Retour aux articles
Réglementaire10 juillet 20268 min de lecture

NIS 2 et voix sécurisée : ce que l'article 21(2)(j) exige réellement

L'article 21(2)(j) de NIS 2 oblige les entités essentielles et importantes à recourir à des « communications vocales, vidéo et textuelles sécurisées » — sous peine d'amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Voici ce que dit littéralement la disposition, qui elle engage et comment la satisfaire en pratique.

L'obligation en une phrase

L'article 21, paragraphe 2, point j) de la directive NIS 2 (directive (UE) 2022/2555) impose aux entités essentielles et importantes de 18 secteurs de l'UE « l'utilisation de solutions d'authentification à plusieurs facteurs ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d'urgence au sein de l'entité, selon les besoins ». Les entités essentielles qui l'ignorent s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

L'article 21, paragraphe 2, énumère dix mesures minimales de gestion des risques de cybersécurité, des points a) à j), que toute entité concernée doit mettre en œuvre selon une approche « tous risques » (all-hazards). Le point j) — cité mot pour mot ci-dessus d'après le texte officiel d'EUR-Lex [1] — est le seul élément de la liste qui nomme une classe précise d'applications métier : les communications vocales, vidéo et textuelles. L'interception des communications internes y est traitée comme un risque de premier ordre, au même rang que la gestion des incidents et la sécurité de la chaîne d'approvisionnement.

La formule « selon les besoins » est une clause de proportionnalité, pas une dispense. L'article 21, paragraphe 1, exige des mesures « appropriées et proportionnées » à l'exposition au risque de l'entité, à sa taille et à la gravité probable des incidents, y compris leur impact sociétal et économique [1]. L'entité qui juge les communications sécurisées inutiles dans son cas porte la charge de documenter ce raisonnement — et de le défendre devant l'autorité de contrôle, éventuellement après qu'une interception a déjà eu lieu.

Qui est concerné : deux catégories, 18 secteurs

NIS 2 s'applique aux entités « essentielles » et « importantes », déterminées par secteur, criticité et, en règle générale, taille de l'entreprise. L'annexe I recense onze secteurs hautement critiques : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (interentreprises), administration publique et espace. L'annexe II ajoute sept autres secteurs critiques : services postaux et d'expédition, gestion des déchets, produits chimiques, denrées alimentaires, fabrication, fournisseurs numériques et recherche [1].

Le calendrier n'a plus rien de théorique. Les États membres devaient transposer la directive au plus tard le 17 octobre 2024 et appliquer les mesures à partir du 18 octobre 2024 (article 41) ; les listes nationales d'entités essentielles et importantes devaient être établies au plus tard le 17 avril 2025 (article 3, paragraphe 3) [1]. La transposition a pris du retard dans une grande partie de l'Union : le 28 novembre 2024, la Commission européenne a ouvert des procédures d'infraction contre 23 États membres pour transposition incomplète de NIS 2 dans les délais [4]. Les lois nationales tardives ont décalé les dates de mise en application dans certains pays — elles n'ont pas modifié le contenu des obligations.

Italie : le décret législatif 138/2024 et l'ACN

L'Italie a transposé avant l'échéance. Le décret législatif n° 138 du 4 septembre 2024 a été publié à la Gazzetta Ufficiale n° 230 du 1er octobre 2024 et est entré en vigueur le 16 octobre 2024 [3]. Sa liste de mesures de gestion des risques reprend l'article 21, paragraphe 2, y compris les « comunicazioni vocali, video e testuali protette » — la version italienne officielle des communications vocales, vidéo et textuelles sécurisées.

L'Agenzia per la Cybersicurezza Nazionale (ACN) est l'autorité nationale compétente NIS. Les entités concernées doivent s'enregistrer, ou mettre à jour leur enregistrement, sur le portail numérique de l'ACN entre le 1er janvier et le 28 février de chaque année, avec une mise à jour annuelle des informations entre le 15 avril et le 31 mai ; selon le portail de l'ACN, les obligations de notification d'incident pour les entités enregistrées s'appliquent à partir de janvier 2026 [5]. L'enregistrement est le déclencheur de tout le mécanisme italien : l'organisation qui n'a pas encore évalué si elle figure sur cette liste est déjà en retard.

