Services postaux et de courrier et NIS2 : un secteur logistique sous pression cyber
Le secteur des services postaux et de courrier express entre dans le périmètre NIS2 en tant que secteur critique (Annexe II de la directive européenne 2022/2555). Sur les deux derniers mois de l'année, le groupe La Poste trie et distribue 180 millions de colis, une volumétrie qui illustre à elle seule la criticité économique et sociale de ce secteur. Entre décembre 2025 et janvier 2026, l'opérateur postal français a subi deux attaques DDoS massives qui ont paralysé ses services numériques pendant plusieurs jours, confirmant que la menace cyber ne vise plus seulement le secteur bancaire ou énergétique. Pour les prestataires de services postaux et de courrier express, NIS2 n'est plus une contrainte lointaine : c'est une obligation imminente, assortie de sanctions pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel pour les entités importantes.
Périmètre : quelles entités du secteur postal sont concernées ?
La directive NIS2 classe les services postaux et de courrier express parmi les secteurs critiques de l'Annexe II. En France, cela signifie que toute entité fournissant des services postaux universels ou des services de courrier express et dépassant les seuils de taille est désignée comme entité importante (EI). Les seuils applicables : 50 salariés ou plus, ou un chiffre d'affaires supérieur ou égal à 10 millions d'euros, ou un bilan annuel de 10 millions d'euros minimum.
Concrètement, sont concernés :
- La Poste (opérateur de service universel)
- Les filiales ou marques du groupe La Poste : Chronopost, Colissimo, DPD France
- Les transporteurs express internationaux : UPS, FedEx, DHL Express, TNT
- Les acteurs nationaux et régionaux de la livraison de colis : GLS France, Mondial Relay, Colis Privé
- Les opérateurs de consignes automatiques et points relais si intégrés à un service de courrier express
- Les plateformes logistiques de e-commerce opérant en propre un service de livraison
Les entités de taille inférieure aux seuils échappent à NIS2, mais restent soumises au Code des postes et des communications électroniques et peuvent être désignées par décret si elles présentent un caractère critique. Le critère déterminant n'est pas seulement le volume de colis traité, mais la taille juridique de l'entité.
Cadre réglementaire : articulation avec le Code des postes et DORA
Le secteur postal français est déjà réglementé par le Code des postes et des communications électroniques (articles L. 1 et suivants), qui encadre notamment les obligations de service universel, la protection des envois et la sécurité des réseaux. La transposition NIS2 via la Loi Résilience (attendue pour juillet 2026 selon les dernières annonces parlementaires) vient superposer des exigences cyber spécifiques, sans annuler les textes existants.
La Loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose conjointement NIS2, REC et DORA. Le règlement DORA (Digital Operational Resilience Act) concerne notamment La Banque Postale, filiale bancaire du groupe La Poste, qui devra donc se conformer simultanément à DORA et NIS2 sur son périmètre postal. Cette double contrainte impose une gouvernance unifiée de la résilience numérique à l'échelle groupe.
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité compétente pour superviser, contrôler et sanctionner les manquements NIS2. Le portail MonEspaceNIS2 permet aux entités concernées de s'auto-évaluer et de se pré-enregistrer dès maintenant, même avant la promulgation définitive de la loi.
