nis2-pro.fr
Annexe II — autre secteur critique

Gestion des déchets et NIS2 : le secteur peu numérisé face à ses obligations cyber

La directive européenne NIS2 (2022/2555) place le secteur de la gestion des déchets parmi les dix-huit secteurs critiques désormais soumis à une réglementation cyber renforcée. En France, la transposition de la directive via la Loi Résilience est attendue pour juillet 2026, mais les opérateurs concernés doivent anticiper dès maintenant : entre 10 000 et 15 000 entités françaises entreront dans le périmètre, contre seulement 500 sous le régime NIS1.

Le secteur des déchets se caractérise par une forte industrialisation de certains maillons (incinération, méthanisation, tri automatisé) couplée à une exposition cyber encore sous-estimée. Les acteurs privés comme Veolia, Suez et Paprec côtoient des syndicats publics et des structures spécialisées dans le traitement de déchets dangereux. Tous doivent désormais intégrer la cybersécurité comme une composante essentielle de leur résilience opérationnelle.

Périmètre NIS2 : quelles entités du secteur déchets sont concernées

Le périmètre est défini par la taille et la nature de l'activité. Selon l'article 9 du projet de loi Résilience, les entités du secteur gestion des déchets sont concernées si elles dépassent les seuils suivants :

Entités essentielles (annexe I) : au moins 250 salariés ou 50 millions d'euros de chiffre d'affaires ou 43 millions d'euros de bilan. Veolia (215 000 salariés, 44,7 milliards d'euros de chiffre d'affaires consolidé en 2024), Suez et Paprec relèvent systématiquement de cette catégorie.

Entités importantes (annexe II – secteurs autres critiques) : entre 50 et 249 salariés ou entre 10 et 50 millions d'euros de chiffre d'affaires ou entre 10 et 43 millions d'euros de bilan. Cette catégorie englobe de nombreux acteurs régionaux de la collecte, du tri, du recyclage et des filières spécialisées.

Le secteur couvre :

  • La collecte (déchets ménagers, industriels, dangereux)
  • Le traitement et valorisation : centres de tri, plateformes de compostage, méthanisation, incinération avec valorisation énergétique
  • Le recyclage : métaux, plastiques, papier, électronique (DEEE)
  • Les filières spécialisées : déchets dangereux (chimiques, médicaux, radioactifs), sous-produits animaux, amiante

Les syndicats publics de gestion des déchets (EPCI à fiscalité propre) entrent également dans le champ, dès lors qu'ils dépassent les seuils ou assurent une fonction critique. Certains d'entre eux ont déjà été victimes de cyberattaques paralysantes (voir section Incidents marquants).

Cadre réglementaire : articulation NIS2 avec les textes sectoriels

Le secteur déchets est déjà régulé par de multiples textes environnementaux, mais la cybersécurité n'y était jusqu'ici qu'indirectement évoquée. NIS2 comble cette lacune en imposant des obligations cyber directes.

Textes principaux applicables au secteur :

  • Loi AGEC (loi anti-gaspillage pour une économie circulaire, 10 février 2020) : pilotage des REP (responsabilités élargies des producteurs), traçabilité numérique des déchets
  • Arrêté du 20 septembre 2002 relatif aux installations d'incinération et de co-incinération de déchets dangereux : sécurité physique des sites, clôtures, contrôle d'accès, mais pas d'exigences cyber explicites
  • Directive-cadre relative aux déchets (2008/98/CE) et Règlement (CE) n° 1013/2006 (transferts transfrontaliers) : traçabilité, notification préalable
  • Code de l'environnement (installations classées, ICPE) : prescriptions pour les centres de stockage, incinération, compostage

À cette base réglementaire environnementale vient s'ajouter NIS2, qui impose :

  • La notification obligatoire à l'ANSSI de tout incident de sécurité significatif (24h pour l'alerte initiale, 72h pour le rapport détaillé, rapport final sous un mois)
  • Un cadre de gouvernance cyber porté par les dirigeants (responsabilité personnelle engagée)
  • La mise en œuvre de 10 mesures techniques et organisationnelles de l'article 21 (gestion des risques, continuité, sécurité de la chaîne d'approvisionnement, chiffrement, MFA…)

L'ANSSI a publié le 17 mars 2026 le ReCyF (Référentiel Cyber France), document de travail listant les 20 objectifs de sécurité à atteindre et les moyens acceptables de conformité. Bien que non-obligatoire par défaut, le ReCyF permet aux entités qui l'appliquent de s'en prévaloir lors des contrôles ANSSI.

