AquilApp
L'agence

Expertises

Réalisations

Ressources

Contactez-nous
Projet Mobile

NIS2 et applications mobiles : ce que la directive cybersécurité européenne impose à vos projets dès maintenant

🤖 Analyser avec l'IA

Obtenez un résumé intelligent et des insights personnalisés

La directive NIS2 (Network and Information Security 2) est un règlement européen de cybersécurité. Elle a été adopté en décembre 2022. Son rôle ? Imposer des obligations de sécurité renforcées aux organisations des secteurs essentiels et importants. Chacune de leur application mobile doit désormais intégrer ces exigences dès la phase de cadrage. Sinon, elles encourent des sanctions qui peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

De nombreuses organisations lancent aujourd’hui des projets d’application mobile. Pourtant, elles ne mesurent pas l’impact de NIS2 sur leurs délais, leur budget et leur architecture technique. C’est une erreur qui coûte cher. Une non-conformité découverte en phase de recette entraîne des refontes coûteuses. C’est sans compter des retards de mise en service et une exposition au risque réglementaire.

Trois questions pratiques se posent alors : 

  1. Quelles sont les organisations concernées ? 
  2. Quelles obligations pèsent concrètement sur un projet d’application mobile ?
  3. Et, comment intégrer NIS2 dès le cadrage sans faire exploser le budget ni les délais. 

AquilApp, agence de développement mobile à Nantes, accompagne ses clients sur ces sujets depuis la phase de cadrage jusqu’à la mise en service.

Qu’est-ce que la directive NIS2 ?

La directive NIS2 est aussi connu sous sa forme longue Network and Information Security 2. C’est la directive européenne 2022/2555, adoptée le 14 décembre 2022. Elle remplace notamment la directive NIS1 de 2016. D’ailleurs, elle élargit le périmètre des entités soumises à des obligations de cybersécurité. Selon l’ANSSI, elle concerne entre 15 000 et 18 000 entités françaises, contre environ 500 sous NIS1. Autrement dit, le périmètre a été multiplié par dix.

Directive NIS2

La transposition française suit un parcours législatif progressif. Le projet de loi « Résilience » a été présenté en COnseil des ministres en Octobre 2024. Elle transpose notamment NIS2, DORA et la directive REC. D’ailleurs, il a été adopté au Sénat le 12 mars 2025. L’examen par l’Assemblée nationale s’est poursuivi à l’automne 2025. On attend la transposition définitive pour juillet 2026. Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF). Celui-ci liste les mesures recommandées pour atteindre les objectifs de sécurité NIS2 et servira de base lors des contrôles.

NIS2 distingue deux catégories d’entités :

  • Entités essentielles (EE) : énergie, transports, santé, eau, infrastructures numériques, espace, administration publique.
  • Entités importantes (EI) : services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, prestataires de services numériques.

Qui est concerné par la directive de cybersécurité européenne parmi vos projets mobiles ?

L’obligation NIS2 suit l’organisation, pas la technologie. En effet, votre client ou commanditaire appartient à un secteur couvert par la directive ? L’application mobile que vous développez pour lui entre dans le périmètre, quelle que soit sa forme technique. Exemple : application native iOS/Android, Progressive Web App (PWA) ou application hybride.

Voici des exemples concrets de projets mobiles concernés :

  • Application de gestion de flotte pour un opérateur de transport.
  • Application métier pour un établissement de santé ou une clinique.
  • Application de télérelève ou de supervision pour un opérateur d’énergie.
  • PWA (Progressive Web App) d’un fournisseur de services d’eau.
  • Application B2B pour un sous-traitant critique d’une entité essentielle.
  • Outil mobile d’administration publique ou de collectivité territoriale.

Attention : les sous-traitants et prestataires des entités essentielles peuvent également entrer dans le périmètre de la chaîne d’approvisionnement. En effet, l’article 21 de NIS2 impose aux entités d’évaluer les pratiques de sécurité de leurs fournisseurs.

Pour vérifier le statut de votre organisation, l’ANSSI met à disposition la plateforme MonEspaceNIS2 sur son site officiel cyber.gouv.fr.

