Blog

Checklist mise en conformité NIS2

27 novembre 2025

Comprendre l’essentiel… et pourquoi un référentiel intégré dans une solution de pilotages des conformités devient de plus en plus important.

La directive NIS2 marque un tournant majeur : elle ne se contente plus d’astreindre quelques bonnes pratiques en cybersécurité, elle exige désormais une véritable culture du risque, une implication forte des dirigeants et une capacité démontrable à protéger l’activité, les données et les chaînes de fournisseurs. 

Concrètement, être conforme à la réglementation NIS2 ne signifie pas seulement « renforcer la sécurité IT ». C’est un ensemble structuré d’obligations techniques, organisationnelles et réglementaires. Les entreprises concernées doivent être capables de prouver, à tout moment, qu’elles disposent des politiques adaptées, qu’elles ont évalué leurs risques, qu’elles gèrent leurs fournisseurs critiques, et qu’elles savent détecter puis signaler un incident dans les délais imposés. 

Parmi les critères essentiels, NIS2 impose par exemple : 

  • Une gouvernance claire, où les dirigeants sont formés et responsables ; 
  • Une analyse de risques documentée et actualisée ; 
  • Le socle technique obligatoire (contrôles d’accès, journalisation, segmentation, supervision…) ; 
  • Une gestion rigoureuse de la chaîne d’approvisionnement ; 
  • Des processus de gestion de crise capables de tenir face à une cyberattaque. 

Pour les auditeurs et les responsables SI, ces obligations peuvent vite devenir un véritable casse-tête : plusieurs dizaines de points à vérifier, des niveaux d’exigence différents selon la criticité de l’entité, et une documentation qui doit être à la fois précise, traçable et alignée sur les attentes des autorités nationales. 

Mini-checklist NIS2 d’éligibilité : quelques points clés à vérifier

Voici quelques-uns des critères fondamentaux que tout acteur concerné doit pouvoir évaluer : 

  • Les dirigeants ont-ils été formés et impliqués dans la politique de cyber ? 
  • L’entreprise dispose-t-elle d’une analyse de risques récente et exploitée ? 
  • Les accès sensibles sont-ils protégés (MFA, gestion des habilitations, logs) ? 
  • Les sauvegardes sont-elles testées régulièrement ? 
  • Un processus clair de notification d’incident existe-t-il (24h / 72h / un mois) ? 
  • Les fournisseurs critiques sont-ils évalués et contractualisés avec des exigences cyber ? 

Ce pré-diagnostic illustre déjà l’un des enjeux majeurs : NIS2 ne se résume pas à « cocher des cases ». Il nécessite une vision globale, une cohérence entre gouvernance, technique et documentation… et un outil capable d’absorber cette complexité. 

Création du référentiel pertinent : notre méthodologie 

Auditool notre outil dédié à l’analyse et au contrôle de conformité, permet de centraliser les preuves, d’éviter les pertes d’information, de suivre l’avancement et d’aligner les audits sur un socle commun, clair et stable.  

À partir de la directive brute, nous avons construit un référentiel structuré, exploitable et adapté aux besoins des acteurs terrain. 

Notre démarche repose sur trois principes : 
  • Regrouper les obligations en grands thèmes compréhensibles 

Nous avons rassemblé l’ensemble des exigences NIS2 autour de treize grandes thématiques cohérentes, que vous pouvez retrouver dans Auditool. Cette méthode permet de rendre la lecture plus intuitive et l’analyse plus fluide. 

  • Définir des points de contrôle concrets 

Chaque exigence a été traduite en éléments vérifiables, actionnables et adaptés à l’audit terrain. L’objectif est de faciliter la mise en conformité et éliminer les zones grises. 

  • S’appuyer sur un outil structuré pour ne rien oublier 

Auditool permet de centraliser les preuves, d’éviter les pertes d’information, de suivre l’avancement et d’aligner les audits sur un socle commun, clair et stable. 

Les cinq premières thématiques Auditool et les points de contrôle dégagés 

Nous avons structuré un référentiel prêt à l’emploi autour la directive NIS2 en un ensemble complet de plus de douze thématiques. Pour illustrer notre approche et donner un aperçu concret de ce travail, nous présentons ici cinq de ces blocs de contrôle. Ils regroupent les exigences les plus larges et servent de base pour évaluer la maturité cyber d’une organisation. 

1 – Politique relative à la sécurité des réseaux et des systèmes d’information 

Cette thématique porte sur la gouvernance globale de la cybersécurité et la capacité de l’entreprise à définir un cadre clair, partagé et appliqué. 

Elle comprend : 

  • Une politique SSI formalisée et validée par la direction, régulièrement révisée et diffusée à toutes les parties prenantes. 
  • La définition des rôles et des responsabilités, incluant les pouvoirs de décision, d’arbitrage et de validation : direction, RSSI, équipes opérationnelles… 
  • La cohérence entre les règles définies et leur application réelle, notamment via la gestion des accès, la mise en place de contrôles, et la compétence des équipes à faire respecter les mesures. 

