nis2-pro.fr
Annexe I — secteur hautement critique

Infrastructure numérique et NIS2 : le secteur hautement critique au cœur de la résilience européenne

Le secteur de l'infrastructure numérique constitue l'épine dorsale de l'économie digitale européenne. Sous NIS2, il est classé en Annexe I (hautement critique) et rassemble les acteurs dont l'indisponibilité peut paralyser des centaines d'entités régulées : points d'échange Internet (IXP), fournisseurs DNS, registres de noms de domaine de premier niveau (TLD), fournisseurs de services cloud, opérateurs de data centers, réseaux de distribution de contenu (CDN), prestataires de services de confiance qualifiés au titre d'eIDAS, et fournisseurs de communications électroniques publiques. En France, la directive NIS2 concerne Orange, Free, SFR, Bouygues Telecom, OVHcloud, Scaleway, Equinix, Interxion, Telehouse, l'AFNIC et de nombreux acteurs cloud et CDN. Le risque porté par ce secteur est systémique : une panne prolongée d'un registre DNS ou d'un IXP peut couper l'accès à des milliers de services en aval. C'est pourquoi les exigences NIS2 pour l'infrastructure numérique croisent des réglementations sectorielles denses (code des postes et communications électroniques, eIDAS 2, EUCS) et exigent des capacités de détection, de notification et de résilience particulièrement élevées.

Périmètre : quelles entités du secteur sont concernées

NIS2 vise les entités de l'infrastructure numérique dépassant les seuils suivants :

  • Entités essentielles (EE) : ≥ 250 salariés OU CA ≥ 50 M€ OU bilan ≥ 43 M€.
  • Entités importantes (EI) : entre 50 et 249 salariés OU entre 10 et 50 M€ de CA OU entre 10 et 43 M€ de bilan.

Le périmètre sectoriel recouvre :

  • Points d'échange Internet (IXP) : France-IX, autres IXP régionaux.
  • Fournisseurs DNS et registres TLD : l'AFNIC (gestionnaire du .fr), résolveurs récursifs, serveurs autoritaires, opérateurs de serveurs racine implantés en France. NIS2 s'applique à tous les fournisseurs DNS, « les exceptions pour petites et micro entreprises ne s'appliquent pas aux opérateurs de registre TLD ni aux fournisseurs de services DNS ».
  • Fournisseurs de services cloud : OVHcloud, Scaleway, hyperscalers (AWS, Microsoft Azure, Google Cloud Platform) pour leurs infrastructures européennes.
  • Opérateurs de data centers : Equinix, Interxion (Digital Realty), Telehouse, Cogent, ainsi que les data centers intégrés des opérateurs télécoms.
  • Réseaux de distribution de contenu (CDN) : Cloudflare, Akamai, Fastly, OVH CDN.
  • Services de confiance qualifiés : prestataires eIDAS (horodatage, certificats électroniques, signature électronique qualifiée, archivage électronique).
  • Fournisseurs de communications électroniques publiques : opérateurs télécoms fixes et mobiles (Orange, Free, SFR, Bouygues Telecom, opérateurs MVNO dépassant les seuils).

Selon les estimations ANSSI, NIS2 concernera entre 10 000 et 15 000 entités en France (contre environ 300 sous NIS1) ; le secteur de l'infrastructure numérique représente plusieurs centaines de ces entités, en raison du grand nombre de data centers, de CDN, de prestataires cloud et de fournisseurs de communications électroniques.

Cadre réglementaire : articulation avec les autres textes sectoriels

Le secteur de l'infrastructure numérique était déjà soumis à plusieurs corpus réglementaires. NIS2 les complète sans les remplacer :

  • Code des postes et communications électroniques (CPCE) : impose aux opérateurs télécoms des obligations de sécurité et de continuité de service, des dispositifs de lutte contre le spam, le routage frauduleux et les atteintes à la sécurité des réseaux. NIS2 renforce ces dispositions par un cadre européen harmonisé de gestion d'incidents et de notification.
  • Règlement eIDAS 2 : vise les prestataires de services de confiance qualifiés (certificats, signature, cachet, horodatage, archivage). NIS2 impose aux mêmes acteurs un référentiel cybersécurité complémentaire (ReCyF) et des obligations de déclaration d'incidents.
  • Futur schéma EUCS (EU Cybersecurity Certification Scheme for Cloud Services) : en cours de finalisation au niveau européen, il définira des niveaux de certification cybersécurité pour le cloud (Basic, Substantial, High). NIS2 exige déjà la mise en place des mesures techniques et organisationnelles de l'article 21 ; EUCS sera un moyen acceptable de conformité.
  • Référentiel SecNumCloud (ANSSI) : qualifie les fournisseurs cloud capables de servir le secteur public français et les Opérateurs d'Importance Vitale (OIV). OVHcloud et Scaleway disposent de cette qualification ; Microsoft et Google ont obtenu une qualification SecNumCloud pour certaines offres. Pour les fournisseurs cloud souhaitant concourir sur le marché public et OIV, SecNumCloud reste le référentiel de référence.
  • Loi Résilience (projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité) : transpose NIS2, la directive REC (entités critiques) et le règlement DORA (finance) en droit français. Adoptée au Sénat le 12 mars 2025, examinée à l'Assemblée nationale le 10 septembre 2025, la promulgation est désormais attendue au premier semestre 2026 ; les décrets d'application (dont le Référentiel Cyber France, ReCyF) suivront au second semestre 2026.

