NIS2 COLLECTIVITÉS TERRITORIALES

NIS2 Collectivités Territoriales Multi-Sites : Guide Complet (1000+ Agents)

Directive NIS2 : quelles collectivités territoriales sont concernées ? Comment mettre en conformité une communauté de communes multi-sites (plusieurs mairies, 1000 agents, 150 SI) ? Checklist, architecture, timeline et coûts détaillés.

Démo conformité collectivités Offre Collectivités

NIS2 : Quelles collectivités territoriales sont concernées ?

La directive NIS2 (Network and Information Security 2), entrée en vigueur le 17 octobre 2024, s'applique aux "entités essentielles" et "entités importantes" qui fournissent des services critiques. Pour les collectivités territoriales, cela concerne principalement :

Collectivités concernées par NIS2

Communautés de communes/agglomération : +1000 agents ou services mutualisés critiques (eau, énergie, déchets)
Villes moyennes et grandes : +50 000 habitants, gestion services essentiels (état civil, social, urbanisme)
Départements et régions : infrastructures numériques, santé (hôpitaux), éducation (collèges/lycées)
Syndicats intercommunaux : eau, assainissement, déchets, énergie si +250 personnes desservies

Critères d'éligibilité NIS2

Vous êtes concerné si votre collectivité remplit au moins un de ces critères :

• Gestion d'un service essentiel (eau, énergie, déchets, transport)
• +50 agents travaillant sur des systèmes d'information critiques
• Budget numérique annuel > 100K€
• Prestataire de services numériques pour d'autres collectivités
• Hébergement de données sensibles citoyens (état civil, social, santé)

Sanctions NIS2 : En cas de non-conformité, les sanctions peuvent atteindre 10 millions d'euros ou 2% du budget annuel de la collectivité, avec publication de la sanction et responsabilité personnelle des élus.

Cas d'usage : Communauté de communes multi-sites

Communauté d'Agglomération (nom anonymisé)

Communauté d'agglomération regroupant une dizaine de communes, 50 000 habitants, région Nouvelle Aquitaine (sud-ouest)

Caractéristiques :

1200 agents répartis sur une dizaine de sites (mairies + services mutualisés)
150 systèmes d'information : état civil, finances, RH, techniques (eau, déchets)
Services mutualisés : DSI, RH, finances, urbanisme, social, petite enfance
Budget numérique : 850K€/an (matériel, licences, prestataires)
Prestataires : DSI externalisée (15 personnes), hébergement, maintenance applicative

Services essentiels gérés :

Eau potable : 40 000 abonnés, télérelève, facturation
Assainissement : 5 stations d'épuration, supervision SCADA
Déchets : collecte 25 communes, 3 déchetteries
État civil : 25 mairies connectées, archivage dématérialisé
Action sociale : CCAS, données personnelles sensibles

Pourquoi cette collectivité est soumise à NIS2

Cette communauté d'agglomération cumule plusieurs critères d'éligibilité :

✓ Gestion de services essentiels (eau, assainissement) pour +40 000 personnes
✓ Plus de 1000 agents utilisant des SI interconnectés
✓ Hébergement de données sensibles citoyens (état civil, social)
✓ Budget numérique > 100K€/an

Défis spécifiques des collectivités multi-sites

1. Hétérogénéité des systèmes d'information

Chaque commune a historiquement ses propres applications (état civil, finances, RH). La communauté de communes a ajouté ses propres SI pour les services mutualisés. Résultat : 150 applications différentes, certaines obsolètes, d'autres en SaaS, d'autres hébergées sur site.

Impact NIS2 : Il faut cartographier tous ces SI, identifier les critiques, évaluer leurs risques, et prouver qu'ils sont sécurisés. Sans plateforme GRC, c'est mission impossible.

2. Multiples parties prenantes

NIS2 implique de coordonner : une dizaine de maires, la présidence de la communauté, la DSI externalisée, les directions métiers (eau, déchets, social), les prestataires (hébergeurs, maintenance), et 1200 agents qui doivent être sensibilisés.

Impact NIS2 : La gouvernance est complexe. Qui est responsable en cas d'incident ? Comment organiser les comités de pilotage ? Comment former 1200 personnes ? Réponse : plateforme collaborative + IA.

