Qu'est-ce que WarDek ?

WarDek est une suite de conformite complete qui combine un scanner de vulnerabilites OWASP avec des modules de conformite NIS2, AI Act et RGPD, specialement concue pour les PME europeennes.

Mon entreprise est-elle soumise a NIS2 ?

La directive NIS2 s'applique aux entites essentielles et importantes dans des secteurs comme l'energie, la sante, les transports, le numerique, etc. Utilisez notre simulateur gratuit pour verifier.

Comment utiliser les rapports WarDek dans un audit ?

Les rapports WarDek fournissent une base de travail exploitable pour vos equipes, votre CAC ou votre preparateur audit. Ils n'equivalent pas a une certification officielle ni a un avis juridique.

Combien de temps prend un scan ?

Un scan OWASP complet prend generalement entre 2 et 5 minutes selon la complexite de votre site web.

Mes donnees sont-elles securisees ?

Absolument. Nous ne stockons jamais vos identifiants. Les rapports sont chiffres et vous pouvez les supprimer a tout moment. Nous sommes heberges en France.

Puis-je essayer avant d'acheter ?

Oui ! Le plan Gratuit vous permet de tester WarDek avec 3 scans par mois, sans carte bancaire requise.

NIS2 : Sanctions et Amendes — Ce que Risque Votre Entreprise

La directive NIS2 (Directive 2022/2555 du Parlement européen et du Conseil) est entrée en application dans les États membres en octobre 2024. Au-delà des obligations techniques, elle introduit un régime de sanctions financières significatif qui concerne directement les PME opérant dans les secteurs critiques. Voici ce que vous devez savoir.

Cadre Légal : La Base Juridique des Sanctions

La directive NIS2 habilite les autorités nationales compétentes à infliger des sanctions administratives aux entités qui ne respectent pas leurs obligations. Cette base légale est posée aux articles 32 et 33 de la Directive 2022/2555.

Contrairement à NIS1, NIS2 uniformise les niveaux de sanctions à l'échelle européenne, tout en laissant aux États membres la latitude de définir les modalités d'application. En France, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est l'autorité compétente désignée.

Un point crucial : les sanctions ne visent pas uniquement les incidents de sécurité. Elles s'appliquent aussi au défaut de conformité proactive — ne pas avoir mis en place les mesures requises, même sans incident déclaré.

Montants des Amendes : La Distinction Essentielle

NIS2 distingue deux catégories d'entités, chacune soumise à un plafond d'amende différent.

Entités Essentielles

Ces entités relèvent des secteurs les plus critiques : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, espace et administration publique.

Plafond d'amende : 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

Pour une PME réalisant 15 M€ de CA, l'exposition maximale est de 10 M€ (car 2 % = 300 K€, inférieur au plancher de 10 M€). Pour une entreprise à 600 M€ de CA, c'est 12 M€ (2 % > 10 M€).

Entités Importantes

Ces entités couvrent des secteurs comme les services postaux, la gestion des déchets, la fabrication de produits critiques, les fournisseurs numériques et les organismes de recherche.

Plafond d'amende : 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

Responsabilité Personnelle des Dirigeants

L'article 32 de NIS2 prévoit également la possibilité de sanctions à l'encontre des personnes physiques occupant des fonctions de direction au sein des entités essentielles. Cela inclut une interdiction temporaire d'exercer des fonctions managériales. Ce dispositif est inédit par rapport à la première directive NIS.

Qui Contrôle et Comment ?

L'ANSSI en France

En France, l'ANSSI exerce les fonctions de supervision, d'audit et de sanction. Ses prérogatives incluent :

Inspections sur site et à distance
Demande de documentation sur les politiques de sécurité, les analyses de risques, les procédures de gestion des incidents
Tests de pénétration et audits de sécurité
Injonction de remédiation avec délai fixé

Le processus typique : notification écrite des manquements constatés → délai de mise en conformité → contrôle de vérification → décision de sanction si la situation n'a pas été corrigée.

Coopération Inter-États

Pour les entités opérant dans plusieurs États membres, NIS2 prévoit des mécanismes de coopération entre autorités nationales via le Réseau CyCLONe et le Groupe de Coopération NIS. Une entreprise française ayant des filiales en Allemagne et en Espagne peut être contrôlée par plusieurs autorités simultanément.

Facteurs Aggravants et Atténuants

Les autorités tiennent compte de plusieurs critères pour moduler le montant de l'amende :

Facteurs aggravants : caractère répété de l'infraction, absence de coopération avec les autorités, impact réel sur les services, dissimulation d'un incident.

Facteurs atténuants : effort de mise en conformité démontré, coopération proactive, mesures correctives mises en place rapidement, impact limité.

Les Infractions les Plus Fréquentes

D'après les premières expériences de mise en application dans les États membres pionniers (Pays-Bas, Allemagne), les manquements les plus souvent sanctionnés sont :

Absence de politique de gestion des risques formalisée et documentée
Non-notification d'incident dans les délais réglementaires (24h/72h)
Absence de plan de continuité d'activité et de reprise après sinistre
Contrôles d'accès insuffisants (absence de MFA, droits excessifs)
Absence d'évaluation de la chaîne d'approvisionnement selon l'article 21

Comment Éviter les Sanctions : Les 5 Priorités

1. Réaliser un Gap Analysis Immédiatement

Avant toute chose, identifier l'écart entre votre situation actuelle et les exigences NIS2. Cela concerne les 10 mesures de l'article 21 : politique de sécurité, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des réseaux, hygiène cyber, cryptographie, ressources humaines, authentification et gestion des actifs.

2. Documenter Systématiquement

Les autorités de contrôle demandent des preuves documentaires. Une mesure non documentée est une mesure inexistante aux yeux d'un auditeur. Conservez les politiques, les comptes-rendus de revue de direction, les rapports d'audit, les formations.

3. Établir une Procédure de Notification d'Incident

La non-notification est l'une des infractions les plus facilement détectables et les plus sévèrement sanctionnées. Votre procédure doit identifier les incidents notifiables, les interlocuteurs (CERT-FR / ANSSI), et les délais.

4. Intégrer la Sécurité dans les Contrats Fournisseurs

L'article 21 exige explicitement d'évaluer la sécurité de votre chaîne d'approvisionnement. Cela se traduit par des clauses contractuelles, des questionnaires de sécurité et des audits fournisseurs.

5. Former et Sensibiliser les Dirigeants

NIS2 responsabilise explicitement la direction. Des formations régulières des membres du comité de direction ne sont plus optionnelles — elles constituent une exigence légale de l'article 20.

WarDek NIS2 Dashboard : Votre Tableau de Bord Conformité

Suivre manuellement sa conformité NIS2 face à 10 domaines de mesures, avec des échéances réglementaires et des exigences de documentation, représente une charge opérationnelle importante pour une PME.

Le dashboard NIS2 de WarDek centralise votre niveau de conformité sur chaque domaine de l'article 21, identifie les lacunes prioritaires, et génère automatiquement les preuves documentaires dont vous aurez besoin lors d'un audit ANSSI. Chaque action corrective est tracée avec sa date de résolution, constituant un dossier de conformité opposable.

Résultat : vous passez d'une exposition aux sanctions maximales à une posture défendable, documentée, et améliorée en continu.

Pour comprendre si votre entreprise est concernée par NIS2, consultez notre guide complet sur la directive NIS2 pour les PME.