Proxmox VE et NIS2 : ce que la directive change pour vous

NIS2 n’est pas un sujet de conformité réservé aux grands comptes. La directive élargit nettement le périmètre par rapport à NIS1, et beaucoup d’organisations qui ne se sentaient pas concernées le sont désormais. Si votre infrastructure repose sur Proxmox VE, la question n’est pas « faut-il un produit certifié NIS2 » (cela n’existe pas), mais « mes mesures techniques et organisationnelles tiennent-elles la route ». Voici ce que la directive change, côté décision.

Qui est concerné

NIS2 vise les entités essentielles et les entités importantes dans une liste élargie de secteurs : énergie, transport, santé, eau, infrastructures numériques, administration publique, mais aussi fabrication, gestion des déchets, services postaux, et plus largement les fournisseurs de services numériques. Le critère de taille compte : beaucoup de moyennes entreprises (à partir de 50 salariés ou 10 M€ de chiffre d’affaires, selon les cas) entrent dans le périmètre, là où NIS1 ne visait que quelques opérateurs.

Première décision à prendre : déterminer si vous êtes dans le périmètre, et à quel titre. C’est ce qui fixe le niveau d’exigence et de contrôle auquel vous serez soumis.

Ce que la directive exige, côté infrastructure

NIS2 ne prescrit pas une technologie. Elle impose une gestion des risques et un socle de mesures. Pour une équipe qui exploite de la virtualisation, les points qui touchent directement votre plateforme sont :

• Continuité et gestion de crise : plan de reprise, objectifs de reprise documentés, capacité à redémarrer après incident.
• Sauvegarde et restauration : des sauvegardes qui existent, mais surtout qui se restaurent, testées et idéalement hors site.
• Contrôle d’accès et authentification : accès administrateur tracés, authentification renforcée, segmentation.
• Gestion des incidents : détection, journalisation, et notification à l’autorité dans des délais courts (alerte précoce sous 24h, notification sous 72h selon les cas).
• Sécurité de la chaîne d’approvisionnement : vos fournisseurs et sous-traitants, dont votre hébergeur, font partie du périmètre.
• Responsabilité de la direction : la gouvernance de la sécurité remonte au niveau dirigeant, qui peut être tenu responsable.

Ce que cela change concrètement pour une infra Proxmox

Proxmox VE ne vous rend pas conforme à lui seul, aucun hyperviseur ne le fait. Mais une plateforme Proxmox bien exploitée vous met en position de répondre à plusieurs exigences sans repartir de zéro :

• Sauvegarde testée et externalisée : avec Proxmox Backup Server, vous obtenez des sauvegardes incrémentales, vérifiées, et reproductibles hors site. La pièce qui manque souvent n’est pas la sauvegarde, c’est la preuve de restauration.
• Continuité : un cluster bien conçu, avec haute disponibilité et un plan de reprise documenté, répond à l’exigence de continuité.
• Hébergement souverain : héberger vos VMs en France ou en UE simplifie le volet souveraineté et la maîtrise des sous-traitants.
• Traçabilité et accès : journalisation des accès, authentification renforcée, séparation des rôles.

La directive transforme ces bonnes pratiques, longtemps « optionnelles », en obligations dont la direction répond.

Là où ça devient difficile

Le piège classique n’est pas l’absence de mesures, c’est l’absence de preuve. Avoir des sauvegardes ne suffit plus : il faut démontrer qu’elles se restaurent, mesurer les délais, documenter le plan de continuité, et tenir la chaîne de sous-traitance.

C’est là que l’exploitation managée aide. Notre hébergement Proxmox managé en France vous donne une plateforme exploitée avec haute disponibilité, journalisation et accès maîtrisés, sur une infrastructure souveraine. Côté sauvegarde, Cloud-PBS fournit des sauvegardes Proxmox externalisées et testées, avec la preuve de restauration que NIS2 attend. Vous gardez la responsabilité de la conformité, mais vous vous appuyez sur des mesures techniques déjà en place et documentées.

NIS2 n’est pas une case à cocher une fois pour toutes. C’est un niveau d’exigence permanent sur la continuité et la sécurité de votre infrastructure. Mieux vaut bâtir sur une plateforme qui le porte par construction.