Quelles sont les 4 grandes obligations de la directive NIS2 qui impactent le développement mobile ?

Basons-nous sur l’article 21 de la directive NIS2. En effet, il définit les mesures de gestion des risques de cybersécurité. Voici les quatre obligations qui ont un impact direct sur la conception et le développement d’une application mobile.

1. Gestion des risques de sécurité

Les entités doivent conduire une analyse de risques avant le lancement du projet. Celle-ci couvre les risques liés :

  • Aux systèmes d’information
  • Aux données traitées 
  • Et aux dépendances tierces. 

Elle est obligatoire et doit être documentée.

Sécurité application mobile NIS2

Impact projet : le cadrage doit inclure un atelier dédié à la cartographie des risques. Cette étape ne peut plus être différée à la phase de recette.

2. Sécurité dès la conception ou la security by Design

Les mesures de sécurité ne s’ajoutent plus après le développement. En effet, elles font partie des spécifications fonctionnelles. Le Security by Design est une approche qui intègre la sécurité à chaque étape du développement, plutôt que de la traiter comme une couche ajoutée en fin de projet.

Impact projet : authentification forte, chiffrement des données en transit et au repos, gestion des sessions et des permissions sont à définir dans le cahier des charges.

3. Gestion des incidents et obligation de notification

Tout incident significatif doit être signalé à l’ANSSI. Suivez notamment le protocole en trois étapes, défini à l’article 23 de la directive :

  1. Alerte préliminaire : dans les 24 heures suivant la prise de connaissance de l’incident.
  2. Notification initiale : dans les 72 heures, avec une évaluation de la gravité et de l’impact.
  3. Rapport final : dans le mois suivant, avec l’analyse de la cause racine et les mesures correctives.

Impact projet : l’application doit embarquer des mécanismes de journalisation (logs). Ajoutez à cela la détection d’anomalies et l’alerte pour permettre le respect de ces délais.

4. Sécurité de la chaîne d’approvisionnement logicielle

En outre, vous devez aussi intégrer dans le périmètre NIS2 de votre application : 

  • Les API (Interfaces de Programmation)
  • Les SDK (kits de développement) 
  • Et les services tiers intégrés. 

En outre, évaluez la qualité des pratiques de sécurité de chaque fournisseur.

Impact projet : chaque dépendance tierce doit être auditée avant intégration. Un registre des composants logiciels (SBOM, Software Bill of Materials) est une bonne pratique recommandée.

Qu’est-ce que le Security by Design dans un projet mobile ?

Le Security by Design est une approche qui intègre la sécurité à chaque étape du développement. Donc, vous évitez de la traiter comme une couche ajoutée en fin de projet. C’est une exigence explicite de NIS2, portée par son article 21.

Sécurity by design NIS2

Concrètement, pour une application mobile, cela signifie :

  • Authentification multi-facteurs (MFA) définie dès les spécifications fonctionnelles.
  • Chiffrement des données stockées sur l’appareil et en transit (TLS 1.2 minimum).
  • Gestion des permissions système (caméra, localisation, contacts) limitée au strict nécessaire, principe du moindre privilège.
  • Tests de sécurité intégrés au cycle de développement : tests de pénétration, revue de code sécurité, analyse statique (SAST) et dynamique (DAST).
  • Journalisation des accès et des actions sensibles, conservée selon les durées réglementaires.

Chez AquilApp, le Security by Design fait partie de notre phase de cadrage pour tous les projets soumis à NIS2. Les exigences de sécurité sont définies au même niveau d’importance que les exigences fonctionnelles.

Contactez-nous

Vos coordonnées
Votre projet

Décrivez votre projet, vos objectifs et toute information utile pour mieux comprendre votre besoin.

Réponse sous 24h ouvrées — Vos données restent confidentielles.

Quel surcoût faut-il prévoir pour une application mobile conforme NIS2 ?

Le coût de développement d’une application mobile se situe entre 500 et 20 000 euros. Il faudra tenir compte de : 

  • La complexité fonctionnelle
  • Du choix de la technologie 
  • Et du périmètre d’usage. 

NIS2 ajoute une couche de coûts spécifiques qui varient selon la criticité du secteur et la maturité initiale de l’organisation.

