nis2-pro.fr
Annexe II — autre secteur critique

Recherche et NIS2 : un secteur clé entre propriété intellectuelle, enjeux duals et multiplication des menaces

Le secteur de la recherche – public et privé – figure parmi les dix-huit secteurs critiques de l'annexe II de la directive NIS2. Loin d'être anecdotique, cette désignation reflète la réalité d'une cible de choix pour l'espionnage étatique, le sabotage informationnel et la cybercriminalité opportuniste. En France, le CNRS emploie plus de 32 000 personnes et pilote 1 144 laboratoires à travers la France, tandis que l'INSERM, l'INRIA, l'INRAE, le CEA et les grandes universités de recherche (PSL, Saclay, Sorbonne Université) concentrent des actifs intellectuels et numériques de première importance. La multiplication des cyberattaques contre les établissements de recherche européens depuis l'automne 2025 confirme la nécessité d'un renforcement urgent.

Périmètre : quels organismes de recherche sont concernés par NIS2

La directive s'applique aux organismes de recherche dépassant les seuils définis par la transposition française – critères combinant effectifs (250 salariés et plus, ou 50 salariés selon les secteurs) et chiffre d'affaires. Les entités régulées comprennent les établissements publics à caractère scientifique et technologique (EPST), les établissements publics à caractère industriel et commercial (EPIC) menant des activités de recherche, les grandes infrastructures de recherche (synchrotrons, centres de calcul intensif, biobanques), les instituts Carnot et certains centres de R&D privés rattachés à des groupes industriels. Entre 15 000 et 18 000 entités en France tomberont dans le périmètre de la directive, dont plusieurs centaines d'organismes de recherche.

Les seuils exacts et les modalités sectorielles précises seront fixés par les décrets d'application de la Loi Résilience, dont la promulgation est attendue pour juillet 2026. Les entités concernées peuvent d'ores et déjà se pré-enregistrer sur MonEspaceNIS2, le guichet d'auto-évaluation piloté par l'ANSSI.

Cadre réglementaire : NIS2 s'articule avec PPST et LPM

Le secteur recherche opère déjà dans un paysage réglementaire structuré. La protection du potentiel scientifique et technique de la nation (PPST) impose depuis plusieurs années des obligations en matière de contrôle des exportations de biens et de technologies sensibles, de protection du secret scientifique et d'encadrement des collaborations internationales. La Loi de Programmation Militaire (LPM) 2024-2030 renforce la régulation des opérateurs d'importance vitale (OIV), dont plusieurs organismes de recherche, en imposant des contrôles renforcés, des audits PASSI-LPM et une supervision directe de l'ANSSI.

NIS2 ne remplace pas ces textes : elle les complète en étendant les obligations à un périmètre bien plus large d'acteurs – y compris des laboratoires universitaires, des plateformes mutualisées et des centres de recherche industrielle – qui n'étaient pas couverts par la LPM. L'harmonisation de ces dispositifs passera par les décrets d'application de la Loi Résilience, qui transpose conjointement NIS2, la directive sur la résilience des entités critiques (REC) et le règlement DORA. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose en droit français les directives européennes NIS2, REC et Dora.

Spécificités cybersécurité du secteur recherche

La recherche combine des cultures de sécurité hétérogènes, des infrastructures vieillissantes et une ouverture internationale structurelle. Les organismes de recherche constituent des cibles privilégiées car ils manipulent des données scientifiques de haute valeur tout en disposant souvent de moyens de cybersécurité inférieurs à ceux des entreprises privées. Trois risques dominent :

  • Vol de propriété intellectuelle : données de recherche, résultats expérimentaux, prototypes, modèles d'IA, brevets en cours de dépôt. Les campagnes APT ciblant la recherche académique visent à acquérir un avantage concurrentiel ou stratégique dans des domaines scientifiques sensibles (biotechnologies, intelligence artificielle, matériaux avancés, quantique).

  • Pivot vers d'autres secteurs critiques : de nombreux laboratoires collaborent étroitement avec des acteurs de la santé (essais cliniques, données médicales), de l'énergie (recherche sur les réacteurs de nouvelle génération, batteries) ou de la défense (recherche duale). Une compromission dans la recherche peut constituer la porte d'entrée vers des cibles plus réglementées.

