> ./exec Infosec.sh — ARTICLE
BSI IT-Grundschutz pour les PME : ce qui est vraiment obligatoire
ClaraClara, Documentation Lead
De nombreuses PME reçoivent toujours la même proposition : une certification BSI IT-Grundschutz complète, 80 modules, alignement ISO 27001. Prix : sur demande. Durée : 18 mois. Ce n'est pas faux, mais pour une entreprise de 80 salariés avec une équipe IT de deux personnes, c'est simplement le mauvais document au mauvais moment.
Cet article répond à une question concrète : qu'est-ce qui est légalement obligatoire dans le BSI IT-Grundschutz, qu'est-ce qui relève des bonnes pratiques, et qu'est-ce que vous pouvez reporter ?
Ce qu'est le BSI IT-Grundschutz, et ce qu'il n'est pas
Le BSI IT-Grundschutz-Kompendium dans l'édition 2023 comprend 111 modules et n'est pas une loi. Il s'agit d'un référentiel de l'Agence fédérale allemande pour la sécurité des systèmes d'information (BSI) permettant de sécuriser méthodiquement les périmètres SI.[1] Il existe trois méthodes pour appliquer ce référentiel :
- Protection de base (Basis-Absicherung) : niveau d'entrée, environ 47 mesures essentielles, adapté aux entreprises sans SMSI formel.
- Protection standard (Standard-Absicherung) : méthodologie complète, tous les modules pertinents, prérequis pour une certification ISO 27001 sur la base du IT-Grundschutz.
- Protection ciblée (Kern-Absicherung) : focus sur les actifs particulièrement critiques plutôt que sur l'ensemble du système d'information.[2]
Aucun de ces trois niveaux n'est automatiquement contraignant par la loi pour les PME. Mais cela est en train de changer.
Qui doit agir maintenant : NIS2 et BSIG
Depuis l'adoption de la loi de transposition NIS2 et de renforcement de la cybersécurité (NIS2UmsuCG), un groupe d'entreprises beaucoup plus large est soumis à une obligation légale de mettre en place des "mesures techniques et organisationnelles appropriées". La loi ne cite aucun référentiel par son nom, mais prescrit l'"état de l'art" comme norme contraignante.[3]
En pratique, cela se traduit ainsi : toute entité classée "entité importante" ou "entité essentielle" au sens de NIS2 doit démontrer que les mesures prises correspondent à l'état actuel des connaissances. Le BSI IT-Grundschutz est reconnu comme preuve valable, car le BSI lui-même est l'autorité qui effectue les contrôles en cas de litige.
Sont concernées les entreprises d'au moins 50 salariés ou d'un chiffre d'affaires annuel supérieur à 10 millions d'euros dans des secteurs définis, notamment l'énergie, les transports, la santé, les infrastructures numériques, la chimie et la construction mécanique. On estime que quelque 29.000 entreprises allemandes tombent sous le coup de cette nouvelle réglementation.[3]
Pour les exploitants d'infrastructures critiques (KRITIS) au sens du §8a BSIG, l'obligation de respecter l'état de l'art était déjà ancrée dans la loi auparavant. Le BSI IT-Grundschutz y est depuis longtemps le standard de facto.
Conséquence pratique : si votre entreprise appartient à l'un des secteurs NIS2 et compte plus de 50 salariés, vous n'êtes pas obligé de présenter un certificat BSI IT-Grundschutz. Vous êtes cependant tenu de mettre en œuvre des mesures conformes à un référentiel de sécurité reconnu. Le BSI recommande la protection de base (Basis-Absicherung) comme point d'entrée démontrable.[4]
Les trois champs prioritaires : ce qui passe vraiment en premier
Quel que soit le chemin de certification formel retenu, il existe trois domaines qui devraient être priorisés dans tout conseil BSI Grundschutz pour les PME.
1. Analyse structurelle et détermination des besoins de protection
Sans analyse structurelle, toute mesure ultérieure revient à tâtonner dans l'obscurité. L'analyse structurelle recense l'ensemble des processus métier, des applications, des systèmes informatiques, des réseaux et des locaux pertinents. La détermination des besoins de protection évalue les conséquences qu'entraînerait une panne ou une compromission.
Beaucoup de PME n'ont jamais documenté cette étape. Elles connaissent leurs systèmes, mais pas leurs besoins de protection. C'est le constat le plus fréquent lors des missions de conseil BSI Grundschutz pour les entreprises de cette taille.
Avant le conseil BSI Grundschutz (état de départ typique) :
Inventaire IT : fichier Excel de l'année dernière, 40 % obsolète
Applications critiques : "quelque chose comme l'ERP et la messagerie"
Analyse des besoins de protection : inexistante
Après la première phase de conseil :
Système d'information : 12 processus métier, 34 applications, 87 systèmes informatiques
Besoin de protection ERP : ÉLEVÉ (disponibilité, confidentialité), NORMAL (intégrité)
Besoin de protection serveur de messagerie : NORMAL (tous les critères de base)
Détermination des besoins de protection : entièrement documentée, dernière mise à jour : 2026-05-14
Cette différence n'est pas académique. Elle est la condition préalable à tout le reste.[4]
2. Mise en œuvre des mesures de base
La protection de base du BSI comprend environ 47 mesures issues de quatre groupes de modules centraux :
- ISMS (gestion de la sécurité) : politique de sécurité, responsabilités, processus de révision.
- ORP (organisation et personnel) : directives de sécurité, formations, intégration des collaborateurs.
- CON (concepts et démarches) : protection des données, concept cryptographique, concept d'effacement.