Spécificités cybersécurité du secteur postal et de courrier
La surface d'attaque du secteur postal est large et diffuse. Elle repose sur une mosaïque de systèmes critiques interconnectés :
- Plateformes de suivi de colis en temps réel : accès clients, API partenaires, systèmes de scanning embarqués
- Applications mobiles de livreurs : géolocalisation, preuve de livraison, accès aux données clients
- Systèmes de gestion d'entrepôt (WMS) : pilotage des flux, tri automatisé, robotisation
- Passerelles de paiement à la livraison : solutions de cash-on-delivery, terminaux de paiement mobiles
- Points relais et consignes automatiques : terminaux autonomes, réseaux de partenaires sous contrat
- Chaînes logistiques e-commerce : intégrations EDI, API de marketplaces, connexions vers vendeurs tiers
Les vecteurs d'attaque typiques observés dans le secteur incluent :
- DDoS (attaques par déni de service distribué), visant à saturer les services en ligne de suivi ou de dépôt de colis
- Phishing et smishing exploitant la confiance dans les marques postales : fausses notifications de livraison, demandes de paiement de frais de douane frauduleux
- Compromission de la chaîne d'approvisionnement numérique : attaque d'un prestataire IT, d'un intégrateur ou d'un partenaire technologique
- Ransomware visant les systèmes de tri ou de gestion logistique, paralysant la capacité opérationnelle
- Vol de données clients : adresses, numéros de téléphone, coordonnées bancaires, utilisés pour de la fraude ou de l'usurpation d'identité
Le modèle économique du secteur repose sur des marges serrées et une forte réactivité. Une panne prolongée des systèmes de suivi ou de paiement entraîne rapidement une perte de confiance client et un impact économique mesurable, particulièrement en période de pics saisonniers (Noël, soldes, Black Friday).
Incidents marquants : les cyberattaques récentes contre le secteur postal français
Décembre 2025 – janvier 2026 : double attaque DDoS contre La Poste
Entre le 22 décembre 2025 et le 5 janvier 2026, les infrastructures du groupe La Poste ont été ciblées par une attaque DDoS visant à saturer les accès numériques par un volume massif de requêtes malveillantes. Une attaque informatique d'envergure aurait été détectée le 1er janvier 2026 à 3h15 du matin, ciblant les systèmes d'information du groupe et saturant les services en ligne de La Poste et de La Banque Postale.
Les équipes de sécurité de l'entreprise ont enregistré jusqu'à 3,5 milliards de paquets de données par seconde redirigés vers les services en ligne de La Poste, une intensité jamais vue en France selon le directeur de la sécurité globale du groupe. L'attaque a été revendiquée par le collectif pro-russe NoName057(16), responsable de nombreuses campagnes DDoS contre des infrastructures publiques et privées en Europe.
Conséquences opérationnelles :
- Indisponibilité intermittente du site laposte.fr et de Colissimo pendant plusieurs jours
- Suivi de colis inaccessible pour des millions de clients en période de fêtes
- Services bancaires de La Banque Postale perturbés (impossibilité de valider des paiements en ligne)
- Le coffre-fort numérique Digiposte s'est retrouvé inaccessible pendant plusieurs heures
Bien que La Poste ait assuré qu'aucune donnée sensible n'avait été volée, l'impact réputationnel et commercial a été significatif, en pleine période de pic d'activité.
Février 2024 : attaque DDoS attribuée au groupe Turk Hack Team
En février 2024, le groupe de hackers turc Turk Hack Team a revendiqué une attaque DDoS qui a mis hors ligne le site de La Poste pendant plusieurs heures. L'incident a perturbé l'accès au suivi de colis et à l'affranchissement en ligne, sans toutefois affecter les opérations physiques de distribution.
Mars 2024 : cyberattaque contre le Réseau interministériel de l'État
En mars 2024, des pirates informatiques s'en étaient pris au Réseau interministériel de l'État, perturbant l'activité de plusieurs ministères. Bien qu'il ne s'agisse pas directement du secteur postal, cet incident illustre la montée en puissance des attaques DDoS visant des infrastructures françaises critiques, contexte dans lequel opère le secteur postal.
Panorama de la menace ANSSI 2024
L'ANSSI constate dans son Panorama de la menace 2024 un doublement du nombre d'attaques par déni de service (DDoS) contre des cibles françaises par rapport à 2023, notamment lors d'événements à forte visibilité. Le secteur postal, par sa dimension symbolique et son exposition publique, fait partie des cibles privilégiées.