3. Contraintes budgétaires

Les collectivités ont des budgets limités. Le coût de la mise en conformité NIS2 ne doit pas dépasser 3-5% du budget numérique annuel, soit 25-40K€ pour notre cas d'usage. Impossible d'embaucher un RSSI temps plein (80K€/an) ou de payer un cabinet conseil Big4 (150K€).

Impact NIS2 : Solution : plateforme GRC low-cost (1500€/mois) + consultant freelance RSSI temps partiel (2j/mois, 1200€) + formation agents en ligne = 35K€/an au total.

4. Urgence réglementaire

NIS2 est applicable depuis octobre 2024. Les contrôles ANSSI peuvent commencer dès maintenant. La collectivité doit prouver qu'elle a au minimum lancé le chantier et a un plan d'action crédible sur 12-18 mois.

Impact NIS2 : Pas le temps de partir de zéro. Il faut une solution clé en main avec templates NIS2 pré-configurés, assistant IA pour autonomie, et déploiement express (1 mois).

Checklist NIS2 pour collectivités territoriales (25 points essentiels)

1. Gouvernance et organisation

Désigner un référent cybersécurité (RSSI ou équivalent)
Créer un comité de pilotage cyber (élus + DSI + métiers)
Définir rôles et responsabilités (RACI)
Valider budget cyber annuel (3-5% budget numérique)

2. Cartographie des actifs et services essentiels

Inventaire des 150 SI (applications, serveurs, réseaux)
Identifier les services essentiels au sens NIS2 (eau, état civil, social)
Cartographier les dépendances (SI critiques → services essentiels)
Évaluer la criticité de chaque SI (impact si indisponible)

3. Analyse et gestion des risques

Analyse de risques sur les SI critiques (méthode EBIOS RM)
Priorisation des risques (criticité × probabilité)
Plan d'action risques avec timeline et responsables
Surveillance continue des risques résiduels

4. Mesures techniques et organisationnelles

Sécurisation accès : MFA obligatoire, gestion des comptes à privilèges
Chiffrement données sensibles (état civil, social)
Sauvegarde 3-2-1 (3 copies, 2 supports, 1 hors site)
Supervision sécurité (logs, détection intrusion)
Gestion des correctifs de sécurité (patch management)

5. Sensibilisation et formation

Formation cybersécurité pour les 1200 agents (e-learning)
Campagnes de sensibilisation régulières (phishing, mots de passe)
Formation spécifique pour les administrateurs SI

6. Gestion de crise et continuité

Plan de réponse à incident cyber (qui fait quoi en cas d'attaque)
Plan de continuité d'activité (PCA) pour services essentiels
Tests annuels des plans (exercices de crise)
Déclaration incidents à l'ANSSI (sous 24h si majeur)

7. Gestion des prestataires

Audit cybersécurité de tous les prestataires critiques
Clauses cyber dans les contrats (responsabilités, SLA, assurance)
Revue annuelle de la conformité prestataires

Accéder à la checklist complète

Via démo OwlCub : checklist interactive + suivi automatisé

Architecture de conformité multi-sites avec OwlCub

Niveau Communauté de communes

• Plateforme GRC OwlCub centralisée
• Référent cyber communauté (0,5 ETP)
• Dashboard consolidé 25 communes
• Reporting ANSSI + conseil

Niveau Communes (10 sites)

• Accès OwlCub par commune
• 1 référent cyber/commune (0,1 ETP)
• Cartographie SI locale
• Plans d'action spécifiques

Niveau Prestataires

• DSI externalisée : accès admin OwlCub
• Hébergeurs : audits annuels tracés
• Éditeurs : contrats avec clauses cyber
• Suivi conformité continu

Workflow de conformité automatisé

Étape 1

Communes remplissent cartographie SI dans OwlCub

Étape 2

Consolidation automatique niveau communauté

Étape 3

Analyse risques globale + priorisation

Étape 4

Plans d'action dispatché par site

Gestion des prestataires : DSI externe, infogérance, hébergeurs

Les collectivités territoriales font massivement appel à des prestataires externes : DSI mutualisée, hébergeurs Cloud, éditeurs de logiciels métiers, maintenance. NIS2 exige que vous audiditiez et supervisiez la cybersécurité de ces tiers.

