NIS2 et enseignement supérieur : universités et établissements concernés en 2026
Le secteur de l'enseignement supérieur et de la recherche est l'une des cibles croissantes des cyberattaquants. Plusieurs universités françaises ont subi des incidents majeurs ces dernières années, compromettant des systèmes d'information académiques complexes, des données de recherche sensibles et des données personnelles d'étudiants. NIS2 et les réglementations françaises associées posent de nouvelles obligations pour les établissements d'enseignement supérieur.
Quels établissements sont soumis à NIS2 ?
La réponse dépend de la transposition française de NIS2 et de la classification des établissements :
Établissements potentiellement en entités importantes
Le secteur de l'administration publique est explicitement couvert par NIS2. En France, les universités et grandes écoles publiques relèvent a priori de la catégorie "administration publique régionale", soumise à des obligations NIS2. Les établissements concernés sont notamment :
- Les universités publiques (environ 80 en France métropolitaine)
- Les grandes écoles publiques (ENS, Polytechnique, CentraleSupélec, etc.)
- Les CROUS (Centres Régionaux des Œuvres Universitaires et Scolaires)
- Les organismes de recherche publics (CNRS, INSERM, CEA, INRIA)
- Les CHU et centres hospitaliers universitaires (déjà couverts au titre du secteur santé)
Établissements privés
Les établissements privés d'enseignement supérieur ne relèvent pas directement de NIS2 via la catégorie "administration publique". Cependant, s'ils fournissent des services numériques à grande échelle ou s'ils sont sous-traitants d'entités NIS2, ils peuvent être indirectement concernés.
La loi de transposition française précisera les critères exacts (taille, budget, nombre d'étudiants) pour déterminer quels établissements entrent dans le périmètre NIS2. Les établissements sont encouragés à s'inscrire sur MonEspaceNIS2 pour vérifier leur éligibilité.
Les spécificités du SI académique
Les systèmes d'information des universités présentent des caractéristiques particulières qui complexifient la mise en sécurité :
- Grande ouverture : les SI académiques sont conçus pour l'ouverture et le partage (accès depuis l'extérieur, collaboration internationale, données ouvertes), ce qui entre en tension avec les exigences de cloisonnement
- Hétérogénéité : des centaines d'applications différentes, beaucoup développées localement, avec des standards de sécurité variables
- Multiples populations : étudiants, enseignants-chercheurs, personnels administratifs, chercheurs invités, partenaires industriels — avec des droits d'accès très différents
- Données de recherche sensibles : certaines recherches portent sur des données confidentielles (défense, santé, données personnelles) soumises à des exigences de protection spécifiques
- Contraintes budgétaires : les budgets IT des universités sont souvent insuffisants face à l'étendue des SI à protéger
Menaces et incidents récents dans l'enseignement supérieur
Le secteur a été frappé par plusieurs incidents marquants :
- Université de Montpellier (2023) : cyberattaque ayant perturbé les ENT (Espaces Numériques de Travail) pendant plusieurs semaines en période d'examens
- Université Paris-Saclay (2020) : ransomware NetWalker ayant chiffré des serveurs de recherche, avec demande de rançon de 2,3 M€
- Nombreux CHU et laboratoires : les données de recherche médicale sont particulièrement visées pour leur valeur scientifique et économique
Les vecteurs d'attaque récurrents : phishing ciblant les étudiants et personnels, exploitation de VPN non patchés, accès RDP exposé, et compromission de comptes académiques réutilisés sur des services externes.
Le programme CaRE de l'ANSSI pour le secteur académique
L'ANSSI a inclus les établissements d'enseignement supérieur et de recherche dans son programme CaRE (Cybersécurité Accélération et Résilience des Établissements), initialement conçu pour la santé :
- Diagnostics subventionnés : audits de sécurité partiellement financés via des dispositifs régionaux et nationaux
- CERT-FR : accompagnement en cas d'incident, veille sur les menaces spécifiques au secteur
- SEIS (Sécurité des ESR) : réseau de sécurité de l'enseignement supérieur et de la recherche, avec partage de threat intelligence entre établissements
- RENATER : réseau national académique qui propose des services de sécurité mutualisés (filtrage DNS, SIEM partagé, SOC académique)
Obligations NIS2 pour les universités
Si votre établissement entre dans le périmètre NIS2, les obligations de l'article 21 s'appliquent :
- PSSI formalisée : politique de sécurité validée par le conseil d'administration ou la présidence
- Gestion des incidents : procédure de notification au CERT-FR et à l'ANSSI dans les délais NIS2
- MFA généralisé : authentification multifacteur sur toutes les applications critiques (VPN, messagerie, applications administratives)
- Sauvegardes testées : sauvegardes déconnectées des données critiques (données de recherche, données administratives, examens)
- Sécurité de la chaîne d'approvisionnement : évaluation des prestataires IT et des logiciels utilisés
- Gestion des vulnérabilités : processus de patch management pour les systèmes expos és
- Formation : sensibilisation des personnels et formation des dirigeants (présidence, direction des SI)
Priorités pratiques pour les DSI académiques
Compte tenu des contraintes spécifiques du secteur, voici les priorités recommandées :
- Activer le MFA sur toutes les connexions VPN et messagerie (priorité absolue)
- Réaliser un inventaire des actifs et une cartographie des flux de données sensibles (données de recherche, données personnelles étudiants)
- Mettre en place des sauvegardes déconnectées testées pour les données critiques (résultats d'examens, données de recherche)
- Rejoindre le réseau SEIS et s'inscrire sur MonEspaceNIS2
- Former la présidence et le conseil d'administration sur les obligations NIS2
- Réaliser un audit de sécurité prioritaire sur les services exposés sur Internet (ENT, VPN, portails étudiants)
Conclusion
L'enseignement supérieur et la recherche sont face à un double défi : une surface d'attaque large par nature et des obligations réglementaires NIS2 croissantes. Les dispositifs mutualisés (RENATER, SEIS, programme CaRE) offrent des solutions adaptées au secteur. CyberConform accompagne les établissements d'enseignement supérieur dans leur démarche de conformité NIS2, depuis le diagnostic d'éligibilité jusqu'à la mise en place des mesures techniques et organisationnelles, avec une approche adaptée aux contraintes budgétaires et opérationnelles du secteur académique.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit