
L'infogérance, c'est quoi ?
L'infogérance, c'est confier la gestion de votre informatique à un prestataire externe. Définition, avantages, inconvénients et tarifs pour trouver la formule adaptée à votre TPE ou PME.

orion: sommaireorion: à retenir
NIS2 ne vise pas que les grandes entreprises de l'énergie ou de la santé.
Si vous fournissez une entité essentielle, la conformité vous rattrape par contrat.
La transposition arrive en France à l'été 2026 : se préparer prend des mois, on commence maintenant.
La plupart des articles sur NIS2 s'adressent aux grandes entreprises de l'énergie, de la santé ou des transports. Résultat : beaucoup de dirigeants de PME et d'ETI se disent "ça ne me concerne pas" et passent à autre chose.
C'est l'erreur la plus coûteuse que vous puissiez faire en 2026. Parce que NIS2 ne s'arrête pas aux entités qu'elle vise directement : elle responsabilise toute leur chaîne d'approvisionnement. Beaucoup d'entreprises qui se croyaient hors champ découvrent que leurs propres clients vont leur réclamer un niveau de sécurité qu'elles n'ont pas.
NIS2 est une directive européenne de cybersécurité qui impose à un large ensemble d'organisations un niveau minimal de gestion des risques et de notification des incidents.
Adoptée fin 2022 (directive UE 2022/2555), elle remplace la première directive NIS de 2016 et élargit massivement le nombre d'entreprises concernées. Ce n'est pas une norme volontaire comme une certification ISO : ce sont des obligations légales, opposables, avec des sanctions à la clé.
NIS2 classe les organisations en deux catégories, mais en touche une troisième par ricochet.
Une organisation est concernée si elle opère dans un secteur listé et dépasse les seuils de la moyenne entreprise (au moins 50 salariés, ou 10 millions d'euros de chiffre d'affaires). En France, on estime entre 15 000 et 18 000 entités directement assujetties, contre quelques centaines sous l'ancienne directive.
orion: schémaLa directive impose à toute entité essentielle d'évaluer et de documenter les risques cyber de ses fournisseurs critiques. Concrètement, si vous fournissez ou sous-traitez pour une entité essentielle, votre client va vous demander des garanties de sécurité équivalentes, par contrat. Vous n'êtes pas dans le texte de loi, mais vous êtes dans le cahier des charges de votre client.
orion: tableau
Entité essentielle > Entité importante > Fournisseur d'une EE
Visé par la loi > Oui > Oui > Non
Contrôle > Proactif (ANSSI) > A posteriori > Via le contrat client
Niveau attendu > Élevé > Élevé > Équivalent, exigé par le client
Déclencheur > La loi > La loi > Le client qui sécurise sa chaîneNIS2 n'impose aucun logiciel ni produit précis. Elle impose un résultat : un niveau de sécurité et de résilience, par des mesures proportionnées au risque.
L'article 21 fixe une dizaine de mesures minimales, obligatoires pour les entités essentielles comme importantes :
Elle vous dit où arriver, pas avec quel outil. Mais atteindre ce niveau sur la détection et la réponse est aujourd'hui très difficile sans certaines capacités techniques.
En cas d'incident significatif, NIS2 impose un calendrier en trois temps, sans exception.
orion: frise
24h > Alerte précoce > dès la détection
72h > Notification > complète de l'incident
1 mois > Rapport final > analyse et mesures
Ce calendrier est intenable sans une capacité de détection en temps réel et un processus de réponse déjà rodé. On ne peut pas notifier en 24 heures un incident qu'on découvre trois semaines plus tard dans les logs.
Les sanctions ne visent pas que l'entreprise. Elles visent aussi, personnellement, ses dirigeants.
orion: sanctions
Entité essentielle > 10 M€ > ou 2 % du CA mondial annuel
Entité importante > 7 M€ > ou 1,4 % du CA mondial annuel
Surtout, la directive engage la responsabilité des organes de direction. Un dirigeant qui n'a pas approuvé les mesures de gestion des risques ou suivi la formation obligatoire s'expose à des sanctions individuelles, voire à une interdiction temporaire d'exercer. La cybersécurité devient une responsabilité du top management, plus seulement de la DSI.
