Logiciel SaaS

Gestion des talents

Directive NIS2 : comment protéger vos systèmes et données RH ?

Écrit par Raphaëlle Poyet

Le 15 décembre 2025

Modifié le 29 avril 2026

10 min
La directive NIS2 marque un tournant pour les organisations qui gèrent des données RH. Le texte introduit de nouvelles obligations sur la sécurité des systèmes, la gestion des accès et la continuité d’activité. Pour les équipes RH et SIRH, l’enjeu est d’adapter leurs pratiques pour garantir la fiabilité des informations et limiter les risques liés aux nouveaux usages numériques.

La directive NIS2, publiée au Journal Officiel de l’Union européenne en décembre 2022, marque un tournant pour les organisations qui gèrent des données RH. Le texte introduit de nouvelles obligations sur la sécurité des systèmes, la gestion des accès et la continuité d’activité. Pour les équipes RH et SIRH, l’enjeu est d’adapter leurs pratiques pour garantir la fiabilité des informations et limiter les risques liés aux nouveaux usages numériques.

La digitalisation des RH a multiplié les points d’accès aux données collaborateurs : SIRH, cloud, applications mobiles, portails salariés… Autant d’opportunités que de portes ouvertes aux cyberattaques. Or ces données telles que les salaires, contrats, évaluations ou encore dossiers personnels figurent parmi les plus sensibles de l’entreprise.

Avec l’arrivée de la directive NIS2, la protection des systèmes RH ne dépend plus seulement de bonnes pratiques internes. Les obligations réglementaires se renforcent et touchent désormais les organisations comme leurs prestataires. Voici les principes clés et les bonnes pratiques pour renforcer la sécurité informatique de votre écosystème RH.

Comprendre la directive européenne NIS2 : origines, calendrier et périmètre

Initiée par la Commission européenne, la directive NIS2 remplace la précédente directive NIS pour apporter un cadre de protection beaucoup plus robuste à vos systèmes d’information. Voici les repères fondamentaux de cette nouvelle directive NIS pour bien appréhender ce son cadre réglementaire :

  • Un calendrier précis : publiée au Journal officiel de l’Union européenne en décembre 2022, la nouvelle directive fixe un délai d’application clair. Les États membres ont jusqu’au 17 octobre 2024 pour achever sa transposition en droit national.
  • Un périmètre élargi : le texte cible désormais un éventail beaucoup plus large de secteurs critiques. L’assujettissement repose sur des critères précis de taille et de chiffre d’affaires, avec une attention particulière portée sur les moyennes entreprises et les grandes structures.
  • Une classification claire : la réglementation catégorise les organisations en deux groupes distincts : les entités essentielles et les entités importantes. Cette approche permet d’adapter les exigences au niveau de criticité de chaque structure.

Parallèlement à ces lignes directrices, des cadres spécifiques comme le Digital Operational Resilience Act (DORA) s’articulent avec NIS2 pour couvrir les acteurs financiers. Ces exigences partagent un objectif commun : maintenir la continuité de vos opérations et garantir une protection des données personnelles optimale.

La gouvernance évolue également de manière significative. Désormais, les entités telles que le conseil d’administration et la direction générale portent une responsabilité directe et personnelle en cas de non-respect des règles. Pour éviter toute sanction, les équipes dirigeantes doivent valider et piloter un plan d’action exhaustif, plaçant la cybersécurité (et la politique de sécurité) au cœur de la stratégie d’entreprise.

En cas de manquement, des sanctions administratives et financières peuvent être prononcées : les autorités compétentes peuvent infliger des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel de l’entité, selon le montant le plus élevé. De plus, des mesures restrictives ou correctives – telles qu’une mise sous surveillance, des injonctions ou la suspension temporaire de certaines activités – peuvent être ordonnées. Ces sanctions sont conçues pour protéger l’écosystème, mais elles peuvent aussi porter atteinte à la réputation et à la viabilité de l’organisation sur le long terme.

L’importance de la sécurité informatique dans l’écosystème RH

La sécurité informatique ne consiste pas seulement à protéger un serveur ou à installer un antivirus. C’est tout un ensemble de pratiques, d’outils et de réflexes destinés à garantir que les données restent entre de bonnes mains.

 

Une vision globale, pas seulement technique

Sécuriser un SIRH correspond à la fois à une question d’infrastructure et d’organisation. Cela suppose de contrôler les accès, d’encadrer les habilitations, de chiffrer les échanges et d’assurer des sauvegardes fiables. Mais surtout, cela demande une culture partagée de la sécurité : un mot de passe trop simple ou un fichier envoyé par mail peut parfois suffire à créer une faille.