- OPS (exploitation) : gestion des correctifs, sauvegarde des données, journalisation.
Beaucoup de ces mesures ne sont pas des projets techniques. Ce sont des tâches de documentation avec une mise en œuvre technique. Un concept de gestion des correctifs peut être rédigé en une après-midi. La lacune n'est généralement pas la technique, mais l'absence de formalisation de l'état existant.
3. Gestion des incidents et plan de reprise d'activité
Le BSI IT-Grundschutz-Kompendium contient ses propres modules de gestion de la continuité d'activité (DER 4). Pour les entreprises soumises à NIS2, la gestion des incidents est explicitement listée comme composante obligatoire.[3] Un plan de continuité minimal pour les PME comprend :
- Les délais de reprise (RTO) pour les systèmes critiques.
- Un concept de sauvegarde avec des tests de restauration vérifiés régulièrement.
- Un plan de communication pour la gestion de crise.
La documentation comme fondation : le principe Diátaxis
Dans les projets BSI IT-Grundschutz, les entreprises échouent rarement sur la technique. Elles échouent sur la documentation, parce que les mesures de sécurité sont mises en œuvre, mais que personne ne peut, six mois plus tard, retracer comment, pourquoi et avec quel besoin de protection.
Le référentiel Diátaxis (Daniele Procida) distingue quatre types de documentation : tutoriels, guides pratiques, référence et explication.[5] Appliqué au BSI IT-Grundschutz, cela signifie :
- Référence : le Kompendium lui-même, le registre des risques, l'analyse structurelle.
- Guides pratiques : procédures pas-à-pas pour les tâches récurrentes, comme la mise à jour annuelle des besoins de protection ou l'application des correctifs de sécurité.
- Explication : pourquoi le serveur ERP est-il classé ÉLEVÉ ? Quelles sont les conséquences concrètes d'une panne ? Sans ces explications, les documents de sécurité perdent leur contexte dès que la personne qui les a rédigés quitte l'entreprise.
- Tutoriels : initiation des nouveaux collaborateurs au SMSI, supports de formation pour les directives de sécurité.
Toute documentation sans exemple exécutable est une documentation qui ne sera pas utilisée. Pour un concept de sauvegarde, cela signifie : pas de concept sans test de restauration attesté. Pour un concept de gestion des correctifs : pas de concept sans protocole de test du dernier déploiement.
Ce que vous pouvez reporter
Les éléments suivants ne constituent pas une obligation immédiate pour la plupart des PME :
- Protection standard complète avec les 111 modules.
- Certification ISO 27001 (recommandée, mais pas imposée par NIS2).
- Protection ciblée (Kern-Absicherung), pertinente uniquement une fois les actifs critiques clairement identifiés.
- Certification formelle BSI IT-Grundschutz (aucune exigence légale pour les non-KRITIS).
Ces éléments ne sont pas superflus. Ils constituent la deuxième étape, pas la première.
Le point d'entrée pragmatique : six mois, trois phases
Un conseil BSI Grundschutz réaliste pour une PME de 50 à 250 salariés suit ce calendrier :
Phase 1 (mois 1 à 2) : analyse structurelle, détermination des besoins de protection, documentation du système d'information. Livrable : inventaire complet des actifs avec niveau de protection.
Phase 2 (mois 3 à 4) : modélisation selon la protection de base, vérification IT-Grundschutz, identification des écarts. Livrable : liste des mesures priorisées.
Phase 3 (mois 5 à 6) : correction des lacunes critiques, plan de continuité, formation. Livrable : SMSI documenté au niveau de la protection de base, conformité NIS2 démontrable.
Ce n'est pas un programme maximaliste. C'est le minimum qui résiste à un contrôle.
Conclusion
Le BSI IT-Grundschutz n'est pas, au sens strict, une obligation légale pour la plupart des PME. Mais pour les entreprises soumises à NIS2, c'est le chemin le plus clair pour prouver le respect de l'"état de l'art". Une entreprise qui a achevé l'analyse structurelle, mis en œuvre les mesures de base et documenté un plan de continuité n'est pas certifiée, mais solidement positionnée.
L'erreur la plus fréquente n'est pas d'en faire trop peu. L'erreur la plus fréquente est d'agir sans documentation, puis de se retrouver incapable, lors du premier contrôle, de prouver ce qui a été fait.
Si vous souhaitez savoir où en est votre entreprise aujourd'hui et quelle est la prochaine étape concrète, contactez-nous pour un premier entretien de conseil BSI Grundschutz.
Sources
[1] Bundesamt für Sicherheit in der Informationstechnik : IT-Grundschutz-Kompendium Edition 2023. Bonn, 2023. https://www.bsi.bund.de/grundschutz
[2] Bundesamt für Sicherheit in der Informationstechnik : BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0. Bonn, 2017. https://www.bsi.bund.de/grundschutz/bsi-standards/bsi-standard-200-2
[3] Bundesministerium des Innern und für Heimat : NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Referentenentwurf. Berlin, 2024. https://www.bmi.bund.de/nis2
[4] Bundesamt für Sicherheit in der Informationstechnik : Vorgehensweise nach IT-Grundschutz, Basis-Absicherung. Bonn, 2021. https://www.bsi.bund.de/grundschutz/vorgehensweise/basis-absicherung
[5] Daniele Procida : Diátaxis, A systematic framework for technical documentation. 2021. https://diataxis.fr
Clara
Documentation Lead
Documentation technique, API docs, guides, ADR, i18n.
Besoin d'aide sur Infosec?
Premier échange gratuit, forfait après audit.
INIT_CONSULTATION() →