Le règlement d'exécution 2024/2690 : précis sur la MFA, muet sur la voix

Pour les entités de type infrastructure numérique — fournisseurs de services DNS, registres de noms de domaine de premier niveau, fournisseurs de services d'informatique en nuage et de centres de données, CDN, fournisseurs de services gérés et de services de sécurité gérés, places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux et prestataires de services de confiance — la Commission a adopté le règlement d'exécution (UE) 2024/2690 le 17 octobre 2024, entré en vigueur le 7 novembre 2024 [2]. Son annexe traduit chaque mesure de l'article 21, paragraphe 2, en exigences techniques auditables.

La correspondance du point j) est révélatrice. La section 11 de l'annexe (« Contrôle d'accès ») couvre les points i) et j) et détaille l'authentification à plusieurs facteurs (point 11.7) — mais ne contient aucune spécification technique supplémentaire sur les « communications vocales, vidéo et textuelles sécurisées » [2]. Même pour la catégorie d'entités réglementées la plus mature numériquement, il n'existe aucune liste de contrôle au niveau de l'UE définissant ce que « sécurisé » signifie pour un appel téléphonique. Ce n'est pas une faille : c'est une délégation. Chaque entité doit construire sa propre définition à travers son analyse de risques et être prête à la défendre devant son autorité de contrôle.

Ce que coûte la non-conformité

L'article 34 rend directement passibles d'amende les infractions à l'article 21 — la liste qui contient le point j). Les entités essentielles encourent des amendes administratives d'un montant maximal s'élevant à au moins 10 000 000 EUR ou à 2 % du chiffre d'affaires annuel mondial total de l'entreprise au cours de l'exercice précédent, le montant le plus élevé étant retenu ; pour les entités importantes, le plafond est d'au moins 7 000 000 EUR ou 1,4 % [1].

L'argent n'est pas le seul levier. Les autorités peuvent émettre des instructions contraignantes et ordonner des audits ; pour les entités essentielles, elles peuvent suspendre temporairement des certifications ou autorisations et demander l'interdiction temporaire d'exercer des fonctions de direction au niveau du directeur général ou du représentant légal [1]. Et en vertu de l'article 20, paragraphe 1, les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et peuvent être tenus responsables des infractions. Le choix de la pile de téléphonie et de messagerie d'entreprise est désormais, juridiquement, une décision de conseil d'administration.

Ce que signifie « voix sécurisée » en pratique

La directive ne définit pas « sécurisé ». Lue à l'aune de la finalité de l'article 21 — protéger les réseaux et systèmes d'information et les services qu'ils fournissent — quatre critères se dégagent, qu'une autorité de contrôle peut raisonnablement sonder.

Premièrement, le chiffrement de bout en bout (E2EE). Si la voix n'est chiffrée qu'en transport (TLS ou SRTP vers un PBX ou un serveur de conférence), le contenu existe en clair sur le serveur, et quiconque contrôle ce serveur — le fournisseur, son opérateur cloud ou un attaquant qui s'y trouve — peut écouter. Pour des conversations dont l'interception constituerait un incident important, le chiffrement de transport seul est difficile à défendre comme « sécurisé ». Deuxièmement, la garde des clés. La vraie question est de savoir qui peut déchiffrer : si le fournisseur détient les clés, la confidentialité est une promesse contractuelle, pas une propriété technique. Les mots « au sein de l'entité » du point j) s'accordent naturellement avec un matériel cryptographique sous le contrôle de l'entité — sur site, en hébergement souverain ou ancré dans le matériel.

Troisièmement, l'identité authentifiée. Le point j) associe dans la même phrase communications sécurisées et authentification à plusieurs facteurs : savoir qui est en ligne fait partie de la mesure. La fraude par clonage vocal étant devenue praticable, l'authenticité du locuteur — pas seulement le chiffrement du canal — appartient au modèle de menace. Quatrièmement, la capacité hors bande (out-of-band). Les « systèmes sécurisés de communication d'urgence » désignent un canal qui reste disponible et digne de confiance quand l'infrastructure primaire est hors service ou compromise. Pendant une réponse à un rançongiciel, coordonner la reprise sur le réseau même que contrôle l'attaquant peut exposer la réponse elle-même — alors que les délais de 24 heures (alerte précoce) et de 72 heures (notification) de l'article 23 continuent de courir [1].