Les opérateurs privés et publics du secteur déchets doivent articuler ces exigences avec les contraintes propres aux installations SEVESO (pour certains sites de stockage de déchets dangereux), les prescriptions de la Loi de Programmation Militaire (LPM) pour les OIV, et les réglementations sur la protection des données (RGPD).

Spécificités cybersécurité du secteur déchets

Le secteur des déchets se distingue par trois caractéristiques qui en font une cible cyber sensible, souvent méconnue :

1. Couplage IT/OT dans les installations industrielles

Les usines d'incinération, de méthanisation et de valorisation énergétique utilisent des systèmes de supervision industrielle (SCADA, automates programmables) similaires à ceux du traitement de l'eau ou de l'énergie. L'ANSSI a publié un guide spécifique sur la cybersécurité des systèmes industriels, mis à jour en mars 2025, qui définit quatre classes de criticité. Les installations d'incinération de déchets dangereux relèvent le plus souvent de la classe 3 (impact fort en cas d'attaque), nécessitant des mesures renforcées et une vérification par un organisme qualifié (idéalement un Prestataire d'Audit de la Sécurité des Systèmes d'Information – PASSI).

Un arrêt prolongé d'un incinérateur ou d'une chaîne de tri peut provoquer une accumulation de déchets, des risques sanitaires (prolifération bactérienne, odeurs, nuisibles) et environnementaux (lixiviats non traités, rejets atmosphériques non conformes). Les fours d'incinération fonctionnent 24/7 ; une coupure brutale peut endommager les réfractaires et nécessiter plusieurs semaines de remise en service.

2. Risques spécifiques liés aux déchets dangereux

Les filières déchets chimiques, médicaux, radioactifs ou amiante cumulent des exigences cyber et physiques strictes. Les systèmes de traçabilité (BSD – bordereaux de suivi de déchets dangereux) sont numérisés et couplés aux bases nationales (Trackdéchets). Une compromission de ces systèmes peut entraîner une perte de traçabilité réglementaire, des rejets non déclarés ou l'impossibilité d'attester du respect des quotas d'élimination.

Suez et Veolia ont récemment réorganisé leurs activités déchets dangereux en France suite à l'OPA de 2022 : Suez a racheté pour 690 millions d'euros une vingtaine de sites Veolia (environ 700 salariés spécialisés, couvrant incinération, stockage, recyclage) pour restaurer une concurrence sur ce marché stratégique. Parallèlement, Veolia a acquis en 2025 des actifs majeurs aux États-Unis, au Brésil et au Japon dans les déchets dangereux, renforçant son exposition cyber internationale.

3. Collectivités et syndicats : acteurs publics vulnérables

Les syndicats mixtes et EPCI gérant la collecte et le traitement des déchets présentent souvent une maturité cyber faible. Selon le rapport de l'ANSSI sur l'état de la menace cyber 2024, l'Agence a traité 218 incidents affectant les collectivités territoriales en 2024 (moyenne de 18 incidents/mois), dont 144 touchant les communes. De nombreuses municipalités "sont victimes d'attaques menées par des groupes cybercriminels au moyen de rançongiciels."

En avril 2024, l'ANSSI a été alertée d'une compromission d'une commune par rançongiciel : "Le système d'information du bénéficiaire hébergeant ceux d'autres organisations, la coupure des accès a rendu les services de ces dernières indisponibles." Cet exemple illustre l'effet domino potentiel dans un écosystème mutualisé (hébergement partagé des SI de plusieurs communes, gestion déléguée).

Incidents marquants : la menace cyber devient réelle

Contrairement au traitement de l'eau ou à l'énergie, le secteur déchets n'a pas encore subi de cyberattaques médiatisées de grande ampleur en France. Toutefois, plusieurs signaux doivent alerter :

1. Attaques ransomware contre les collectivités (2024)

Selon le bilan des cyberattaques en France 2024-2025, "de nombreuses municipalités ont été victimes de cyberattaques majeures." Bien que les détails précis restent confidentiels, les services de collecte, de gestion des déchetteries et de facturation du TEOM (taxe d'enlèvement des ordures ménagères) sont hébergés sur les SI municipaux compromis. Une attaque en avril 2024 a contraint une commune à "isoler son système d'information d'internet et de couper l'ensemble des interconnexions avec d'autres communes."

2. Vente d'accès sur le darknet (2024)

L'ANSSI signale qu'"en 2024 de nombreuses collectivités territoriales ont fait l'objet de vente d'accès à leurs systèmes d'information ou à leurs données par des acteurs cybercriminels sur des forums du darknet." Les SI de gestion des déchets, souvent externalisés à des prestataires (logiciels métiers de facturation, planification de collecte, supervision des bennes), constituent des points d'entrée latéraux.

