Retour au blog
conformitéNIS2HR Tech

NIS2 et SaaS RH : ce qui change pour les éditeurs français en 2026

Publié le 2026-06-078 min de lectureCleanIssue

NIS2 en bref

La directive NIS2, transposée en droit français, élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. Là où NIS1 concernait surtout les opérateurs d'importance vitale, NIS2 touche aussi leurs prestataires critiques.

Et c'est là que ça concerne les éditeurs SaaS RH.

Pourquoi les SaaS RH sont dans le viseur

Un hôpital utilise votre logiciel de gestion RH. Une collectivité territoriale gère ses agents via votre SIRH. Un opérateur télécom fait sa paie sur votre plateforme. Tous ces clients sont des entités essentielles ou importantes au sens de NIS2.

Et NIS2 impose à ces entités de s'assurer que leurs prestataires critiques maintiennent un niveau de sécurité suffisant. Votre logiciel traite les données de leurs salariés ? Vous êtes un prestataire critique.

Ce que vos clients vont vous demander

  • Un rapport d'audit de sécurité récent (moins de 12 mois)
  • La preuve d'une gestion des vulnérabilités (comment vous traitez les CVE)
  • Un plan de continuité d'activité
  • Des mesures de détection des incidents
  • La traçabilité des accès aux données

    • Si vous ne pouvez pas fournir ces éléments, vos clients devront soit trouver un autre prestataire, soit documenter pourquoi ils acceptent le risque. La plupart choisiront la première option.

    Les obligations concrètes

    Analyse de risques

    Vous devez avoir réalisé une analyse de risques formalisée couvrant :

  • Les données que vous traitez (et leur sensibilité)
  • Les menaces identifiées sur votre stack
  • Les mesures en place pour y répondre
  • Les risques résiduels acceptés

    • Gestion des incidents

    En cas d'incident de sécurité affectant la disponibilité ou la confidentialité de votre service, vous devez :

  • Notifier vos clients dans les 24h
  • Transmettre un rapport d'incident dans les 72h
  • Fournir un rapport final dans le mois

    • Sécurité de la chaîne d'approvisionnement

    Vous utilisez Supabase, Firebase, AWS ? Vous devez documenter les mesures de sécurité de vos propres fournisseurs et évaluer les risques associés.

    Comment s'y préparer

  • Commencez par un audit externe : il vous donne une photographie objective de votre posture. C'est aussi le document que vos clients vous demanderont en premier.
  • Documentez vos processus : gestion des vulnérabilités, procédure d'incident, politique de mise à jour. NIS2 veut des processus écrits, pas des bonnes intentions.
  • Mettez en place un suivi : la conformité NIS2 n'est pas un one-shot. Vos clients vous demanderont des preuves régulières.
  • Anticipez les questionnaires : préparez un dossier de sécurité standard que vous pouvez transmettre rapidement. Chaque semaine perdue à répondre à un questionnaire est une semaine de retard commercial.

    • Ce que propose CleanIssue

    Notre Audit complet couvre les exigences de NIS2 pour les prestataires : analyse de la surface d'attaque, évaluation des contrôles d'accès, vérification des configurations, et rapport détaillé réutilisable dans vos réponses aux questionnaires clients.

    Pour les équipes qui veulent rester conformes dans la durée, le Suivi récurrent permet de maintenir un niveau de preuve continu sans recruter un responsable sécurité.

    Pour aller plus loin

    Voir la page HR Tech

    La synthèse CleanIssue pour les logiciels RH, paie et recrutement.

    Découvrir la Revue Externe

    Le format le plus rapide pour clarifier l'exposition réelle d'un produit RH.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    NIS2conformité

    NIS2 : les PME de plus de 50 employés doivent se préparer dès maintenant

    La directive NIS2 étend les obligations de cybersécurité aux PME. Voici ce qui change et comment vous préparer.

    2026-03-20 · 6 min de lecture
    NIS2ANSSI

    NIS2 en France au 11 avril 2026 : où en est vraiment la transposition ?

    Au 11 avril 2026, la transposition française de NIS2 n'est toujours pas finalisée. Voici ce qui est officiel, ce qui ne l'est pas encore, et ce que les entreprises doivent faire maintenant.

    2026-04-11 · 8 min de lecture
    guideconformité

    Questionnaire sécurité client : comment y répondre en moins d'une journée

    Chaque nouveau client grand compte envoie son questionnaire sécurité. Voici comment préparer un dossier réutilisable pour ne plus y passer des semaines.

    2026-06-01 · 6 min de lecture

    Sources

    Rédigé par CleanIssue
    Revu le 2026-06-07

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Suivi Récurrent

    Surveiller les nouvelles expositions quand votre stack évolue dans le temps.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit