NIS2 pour les entreprises de logistique et de transport
Le transport est classé à l'annexe I de NIS2, couvrant le transport routier, ferroviaire, par voie navigable et aérien. Si votre entreprise de logistique compte 50 salariés ou plus, voici ce qu'exige le BSIG et par où commencer.
Pourquoi NIS2 s'applique-t-il aux entreprises de logistique ?
La logistique est l'épine dorsale de l'économie physique. Une cyberattaque qui arrête un grand prestataire logistique n'affecte pas qu'une seule entreprise : elle perturbe les chaînes d'approvisionnement de dizaines, voire de centaines de clients. L'attaque NotPetya de 2017 a coûté à Maersk plus de 300 millions d'euros à elle seule et a perturbé le transport maritime mondial pendant des semaines. L'UE a classé le transport à l'annexe I (secteurs hautement critiques) parce que les perturbations logistiques se propagent en cascade à travers toute l'économie.
NIS2 couvre tous les modes de transport : fret routier, transport ferroviaire, voies navigables intérieures, transport maritime et fret aérien. Les entreprises atteignant le seuil de taille (50 salariés ou plus, ou plus de 10 millions d'euros de chiffre d'affaires) sont dans le champ. Les grandes entreprises (250 salariés ou plus) des secteurs de l'annexe I sont classées comme entités essentielles. Les entreprises moyennes (50 à 249 salariés) sont des entités importantes (wichtige Einrichtungen). Les deux sont soumises à l'ensemble des obligations NIS2.
Les entreprises de logistique modernes fonctionnent sur des systèmes informatiques interconnectés. Les systèmes de gestion du transport (TMS) orchestrent les expéditions. La gestion de flotte suit les véhicules en temps réel. Les systèmes de gestion d'entrepôt (WMS) pilotent les stocks et la préparation de commandes. Les unités télématiques des camions transmettent position, vitesse, température et données conducteur. Si l'un de ces systèmes tombe en panne, l'exploitation s'arrête ou devient dangereusement inefficace. NIS2 vous impose d'identifier ces dépendances et de gérer systématiquement les risques de cybersécurité.
Système de gestion du transport (TMS)
Le système central pour la planification des expéditions, la gestion des transporteurs, l'optimisation des itinéraires et la facturation du fret. Les systèmes courants comprennent SAP TM, Oracle Transportation Management, Transporeon ou CargoWise. Si le TMS tombe en panne, vous ne pouvez plus planifier ni répartir les expéditions. Une entrée d'actif.
Gestion de flotte et télématique
Suivi GPS, diagnostic des véhicules, enregistrement des heures de conduite (intégration du tachygraphe numérique), gestion du carburant et suivi des itinéraires. Les unités télématiques de chaque véhicule transmettent des données en continu. Des systèmes comme Webfleet, Trimble, Samsara ou des solutions spécifiques à la flotte. Une compromission pourrait entraîner une perte de visibilité des véhicules, une manipulation des registres conducteur ou un suivi non autorisé. À regrouper en un seul actif.
Système de gestion d'entrepôt (WMS)
Gestion des stocks, optimisation de la préparation de commandes, réception et expédition des marchandises, et intégration avec le TMS et l'ERP. Peut inclure des scanners code-barres/RFID, des systèmes automatisés de stockage et de récupération, et des commandes de convoyeurs. Des systèmes comme SAP EWM, Manhattan Associates ou Korber. Si le WMS tombe en panne, l'exploitation de l'entrepôt revient à des processus manuels à une fraction du débit normal.
Système ERP et finance
Gestion des clients, administration des contrats, facturation, achats et reporting financier. Couramment SAP, Microsoft Dynamics ou Sage. En logistique, l'ERP s'intègre souvent étroitement au TMS pour la facturation et les portails clients. Une compromission affecte le chiffre d'affaires, les relations clients et le reporting financier. Une entrée d'actif.