Ils protègent le périmètre et bloquent les menaces connues. NIS2 demande davantage : détecter ce qui passe ces barrières, y répondre vite, et le prouver.
Les attaques actuelles contournent régulièrement les protections périmétriques : compromission d'identifiants, mouvements latéraux, rançongiciels silencieux pendant des semaines. Un antivirus signale ce qu'il connaît déjà, un firewall filtre des flux ; ni l'un ni l'autre ne donne la visibilité ni la capacité de réaction qu'exigent l'article 21 et le calendrier 24h/72h. Le niveau attendu n'est plus "bloquer", c'est "voir, comprendre et réagir".
C'est ici que la solution cybersécurité d'Orion vous résout un problème douloureux.
Deux briques font la différence : l'EDR et le SOC. NIS2 ne les rend pas obligatoires, mais elle rend obligatoire le niveau qu'ils permettent d'atteindre.
Ensemble, ils couvrent le point faible de la plupart des PME et ETI : la détection et la réponse. C'est pourquoi ces deux briques sont au cœur de l'accompagnement que nous construisons chez Orion Solutions.
La directive devait être transposée avant le 17 octobre 2024. La France n'a pas tenu ce délai.
La transposition passe par la loi Résilience : examen en hémicycle attendu pour l'été 2026, promulgation dans la foulée, puis décrets d'application. En attendant, l'ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF) et ouvert la plateforme MonEspaceNIS2. Son message est sans ambiguïté : ne pas attendre le vote pour s'y préparer.
On peut avancer dès maintenant, par étapes, sans attendre la promulgation.
orion: étapes
Déterminez votre statut > Entité essentielle, importante, ou fournisseur d'une EE. L'outil de [MonEspaceNIS2](https://beta.gouv.fr/startups/nis2.html) donne une première réponse.
Faites un état des lieux > Mesurez l'écart entre votre sécurité actuelle et les mesures de l'article 21, en vous appuyant sur le [ReCyF](https://lab.cyber.gouv.fr/les-actualit%C3%A9s-du-lab-anssi/recyf--publication-du-r%C3%A9f%C3%A9rentiel-dexigences-et-du-comparateur/).
Priorisez la détection et la réponse > C'est presque toujours le plus gros trou, et le calendrier 24h/72h le rend critique.
Documentez > Politiques, procédures, registre des incidents. Ce qui n'est pas écrit n'existe pas pour un contrôle.
Sécurisez votre propre chaîne > Vos fournisseurs deviennent votre responsabilité, comme vous devenez celle de vos clients.
Prévoyez un audit complet par un professionnel > Chez Orion Solutions, c'est notre métier. [Prenez RDV avec l'un de nos experts en sécurité informatique](/contact) pour bien vous préparer.
orion: faq
Q: Suis-je concerné si je suis seulement fournisseur d'une entité essentielle ?
R: Indirectement, oui. Vous n'êtes pas visé par la loi, mais votre client essentiel doit sécuriser sa chaîne d'approvisionnement et vous demandera, par contrat, un niveau de sécurité équivalent. En pratique, vous devrez prouver votre conformité pour conserver le marché.
Q: NIS2 impose-t-elle d'acheter un EDR ou un SOC ?
R: Non. NIS2 impose un niveau de sécurité (détection, réponse, gestion des incidents), pas des outils précis. Mais atteindre ce niveau sans capacité de détection et de réponse est aujourd'hui très difficile, et l'EDR et le SOC y répondent le plus directement.
Q: Quels sont les délais de notification d'un incident ?
R: Trois étapes : une alerte précoce sous 24 heures, une notification complète sous 72 heures, et un rapport final sous un mois.
Q: NIS2 est-elle déjà applicable en France ?
R: Pas encore pleinement. La transposition via la loi Résilience est attendue à l'été 2026. Mais l'ANSSI recommande de se préparer dès maintenant, en s'appuyant sur le référentiel ReCyF publié en mars 2026.
L'infogérance, c'est confier la gestion de votre informatique à un prestataire externe. Définition, avantages, inconvénients et tarifs pour trouver la formule adaptée à votre TPE ou PME.