3. Explosions dans les incinérateurs (2024-2025)

Le Bureau d'Analyse des Risques et Pollutions Industrielles (BARPI) a publié en 2025 un bilan sur les "explosions de bouteilles de protoxyde d'azote dans les incinérateurs de déchets non dangereux." Bien que ces incidents soient causés par la présence physique de produits interdits dans les flux, ils illustrent la fragilité opérationnelle des installations. Une cyberattaque ciblant les systèmes de dosage ou de contrôle de combustion pourrait aggraver ce type de risque.

4. Contexte géopolitique et hacktivisme (2023-2025)

Les attaques DDoS pro-russes ont visé de manière récurrente des sites publics français depuis 2022. Selon le bilan cyber 2024-2025, "plusieurs dizaines de sites de mairies françaises ont fait l'objet de défigurations portant des messages pro-russes en mai 2023." La Poste a subi deux attaques DDoS majeures en décembre 2025 et janvier 2026, attribuées au collectif pro-russe NoName057, avec "arrêt complet du site et des services en ligne."

Si les sites des syndicats de gestion des déchets sont moins visibles, leur compromission peut nuire à l'image de la collectivité et générer une perte de confiance.

Mesures techniques prioritaires pour le secteur déchets

La mise en conformité NIS2 repose sur les 10 mesures de l'article 21, déclinées dans le ReCyF (Référentiel Cyber France) publié par l'ANSSI. Pour le secteur déchets, cinq mesures sont prioritaires :

1. Analyse de risques et sécurité des systèmes d'information

Mesure 1 : cartographie complète des actifs IT et OT (serveurs, automates, capteurs IoT, logiciels métiers, plateformes de traçabilité Trackdéchets, SI de facturation TEOM), identification des vulnérabilités, classification selon la criticité (méthode ANSSI classes 1-4 pour les systèmes industriels).

Pour les installations SCADA, le guide ANSSI mars 2025 recommande une analyse de risques formalisée (EBIOS RM ou équivalent), la définition de zones de sécurité (zones de conduite, zones de contrôle, zone entreprise) et la mise en place de cloisonnements réseaux stricts.

2. Gestion des incidents de sécurité

Mesure 2 : capacité de détection, qualification et notification sous 24h à l'ANSSI. Pour les opérateurs publics et privés, cela implique la mise en place d'un SOC (Security Operations Center) ou le recours à un Prestataire de Détection des Incidents de Sécurité – PDIS qualifié ANSSI.

Un incident sur un centre de tri automatisé (arrêt des convoyeurs, perte des données de pesée) doit pouvoir être qualifié rapidement : défaillance technique, cyber-attaque ou erreur humaine ? Les délais réglementaires (24h, 72h, rapport final sous un mois) nécessitent des procédures claires et testées.

3. Continuité d'activité et plans de reprise

Mesure 3 : PCA/PRA cyber couvrant les scénarios de rançongiciels, défaillance SCADA, perte de traçabilité. Pour un incinérateur, le PRA doit prévoir la conduite en mode dégradé (pilotage manuel, registres papier de suivi des déchets dangereux) et la restauration progressive des systèmes.

Les sauvegardes hors ligne des configurations automates (PLC, DCS) sont essentielles pour une récupération rapide. Veolia cite dans ses résultats 2025 des "gains Digitaux et IA représentant 23 % des efficacités opérationnelles récurrentes" : la dépendance croissante aux systèmes numériques renforce l'enjeu de leur résilience.

4. Sécurité de la chaîne d'approvisionnement

Mesure 4 : vigilance sur les fournisseurs de logiciels métiers (systèmes de pesée, facturation, planification de tournées), intégrateurs SCADA, mainteneurs à distance des automates. La directive CRA (Cyber Resilience Act) renforcera à partir de 2027 les exigences sur les composants IoT et les produits connectés.

Le secteur déchets utilise de nombreux capteurs (niveaux de remplissage des bennes, sondes de température fours, analyseurs de gaz) connectés via LoRa, 4G ou réseaux privés : chaque élément doit être inventorié, mis à jour et sécurisé.

5. Cryptographie et authentification multifacteur

Mesure 5 et MFA : chiffrement des communications SCADA, authentification multifacteur pour les accès à distance (maintenance automates, VPN). L'ANSSI recommande l'usage de solutions qualifiées (IPsec, TLS 1.3, SSH avec certificats).

Pour les déchets dangereux, la confidentialité et l'intégrité des données de traçabilité (BSD, registres d'admission) sont critiques : un BSD falsifié peut couvrir un rejet illégal.