Infrastructure réseau
Le réseau reliant les bureaux, les entrepôts et la télématique des véhicules. Comprend les liaisons WAN entre sites, les connexions VPN pour les travailleurs mobiles et les conducteurs, le Wi-Fi dans les entrepôts et les connexions cellulaires pour la télématique de flotte. Les entreprises de logistique ont souvent des réseaux répartis sur de nombreux sites : l'infrastructure de chaque site devrait être documentée. À regrouper par type de site.
Terminaux et appareils mobiles
PC de bureau, terminaux d'entrepôt, scanners portatifs, tablettes conducteur et smartphones. La logistique compte une proportion d'appareils mobiles et durcis plus élevée que la plupart des secteurs. Incluez la gestion des appareils mobiles (MDM) si elle est utilisée. Grundschutz autorise le regroupement : « 60 scanners portatifs d'entrepôt » constituent une entrée. Incluez aussi les tablettes conducteur comme entrée regroupée distincte.
1. S'enregistrer auprès du BSI
Effectuez votre enregistrement au titre de l'article 33 BSIG. Le transport est un secteur de l'annexe I, de sorte que les grandes entreprises font l'objet d'une supervision proactive du BSI. L'enregistrement prend 30 à 60 minutes via muk.bsi.bund.de. Si le délai est dépassé, enregistrez-vous immédiatement : la sanction pour défaut d'enregistrement atteint 500 000 euros.
2. Constituer votre inventaire des actifs
Cartographiez votre TMS, votre gestion de flotte, votre WMS, votre ERP et l'infrastructure de support. Pour chaque système, documentez ce qu'il fait, où il s'exécute, qui le gère et ce qui se passe s'il est indisponible pendant 4 heures (la logistique est sensible au temps). Accordez une attention particulière à la télématique : des dizaines ou des centaines d'appareils connectés sur le terrain constituent une surface d'attaque unique.
3. Mettre en place la notification d'incidents
La logistique fonctionne selon des plannings serrés. Une cyberattaque qui retarde les expéditions de quelques heures seulement peut avoir des conséquences contractuelles et financières. Définissez ce qui constitue un incident important, établissez la chaîne de notification au BSI (24 h / 72 h / 1 mois) et créez des procédures internes d'escalade qui tiennent compte du caractère 24/7 de l'exploitation logistique. Incluez les scénarios de week-end et d'équipe de nuit.
4. Documenter les relations fournisseurs
Les entreprises de logistique dépendent fortement de l'informatique tierce : TMS hébergé dans le cloud, fournisseurs de télématique en SaaS, partenaires EDI et plateformes de transporteurs. Documentez chaque fournisseur informatique, les données auxquelles il accède et les mesures de sécurité auxquelles il s'engage. Votre fournisseur de TMS a probablement plus d'accès à vos données d'exploitation que n'importe quel salarié. Incluez-le dans votre évaluation de la sécurité de la chaîne d'approvisionnement au titre de l'article 30(2)(4) BSIG.
5. Réviser les contrôles d'accès
La logistique dispose d'une main-d'œuvre répartie : personnel de bureau, employés d'entrepôt, conducteurs et répartiteurs, chacun ayant besoin d'un accès différent aux systèmes. Mettez en place des contrôles d'accès fondés sur les rôles, imposez la MFA pour l'accès distant et administratif, et veillez à ce que les comptes des conducteurs et des travailleurs temporaires soient désactivés sans délai à la fin de l'emploi. Les comptes partagés sur les terminaux d'entrepôt sont courants, mais devraient être remplacés par des identifiants individuels lorsque c'est réalisable.
Les entreprises de logistique exploitent l'un des environnements informatiques les plus distribués de tous les secteurs. Les actifs ne sont pas dans un seul bâtiment : ils sont répartis entre bureaux, entrepôts, centres de distribution et des centaines de véhicules sur la route. Chaque camion équipé d'une unité télématique est un terminal connecté. Chaque scanner d'entrepôt est un appareil sur votre réseau. Cette empreinte distribuée rend la sécurité périmétrique traditionnelle moins efficace et accroît l'importance de la gestion des appareils, de la segmentation du réseau et des contrôles d'accès fondés sur l'identité.