DSI externalisée (cas le plus fréquent)

Votre DSI est gérée par un syndicat mixte ou un prestataire privé. Vous restez responsable de la conformité NIS2, même si c'est le prestataire qui opère.

Actions à mener :

Auditer la conformité NIS2 du prestataire DSI (via OwlCub : questionnaire standardisé)
Ajouter clauses cyber au contrat : obligation de conformité, notification incidents sous 4h, audits annuels
Donner accès OwlCub à la DSI externe : ils deviennent acteurs de la conformité, pas spectateurs
Revue trimestrielle cyber (comité de pilotage collectivité + DSI)

Hébergeurs Cloud et datacenters

Vos applications sont hébergées chez OVH, AWS, Azure, ou un datacenter local. NIS2 exige de vérifier leur résilience et sécurité.

Actions à mener :

Vérifier certifications hébergeur (ISO 27001, HDS si données santé)
Exiger rapport SOC 2 Type II annuel (preuves de sécurité)
Localisation données : privilégier France/UE (souveraineté)
Plan de continuité hébergeur (RTO/RPO garantis)

Éditeurs de logiciels métiers

Vous utilisez des dizaines de logiciels SaaS (état civil, finances, RH, social). Leurs vulnérabilités peuvent vous exposer.

Actions à mener :

Questionnaire cybersécurité obligatoire pour tout nouvel éditeur (template OwlCub)
Vérifier politique de gestion des correctifs (délais patch CVE critiques)
Clauses RGPD (DPA) + clauses cyber (notification incidents sous 24h)
Suivi annuel : l'éditeur maintient-il son niveau de sécurité ?

Timeline : Mise en conformité NIS2 en 6-12 mois

M1-2

Phase 1 : Cadrage et lancement

✓ Constitution comité de pilotage (élus + DSI + métiers)
✓ Désignation référent cyber communauté
✓ Souscription plateforme GRC OwlCub
✓ Formation équipe (2j)
✓ Communication aux communes membres

M3-4

Phase 2 : Cartographie et analyse

✓ Cartographie 150 SI (1 mois, automatisée OwlCub)
✓ Identification services essentiels (eau, état civil, social)
✓ Analyse de risques sur SI critiques (méthode EBIOS RM light)
✓ Audit prestataires (DSI, hébergeurs, éditeurs)
✓ Gap analysis NIS2 (écarts vs exigences)

M5-8

Phase 3 : Déploiement mesures techniques

✓ MFA sur tous les comptes (3 mois de déploiement progressif)
✓ Renforcement sauvegardes (3-2-1)
✓ Chiffrement données sensibles (état civil, social)
✓ Supervision sécurité (logs centralisés, SOC externe optionnel)
✓ Gestion correctifs automatisée

M9-10

Phase 4 : Formation et documentation

✓ E-learning cybersécurité 1200 agents (plateforme OwlCub intégrée)
✓ Rédaction politiques (PSSI, PCA, plan réponse incident)
✓ Procédures opérationnelles (gestion comptes, incidents, prestataires)
✓ Campagne phishing test (avec Owly IA)

M11-12

Phase 5 : Audit et amélioration continue

✓ Audit interne NIS2 (consultant externe ou OwlCub AI audit)
✓ Exercice de crise cyber (simulation ransomware)
✓ Rapport conformité pour conseil + ANSSI
✓ Planification amélioration continue (roadmap 2-3 ans)

Note : Cette timeline est réaliste pour une collectivité de taille moyenne (1000 agents, 150 SI) avec l'aide d'une plateforme GRC automatisée et d'un consultant RSSI temps partiel. Sans outillage, comptez 18-24 mois.

