nis2-pro.fr
Annexe I — secteur hautement critique

Gestion de services TIC (B2B) et NIS2 : les MSP et MSSP face à un tournant réglementaire sans précédent

La directive NIS2 a introduit un changement majeur dans le paysage cyber européen en inscrivant, pour la première fois, les fournisseurs de services managés (MSP) et les fournisseurs de services managés de sécurité (MSSP) dans le périmètre des entités hautement critiques. Cette nouveauté n'a rien d'anecdotique : la gestion des services TIC (B2B) figure désormais parmi les 11 secteurs hautement critiques de l'Annexe I, aux côtés de l'énergie, de la santé ou du secteur bancaire. En France, la transposition via la Loi Résilience, attendue pour juillet 2026, va soumettre des centaines d'ESN, d'infogéreurs, de fournisseurs de SOC managé et de prestataires MDR à un niveau d'exigence cyber inédit. L'enjeu est structurel : un MSP compromis n'est pas une victime isolée, c'est un vecteur d'attaque à effet multiplicateur pour des dizaines, voire des centaines de clients.

Périmètre : quelles entités du secteur sont visées par NIS2

La catégorie « gestion de services TIC (B2B) » recouvre les prestataires qui opèrent pour le compte d'autres organisations et qui manipulent, administrent ou supervisent leurs systèmes d'information. Sont concernés les acteurs suivants :

  • ESN et infogéreurs B2B proposant des services d'administration et de maintenance de SI clients (hébergement managé, infogérance applicative, supervision infrastructure) ;
  • MSSP (Managed Security Service Providers), qui exploitent des SOC managés, des services de détection (PDIS) ou de réponse à incident (PRIS) pour le compte de tiers ;
  • Fournisseurs de services MDR (Managed Detection and Response) et XDR managé ;
  • Opérateurs de services SaaS B2B critiques lorsque leur défaillance impacte directement les processus métier de leurs clients ;
  • Prestataires d'audit, conseil et gestion de crise cyber qualifiés ANSSI (PASSI, PACS) dès lors qu'ils opèrent en mode service continu et non en mission ponctuelle.

Le critère de taille est identique à celui de toute entité essentielle : ≥ 250 salariés OU chiffre d'affaires ≥ 50 M€ OU bilan ≥ 43 M€. Toutefois, la frontière avec la catégorie « fournisseurs numériques » (Annexe II) peut être ténue. La nature exacte de la prestation (exploitation continue vs livraison de logiciel) sera l'élément différenciant confirmé par les décrets français, attendus au S2 2026.

Cadre réglementaire : articulation de NIS2 avec les autres textes sectoriels

Les MSP et MSSP se trouvent au carrefour de plusieurs cadres réglementaires qui s'empilent sans se substituer.

NIS2 et Loi Résilience. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, adopté au Sénat en mars 2025 et voté en commission spéciale à l'Assemblée nationale en septembre 2025, est attendu en promulgation au premier trimestre 2026, même si l'examen en hémicycle est désormais attendu pour juillet 2026. NIS2 impose un socle de 10 mesures techniques (article 21) et des obligations de notification strictes (24 h, 72 h, un mois). La responsabilité personnelle des dirigeants est engagée. Les sanctions administratives atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

Qualifications ANSSI. Les MSSP qualifiés ANSSI (PASSI, PRIS, PDIS, PACS) cumulent deux niveaux d'exigence. Ils doivent maintenir leur qualification — validée tous les trois ans et auditée annuellement — tout en satisfaisant aux obligations NIS2. Cette double contrainte est loin d'être un doublon : les référentiels ANSSI couvrent la compétence technique des auditeurs, la méthodologie, la confidentialité et la gouvernance interne ; NIS2 impose en sus des délais de notification, une gouvernance de gestion de crise et des exigences de continuité d'activité spécifiques au prestataire lui-même.

PAMS (Prestataire d'Administration et de Maintenance Sécurisées). Le référentiel PAMS de l'ANSSI est un ensemble de normes et de bonnes pratiques destiné aux prestataires de services d'infogérance. Les MSP qui interviennent directement sur les SI de clients critiques (OIV, entités régulées) doivent souvent justifier de cette qualification ou démontrer un niveau équivalent de maîtrise des risques.

RGPD. Dès lors qu'un MSP traite des données à caractère personnel pour le compte de ses clients, il agit en tant que sous-traitant au sens du RGPD. L'articulation NIS2-RGPD impose une cohérence dans les PIA (Privacy Impact Assessments), les registres de traitement et les notifications de violation.

ReCyF (Référentiel Cyber France). Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. Bien que non obligatoire par défaut, ce référentiel permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle de l'ANSSI. Pour les MSP et MSSP, il constitue le cadre de référence pratique pour traduire l'article 21 en mesures opérationnelles.

Spécificités cybersécurité : risques propres au secteur TIC managé

La surface d'attaque des MSP et MSSP ne se limite pas à leur propre SI : elle s'étend à l'ensemble des SI clients auxquels ils sont connectés. Trois caractéristiques rendent ce secteur particulièrement exposé.

Accès privilégiés étendus. Un MSP dispose, par conception, d'accès administrateur sur les infrastructures de ses clients : outils RMM (Remote Monitoring and Management), tunnels VPN permanents, comptes à privilèges sur Active Directory, consoles cloud. Ces accès, s'ils sont compromis, permettent de pivoter directement vers les SI clients. La recommandation PA-022 de l'ANSSI relative à l'administration sécurisée des SI par des tiers impose des architectures d'isolation strictes, mais leur mise en œuvre reste inégale.

Effet de levier de la compromission. Les MSP disposent d'un accès approfondi au réseau de leurs clients, ce qui est inestimable pour un pirate. Après avoir exploité le MSP, l'attaquant peut facilement s'étendre au réseau de ses clients. En exploitant la vulnérabilité de la chaîne d'approvisionnement, ces attaquants ont un impact plus important. Un seul point de compromission peut infecter simultanément des dizaines d'organisations. Ce mécanisme a été documenté lors de l'attaque Kaseya (juillet 2021), où le groupe REvil a exploité une vulnérabilité SQL injection dans Kaseya VSA, déployant du ransomware vers plus de 1 500 entreprises clientes gérées par des MSP.

Maillon faible contractuel. Les MSP et MSSP sont souvent le maillon le moins supervisé de la chaîne d'approvisionnement. Les clauses contractuelles imposent rarement des audits de sécurité réguliers, des SLA de notification ou des exigences de segmentation réseau. Les incidents ont presque doublé en 2025 par rapport à l'année précédente, avec plus d'un quart de toutes les PME américaines ayant subi une cyberattaque dans les 12 derniers mois. En France, 48 % des victimes de rançongiciel en 2025 sont des PME, TPE et ETI, selon le Panorama de la cybermenace 2025 du CERT-FR (ANSSI).

Incidents marquants : attaques documentées contre des MSP et leurs clients

Plusieurs attaques majeures illustrent la criticité du secteur.

Kaseya VSA (juillet 2021). L'attaque de référence. Les attaquants ont compromis des MSP utilisant Kaseya VSA, puis diffusé le ransomware à leurs clients finaux. Comme ces prestataires gèrent les réseaux des entreprises clientes, ils servent de point de relais pour des malwares comme le ransomware. On estime qu'environ 1 500 entreprises ont été impactées. REvil a réclamé 70 millions de dollars, la plus forte demande de rançon jamais observée à l'époque.

SimpleHelp / DragonForce (mai 2025). Le gang DragonForce a attaqué un MSP via son outil RMM remote. Le groupe a exploité une chaîne de trois vulnérabilités dans SimpleHelp avant de déployer son ransomware sur plusieurs endpoints et de frapper les clients en aval. Un des clients de l'MSP a pu bloquer l'accès de l'attaquant via MDR et XDR, mais plusieurs autres clients en aval ont été impactés par du ransomware et du vol de données, conduisant à des attaques de double extorsion. DragonForce est devenu en 2025 un acteur RaaS majeur, offrant un split favorable 80/20 aux affiliés et un modèle white-label.

SolarWinds (décembre 2020). Bien qu'il s'agisse d'un éditeur logiciel, le mécanisme est le même : les attaquants ont injecté une porte dérobée dans le processus de mise à jour de SolarWinds, laissant les serveurs de production d'entreprises et de gouvernements ouverts à l'accès distant. Le code malveillant était signé numériquement et distribué via des canaux de mise à jour légitimes, compromettant environ 18 000 organisations.

Checkmarx / Trivy supply chain (mars 2026). Le 23 mars 2026, Checkmarx a identifié un incident de sécurité cybersécurité provenant de l'attaque supply chain Trivy. Les preuves actuelles indiquent que ces données provenaient des dépôts GitHub de Checkmarx, et que l'accès à ces dépôts a été facilité par l'attaque supply chain initiale. Checkmarx a dû engager Mandiant pour l'investigation et verrouiller ses dépôts GitHub.

