Aller au contenu
T TranscribIA
Conformité NIS2

TranscribIA et la directive NIS2.

La directive (UE) 2022/2555, dite « NIS2 », durcit les obligations de cybersécurité incombant aux entités essentielles et importantes — parmi lesquelles les administrations et collectivités publiques. TranscribIA, solution française de transcription audio, a été conçue pour des organisations qui doivent inscrire leurs outils dans une démarche formelle de gestion des risques. Cette page décrit, sans sur-déclarer, comment ses mesures techniques vérifiables peuvent s'inscrire dans votre mise en conformité.

Cadre européen

La directive NIS2 en bref

NIS2 désigne la directive (UE) 2022/2555 du 14 décembre 2022, qui abroge la directive NIS initiale (UE) 2016/1148 et élargit son périmètre. Elle vise un niveau élevé commun de cybersécurité dans l'Union et impose à certaines entités des obligations renforcées : gestion des risques, mesures de sécurité technique et organisationnelle, notification d'incidents, responsabilité des organes de direction et sécurisation de la chaîne d'approvisionnement.

Comme toute directive européenne, NIS2 est transposée en droit national par chaque État membre. En France, les entités concernées sont désignées et encadrées par la législation nationale de transposition ; les seuils et les modalités de désignation relèvent de ce cadre national. TranscribIA ne se prononce donc pas sur les seuils exacts et invite chaque organisation à vérifier son statut auprès de l'autorité nationale compétente.

Les exigences de sécurité attendues des entités couvertes s'articulent autour de thèmes : politique de gestion des risques, traitement des incidents et continuité d'activité, sécurité des réseaux et des systèmes, cryptographie, contrôle d'accès et authentification, hygiène informatique, qualification et sensibilisation, et sécurité de la chaîne d'approvisionnement.

Entités publiques

Fonction publique, collectivités et établissements publics

NIS2 élargit nettement le périmètre du secteur public par rapport à NIS1. Les entités d'administration publique sont expressément visées : les administrations publiques centrales relèvent des entités dites essentielles, tandis que les administrations publiques régionales et locales — collectivités territoriales, établissements publics — sont considérées comme entités dites importantes. Ces entités doivent mettre en œuvre des mesures appropriées et proportionnées au risque, encadrer la responsabilité de leur direction et notifier les incidents significatifs selon un calendrier précis.

Pour une collectivité ou un établissement public, choisir un outil de transcription audio implique donc de pouvoir justifier des mesures de sécurité, de la traçabilité et de la maîtrise des données traitées — y compris lorsqu'elles contiennent des propos d'élus, d'agents ou d'usagers. TranscribIA vise précisément ce cas d'usage : un traitement souverain, cloisonné et auditable des enregistrements sensibles.

Mesures techniques

Des contrôles vérifiables, articulés aux exigences NIS2

NIS2 fait peser ses obligations sur l'entité elle-même, et non sur ses fournisseurs : aucune « certification NIS2 » d'un produit n'existe à ce titre. Les contrôles ci-dessous sont présentés comme des mesures techniques qui peuvent contribuer à la mise en conformité de votre organisation, sous votre responsabilité et dans le cadre de votre propre analyse de risque.

Hébergement souverain & on-premise

Gouvernance, souveraineté et chaîne d'approvisionnement

  • SaaS hébergé en France (juridiction française et UE)
  • Option on-premise dans votre infrastructure, aucune donnée sortante
  • Aucun transfert hors UE par défaut
  • Moteurs IA configurables (cloud européen ou modèles locaux)

Chiffrement des données

Cryptographie, en transit et au repos

  • TLS 1.2+ obligatoire, HTTPS partout (in-transit)
  • Chiffrement at-rest : disque NVMe et base PostgreSQL
  • Sauvegardes chiffrées avec age (X25519 + ChaCha20-Poly1305)
  • Secrets applicatifs protégés (AES-256-CBC)

Authentification forte & contrôle d'accès

Authentification multifacteur et moindre privilège

  • 2FA TOTP conforme RFC 6238, enrôlement configurable par rôle
  • RBAC à 5 niveaux (principe du moindre privilège)
  • Step-up password sur les actions destructives
  • Rate limiting, CORS strict et politique CSP

Journalisation, audit & supervision

Traçabilité et détection des événements

  • activity_logs par organisation + audit_logs de plateforme
  • Traçabilité de toutes les actions sensibles, exports CSV/JSON
  • Surveillance active 24/7 (queue, disque, certificats, dépendances)
  • Alertes Slack/email et digest quotidien

Gestion des incidents & notification

Traitement des incidents et obligations de notification

  • Détection : ClamAV sur uploads, monitoring et audit trail
  • Processus de notification documenté (alerte précoce, notification, rapport final)
  • Snapshots pré-restauration (safety net anti-écrasement)
  • Qualification, endiguement et documentation de l'incident

Résilience, PRA & hygiène

Continuité d'activité, cloisonnement et mise à jour

  • Sauvegardes quotidiennes chiffrées offsite UE (rétention 90j / 30j)
  • Objectifs RPO 24h / RTO 4h, DR drill validé, restauration granulaire
  • Cloisonnement multi-tenant : 1 schéma PostgreSQL par organisation
  • Mise à jour régulière des composants, dépendances et signatures

Deux modes de déploiement

Choisir le mode adapté à votre doctrine NIS2

SaaS souverain (France)

Pour les collectivités et établissements qui recherchent un service géré, souverain et rapidement opérationnel.

  • Hébergement en France, opéré par AMBASSADIA SARL
  • Mesures de sécurité appliquées et supervisées par l'éditeur
  • Mise en service immédiate, DPA et documentation conformité prêts
  • Convient aux organisations sans équipe sécurité dédiée à temps plein

On-premise (votre infrastructure)

Pour les entités dont la doctrine interne interdit le SaaS ou impose une exploitation entièrement interne.

  • Déploiement Docker autonome, aucune donnée sortante
  • Maîtrise totale de l'inventaire et des contrôles côté entité
  • Le RSSI de l'entité pilote durcissement, journaux et sauvegardes
  • Convient aux environnements classifiés ou à forte contrainte RSSI

Quel que soit le mode, les obligations NIS2 restent celles de l'entité. En on-premise, la responsabilité opérationnelle des mesures de sécurité (durcissement, supervision, sauvegardes, mise à jour) est portée par votre organisation ; en SaaS souverain, l'éditeur exploite ces contrôles et les documente pour vos audits.

Documentation & contact

Pour vos DSI, RSSI et acheteurs publics

Le dossier complet de conformité — registre des traitements, DPA modèle, mesures de sécurité, politique de conservation, sous-traitants, schémas d'architecture — est consultable publiquement, sans création de compte. Notre équipe vous accompagne dans l'analyse NIS2 de votre organisation.

Éditeur : AMBASSADIA SARL (Monaco). Contact conformité : contact@transcribia.fr.