : pour piloter la réponse en cas d'attaque, investiguer les compromissions, contenir les malwares et rétablir l'activité.
  • PDIS (Prestataire de Détection des Incidents de Sécurité) : pour surveiller 24/7 les réseaux et systèmes, détecter les anomalies et alerter en temps réel. Indispensable pour respecter les délais de notification de 24 heures.
  • SecNumCloud : référentiel d'exigences pour les services cloud de confiance. Les opérateurs énergétiques qui externalisent des données sensibles doivent privilégier des hébergeurs qualifiés SecNumCloud.
  • PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : pour les missions de conseil stratégique, la définition de PSSI (Politique de Sécurité des Systèmes d'Information), et l'accompagnement à la mise en conformité réglementaire.

L'annuaire officiel des prestataires qualifiés est publié sur cyber.gouv.fr/produits-services-qualifies. Nous référençons également ces prestataires sur /prestataires.

Calendrier et prochaines étapes : se préparer dès maintenant

La transposition de NIS2 en France suit un calendrier précis, bien qu'en retard sur l'échéance européenne initiale du 17 octobre 2024 :

  • 17 mars 2026 : l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Ce référentiel, diffusé en version de travail, correspond au document mentionné dans le projet de Loi Résilience. Les entités qui l'appliquent peuvent s'en prévaloir en cas de contrôle.
  • Premier semestre 2026 : promulgation de la Loi Résilience. Les décrets techniques de l'ANSSI suivront au deuxième trimestre.
  • Deuxième trimestre 2026 : publication des arrêtés et décrets précisant les obligations sectorielles, les modalités de déclaration et les critères de contrôle.
  • 2026-2029 : période de mise en conformité progressive. Les premières inspections ANSSI pourraient commencer dès fin 2026 pour les entités essentielles.

Parallèlement, l'ANSSI a ouvert le 24 novembre 2025 la plateforme MonEspaceNIS2 pour permettre aux entités de s'auto-évaluer et de pré-enregistrer leur périmètre. La plateforme MesServicesCyber centralise les services et outils de l'ANSSI.

Feuille de route recommandée

  1. S'auto-évaluer sur MonEspaceNIS2 pour confirmer son statut (EE ou EI).
  2. Cartographier les actifs critiques IT et OT, identifier les interdépendances et les points de faiblesse.
  3. Désigner un responsable cybersécurité et impliquer la direction générale, car NIS2 engage la responsabilité personnelle des dirigeants.
  4. Réaliser un audit de conformité avec un PASSI ou PASSI-LPM selon le statut OIV, pour mesurer l'écart entre l'état actuel et le ReCyF.
  5. Rédiger un plan de mise en conformité couvrant les 10 mesures de l'article 21, prioriser les actions critiques (détection 24/7, segmentation IT/OT, chiffrement, MFA).
  6. Former les équipes techniques et métier aux bonnes pratiques cyber, à la gestion de crise et aux procédures de notification.
  7. Tester les dispositifs de continuité (PCA/PRA) et simuler des incidents pour valider la résilience opérationnelle.

La mise en conformité NIS2 pour un opérateur énergétique de taille moyenne prend entre 12 et 24 mois. Pour les entités déjà soumises à la LPM, l'articulation entre les deux cadres peut accélérer le processus, à condition de combler les écarts spécifiques à NIS2 (notification sous 24 heures, mesures de l'article 21, sécurité de la chaîne d'approvisionnement).

Ressources officielles :

Liens internes :

← Tous les secteurs régulésSource ANSSI ↗