Comment se conformer a NIS2 : guide étape par étape

Étape 1 : Realiser un diagnostic initial

La première étape consiste a déterminer si votre organisation entre dans le périmètre NIS2. Deux critères principaux guident cette classification : la taille de l’entreprise (plus de 50 salariés ou plus de 10 M€ de chiffre d’affaires) et le secteur d’activité. La directive couvre 18 secteurs, repartis entre entités essentielles et entités importantes.

Pour clarifier votre situation, commencez par cartographier vos activites au regard de l’annexe I et II de la directive. Une entreprise de 200 salariés dans le secteur de l’énergie sera classée entité essentielle, tandis qu’un prestataire numérique de 60 personnes relevera probablement des entités importantes.

Les questions a se poser

Votre organisation opere-t-elle dans l’un des 18 secteurs couverts ? Fournissez-vous des services a des opérateurs critiques ? Gerez-vous des infrastructures numériques (DNS, cloud, datacenters) ? Chaque réponse positive augmente la probabilite d’etre concerné.

Le diagnostic doit également évaluer votre maturite cyber actuelle. L’ANSSI recommande de s’appuyer sur le référentiel d’hygiene informatique (42 mesures) comme base de référence. Sur les 15 éditeurs que nous avons analysés, CrowdStrike (9.4/10) propose un module d’évaluation de la posture de sécurité particulièrement adapté a cette phase.

Étape 2 : Conduire une gap analysis structuree

Le gap analysis compare votre posture cyber actuelle aux 10 catégories de mesures exigees par l’article 21 de NIS2. Cette analyse produit une cartographie précise des ecarts a combler et des priorités d’investissement.

Les 10 catégories de mesures NIS2

L’article 21 structure les obligations autour de dix piliers. Les politiques d’analyse de risques et de sécurité des systèmes d’information arrivent en tete. Suivent la gestion des incidents, la continuite d’activité et la gestion de crise, la sécurité de la chaine d’approvisionnement, la sécurité dans l’acquisition et le développement des systèmes.

Viennent ensuite les politiques d’évaluation de l’efficacité des mesures, les pratiques de base en matière de cyberhygiene et la formation, les politiques de chiffrement, la sécurité des ressources humaines et les politiques de contrôle d’accès. Chaque pilier nécessité des preuves documentaires.

Prioriser les actions correctives

Classez vos ecarts selon trois niveaux : critique (risque d’incident majeur dans les 6 mois), important (non-conformité réglementaire directe) et moderee (amélioration a planifier). Les entités essentielles doivent viser une couverture complète des 10 piliers. Les entités importantes beneficient d’un référentiel allegee mais restent soumises aux mêmes catégories de mesures.

Un audit cybersécurité NIS2 formalise permet de documenter cette analyse et constitue le premier livrable concret de votre demarche.

Étape 3 : Mettre en place la gouvernance cyber

NIS2 responsabilise explicitement les organes de direction. L’article 20 prevoit que la direction approuve les mesures de cybersécurité, supervise leur mise en oeuvre et peut etre tenue personnellement responsable en cas de manquement. Cette exigence marque une rupture avec NIS1 ou la cybersécurité restait souvent cantonnee aux équipes techniques.

Designer un responsable cybersécurité

Le RSSI ou un responsable equivalent doit avoir un mandat clair, un budget dédié et un accès direct a la direction générale. Dans les PME, ce rôle peut etre externalise auprès d’un prestataire qualifié, a condition de maintenir la responsabilité interne.

Trois comites meritent d’etre crees ou formalises : un comite de pilotage cyber (trimestriel, niveau direction), un comite opérationnel de sécurité (mensuel, niveau DSI/RSSI) et une cellule de crise cyber (activable en 4 heures maximum).

Former les dirigeants

L’article 20 impose une obligation de formation pour les membres des organes de direction. Cette formation doit couvrir l’identification des risques, l’évaluation de l’impact des incidents et les pratiques de gestion de crise. Le non-respect de cette obligation peut entrainer des sanctions spécifiques pour les dirigeants eux-mêmes.

Pour structurer cette gouvernance, des plateformes comme Wallix (9.2/10) offrent des tableaux de bord de conformité qui facilitent le reporting vers la direction.