  • Surface d'attaque étendue : collaborations internationales nombreuses, accès distants, usage intensif de ressources cloud, partenariats avec des PME peu sécurisées, utilisation de logiciels open source non maintenus, infrastructure de type cluster HPC difficile à cloisonner.

La multiplicité des acteurs (chercheurs statutaires, doctorants, post-docs, visiteurs étrangers, prestataires) et la rotation rapide des équipes compliquent la gestion des identités et des accès.

Incidents marquants : 2024-2026 dans la recherche

CNRS, février 2026 : compromission de 33 000 données personnelles

Les équipes de sécurité informatique du CNRS ont détecté l'intrusion le 3 février 2026, mais les investigations menées par l'ANSSI révèlent que les attaquants auraient pénétré les systèmes dès le 18 janvier. L'attaque a exposé des données sensibles concernant le personnel du CNRS, soulignant un temps de latence de plus de deux semaines entre la compromission initiale et la détection.

Université de Lorraine, novembre 2025 : paralysie par ransomware

L'Université de Lorraine avait déjà fait les frais d'une attaque par ransomware en novembre 2025, paralysant ses services pendant 12 jours et exposant les données de 68 000 étudiants et personnels. L'incident a révélé la fragilité des systèmes d'information universitaires face à des opérateurs criminels déterminés.

CERN, janvier 2026 : ciblage de chercheurs français

En janvier 2026, le CERN à Genève a subi une intrusion ciblant spécifiquement les chercheurs français participant aux expériences du Grand collisionneur de hadrons. Bien que situé en Suisse, l'incident démontre la dimension transnationale des attaques contre la recherche.

Grand Palais RMN, août 2024 : ransomware pendant les JO

Le réseau du Grand Palais a été touché par une tentative de ransomware BrainCipher en août 2024, dans un contexte de forte pression pendant les Jeux olympiques de Paris. Ces quatre cas illustrent une stratégie coordonnée visant le secteur académique européen, dans un contexte où les experts en cybersécurité pointent du doigt un sous-investissement chronique dans la protection des systèmes d'information de la recherche publique.

Mesures techniques prioritaires : article 21 de NIS2

Le référentiel ReCyF, publié par l'ANSSI le 17 mars 2026, détaille les mesures concrètes pour atteindre les objectifs de sécurité fixés par NIS2. Parmi les dix mesures de l'article 21 de la directive, quatre priorités se dégagent pour le secteur recherche :

Analyse de risques et sécurité des systèmes d'information

Obligation pour les entités essentielles de réaliser une analyse de risques documentée, proportionnée et régulièrement mise à jour. La méthode EBIOS Risk Manager, reconnue par l'ANSSI, est une approche structurée adaptée aux environnements académiques complexes. L'analyse doit couvrir l'ensemble des actifs critiques : serveurs de calcul, bases de données de recherche, équipements scientifiques connectés, infrastructures d'hébergement cloud.

Gestion de la chaîne d'approvisionnement

Le secteur recherche s'appuie sur des dizaines de fournisseurs de services numériques : éditeurs de logiciels scientifiques, prestataires cloud, fournisseurs d'équipements de laboratoire connectés, sociétés d'intérim (pour les doctorants et post-docs). La gestion de la chaîne d'approvisionnement impose d'identifier et d'évaluer les risques cyber liés aux tiers, de contractualiser des exigences de sécurité, et de superviser les accès accordés aux prestataires.

Gestion des incidents de sécurité

La gestion des incidents exige la mise en place d'un processus structuré de détection, de qualification, de remontée et de traitement des événements de sécurité. NIS2 impose la notification à l'ANSSI dans un délai de 24 heures pour un premier signalement, 72 heures pour une notification détaillée et un mois pour un rapport final. Les établissements de recherche doivent se doter d'une capacité de réponse – équipe interne formée ou recours à un Prestataire de Réponse aux Incidents de Sécurité (PRIS) qualifié ANSSI.

Authentification multi-facteurs et communications sécurisées

Le CNRS a annoncé un plan d'action immédiat comprenant le déploiement d'une authentification multi-facteurs pour tous les accès aux systèmes sensibles. Le déploiement de MFA et communications sécurisées est un pré-requis de base, applicable à tous les comptes privilégiés (administrateurs système, responsables de laboratoires, gestionnaires de bases de données) et recommandé pour l'ensemble des accès distants.

D'autres mesures s'imposent progressivement : continuité d'activité, sécurité du développement (pour les laboratoires développant leurs propres logiciels scientifiques), cyber-hygiène et formation, gestion RH et contrôle des accès.

Prestataires qualifiés ANSSI à mobiliser

Le secteur recherche peut s'appuyer sur l'écosystème français de prestataires qualifiés ANSSI pour répondre aux exigences NIS2. Trois qualifications se révèlent particulièrement pertinentes :

  • PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : réalisation d'audits techniques et organisationnels, tests d'intrusion, audits de code, audits d'architecture. Les organismes de recherche OIV doivent recourir à des PASSI-LPM pour leurs audits réglementaires.

  • PRIS (Prestataire de Réponse aux Incidents de Sécurité) : intervention en cas d'incident avéré, investigation forensique, analyse post-mortem, accompagnement à la remédiation. En cas d'attaque, un PRIS qualifié apporte une garantie de compétence et d'indépendance.

  • PDIS (Prestataire de Détection des Incidents de Sécurité) : supervision externalisée des événements de sécurité (SOC), détection de comportements suspects, corrélation d'alertes. Solution adaptée aux structures de recherche n'ayant pas les moyens d'un SOC interne 24/7.

Un Prestataire d'Accompagnement et de Conseil en Sécurité (PACS) peut accompagner les organismes dans l'analyse de risques, la définition de la politique de sécurité des systèmes d'information (PSSI), la cartographie des actifs et la mise en conformité NIS2. L'annuaire des prestataires qualifiés ANSSI est accessible en ligne. Consultez aussi notre annuaire des prestataires NIS2.

Calendrier et prochaines étapes

Le député Philippe Latombe a écrit au Premier ministre pour souligner l'urgence à l'inscrire à l'ordre du jour, la date évoquée pour le moment étant celle de juillet 2026. La promulgation de la Loi Résilience est attendue lors de la session extraordinaire de juillet 2026, suivie de la publication des décrets d'application (seuils sectoriels, référentiel technique, modalités de contrôle et de sanction) au second semestre 2026.

Trois outils sont d'ores et déjà disponibles :

  1. MonEspaceNIS2 : guichet d'auto-évaluation ouvert depuis novembre 2025, permettant aux entités de vérifier si elles entrent dans le périmètre NIS2 et de se pré-enregistrer.

  2. ReCyF (Référentiel Cyber France) : publié le 17 mars 2026, il liste les mesures concrètes pour atteindre les objectifs de sécurité. Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France, qui liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS2. Ce référentiel, par défaut non-obligatoire, permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle de l'ANSSI.

  3. MesServicesCyber : portail centralisant les ressources techniques (guides, outils, comparateurs de référentiels). Accessible sur messervices.cyber.gouv.fr.

Le CNRS prévoit d'investir 12,7 millions d'euros sur les 18 prochains mois pour renforcer son infrastructure de sécurité. Le ministère de l'Enseignement supérieur envisage de créer un centre national de cybersécurité dédié à la recherche publique, doté d'un budget initial de 45 millions d'euros. Cette structure mutualiserait les moyens de protection pour l'ensemble des établissements académiques français. Ces annonces témoignent d'une prise de conscience politique : la recherche ne peut plus rester à la traîne en matière de cybersécurité.

Pour les organismes de recherche, le message de l'ANSSI est sans ambiguïté : anticiper plutôt que subir. Les structures qui engagent dès maintenant leur démarche de mise en conformité – audit de maturité, cartographie des actifs critiques, mise en place d'un SMSI, contractualisation avec des prestataires qualifiés – disposeront d'un avantage décisif. Celles qui attendent la promulgation de la loi pour agir risquent de se retrouver sous tension face à des délais de mise en œuvre très serrés et à des exigences de supervision renforcées. Consultez également notre page qui est concerné par NIS2 pour un panorama complet des secteurs régulés.

← Tous les secteurs régulésSource ANSSI ↗