Poste de coût NIS2Fourchette basseFourchette hauteCommentaire
Audit de cadrage sécurité2 000 euros8 000 eurosCartographie des risques, politique de sécurité SI (PSSI)
Développement Security by Design+10 %+25 %Sur le budget total de développement
Tests de pénétration (pentest)3 000 euros15 000 eurosSelon périmètre, criticité et prestataire retenu
Audit des dépendances (SBOM)1 500 euros6 000 eurosAudit des API, SDK et services tiers intégrés
Total indicatif~7 000 euros~50 000 eurosVariable selon la taille de l’organisation et le secteur

Sources et fourchettes : La Fabrique du Net, mars 2026 ; RapidCraft, juin 2026 (coûts QA et sécurité sur projets mobiles français) ; estimations AquilApp issues de projets livrés. Ces chiffres sont indicatifs. Chaque projet nécessite un chiffrage personnalisé.

Un argument clé pour les décideurs : intégrer les exigences NIS2 dès le cadrage coûte en général trois à cinq fois moins cher que de les traiter en refonte après la mise en service. Le coût moyen d’une cyberattaque pour une PME dépasse 50 000 euros. De plus, la Cour des comptes française estime qu’une cyberattaque représente entre 5 et 10 % du chiffre d’affaires annuel pour les organisations touchées.

Comment cette directive européenne impact-t-elle sur les délais de livraison ?

NIS2 allonge les délais de livraison lorsqu’elle n’est pas anticipée. Voici les ajouts typiques par phase :

  • Phase de cadrage : +2 à +4 semaines pour l’atelier de cartographie des risques et la rédaction de la politique de sécurité du Système d’Information (PSSI).
  • Phase de développement : +10 à +20 % du temps de développement pour l’implémentation des mesures Security by Design.
  • Phase de recette : +1 à +3 semaines pour les tests de pénétration, la revue de code sécurité et la correction des vulnérabilités détectées.

La règle d’or est simple : anticiper NIS2 dès la rédaction du brief projet supprime tout allongement non planifié. Ce qui est prévu dans le planning ne constitue pas un retard.

Les 5 étapes pour intégrer NIS2 dans votre projet mobile

Il reste une question : comment intégrer la directive NIS2 dans le développement de votre app mobile ? 

  1. Vérifier si votre organisation est dans le périmètre NIS2 : utilisez l’outil de vérification MonEspaceNIS2 sur cyber.gouv.fr. Ou rapprochez-vous de votre DPO (Délégué à la Protection des Données) et de votre RSSI (Responsable de la Sécurité des Systèmes d’Information). L’ANSSI encourage toutes les entités potentiellement concernées à s’enregistrer sans attendre l’adoption définitive du texte législatif.
  2. Inclure NIS2 dans le brief technique du projet : mentionnez explicitement les obligations de sécurité dans le cahier des charges transmis à l’agence de développement. Un cahier des charges sans mention de NIS2 signifie que la conformité ne sera pas au périmètre du devis.
  3. Choisir un prestataire technique qui maîtrise le Security by Design : vérifiez que l’agence intègre la sécurité dans sa méthodologie de cadrage et non uniquement en phase de recette. Demandez des références sur des projets soumis à des contraintes réglementaires équivalentes.
  4. Planifier un audit de sécurité avant la mise en service : prévoyez un test de pénétration et une revue de code par un prestataire qualifié (idéalement certifié CESTI ou référencé ANSSI). Cet audit est une condition sine qua non pour valider la conformité avant déploiement.
  5. Mettre en place un dispositif de gestion des incidents : définissez les procédures de notification à l’ANSSI dès la phase de conception fonctionnelle. Les rôles (qui décide, qui notifie, dans quel délai) doivent être documentés avant la mise en production.

Quelles questions poser à votre agence de développement mobile ?

