badge nis2

NIS2 et contrôle d’accès : ce que la directive change concrètement pour vos badges

NIS2 est entrée dans le vocabulaire de toutes les DSI européennes. Mais derrière les obligations de cybersécurité se cachent des exigences qui dépassent largement l’informatique. La sécurité physique des accès (et donc les badges) est directement concernée. L’Univers du Badge fait le point sur ce que cela change concrètement.

NIS2 : un chantier réglementaire qui avance, même en France

La directive européenne NIS2 (Network and Information Security, directive UE 2022/2555) a été publiée au Journal Officiel de l’Union européenne en décembre 2022. Elle remplace NIS1 en élargissant considérablement son périmètre : là où la première directive ciblait 7 secteurs, NIS2 en couvre 18 : de l’énergie à la santé, en passant par les transports, les administrations publiques et la gestion des déchets.

En France, la transposition est pilotée par l’ANSSI. Le processus législatif a pris du retard, la Commission européenne a d’ailleurs ouvert des procédures d’infraction contre 23 États membres en novembre 2024, dont la France. 

Le Sénat a adopté le projet de loi dit « Loi Résilience » en mars 2025, et le texte a ensuite poursuivi son chemin à l’Assemblée nationale. La promulgation finale est attendue en 2026, suivie de la publication des décrets d’application par l’ANSSI.

Ce calendrier ne doit pas inciter à attendre. L’ANSSI le dit elle-même : les entités ont intérêt à anticiper. Un simulateur en ligne est d’ores et déjà disponible pour évaluer si votre organisation sera concernée.

Suis-je concerné par NIS2 ?

NIS2 distingue deux catégories d’entités :

  1. Entités essentielles (EE) : énergie, transports, banques, infrastructures des marchés financiers, santé, eau, infrastructure numérique, administration publique…
  2. Entités importantes (EI) : services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, recherche…

Les PME et ETI de taille moyenne sont désormais incluses, dès lors qu’elles appartiennent à l’un de ces secteurs. L’ANSSI estime que la directive concernera environ 15 000 entités en France.

Testez votre situation sur monespacenis2.cyber.gouv.fr

Ce que NIS2 dit explicitement sur la sécurité physique

C’est le point que beaucoup de responsables ignorent encore : NIS2 ne parle pas que de cybersécurité au sens informatique du terme. 

L’article 21 de la directive impose une approche dite « tous risques » et liste les mesures minimales que les entités concernées doivent mettre en œuvre. Parmi elles figure explicitement : les « mesures relatives à la sécurité physique des locaux et installations des entités ».

La logique est simple, et la directive l’énonce sans détour : un attaquant disposant d’un accès physique à une salle serveur n’a pas besoin de contourner un pare-feu. Il peut débrancher, copier, détruire. Investir dans la cybersécurité sans sécuriser les accès physiques revient à blinder une porte tout en laissant la fenêtre ouverte.

L’article 21 couvre également d’autres exigences qui ont des répercussions directes sur les contrôles d’accès physiques :

  • La gestion des accès et des droits : qui entre où, selon quel périmètre, sur quelle période. C’est la logique du moindre privilège appliquée au monde physique.
  • La continuité d’activité : les systèmes de sécurité doivent fonctionner même en mode dégradé. Un contrôle d’accès qui tombe lors d’une cyberattaque est une double défaillance.
  • La traçabilité et l’auditabilité : en cas d’incident, l’entité doit être en mesure de reconstituer ce qui s’est passé, y compris les mouvements physiques dans ses locaux.
  • La sécurité des ressources humaines : gestion des arrivées, des départs, des prestataires, des droits temporaires. L’offboarding d’un collaborateur inclut la désactivation immédiate de ses accès physiques.

Pourquoi le badge répond naturellement à ces exigences

Pour les organisations qui disposent déjà d’un système de badges bien configuré, la bonne nouvelle est que NIS2 ne demande pas de tout réinventer. Elle demande de formaliser, de documenter et de vérifier ce qui existe (ce que le badge rend précisément possible).

Une traçabilité native

Chaque passage de badge est horodaté et enregistré dans le système de gestion. En cas d’audit ANSSI ou d’incident, ces logs constituent une preuve exploitable immédiatement. C’est une exigence NIS2 satisfaite sans couche technologique supplémentaire (voir notre dossier sur Badge et données : la data cachée dans vos badges).

Une gestion granulaire des droits

Un système de badges permet d’appliquer concrètement le principe du moindre privilège : chaque personne accède uniquement à ce dont elle a besoin, dans les horaires où elle en a besoin. C’est exactement la logique que NIS2 impose pour la gestion des accès physiques comme numériques (voir notre guide sur la matrice des droits d’accès).

Une résilience en conditions dégradées

Contrairement à des solutions qui dépendent d’un réseau opérationnel ou d’un appareil personnel, le badge physique continue de fonctionner même lorsque l’infrastructure IT est compromise. Les lecteurs conservent localement une partie des autorisations. C’est un point décisif dans une stratégie de continuité d’activité conforme à NIS2 (voir notre dossier Badge face aux crises modernes).

Une conformité RGPD intégrée

NIS2 et RGPD se complètent sur les questions de données personnelles, l’ANSSI le souligne dans sa documentation. Le badge physique collecte un identifiant unique, sans donnée biométrique ni information personnelle exposée : une architecture de minimisation des données par construction (voir Pourquoi le badge reste votre meilleur allié conformité RGPD).

Trois questions pour évaluer votre situation

Avant de penser mise en conformité, un diagnostic rapide s’impose. Trois questions permettent d’identifier les premières lacunes :

  1. Mon système de contrôle d’accès produit-il des journaux (logs) horodatés, exploitables en cas d’audit ? Si les traces de passage ne sont pas archivées et consultables, la traçabilité exigée par NIS2 n’est pas assurée.
  2. Les droits d’accès de mes collaborateurs, prestataires et visiteurs sont-ils documentés, segmentés et régulièrement mis à jour ? Un badge qui ouvre « toutes les portes » par défaut, ou des droits qui survivent au départ d’un collaborateur, sont des signaux d’alarme.
  3. Mon système fonctionne-t-il en mode autonome en cas de coupure réseau ou d’incident IT ? Si la réponse est non, la continuité d’activité exigée par NIS2 est compromise dès le premier incident.

Ce que NIS2 change, en réalité

NIS2 ne révolutionne pas la sécurité physique. Elle la formalise et lui donne un poids réglementaire qu’elle n’avait pas jusqu’ici. 

Pour les responsables sécurité qui peinent à faire financer leurs projets de contrôle d’accès, c’est paradoxalement une opportunité : la directive offre un levier d’arbitrage budgétaire que le seul argument sécuritaire ne suffisait pas toujours à obtenir.

Pour les organisations qui ont déjà investi dans un système de badges performant, avec une gestion rigoureuse des droits, des logs exploitables et une technologie cryptographique à jour (DESFire EV3, SEOS), l’essentiel du chemin est déjà fait. Il reste à documenter, à auditer et à intégrer la sécurité physique dans la gouvernance globale de la cybersécurité.

C’est précisément ce travail de mise en cohérence qu’Elliaden accompagne depuis plus de 20 ans.

Note importante : Cet article est une introduction aux implications de la directive NIS2 sur la sécurité physique. Il ne constitue pas un conseil juridique. La transposition française de NIS2 n’étant pas encore finalisée à la date de publication, certaines obligations spécifiques seront précisées par les décrets d’application publiés par l’ANSSI. Pour évaluer précisément votre situation, consultez le simulateur officiel sur monespacenis2.cyber.gouv.fr ou rapprochez-vous d’un conseil spécialisé.