Étape 4 : Deployer les solutions techniques adaptees

Les mesures techniques constituent le socle opérationnel de la conformité. Quatre domaines concentrent l’essentiel des investissements : la détection et réponse aux incidents, la gestion des accès privilégiés, la gestion des vulnérabilités et le chiffrement des données sensibles.

Détection et réponse aux incidents (EDR/XDR)

NIS2 exige une capacité de détection, d’analyse et de réponse aux incidents significatifs. Les solutions EDR/XDR repondent a cette obligation en combinant surveillance continue, analyse comportementale et capacités de remédiation automatisée. Sur le marche français, deux approches s’opposent : les solutions souveraines comme Sekoia.io et les leaders mondiaux comme CrowdStrike.

Gestion des accès privilégiés (PAM)

Le contrôle d’accès figure parmi les 10 piliers de l’article 21. Les solutions PAM (Privileged Access Management) tracent et controlent l’utilisation des comptes a hauts privileges, souvent cibles en priorité lors des attaques. Le marche compte plusieurs acteurs certifiés ANSSI pour cette fonction.

Gestion des vulnérabilités

La directive impose une gestion continue des vulnérabilités, incluant la divulgation coordonnee. Des solutions comme Fortinet (9.3/10) integrent la gestion des vulnérabilités a leur plateforme de sécurité réseau, simplifiant le déploiement pour les structures de taille intermédiaire.

Chiffrement et protection des données

L’article 21 mentionne explicitement le recours au chiffrement. Les données en transit et au repos doivent etre protégées par des mécanismes conformes a l’etat de l’art. Combiner solutions techniques et politiques organisationnelles permet de couvrir cette exigence de facon auditable.

Étape 5 : Organiser la formation et la sensibilisation

La cyberhygiene et la formation figurent en bonne place dans l’article 21. L’objectif ne se limite pas a former les équipes techniques : chaque collaborateur manipulant des systèmes d’information doit comprendre les risques et adopter les bons reflexes.

Un programme structure sur trois niveaux

Le premier niveau cible tous les collaborateurs : sensibilisation au phishing, gestion des mots de passe, signalement des incidents. Le deuxième niveau s’adresse aux équipes IT et aux administrateurs : procédures de réponse aux incidents, durcissement des systèmes, gestion des patchs. Le troisième concerné la direction : comprehension des risques stratégiques, obligations légales, exercices de gestion de crise.

La frequence minimale recommandée est d’une session annuelle pour le niveau 1, trimestrielle pour le niveau 2, et semestrielle pour le niveau 3. Des exercices de simulation (red team, phishing tests) completent utilement le dispositif.

Documenter les preuves de formation

Conservez systematiquement les attestations de presence, les résultats des tests de phishing et les comptes rendus d’exercices de crise. Ces documents constituent des preuves directes de conformité lors des contrôles de l’ANSSI. Un taux de participation supérieur a 90 % sur les campagnes de sensibilisation renforce la position de l’entreprise en cas d’audit.

Étape 6 : Constituer la documentation d’audit

La conformité NIS2 repose autant sur la preuve que sur l’action. Sans documentation structuree, les mesures techniques et organisationnelles perdent leur valeur réglementaire. L’ANSSI pourra exiger la présentation de ces documents lors de contrôles, prévus a partir de 2027 pour les entités essentielles.

Les documents incontournables

Cinq catégories de documents forment le socle minimal : la politique de sécurité des systèmes d’information (PSSI), le plan de gestion des incidents et de continuity d’activité, le registre des actifs et la cartographie des systèmes critiques, le plan de formation et les preuves associees, et enfin la documentation de la supply chain (contrats, audits fournisseurs, engagements de sécurité).

Organiser la revue periodique

Chaque document doit mentionner sa date de création, sa dernière revision et le responsable de sa mise a jour. Une revue annuelle minimum est recommandée, avec des mises a jour declenchees par tout changement significatif (nouveau système, incident, évolution réglementaire).

Pour approfondir chaque aspect de la directive, consultez notre guide complet NIS2 qui détaillé l’ensemble du cadre réglementaire et ses implications pour les entreprises francaises.