Choisissez une agence de développement mobile pour un projet soumis à NIS2. Donc, choisissez un partenaire technique qui comprend les enjeux réglementaires autant que les enjeux fonctionnels. Voici cinq questions à poser systématiquement lors de la sélection :

  • Intégrez-vous le Security by Design dans votre phase de cadrage, ou uniquement en phase de recette ?
  • Avez-vous livré des projets soumis à NIS2, à la directive HDS (Hébergement de Données de Santé) ou à des contraintes réglementaires équivalentes ?
  • Proposez-vous un audit des dépendances tierces (API, SDK, services cloud) en amont du développement ?
  • Comment gérez-vous la journalisation et les mécanismes de détection d’anomalies dans vos livrables ?
  • Avez-vous un partenaire qualifié pour les tests de pénétration ? Proposez-vous ce service en propre ou via un sous-traitant certifié ?

La valeur ajoutée d’une agence expérimentée commence en amont du code. AquilApp accompagne ses clients de la phase de cadrage stratégique jusqu’à la mise en service, en intégrant les exigences réglementaires au même niveau que les exigences fonctionnelles.

FAQ sur la cybersécurité européenne

Dans la plupart des cas, non. NIS2 cible en priorité les organisations des secteurs essentiels et importants au-delà d’un certain seuil de taille. Une startup qui n’opère pas directement dans ces secteurs n’est pas concernée d’office. En revanche, si elle intervient comme sous-traitante ou fournisseur d’une entité essentielle ou importante, elle peut tout à fait entrer dans le périmètre de la chaîne d’approvisionnement sécurisée au titre de l’article 21 de la directive.

Oui, absolument. NIS2 ne fait aucune distinction technique. Une PWA (Progressive Web App) qui traite des données sensibles pour le compte d’une entité dans le périmètre est soumise aux mêmes obligations strictes qu’une application native iOS ou Android. Ce sont la nature des flux de données traités et le secteur d’activité du commanditaire qui déterminent l’obligation réglementaire, non le framework ou le format de l’application.

L’ANSSI met à disposition la plateforme dédiée MonEspaceNIS2 sur son site officiel (cyber.gouv.fr). Cet outil d’auto-évaluation permet à toute organisation de vérifier en quelques clics si elle entre dans le périmètre des entités essentielles ou importantes, et de s’enregistrer en prévision des obligations réglementaires qui accompagnent la transposition.

Les sanctions varient selon le statut de l’organisation. Pour les entités essentielles, l’amende maximale est fixée à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Pour les entités importantes, le plafond s’élève à 7 millions d’euros ou 1,4 % du chiffre d’affaires. Au-delà des amendes, NIS2 introduit une responsabilité personnelle des dirigeants, pouvant aller jusqu’à une interdiction temporaire d’exercer des fonctions de direction.

Dès la phase de cadrage stratégique, bien avant la rédaction définitive du cahier des charges. Intégrer la conformité NIS2 en cours de développement ou au moment de la recette technique multiplie le coût de mise aux normes par un facteur trois à cinq. Plus tôt les exigences de sécurité (Security by Design) sont définies, moins leur implémentation coûte cher et perturbe le calendrier de livraison.

Conclusion

NIS2 est une contrainte réelle. Cependant, elle est entièrement anticipable. Intégrée dès la phase de cadrage, elle ne compromet ni les délais ni le budget. Au contraire, elle les structure. Une application mobile conçue avec les exigences NIS2 dès l’origine est plus robuste, plus facile à maintenir et plus crédible auprès des parties prenantes réglementaires.

Pour aller plus loin, consultez notre guide complet sur la création d’une application mobile : il détaille la méthodologie de cadrage, les choix technologiques et les facteurs qui influencent les coûts et les délais.

Vous préparez un projet d’application mobile soumis à NIS2 ? Nos équipes vous accompagnent de la phase de cadrage jusqu’à la mise en service.  Contactez-nous.

Contactez-nous

Vos coordonnées
Votre projet

Décrivez votre projet, vos objectifs et toute information utile pour mieux comprendre votre besoin.

Réponse sous 24h ouvrées — Vos données restent confidentielles.