Deux autres mesures transverses complètent ce socle : cyber-hygiène et formation (sensibilisation du personnel, exercices de crise) et contrôle d'accès et gestion des ressources humaines (gestion des départs, révocation des habilitations).

Prestataires qualifiés ANSSI à mobiliser

Le secteur déchets, souvent composé de structures de taille intermédiaire, bénéficiera du recours à des prestataires qualifiés ANSSI. Les qualifications les plus utiles sont :

  • PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : audits de conformité NIS2, tests d'intrusion sur les systèmes SCADA, revues d'architecture réseau IT/OT. Pour les installations de classe 3 (impact fort), le guide ANSSI systèmes industriels recommande explicitement la vérification par un organisme qualifié.

  • PRIS (Prestataire de Réponse aux Incidents de Sécurité) : intervention en cas de cyberattaque, forensics, remédiation rançongiciels. Indispensable pour respecter les délais de notification réglementaires (24h/72h).

  • PDIS (Prestataire de Détection des Incidents de Sécurité) : supervision 24/7 des SI et SCADA, corrélation d'événements, alerte précoce. Adapté aux structures sans SOC interne.

  • PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : aide à la définition de la politique de sécurité (PSSI), analyse de risques EBIOS RM, assistance à la rédaction des PCA/PRA cyber.

L'annuaire officiel des prestataires qualifiés ANSSI liste l'ensemble des acteurs habilités. Le ReCyF (article 14 du projet de loi Résilience) prévoit que les entités qui recourent à des prestations qualifiées peuvent s'en prévaloir lors des contrôles ANSSI.

Pour les opérateurs traitant des données sensibles (santé, biodéchets hospitaliers) ou hébergeant des services cloud, la qualification SecNumCloud peut être pertinente pour le choix d'un hébergeur de confiance.

Calendrier et prochaines étapes : se préparer avant juillet 2026

Le calendrier de transposition français est marqué par des retards, mais l'urgence demeure. Voici les échéances clés :

17 octobre 2024 : date-butoir européenne de transposition NIS2 (non respectée par la France).

12 mars 2025 : adoption en première lecture au Sénat du projet de loi Résilience.

10 septembre 2025 : vote à l'unanimité en commission spéciale de l'Assemblée nationale (244 amendements adoptés).

17 mars 2026 : publication par l'ANSSI du ReCyF (Référentiel Cyber France), document de travail listant les 20 objectifs de sécurité et les moyens acceptables de conformité.

Juillet 2026 : vote en hémicycle attendu lors de la session extraordinaire. Promulgation et publication des décrets techniques dans la foulée (deuxième trimestre 2026).

Depuis novembre 2025 : ouverture du pré-enregistrement sur MonEspaceNIS2, plateforme officielle ANSSI pour l'auto-évaluation et la déclaration des entités concernées. Le pré-enregistrement est fortement encouragé pour préparer la mise en conformité.

Actions immédiates recommandées :

  1. Auto-évaluation : utiliser le simulateur ANSSI sur MonEspaceNIS2 pour confirmer l'assujettissement (secteur, taille, localisation).

  2. Cartographie IT/OT : inventorier les actifs numériques (serveurs, automates, SCADA, capteurs IoT, logiciels métiers Trackdéchets, facturation TEOM).

  3. Analyse de risques : conduire une analyse de risques formalisée selon le guide ANSSI systèmes industriels ou EBIOS RM. Classer les installations selon les classes 1-4 de criticité.

  4. Désignation d'un RSSI : nommer un responsable cybersécurité avec autorité et budget. Pour les entités importantes de taille intermédiaire, le recours à un PACS en temps partagé est envisageable.

  5. Sécurisation SCADA : segmentation réseau IT/OT, durcissement des automates, chiffrement des communications, authentification multifacteur pour les accès à distance.

  6. Tests et exercices : organiser un exercice de crise cyber (scénario rançongiciel), tester les PCA/PRA, valider les procédures de notification ANSSI sous 24h.

L'ANSSI a publié le 17 mars 2026 un outil de comparaison sur MesServicesCyber permettant de mettre le ReCyF en regard d'ISO 27001, DORA, IEC 62443 et autres référentiels sectoriels. Les entités déjà engagées dans une démarche de certification (ISO 27001, HDS pour les déchets hospitaliers) pourront valoriser ces acquis.

Le message du directeur général de l'ANSSI est clair : ne pas attendre la promulgation définitive pour agir. Les organisations qui structurent dès maintenant leurs processus cyber selon le ReCyF prendront une avance décisive et éviteront la mise en conformité précipitée post-juillet 2026, source de coûts et de fragilités.

← Tous les secteurs régulésSource ANSSI ↗