Ces cas documentent un pattern récurrent : les MSP sont devenus des cibles privilégiées pour maximiser l'impact opérationnel et financier.

Mesures techniques prioritaires : traduire l'article 21 en actions concrètes

NIS2 impose 10 familles de mesures (article 21). Pour un MSP ou MSSP, cinq sont structurantes.

Analyse de risques et sécurité des SI

Chaque MSP doit cartographier ses propres actifs critiques (plateformes RMM, outils de ticketing, bases clients, tunnels VPN) et ceux de ses clients auxquels il accède. L'analyse de risques doit identifier les scénarios de propagation : compromission d'un compte admin, injection via outil RMM, exfiltration de secrets stockés. Le référentiel EBIOS Risk Manager, recommandé par l'ANSSI, permet de structurer cette démarche. Le ReCyF précise les exigences de cartographie et d'inventaire.

Gestion des incidents

Un MSP compromis doit notifier à la fois l'ANSSI (24 h / 72 h / 1 mois selon gravité) et ses clients. Cela impose un SOC interne ou externalisé capable de détecter une compromission, de qualifier l'incident et de déclencher la chaîne de notification. Les prestataires qualifiés PDIS ou PRIS disposent déjà de procédures formalisées ; les autres MSP devront les construire. Le CERT-FR met à disposition des guides de réponse à incident et maintient des points de contact régionaux (CSIRT territoriaux).

Continuité d'activité et gestion de crise

Un MSP doit garantir qu'une compromission de son infrastructure n'entraîne pas l'arrêt simultané de tous ses clients. Cela nécessite des plans de continuité d'activité (PCA) testés, des sauvegardes hors ligne (air-gapped), des procédures de bascule sur sites de secours. Le ReCyF impose des RTO (Recovery Time Objective) et RPO (Recovery Point Objective) définis contractuellement avec les clients. La qualification PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) couvre la préparation à la gestion de crise.

Chaîne d'approvisionnement et gestion des fournisseurs

Un MSP utilise lui-même des sous-traitants : éditeurs d'outils RMM, fournisseurs cloud, intégrateurs réseau. NIS2 impose d'évaluer et de superviser ces tiers. Concrètement : revue annuelle de sécurité, clauses contractuelles sur la notification d'incident, audits de conformité. Les outils de Third-Party Risk Management (TPRM) alignés ISO 27001 permettent de tracer ces évaluations.

Contrôle d'accès, MFA et séparation des environnements

L'accès administrateur des techniciens MSP aux SI clients doit respecter le principe de moindre privilège, être tracé, authentifié par MFA robuste (FIDO2, carte à puce) et cloisonné. Le guide PA-022 de l'ANSSI impose la séparation des SI d'administration et des SI de production, l'usage de terminaux dédiés (PAW – Privileged Access Workstation), et l'interdiction d'accès Internet direct depuis les postes d'administration. Pour les MSP intervenant sur des OIV ou des entités NIS2, ces mesures deviennent obligatoires.

MFA et communications sécurisées

90 % des violations démarrent par des identités compromises. Les attaques basées sur l'identité — vol de credentials, abus OAuth, mouvements latéraux, escalade de privilèges — permettent aux attaquants de contourner les défenses traditionnelles. L'authentification multi-facteurs doit être généralisée sur tous les accès à privilèges, avec préférence pour les facteurs résistants au phishing (FIDO2).

Prestataires qualifiés ANSSI à mobiliser : quelles qualifications pour quels besoins

Un MSP ou MSSP soumis à NIS2 peut avoir besoin de mobiliser d'autres prestataires qualifiés pour couvrir ses obligations.

PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information). PASSI signifie Prestataire d'Audit de la Sécurité des Systèmes d'Information. C'est une qualification officielle délivrée par l'ANSSI. Elle permet d'identifier les prestataires de confiance capables de réaliser des audits de cybersécurité sensibles dans des conditions strictes de rigueur, d'impartialité et de confidentialité. Un audit PASSI annuel permet de démontrer la conformité au ReCyF et de préparer un contrôle ANSSI.

PRIS (Prestataire de Réponse aux Incidents de Sécurité). En cas de compromission avérée, faire intervenir un PRIS qualifié garantit une investigation forensique conforme aux exigences réglementaires et judiciaires. Le PRIS peut piloter la remédiation, analyser les malwares, rechercher les indicateurs de compromission (IoC) et coordonner les investigations.

PDIS (Prestataire de Détection des Incidents de Sécurité). Un MSP qui n'opère pas son propre SOC peut externaliser la détection à un PDIS qualifié. Cela garantit une surveillance 24/7 conforme au référentiel ANSSI et une capacité de corrélation d'événements sur l'ensemble du parc client.

PACS (Prestataire d'Accompagnement et de Conseil en Sécurité). Le référentiel PACS a pour objectif d'assister les responsables de la sécurité des systèmes d'information et leurs équipes dans leurs missions de protection des systèmes d'information, et notamment d'homologation de sécurité, de gestion des risques, de conception d'architectures sécurisées, et de préparation à la gestion de crises d'origine cyber. Un PACS peut accompagner le MSP dans la construction de son SMSI ISO 27001, son analyse de risques EBIOS RM et sa préparation au ReCyF.

SecNumCloud. Pour un MSP qui opère ou consomme du cloud, s'appuyer sur un hébergeur qualifié SecNumCloud garantit un niveau de confiance validé par l'ANSSI (chiffrement, souveraineté, isolation, traçabilité).

L'annuaire officiel des prestataires qualifiés est accessible sur cyber.gouv.fr/produits-services-qualifies.

Calendrier et prochaines étapes : Loi Résilience, MonEspaceNIS2 et ReCyF

Le calendrier 2026 est désormais précis.

Loi Résilience. Q1 2026 : Promulgation finale. La Loi Résilience devrait être signée et publiée au Journal Officiel. Q2 2026 : Décrets techniques. L'ANSSI publiera les décrets et arrêtés qui spécifient les standards techniques exacts (le "référentiel") que vous devez suivre. Toutefois, le député Philippe Latombe a écrit au Premier ministre pour souligner l'urgence à l'inscrire à l'ordre du jour, la date évoquée pour le moment étant celle de juillet 2026. Les MSP doivent anticiper ces délais : les chantiers de mise en conformité prennent typiquement 4 à 8 mois pour une organisation qui part d'un niveau de maturité cyber moyen.

MonEspaceNIS2. Le pré-enregistrement sur MonEspaceNIS2, la plateforme officielle de l'ANSSI, est ouvert depuis novembre 2025. Les MSP concernés doivent s'y inscrire pour recevoir les communications officielles, accéder aux guides techniques et déclarer leurs incidents. L'URL exacte est https://monespacenis2.cyber.gouv.fr/.

ReCyF (Référentiel Cyber France). Lors de l'événement du 17 mars 2026, l'ANSSI a présenté ReCyF, le Référentiel Cyber France, qui liste les mesures recommandées par l'Agence pour atteindre les objectifs de sécurité fixés par NIS 2. Ce référentiel est, à ce stade, diffusé en tant que document de travail. En effet, tant que les travaux législatifs et réglementaires relatifs à la transposition n'ont pas eu lieu, et tant qu'il n'a pas fait l'objet d'une consultation, aucune version définitive n'est publiée par l'Agence. Mais le message est clair : L'ANSSI est claire : ne pas attendre la réglementation pour agir. Le ReCyF est disponible. La fenêtre d'action est ouverte. Le référentiel est accessible via MesServicesCyber et accompagné d'un outil de comparaison avec ISO 27001, ISO 27002 et d'autres normes.

MesServicesCyber. L'ANSSI a créé MesServicesCyber, une plateforme numérique pensée pour l'accompagnement des bénéficiaires dans leur effort de renforcement de leur cybersécurité. Gratuit et accessible à tous, MesServicesCyber propose un catalogue complet de contenus et services adaptés aux besoins cyber de chaque organisation, des contacts cyber personnalisés en fonction de la localisation géographique et du secteur d'activité, mais aussi l'ensemble des financements cyber pour soutenir les efforts d'investissement.

Sanctions. Les sanctions atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. La responsabilité personnelle des dirigeants peut être engagée. La CNIL a par ailleurs sanctionné France Travail de 5 M€ le 29 janvier 2026 pour défaut de sécurisation des données suite à la cyberattaque de 2024, un précédent qui montre que l'application des textes est déjà effective.

Pour aller plus loin :

← Tous les secteurs régulésSource ANSSI ↗