L'articulation de ces textes peut sembler complexe pour les opérateurs de l'infrastructure numérique. Le conseil pratique : utiliser le ReCyF comme fil rouge opérationnel, puis compléter par les exigences sectorielles (SecNumCloud pour le cloud, eIDAS pour les services de confiance, CPCE pour les télécoms).

Spécificités cybersécurité : risques propres au secteur

Le secteur de l'infrastructure numérique présente une surface d'attaque exceptionnellement large : équipements de bordure (routeurs, pare-feu, VPN), plateformes d'orchestration cloud, API de provisionnement, annuaires DNS, serveurs de résolution récursive, BGP (Border Gateway Protocol), infrastructures physiques des data centers. Plusieurs vecteurs typiques :

En 2025, l'ANSSI a traité 3 586 événements de sécurité, dont 9 % concernaient le secteur des télécommunications. La menace reste élevée ; les modes opératoires se sophistiquent, « utilisant des outils et services légitimes » pour dissimuler l'activité malveillante.

Incidents marquants : cas documentés récents

Plusieurs incidents survenus entre 2023 et 2026 illustrent la criticité du secteur :

  1. Incendie du data center OVHcloud SBG2 (10 mars 2021) : événement physique majeur, « un avant et un après le 10 mars 2021 » pour le cloud français, ayant entraîné la perte de données pour des milliers de clients. Leçon : la règle de sauvegarde 3-2-1 et la conception d'un Plan de Reprise d'Activité (PRA) incombent aux entreprises clientes, pas au fournisseur cloud.

  2. Vague de rançongiciels ESXi (février 2023) : des cybercriminels ont déployé un rançongiciel exploitant une vulnérabilité ESXi 6.x sur les clients d'OVHcloud et Scaleway, « le logiciel se propage extrêmement vite » et chiffre les données de la machine hôte. OVHcloud a rappelé que « aucun des services managés n'est impacté », mais les clients non managés mal à jour ont subi des pannes prolongées.

  3. Attaque DDoS record contre OVHcloud (avril 2024) : 840 millions de paquets par seconde, un niveau « complètement inédit », conjuguant deux méthodes d'assaut distinctes. Les attaques de cette ampleur « obligeant les entreprises du secteur à améliorer en permanence leurs stratégies de défense ».

  4. Panne backbone OVHcloud (30 octobre 2024) : 17 minutes d'interruption dues à un incident de routage BGP (« route leak »), provoquant une chute de 95 % du trafic vers Cloudflare. L'incident illustre la fragilité des configurations de peering et l'importance de mesures comme le filtrage de préfixes et RPKI pour prévenir les fuites de route.

  5. Panne DNS et infrastructure (février 2026) : plusieurs sites web hébergés chez OVHcloud ont été rendus inaccessibles lors d'une panne ponctuelle, rappelant la panne Amazon Web Services d'octobre 2025 liée au DNS/DynamoDB.

Ces incidents montrent que le secteur cumule des risques techniques, physiques, géopolitiques et humains (mauvaises configurations). Le coût moyen d'une violation mondiale atteint 4,44 M $ en 2025 ; pour l'infrastructure numérique, le coût indirect (pertes d'exploitation client, atteinte réputationnelle) peut être bien supérieur.

Mesures techniques prioritaires : NIS2 et ReCyF

L'article 21 de NIS2 impose 10 catégories de mesures techniques et organisationnelles. Le ReCyF publié par l'ANSSI le 17 mars 2026 « liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2 », avec un principe de proportionnalité EE/EI. Voici les mesures prioritaires pour l'infrastructure numérique :

Gestion des risques et sécurité des systèmes et réseaux

(lien interne : /mesures/analyse-risques-securite-si)
Réaliser une analyse de risques couvrant les infrastructures réseau, les plateformes cloud, les annuaires DNS, les équipements de bordure. Pour les fournisseurs cloud, cela signifie cartographier les risques locataires (tenant) et mutualisés (multi-tenant). Les IXP et opérateurs télécoms doivent évaluer la résilience BGP, la redondance de peering, les vulnérabilités des routeurs critiques.