La sensibilité au temps de la logistique crée un défi unique pour la réponse aux incidents. Dans une entreprise manufacturière, vous pourriez tolérer une panne de système de 24 heures. En logistique, 4 heures d'indisponibilité du TMS signifient des fenêtres de livraison manquées, des pénalités contractuelles et des retards en cascade. Votre plan de réponse aux incidents doit tenir compte de cela : quelles procédures de repli manuel existent ? Les répartiteurs peuvent-ils router les expéditions par téléphone ? L'exploitation de l'entrepôt peut-elle continuer avec une préparation de commandes sur papier ? Ces questions de continuité d'activité sont aussi importantes que le plan technique de reprise.
Les entreprises de logistique sont aussi profondément intégrées aux systèmes de leurs clients et de leurs transporteurs via l'EDI (échange de données informatisé), des connexions API et des plateformes partagées. Une violation de sécurité dans votre entreprise peut se propager aux clients par ces connexions, et inversement. Votre évaluation de la sécurité de la chaîne d'approvisionnement devrait couvrir non seulement vos fournisseurs informatiques mais aussi les connexions électroniques avec vos partenaires commerciaux. Sécuriser ces interfaces (authentification correcte, transmission chiffrée, validation des entrées) est à la fois une exigence NIS2 et une mesure de protection de l'entreprise.
Questions fréquentes
Nous sommes une entreprise de fret routier avec 80 camions. Sommes-nous essentielle ou importante ?
Le transport routier relève de l'annexe I (secteurs hautement critiques). Si votre entreprise compte 250 salariés ou plus, vous êtes une entité essentielle soumise à une supervision proactive du BSI. Avec 50 à 249 salariés, vous êtes une entité importante soumise à une supervision réactive. Avec 80 camions, vous comptez probablement 100 à 150 salariés (conducteurs, répartiteurs, entrepôt, bureau). Vérifiez votre effectif total par rapport au seuil : l'ensemble des obligations NIS2 s'applique dans les deux cas.
Nos unités télématiques de camion sont-elles considérées comme des « actifs » au titre de NIS2 ?
Oui. Tout système qui soutient vos services de transport critiques est un actif. Les unités télématiques transmettent en temps réel la localisation, la vitesse, la température (pour le transport frigorifique) et les données d'heures de conduite. Ce sont des appareils connectés sur votre réseau. Regroupez-les en une entrée d'actif : par exemple, « 80 unités télématiques Webfleet » plutôt que 80 entrées distinctes. Les risques clés sont : l'accès non autorisé aux données de suivi des véhicules, la manipulation des enregistrements du tachygraphe et l'usage potentiel comme point d'entrée réseau.
Nous utilisons un TMS dans le cloud. Est-ce notre problème ou celui du fournisseur ?
Les deux, mais l'obligation légale vous incombe. Au titre de l'article 30 BSIG, vous pouvez externaliser l'exploitation mais pas la responsabilité. Votre fournisseur de TMS cloud est un fournisseur critique au sens de l'article 30(2)(4). Vous devez : documenter le fournisseur dans votre évaluation de la sécurité de la chaîne d'approvisionnement, inclure des exigences de cybersécurité dans le contrat, vérifier que le fournisseur dispose de mesures de sécurité adéquates (certifications, rapports d'audit, engagements de notification d'incident), et disposer d'un plan de contingence si le fournisseur subit une violation ou une panne.
Quel est le rapport entre NIS2, l'EU Mobility Data Act et les réglementations sur le tachygraphe numérique ?
NIS2, le Mobility Data Act et les réglementations sur le tachygraphe (UE 165/2014) sont des cadres juridiques distincts qui se recoupent sur la sécurité des données. Les réglementations sur le tachygraphe imposent un enregistrement inviolable des données conducteur. Le Mobility Data Act traite des obligations de partage de données. NIS2 ajoute la couche de gestion de la cybersécurité : sécuriser les systèmes informatiques qui traitent et transmettent ces données. La conformité à NIS2 renforce votre position sur les trois, car un environnement informatique bien sécurisé protège l'intégrité des données réglementées.