Coûts & ROI : Budget réaliste pour collectivité 1000 agents

Budget mise en conformité NIS2 (Année 1)

Plateforme GRC OwlCub (multi-sites)18 000€

Consultant RSSI temps partiel (2j/mois × 12 mois × 1200€)28 800€

Formation e-learning 1200 agents (15€/agent)18 000€

Mesures techniques (MFA, supervision, sauvegardes)25 000€

Audit prestataires (DSI, hébergeurs)8 000€

Audit final conformité NIS212 000€

TOTAL ANNÉE 1109 800€

Budget numérique collectivité : 850K€/an

Coût NIS2 en % budget numérique : 109 800€ / 850 000€ = 12,9%

✓ Budget conforme aux recommandations (3-15% pour mise en conformité initiale)

Budget récurrent (Années 2+)

Plateforme GRC OwlCub18 000€

Consultant RSSI (1j/mois, maintenance)14 400€

Formation nouveaux agents (10%)1 800€

Supervision sécurité (SOC externe optionnel)12 000€

Audit annuel conformité8 000€

TOTAL PAR AN (récurrent)54 200€

Coût récurrent en % budget numérique : 54 200€ / 850 000€ = 6,4%

✓ Budget soutenable (recommandation 5-8% pour maintien en condition de sécurité)

110K€

Investissement An 1

vs 200K€ sans plateforme GRC

54K€

Budget récurrent/an

6,4% du budget numérique

10M€

Sanction max évitée

+ impact réputationnel

FAQ NIS2 Collectivités

Ma petite commune de 2000 habitants est-elle concernée par NIS2 ?

Probablement non si isolée. NIS2 vise les collectivités gérant des services essentiels à grande échelle. Cependant, si vous êtes membre d'une communauté de communes soumise à NIS2, vous serez indirectement impacté (harmonisation des pratiques cyber, audit prestataires mutualisés). Le RGPD reste obligatoire pour toutes les communes (données citoyens).

Qui est responsable en cas d'incident cyber : la commune ou la communauté ?

Dépend de la répartition des compétences. Si la DSI est mutualisée au niveau communauté, c'est la communauté qui est responsable NIS2. Les communes individuelles restent responsables de leurs SI propres (ex: applications métier locales). Il faut définir clairement les responsabilités dans une convention de mutualisation annexée aux statuts.

Faut-il embaucher un RSSI temps plein pour être conforme NIS2 ?

Non, pas obligatoirement. NIS2 exige un "responsable cybersécurité", qui peut être temps partiel ou externe. Pour une collectivité 1000 agents, solution optimale : référent cyber interne 0,5 ETP (issu DSI ou métier) + consultant RSSI externe 1-2j/mois (expertise pointue, audits). Coût 15-30K€/an vs 80K€ RSSI temps plein.

Comment former 1000+ agents à la cybersécurité avec un budget limité ?

E-learning + IA conversationnelle. Les formations présentiel coûtent 500-1000€/jour pour 15 personnes = budget prohibitif. Solution : e-learning cybersécurité (15-30€/agent/an) + assistant IA Owly intégré à OwlCub qui répond aux questions quotidiennes des agents. Taux de complétion >90% vs <50% en présentiel.

Que se passe-t-il si on n'est pas prêt pour un contrôle ANSSI ?

L'ANSSI peut réaliser des contrôles sans préavis. Si vous êtes en retard, deux scénarios : (1) Vous avez lancé le chantier avec plan d'action crédible : l'ANSSI accorde délai supplémentaire (3-6 mois) sous surveillance. (2) Vous n'avez rien fait : mise en demeure puis sanctions (10M€ ou 2% budget). Notre conseil : démarrer immédiatement avec OwlCub pour avoir traçabilité de vos efforts.

Peut-on mutualiser la conformité NIS2 entre plusieurs collectivités ?

Oui, fortement recommandé. Plusieurs communautés de communes ou départements peuvent mutualiser : plateforme GRC (licence groupée), consultant RSSI externe (circuit riding), formations agents, audits prestataires. Économie d'échelle 30-40%. OwlCub propose offres groupées collectivités. Contactez-nous pour tarif sur-mesure.

Collectivités : Démarrez votre conformité NIS2 maintenant

Plateforme GRC OwlCub spéciale collectivités multi-sites : cartographie SI, gestion risques, formation agents, reporting ANSSI. Démo gratuite 30 minutes.

Démo conformité collectivités Offre Collectivités détaillée

✓ Tarif dégressif multi-sites • ✓ Module RGPD inclus • ✓ Support dédié public • ✓ Financement ANSSI possible