 

Sécurité informatique et cybersécurité : deux facettes d’un même sujet

La cybersécurité et la sécurité informatique sont souvent confondues :

  • La cybersécurité se concentre sur la réponse aux menaces extérieures (virus, phishing, ransomwares).
  • La sécurité informatique, elle, englobe tout le reste : la gouvernance, les processus internes, la conformité RGPD et la formation des utilisateurs. Dans un environnement RH, elle vise autant à prévenir les attaques qu’à garantir la continuité des services et la confiance des collaborateurs.

 

Les fondamentaux de la sécurité informatique à connaître

Trois principes guident toute démarche :

  • La confidentialité : seules les personnes autorisées doivent accéder aux données collaborateurs.
  • L’intégrité : les informations ne doivent pas être altérées ou supprimées sans contrôle.
  • La disponibilité : les outils RH doivent rester opérationnels à tout moment, surtout la paie.

Transposition en France de NIS 2 : un PDF pour comprendre le cadre réglementaire

Le RGPD impose des mesures adaptées au niveau de risque pour éviter tout accès, altération ou divulgation non autorisée. Tandis que la CNIL insiste sur la documentation des incidents et la sensibilisation des utilisateurs. L’ANSSI, de son côté, publie des recommandations opérationnelles pour sécuriser les accès, les sauvegardes et le chiffrement. Elle est chargée de la rédaction du référentiel : ce dernier est mis à dusposition du public depuis le 17 mars 2026, vous pouvez le consulter à cette adresse. Pour rappel, l’ANSSI est l’agence nationale de la sécurité des systèmes d’informations.

NIS2 complète ce cadre en renforçant la sécurisation des systèmes et en encadrant de manière plus stricte les prestataires qui traitent des données RH.

 

L’impact de la directive NIS2 et du référentiel ANSSI

Les obligations prévues par NIS2 imposent une supervision plus stricte des accès et une analyse de risques actualisée. Toute organisation qui héberge ou traite des données RH, prestataire compris, entre dans le périmètre.

Pour les équipes RH et SIRH, cela signifie revoir leur manière de suivre les incidents, documenter les actions correctives et clarifier la responsabilité de chaque acteur.

👉 La transformation numérique des RH renforce cet enjeu. Pour aller plus loin, téléchargez le livre blanc Cegid “Les enjeux de l’IA dans la gestion des compétences RH”.

En bref

  • La protection des données RH repose sur une organisation claire des accès, des habilitations et des sauvegardes.
  • NIS2 renforce les obligations de sécurité et impose une documentation précise des incidents et des mesures mises en place.

Les équipes RH doivent pouvoir démontrer que leurs pratiques respectent ces exigences, notamment lors des audits internes et externes.

NIS2 : les risques à surveiller pour les données RH

La directive NIS2 demande une analyse régulière des scénarios d’incidents. Ces risques concernent autant les usages quotidiens que les interconnexions entre systèmes.

 

Des attaques qui ciblent les usages RH

Les systèmes RH sont devenus des cibles privilégiées, car ils concentrent des données personnelles et financières à forte valeur. Les attaques visent de plus en plus les usages quotidiens :

  • Le phishing reprenant les visuels de notifications SIRH ou d’alertes paie,
  • Les intrusions via des comptes prestataires mal protégés,
  • Les Ransomwares bloquant temporairement l’accès aux dossiers collaborateurs,
  • La collecte automatisée d’informations publiques pour usurper des identités.

Ces scénarios exploitent les automatismes de travail tels qu’une pièce jointe ouverte, un lien consulté sur un smartphone ou encore un accès à distance non sécurisé.

 

Des impacts concrets pour les RH

Une attaque sur un SIRH peut retarder la paie, bloquer l’accès aux portails salariés ou bien fausser les reportings sociaux. Et parce que les outils RH sont souvent interconnectés (paie, temps, formation, comptabilité), une faille peut se propager rapidement à l’ensemble du système.

La sécurité ne peut plus être gérée outil par outil : elle doit être pensée de manière transversale, à l’échelle de tout l’écosystème RH.

En centralisant ses processus avec Cegid HR Talent Acquisition, le groupe Emeria est parvenu à réduire les échanges dispersés et à sécuriser durablement la gestion des accès. Cette organisation répond directement aux exigences de NIS2, qui impose une meilleure supervision des flux et des utilisateurs. Retrouvez leur témoignage complet.

En bref

  • Les usages du quotidien (notifications, e-mails, accès mobiles) exposent directement les données RH aux risques d’intrusion.
  • Une faille sur un outil RH peut se diffuser à d’autres systèmes interconnectés.

L’approche demandée par la directive NIS2 repose sur l’anticipation : identifier les risques, qualifier les scénarios et définir les actions correctives.

Mettre votre SIRH en conformité avec NIS2 en 4 étapes

Protéger les données RH est avant tout un travail de fond, mené dans la durée, qui combine méthode, gouvernance et bon sens opérationnel. Voici quatre leviers concrets de mise en conformité pour renforcer durablement la fiabilité de votre écosystème RH.