Partagez ce contenu
ando, Author at AquilApp
En savoir plus sur l'auteur
ando

ando

Lire les autres articles de ando

Retrouvez d'autres articles dans la même catégorie

Projet Mobile
Coder avec l’IA en 2026 : Claude Code, GitHub Copilot, Cursor — ce qui marche vraiment pour le développement mobile (et ce qui ne marche pas)
christian
Coder avec l’IA en 2026 : Claude Code, GitHub Copilot, Cursor — ce qui marche vraiment pour le développement mobile (et ce qui ne marche pas)
christian

Coder avec l’IA révolutionne le développement mobile via les agents autonomes capables de manipuler des codebase entières. Claude Code excelle dans le raisonnement logique, Cursor optimise l’indexation locale via le RAG (Retrieval-Augmented Generation) et GitHub Copilot sécurise l’intégration cloud. Pour coder avec l’IA développement mobile, la réussite repose sur un « Agentic Workflow » supervisé par un ingénieur… Poursuivre la lecture Coder avec l’IA en 2026 : Claude Code, GitHub Copilot, Cursor — ce qui marche vraiment pour le développement mobile (et ce qui ne marche pas)

Projet Mobile
EU AI Act : les obligations qui s’appliqueront à votre application mobile à partir d’août 2026 (et comment s’y préparer dès maintenant)
christian
EU AI Act : les obligations qui s’appliqueront à votre application mobile à partir d’août 2026 (et comment s’y préparer dès maintenant)
christian

L’EU AI Act classe les applications mobiles selon leur niveau de risque : inacceptable (interdiction), haut (conformité stricte), limité (transparence) ou minimal. À partir d’août 2026, la mise en conformité totale devient obligatoire sous peine d’amendes atteignant 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Pour une EU AI Act application mobile, la priorité… Poursuivre la lecture EU AI Act : les obligations qui s’appliqueront à votre application mobile à partir d’août 2026 (et comment s’y préparer dès maintenant)

Projet Mobile
WWDC 2026 : ce que iOS 20 et iPadOS 20 changent concrètement pour vos projets d’application d’entreprise
christian
WWDC 2026 : ce que iOS 20 et iPadOS 20 changent concrètement pour vos projets d’application d’entreprise
christian

iOS 20 impacte les applications d’entreprise via l’intégration systémique d’Apple Intelligence 2.0, le renforcement de la sécurité par le Private Cloud Compute et une architecture iPadOS hybride. Pour une iOS 20 application entreprise, les nouveautés WWDC imposent l’adoption du SDK App Intents et une migration vers Swift 6 pour garantir performance et conformité. La conférence mondiale des… Poursuivre la lecture WWDC 2026 : ce que iOS 20 et iPadOS 20 changent concrètement pour vos projets d’application d’entreprise

Projet Mobile
Mistral, Le Chat et IA souveraine : intégrer une IA générative française dans une application mobile en 2026
ando
Mistral, Le Chat et IA souveraine : intégrer une IA générative française dans une application mobile en 2026
ando

Intégrer une IA générative française dans une application mobile consiste à connecter l’API d’un modèle comme Mistral AI à une application iOS ou Android. Cela se fait notamment via des appels serveur sécurisés. Cette approche permet aussi d’ajouter des capacités conversationnelles ou analytiques avancées. De plus, cela maintient les données des utilisateurs sur le territoire… Poursuivre la lecture Mistral, Le Chat et IA souveraine : intégrer une IA générative française dans une application mobile en 2026

Projet Mobile
AquilAppAQUILAPP
275 boulevard Marcel Paul
44800 Saint HerblainDu lundi au vendredi - 9h à 18h
contact@aquilapp.fr+33 02 28 06 30 68
Une idée de projet digital ?

AquilApp est une agence web spécialisée dans le développement d'applications web et mobiles sur-mesure. Basés à Nantes, nous intervenons dans toute la France pour accompagner les startups, PME et grands groupes dans leur transformation digitale.

Contactez-nous

Rejoignez notre newsletter

Inscrivez-vous pour recevoir nos dernières actualités et conseils en développement web et mobile.
Nos agences en France
ParisNantesSaint HerblainBrestAngersToulouseBordeauxLavalLe MansLilleLyonNiceMarseilleMontpellierRennesStrasbourgVendée
Mentions légales/CGV/Politique de confidentialité
Ce site a été créé avec <3 par AquilApp

Haut de page

Contactez-nous

Appelez-nous

WhatsApp

Prendre RDV