Une considération prospective, au-delà de la lettre de NIS 2 : des appels chiffrés peuvent être enregistrés aujourd'hui et déchiffrés dans des années, quand les ordinateurs quantiques casseront l'échange de clés classique — le scénario harvest-now-decrypt-later. Pour des communications dont la confidentialité doit survivre une décennie, un établissement de clés post-quantique tel que ML-KEM, normalisé par le NIST, est un complément rationnel à une mise en œuvre du point j), même si la directive ne l'exige pas encore.

Une checklist pratique

1) Déterminer votre statut — essentiel, important ou hors champ — et effectuer l'enregistrement national (en Italie : portail ACN, du 1er janvier au 28 février) [5]. 2) Inventorier chaque canal voix, vidéo et messagerie réellement utilisé, y compris les canaux officieux sur les téléphones des collaborateurs. 3) Classer les conversations selon l'impact de leur interception et décider, par écrit, où des canaux sécurisés sont requis — en documentant le raisonnement de proportionnalité derrière chaque exclusion.

4) Pour chaque canal retenu, vérifier le chiffrement de bout en bout et identifier qui détient les clés ; privilégier une garde sous votre contrôle. 5) Lier l'accès aux communications à des identités protégées par MFA. 6) Mettre en place un canal d'urgence hors bande, indépendant du réseau d'entreprise, et le tester lors des exercices de continuité d'activité (article 21, paragraphe 2, point c)). 7) Répercuter les exigences dans les contrats fournisseurs au titre de la sécurité de la chaîne d'approvisionnement (point d)). 8) Consigner l'approbation de l'organe de direction, la formation et les dates de revue (article 20).

La place de la voix sécurisée par le matériel

L'essentiel du marché répond au point j) par du logiciel : des applications chiffrées de bout en bout tournant sur le même OS de smartphone qui héberge tout le reste. Cela tient tant que le terminal lui-même n'est pas compromis — un scénario que l'approche tous risques de NIS 2 envisage explicitement. C'est la faille pour laquelle Q-Audion de BCrypto est conçu : un système vocal anti-interception chiffré par le matériel, combinant un écouteur chiffré, des applications Android/iOS/desktop, un serveur souverain et un VPN post-quantique. L'établissement de clés utilise ML-KEM-1024 (NIST FIPS 203) implémenté dans un accélérateur cryptographique matériel, avec AES-256-GCM et un TEE ARM TrustZone-M. Le DMA Air-Gap, en instance de brevet, isole galvaniquement le chemin audio du téléphone hôte : un microphone MEMS dédié réside dans l'enclave sécurisée et le système d'exploitation hôte n'entre jamais dans le chemin audio — un logiciel espion sur le téléphone n'a donc rien à enregistrer. Le TinyML embarqué assure la vérification anti-deepfake du locuteur — le volet « authenticité » du point j). Le système est compatible BYOD, avec une chaîne d'approvisionnement conçue en Europe.

Dans un contexte réglementaire, l'honnêteté compte : Q-Audion est au TRL 6 — firmware complet en fonctionnalités, avec une CI multiplateforme verrouillée par KAT — avec trois brevets déposés auprès de l'UIBM en 2026, et ne détient encore aucune certification : ni FIPS 140-3, ni Critères communs, ni approbation ANSSI, BSI ou ACN. Les organisations qui exigent aujourd'hui des produits certifiés doivent en tenir compte. Celles qui conçoivent leur architecture au titre de l'article 21(2)(j) pour la prochaine décennie — garde des clés, capacité hors bande, harvest-now-decrypt-later — pourront trouver dans l'isolation matérielle la fondation la plus durable. Dans tous les cas, l'obligation est déjà en vigueur : le bon moment pour décider ce que « voix sécurisée » signifie pour votre entité, c'était le 18 octobre 2024.

Sources

  1. Directive (EU) 2022/2555 (NIS2 Directive) — full text, EUR-Lex CELEX:32022L2555
  2. Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 — EUR-Lex CELEX:32024R2690
  3. Decreto legislativo 4 settembre 2024, n. 138 — Gazzetta Ufficiale Serie Generale n. 230 del 01-10-2024
  4. European Commission — The Commission calls on 23 Member States to fully transpose the NIS2 Directive (28 November 2024)
  5. Agenzia per la Cybersicurezza Nazionale — Portale NIS

Prêt à sécuriser votre souveraineté numérique ?

Rejoignez la révolution européenne de la sécurité post-quantique. Contactez notre équipe pour des partenariats institutionnels et des collaborations stratégiques.