Mesures techniques prioritaires : les 10 obligations de l'article 21
L'article 21 de la directive NIS2 impose dix mesures techniques et organisationnelles minimales. Pour le secteur postal, trois priorités se dégagent :
1. Analyse de risques et sécurité des systèmes d'information
Les opérateurs postaux doivent cartographier l'ensemble de leurs actifs critiques (systèmes de tri, WMS, applications mobiles, API) et conduire une analyse de risques cyber formalisée. Le référentiel ReCyF (Référentiel Cyber France), publié par l'ANSSI le 17 mars 2026, fournit un cadre opérationnel détaillé pour structurer cette démarche. Cette analyse doit identifier les scénarios de menace (DDoS, ransomware, vol de données) et prioriser les mesures de protection selon leur criticité métier.
2. Gestion des incidents et continuité d'activité
La gestion de la double attaque de décembre 2025 – janvier 2026 a démontré l'importance d'une cellule de crise cyber opérationnelle 24/7 et de plans de continuité testés. Les entités du secteur doivent mettre en place :
- Des dispositifs de gestion des incidents permettant la détection, l'analyse et la réponse rapide
- Des plans de continuité d'activité (PCA) cyber, avec basculement sur des systèmes de secours
- Des procédures de notification à l'ANSSI dans les délais réglementaires (alerte initiale sous 24 h, rapport intermédiaire sous 72 h, rapport final sous 1 mois)
Le secteur postal doit également prévoir des modes dégradés : capacité à traiter manuellement les colis, maintien de la distribution physique même en cas d'indisponibilité des systèmes de suivi.
3. Sécurité de la chaîne d'approvisionnement
Le modèle du secteur postal repose sur un écosystème dense de sous-traitants : développeurs d'applications mobiles, fournisseurs de logiciels WMS, intégrateurs EDI, opérateurs de points relais franchisés, prestataires cloud. La mesure relative à la sécurité de la chaîne d'approvisionnement impose :
- L'évaluation cyber des fournisseurs et partenaires critiques
- L'insertion de clauses contractuelles de sécurité et d'audit
- La supervision des accès tiers aux systèmes d'information (segmentation réseau, gestion des comptes à privilèges)
- La mise en place de contrôles sur les API exposées vers les partenaires e-commerce
D'autres mesures clés incluent :
- Authentification multifactorielle (MFA) et communications sécurisées pour protéger les accès distants des livreurs et agents
- Gestion des ressources humaines, contrôle d'accès et gestion des actifs pour maîtriser les droits d'accès dans un contexte de forte rotation du personnel (CDD saisonniers, intérimaires)
- Cyber-hygiène et formation : sensibilisation des équipes métier aux risques de phishing, mise à jour régulière des systèmes, gestion des correctifs de sécurité
La page dédiée /mesures propose une vue complète des dix mesures NIS2 et de leur déclinaison opérationnelle.
Prestataires qualifiés ANSSI à mobiliser pour le secteur postal
Le secteur postal, historiquement orienté métier logistique, ne dispose pas toujours en interne des compétences cyber avancées requises par NIS2. L'ANSSI a mis en place un dispositif de qualification de prestataires de confiance, qui constitue une garantie de sérieux et de conformité aux référentiels nationaux.
Qualifications prioritaires pour le secteur postal
- PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : pour réaliser des audits de conformité NIS2, tests d'intrusion sur les plateformes web de suivi, API et applications mobiles, audit de configuration des systèmes de tri automatisés
- PRIS (Prestataire de Réponse aux Incidents de Sécurité) : pour disposer d'une capacité de réponse rapide en cas de cyberattaque (investigation forensique, éradication de ransomware, restauration de systèmes compromis)
- PDIS (Prestataire de Détection des Incidents de Sécurité) : pour déployer un SOC (Security Operations Center) externalisé ou superviser en continu les événements de sécurité, détecter les anomalies comportementales et les tentatives d'intrusion
- SecNumCloud : qualification pour les hébergeurs cloud, essentielle si l'opérateur postal externalise tout ou partie de ses applications critiques (suivi de colis, WMS, base de données clients)
Un prestataire qualifié PASSI peut par exemple auditer la sécurité d'une API de suivi de colis exposée à des milliers de partenaires e-commerce, identifier les vulnérabilités (injection SQL, défaut d'authentification, exposition de données sensibles) et proposer une feuille de route de remédiation. Un PRIS interviendra en cellule de crise lors d'une attaque DDoS ou ransomware pour limiter l'impact et rétablir les services dans les meilleurs délais.
Pour consulter l'annuaire complet des prestataires qualifiés et choisir celui adapté à votre périmètre, rendez-vous sur /prestataires.
Calendrier et prochaines étapes : Loi Résilience, ReCyF, MonEspaceNIS2
État de la transposition française (mai 2026)
Le député Philippe Latombe a écrit au Premier ministre pour souligner l'urgence à inscrire le projet de loi à l'ordre du jour, la date évoquée pour le moment étant celle de juillet 2026. Le texte a été adopté en première lecture au Sénat le 12 mars 2025, puis examiné en commission spéciale à l'Assemblée nationale le 10 septembre 2025. La promulgation définitive et la publication des décrets d'application techniques sont attendues au second semestre 2026.
Le Référentiel Cyber France (ReCyF)
Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2. Le ReCyF correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience. Ce référentiel, par défaut non-obligatoire, permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle de l'ANSSI.
Le ReCyF constitue la feuille de route opérationnelle concrète pour les opérateurs postaux : il détaille objectif par objectif les « moyens acceptables de conformité » (configurations techniques, processus organisationnels, formations) et précise lesquels s'appliquent aux entités importantes et essentielles. L'ANSSI a également publié un outil de comparaison permettant de mettre en regard ReCyF, ISO 27001, DORA et d'autres référentiels sectoriels.
MonEspaceNIS2 : auto-évaluation et pré-enregistrement
Le guichet en ligne MonEspaceNIS2 permet aux entités du secteur postal de :
- Vérifier leur éligibilité NIS2 en fonction de leur taille et secteur d'activité
- Effectuer un auto-diagnostic de maturité cyber
- Se pré-enregistrer auprès de l'ANSSI pour recevoir communications et instructions
- Accéder à des guides sectoriels et ressources pédagogiques
Ce guichet est opérationnel depuis novembre 2025. Il est fortement recommandé aux opérateurs concernés de s'y inscrire sans attendre la loi définitive, afin d'anticiper les délais de mise en conformité.
Échéances opérationnelles pour le secteur postal
| Échéance | Action |
|---|---|
| Mai 2026 | Pré-enregistrement sur MonEspaceNIS2, lancement d'un diagnostic cyber interne ou externe (PASSI) |
| Juillet 2026 | Promulgation attendue de la Loi Résilience, publication progressive des décrets techniques |
| Q3-Q4 2026 | Mise en œuvre du plan de mise en conformité (mesures de l'article 21), contractualisation avec prestataires qualifiés ANSSI |
| 2027 | Premiers contrôles ANSSI possibles, sanctions applicables en cas de manquement grave |
L'ANSSI a clairement indiqué que les entités qui auront anticipé en suivant le ReCyF bénéficieront d'une présomption de conformité lors des contrôles. À l'inverse, attendre la promulgation définitive expose à un risque de non-conformité dès l'entrée en vigueur, avec sanctions financières et administratives à la clé.
Pour aller plus loin
- Qui est concerné par NIS2 ? : critères détaillés de désignation, seuils, annexes I et II
- Les 10 mesures de l'article 21 : décryptage complet des obligations techniques
- Annuaire des prestataires qualifiés ANSSI : PASSI, PRIS, PDIS, SecNumCloud
- Directive NIS2 (texte officiel)
- Portail ANSSI NIS2
- MesServicesCyber : catalogue de guides, outils et contacts cyber de l'ANSSI
Le secteur postal français entre dans une phase de transformation cyber accélérée. Les attaques massives de fin 2025 ont démontré que la menace n'est plus théorique. NIS2 impose un niveau de résilience minimal, adossé à des sanctions dissuasives. Pour les opérateurs concernés, l'enjeu n'est plus de savoir s'il faut se conformer, mais comment le faire efficacement, rapidement et de manière proportionnée aux moyens disponibles.