NIS2 et SIRH : les nouvelles obligations de cybersécurité

Qui est concerné ?

NIS2 (Network and Information Security 2) étend considérablement le périmètre de NIS1. Deux catégories :

• Entités essentielles : grandes entreprises (> 250 salariés ou CA > 50 M€) dans des secteurs stratégiques — énergie, transport, banque, santé, gestion de l'eau, infrastructures numériques, administration
• Entités importantes : moyennes entreprises (50-250 salariés ou CA 10-50 M€) dans d'autres secteurs critiques — chimie, agroalimentaire, fabrication, services postaux, déchets, fournisseurs numériques

Les fournisseurs SIRH eux-mêmes (Workday, SAP, Cegid, PayFit…) sont quasi tous classés "entités essentielles". Leurs clients héritent de contraintes de conformité par effet de cascade.

Pourquoi les SIRH sont concernés au premier chef

Les systèmes RH sont devenus des concentrateurs de données sensibles :

• Données nominatives de tous les salariés (nom, adresse, numéro de sécurité sociale, RIB)
• Bulletins de paie dématérialisés (données rémunération, prélèvements)
• CV et données candidats (y compris non retenus)
• Évaluations, conflits sociaux, arrêts maladie
• Données financières liées aux IJSS, remboursements, frais professionnels

Une compromission d'un SIRH déclenche des cascades : usurpation d'identité, détournement de salaires, fraude au président, fuite massive de données personnelles. Le coût moyen d'une violation SIRH est estimé à 2,8 M€ par l'ANSSI.

Les 5 obligations concrètes NIS2 pour les SIRH

1. Mesures techniques et organisationnelles

Authentification forte (MFA obligatoire pour les accès admin SIRH), chiffrement des données au repos et en transit, journalisation des accès, segmentation réseau, sauvegarde hors-ligne.

2. Gestion des incidents

Notification obligatoire à l'ANSSI sous 24 h pour un incident "significatif", rapport détaillé sous 72 h, bilan final sous 1 mois. Une procédure documentée doit être en place AVANT tout incident.

3. Supply chain security

Audit sécurité de tous les fournisseurs du SIRH (éditeur, intégrateur, hébergeur cloud, outils tiers connectés par API). Clauses contractuelles spécifiques. Le maillon le plus faible détermine votre niveau de risque.

4. Formation et sensibilisation

Obligation de formation cybersécurité régulière pour les équipes RH / Paie / SIRH ayant accès aux données. Traçabilité de la formation. Sensibilisation spécifique aux techniques d'ingénierie sociale ciblant les RH (faux DRH, faux candidats, fausses URSSAF).

5. Gouvernance et responsabilité

Un dirigeant explicitement responsable de la conformité NIS2 (typiquement le RSSI ou DSI, mais la responsabilité in fine remonte au COMEX). Pénal possible en cas de négligence grave.

Plan d'action pour les DSI / DRH / Chefs de Projet SIRH

1. Qualification NIS2 : votre entreprise est-elle "essentielle", "importante" ou hors scope ? Diagnostic avec votre RSSI
2. Audit de votre SIRH : MFA activé ? Logs d'accès ? Chiffrement ? Procédure d'incident ?
3. Audit des fournisseurs : exigez les rapports SOC 2, ISO 27001, ou équivalents. Vérifiez les clauses contractuelles
4. Mise à jour des contrats avec vos intégrateurs : ajout de clauses NIS2, pénalités en cas de breach
5. Formation des équipes : module cybersécurité spécifique RH (phishing, ingénierie sociale)
6. Exercice de simulation d'incident : une fois par an, tester votre capacité à déclarer sous 24 h

Sanctions en cas de non-conformité

Type d'entité	Amende max
Entité essentielle	10 M€ ou 2 % du CA mondial
Entité importante	7 M€ ou 1,4 % du CA mondial
Négligence grave du dirigeant	Responsabilité personnelle pénale possible