  1. Centraliser les données pour mieux les maîtriser

Plus les informations sont dispersées, plus le contrôle devient difficile. Regrouper les données RH dans une plateforme SIRH unique permet de :

  • Réduire les points d’entrée,
  • Tracer les échanges
  • Simplifier les audits de conformité.

NIS2 prévoit une réduction des points d’accès et une traçabilité centralisée

  1. Mettre en place une gouvernance partagée RH–DSI

La sécurité ne peut plus reposer sur un seul service. Associer la DSI et les RH à la définition des droits, aux audits et au suivi des alertes permet de couvrir tout le périmètre du SIRH.

Ce pilotage partagé répond aux attentes de NIS2 sur la responsabilité conjointe direction/métiers.

  1. Définir un plan de réaction en cas d’incident

En cas d’incident, le temps compte. Définissez un protocole précis dans lequel seront précisés :

  • Qui prévenir,
  • Comment isoler le poste concerné,
  • Quand informer la CNIL,

La directive impose un plan de gestion de crise documenté et testé. Ainsi, un plan de continuité spécifique aux activités RH (paie, portail salarié, reporting) doit être testé régulièrement pour rester efficace.

  1. Auditer régulièrement la solution et les pratiques

La sécurité est un processus vivant. Concrètement, cela signifie vérifier chaque année la conformité des outils, la validité des accès, ou encore le bon fonctionnement des sauvegardes. Les audits réguliers figurent parmi les obligations clés de NIS2. Cette routine aide à anticiper les failles avant qu’elles ne deviennent des incidents. Ces vérifications peuvent être intégrées au calendrier RH, au même titre que les entretiens professionnels ou les campagnes de paie.

En bref

  • Centraliser vos données limite les points d’entrée et améliore la supervision des accès.
  • La norme NIS2 impose une gouvernance structurée, où RH, DSI et direction partagent la responsabilité de la sécurité.

Des audits réguliers, un plan de réaction testé et le contrôle des accès sont les piliers d’une mise en conformité durable.

A retenir

La conformité NIS2 ne concerne pas uniquement la DSI. Les équipes RH et SIRH jouent un rôle central : elles maîtrisent les données, les accès et les usages quotidiens. Structurer ces pratiques, documenter les incidents et collaborer avec la DSI devient indispensable pour répondre aux obligations du texte et protéger la fiabilité des données collaborateurs

FAQ : quelques éléments de définition pour tout comprendre à la directive NIS2

Qui est concerné par la norme NIS2 dans une organisation ?

La DSI reste en première ligne, mais la directive NIS2 implique directement les RH, le SIRH, les managers et la direction. Les RH sont concernés car ils maîtrisent les accès, les données collaborateurs et les usages quotidiens. Ils doivent documenter leurs pratiques et participer aux analyses de risques.

En France, la directive NIS2 s’applique-t-elle si l’entreprise utilise un prestataire SIRH ?

Oui. La chaîne fournisseurs fait partie intégrante du périmètre NIS2. Un prestataire qui héberge ou traite des données RH doit respecter les exigences du texte. L’entreprise reste néanmoins responsable de vérifier la conformité et la sécurité des accès.

Que doit mettre en place un service RH pour être conforme à NIS2 ?

Les RH doivent structurer les habilitations, suivre les incidents, mettre à jour les procédures internes (accès, sauvegardes, continuité d’activité). Ils doivent aussi collaborer étroitement avec la DSI et être capable de démontrer ces actions lors des audits.

Quelle est la date de publication de la directive NIS 2 ?

La directive NIS 2 a été publiée au Journal Officiel de l’Union européenne en décembre 2022.

Quelle est la différence entre le RGPD et la directive NIS 2 ?

Le RGPD (Règlement Général sur la Protection des Données) se concentre sur la protection des données personnelles et les droits des individus en matière de vie privée. En revanche, la directive NIS 2 vise à renforcer la cybersécurité des réseaux et des systèmes d’information, en imposant des obligations aux entités essentielles et importantes pour garantir la résilience face aux cybermenaces.

Qu'est-ce que le harcèlement moral au travail ?

C’est un délit impliquant des comportements répétés ayant pour effet une dégradation des conditions de travail, sans nécessité de prouver une intention de nuire (Art. 222-33-2 du Code pénal).

Vous souhaitez en savoir plus sur Cegid HR ?

Remplissez le formulaire et faites-vous rappeler !

J'y vais

Nos articles recommandés pour vous

Gestion des talents

Harcèlement moral institutionnel : comprendre la notion et sécuriser vos pratiques RH

Article 29 avril 2026 8 min

Recrutement et ATS : les clés de la croissance en entreprise.
Gestion du recrutement

Recrutement et ATS : les clés de la croissance en entreprise

Article 29 avril 2026 9 min

Gestion des talents

Révolutionner les entretiens annuels : l’outil qui transforme les défis en succès

Article 29 avril 2026 5 min

Une question ?
Prendre un RDV