Gestion des incidents de sécurité

(lien interne : /mesures/gestion-incidents)
NIS2 impose une notification à l'ANSSI sous 24 heures (alerte initiale), 72 heures (rapport intermédiaire), 1 mois (rapport final). Pour un fournisseur cloud ou un IXP, un incident affectant simultanément des centaines de clients constitue un « incident significatif ». L'ANSSI exige un SOC (Security Operations Center) ou un PDIS (Prestataire de Détection des Incidents de Sécurité) capable de détecter, qualifier et notifier dans ces délais stricts.

Continuité d'activité et gestion de crise

(lien interne : /mesures/continuite-activite)
Plan de Reprise d'Activité (PRA), Plan de Continuité d'Activité (PCA), sites de secours géographiquement redondants, basculement automatique (failover). Pour les data centers, cela inclut l'alimentation électrique redondée, la climatisation N+1, les procédures d'extinction incendie conformes. Pour le cloud, orchestration de basculement multi-région, snapshots automatisés, tests réguliers de restoration. Pour le DNS, serveurs anycast multisites, secondaires géographiquement distribués, monitoring temps réel de propagation de zone.

Sécurité de la chaîne d'approvisionnement

(lien interne : /mesures/chaine-approvisionnement)
Évaluer la résilience cyber des fournisseurs critiques : opérateurs de transit IP, fabricants d'équipements réseau (Cisco, Juniper, Arista), éditeurs de logiciels d'orchestration cloud (VMware, Kubernetes, OpenStack), sous-traitants de maintenance physique des data centers. L'incident ESXi de février 2023 montre l'importance de gérer les vulnérabilités chaîne : « une vulnérabilité découverte et réparée en 2021 » exploitée deux ans plus tard faute de politique de patch robuste chez les clients.

Cryptographie et chiffrement

(lien interne : /mesures/cryptographie-chiffrement)
DNSSEC pour les registres TLD et résolveurs, TLS 1.3 pour les API cloud et les services de confiance eIDAS, chiffrement end-to-end des communications télécoms, chiffrement au repos des données clients (data center, cloud). Pour les IXP, protection des sessions BGP (RPKI, filtrage de préfixes).

Authentification multifacteur (MFA) et contrôle d'accès

(lien interne : /mesures/mfa-communications-securisees)
MFA obligatoire sur les accès admin réseau, orchestration cloud, interfaces de gestion DNS, consoles data center. Segmentation forte entre administration, production et clients. Politique de moindre privilège (least privilege) pour les équipes techniques.

Les opérateurs de l'infrastructure numérique doivent également viser les mesures du ReCyF applicables aux entités essentielles : objectifs 16 à 20 (détection avancée, tests d'intrusion, gestion des vulnérabilités zero-day, renseignement sur les menaces). Pour un IXP ou un grand opérateur télécom, un SOC interne ou externalisé (via un PDIS qualifié ANSSI) devient indispensable.

Prestataires qualifiés ANSSI à mobiliser

Le statut de prestataire qualifié ANSSI est un levier de conformité et de compétitivité pour le secteur de l'infrastructure numérique. Voici les qualifications les plus utiles :

  • PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : audit de sécurité des infrastructures cloud, data centers, plateformes DNS, réseaux télécoms. Un PASSI peut conduire un test d'intrusion sur l'API d'orchestration cloud, un audit d'architecture réseau, une revue de configuration BGP.

  • PASSI-LPM (PASSI Loi de Programmation Militaire) : pour les opérateurs servant des OIV (Opérateurs d'Importance Vitale), le PASSI-LPM est requis pour l'audit annuel obligatoire. Certains fournisseurs cloud et opérateurs télécoms sont qualifiés OIV et doivent faire appel à un PASSI-LPM.

  • PDIS (Prestataire de Détection des Incidents de Sécurité) : SOC managé capable de superviser en continu les logs réseau, les événements cloud, les requêtes DNS, et de qualifier les incidents dans les délais NIS2 (24h/72h/1 mois). Un PDIS qualifié peut fournir les preuves d'une détection conforme pour un contrôle ANSSI.

  • PRIS (Prestataire de Réponse aux Incidents de Sécurité) : intervention rapide en cas de compromission d'un data center, d'une plateforme cloud, d'un IXP. Le PRIS conduit l'investigation forensic, isole les systèmes compromis, restaure l'intégrité, rédige le rapport d'incident pour notification ANSSI.

  • SecNumCloud : qualification spécifique pour les fournisseurs cloud. OVHcloud et Scaleway détiennent SecNumCloud ; Microsoft Azure et Google Cloud ont obtenu une qualification pour certaines offres régionales. SecNumCloud couvre 262 exigences techniques, organisationnelles et juridiques, et constitue le sésame pour les marchés publics et OIV. Pour un cloud régulé NIS2, viser SecNumCloud est la trajectoire naturelle.

  • PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : accompagnement stratégique à la mise en conformité NIS2, aide à la cartographie des risques, rédaction des procédures de gestion d'incidents, préparation aux audits. Un PACS peut aider un opérateur télécom ou un data center à structurer son dispositif cyber en cohérence avec le ReCyF.

L'annuaire complet des prestataires qualifiés est disponible sur cyber.gouv.fr/produits-services-qualifies. Pour en savoir plus sur la mobilisation de ces qualifications, consultez la page dédiée aux prestataires NIS2.

Calendrier et prochaines étapes

Le calendrier de mise en conformité NIS2 pour l'infrastructure numérique s'accélère au premier semestre 2026 :

  • 17 mars 2026 : publication du ReCyF (Référentiel Cyber France) par l'ANSSI. Ce document de travail liste les 20 objectifs de sécurité (15 pour EI, 20 pour EE) et les moyens acceptables de conformité. Les entités qui l'appliquent « peuvent s'en prévaloir en cas de contrôle de l'ANSSI ».

  • Premier semestre 2026 : promulgation attendue de la Loi Résilience. Le texte a été adopté au Sénat le 12 mars 2025, voté en commission spéciale à l'Assemblée nationale le 10 septembre 2025. L'examen en hémicycle est désormais prévu pour juillet 2026, sous réserve de session extraordinaire. Un retard est possible en raison d'un blocage politique autour de l'article 16 bis (interdiction de backdoors dans les messageries chiffrées), mais « la CSNP presse le Parlement d'examiner sans délai » le texte.

  • Second semestre 2026 : publication des décrets d'application (version définitive du ReCyF, modalités de contrôle, montants de sanction). Entrée en application effective des obligations NIS2 en France.

  • MonEspaceNIS2 : plateforme officielle ANSSI de pré-enregistrement, ouverte depuis novembre 2025. Les opérateurs de l'infrastructure numérique sont invités à s'y inscrire dès maintenant pour recevoir les communications officielles de l'ANSSI et anticiper leurs obligations.

  • MesServicesCyber : plateforme ANSSI donnant accès au ReCyF en version de travail, à l'outil de comparaison avec ISO 27001, DORA, référentiels sectoriels, et à des services d'accompagnement (auto-diagnostic, modules de formation).

L'ANSSI recommande de ne pas attendre la promulgation définitive de la loi pour agir. Vincent Strubel, directeur général de l'ANSSI, a déclaré lors de l'événement Campus Cyber du 17 mars 2026 : « Il est désormais urgent de déployer les bonnes pratiques de sécurité à grande échelle ». Pour un opérateur de data center, un fournisseur cloud ou un IXP, le chantier de mise en conformité prend typiquement 4 à 8 mois (analyse d'écart, déploiement MFA, renforcement SOC, rédaction procédures, tests PRA).

Sanctions et responsabilité

Les sanctions NIS2 sont dissuasives :

  • Entités essentielles : amendes jusqu'à 10 M€ ou 2 % du CA mondial annuel.
  • Entités importantes : amendes jusqu'à 7 M€ ou 1,4 % du CA mondial.

La responsabilité personnelle des dirigeants peut être engagée en cas de négligence caractérisée. Pour un fournisseur cloud ou un opérateur télécom, le risque réputationnel d'une sanction publique (la Commission des sanctions peut publier un blâme) peut dépasser largement le montant de l'amende.

Prochaines étapes opérationnelles

  1. Pré-enregistrement sur MonEspaceNIS2.
  2. Auto-diagnostic via le ReCyF disponible sur MesServicesCyber.
  3. Analyse d'écart (gap analysis) entre pratiques actuelles et exigences ReCyF. Un PACS qualifié peut structurer cette analyse.
  4. Plan d'action priorisant les mesures critiques : MFA, SOC/PDIS, PRA/PCA, notification 24h/72h, chiffrement, gestion vulnérabilités.
  5. Audit PASSI avant contrôle ANSSI, pour identifier les non-conformités résiduelles et les corriger.
  6. Tests réguliers : tests d'intrusion annuels (PASSI), tests PRA semestriels, exercices de crise cyber (tabletop), revues de code pour les API cloud critiques.

Pour un fournisseur cloud visant SecNumCloud, le parcours est plus long (18 à 24 mois) mais cohérent avec NIS2 : l'essentiel des exigences SecNumCloud couvre les objectifs ReCyF, et la qualification SecNumCloud constitue un avantage concurrentiel majeur sur les marchés publics et OIV.

Ressources officielles :

Articles connexes :

← Tous les secteurs régulésSource ANSSI ↗