En bref : c’est la base qui garantit que la sécurité n’est pas seulement technique, mais pilotée, gouvernée et intégrée dans l’organisation. 

2 – Politique de gestion des risques 

L’objectif est de démontrer que l’entreprise connaît ses risques, sait les analyser, les prioriser et suivre leur traitement. 

Les points clés incluent : 

  • Un cadre de gestion des risques défini et applicable : méthode d’analyse, périodicité, périmètre, outils utilisés. 
  • Une analyse de risques à jour, couvrant les actifs critiques, les scénarios d’attaque et les impacts métiers. 
  • Des mécanismes internes de contrôle permettant de vérifier que les mesures de sécurité prévues sont effectivement mises en œuvre. 
  • Un réexamen indépendant, réalisé via audits internes ou externes, assurant un regard objectif sur la maturité et l’exposition réelle aux risques. 

Cette thématique vérifie que la sécurité repose sur une démarche rationnelle, documentée et opposable. 

3 – Gestion des incidents 

La directive NIS2 renforce de manière significative les obligations en matière de détection, de réaction et de déclaration des incidents. 

Les éléments contrôlés couvrent : 

  • Une procédure de gestion des incidents claire, définissant les rôles, les étapes d’escalade, la communication interne et externe. 
  • La surveillance et la journalisation, incluant la production, la conservation et l’exploitation des logs, etc. 
  • Le processus de signalement, qui doit permettre de notifier rapidement les incidents aux autorités dans les délais réglementaires (24 h, 72 h, un mois). 
  • L’évaluation et la classification des événements, pour distinguer les anomalies mineures des incidents majeurs et adapter les réponses. 
  • La réponse opérationnelle, c’est-à-dire l’efficacité des actions de remédiation, la coordination et la documentation. 
  • Les retours d’expérience post-incident, indispensables pour corriger les vulnérabilités et améliorer le dispositif. 

L’enjeu : prouver que l’entreprise peut identifier et gérer un incident de bout en bout. 

4 – Continuité des activités et gestion des crises 

Ici, il s’agit de démontrer que l’entreprise peut assurer la continuité de ses activités en cas d’incident majeur. 

Les contrôles portent sur : 

  • Le plan de continuité d’activité (PCA) et le plan de reprise (PRA) : existence, formalisation, scénarios couverts, mise à jour et pertinence pour les enjeux métiers. 
  • La gestion des sauvegardes : fréquence, protection, restauration, tests systématiques et documentation des résultats. 
  • Les ressources redondantes, permettant de maintenir les services essentiels en cas de panne ou de compromission. 
  • La gestion des crises, avec une cellule identifiée, des rôles définis, des exercices réguliers et des procédures de communication structurées. 

Cette thématique vérifie la résilience réelle de l’organisation face à une cyberattaque. 

5 – Sécurité de la chaîne d’approvisionnement 

La NIS2 impose une surveillance renforcée des fournisseurs, considérés comme une extension du périmètre de sécurité. 

Les contrôles incluent : 

  • L’existence d’une politique dédiée, définissant les exigences de cybersécurité attendues des prestataires et intégrées dans les contrats. 
  • Une cartographie complète des fournisseurs, identifiant ceux critiques pour l’activité ou pour les données sensibles. 
  • L’évaluation du niveau de sécurité des tiers, via questionnaires, audits, certifications, preuves ou engagements contractuels. 
  • Un suivi régulier des risques liés aux prestataires, permettant d’intégrer les évolutions de leur posture ou des incidents qui les touchent. 
  • L’objectif est de garantir que les partenaires de l’entreprise ne deviennent pas un point d’entrée vulnérable. 
Pourquoi structurer un référentiel aide réellement ? 

Avec la diversité des exigences, travailler sans cadre clair rend la conformité difficile, risque d’oubli, doublons, preuves dispersées, etc. Un référentiel organisé permet simplement de mieux suivre les obligations, de gagner du temps lors des audits et d’avoir une vision plus précise de ce qu’il reste à traiter. 

Il offre aussi une continuité d’un audit à l’autre et permet d’éviter que la compréhension de NIS2 dépende uniquement des individus impliqués. 

Pour aller plus loin 

La mise en conformité NIS2 ne repose pas seulement sur des processus et de la documentation, elle exige aussi que les équipes comprennent les enjeux et adoptent les bons réflexes au quotidien. Pour accompagner cette montée en compétence, notre plateforme Phosforea propose des modules de formation dédiés à la cybersécurité et aux obligations NIS2. C’est un moyen efficace d’ancrer durablement les bonnes pratiques et de renforcer la résilience de l’organisation. 

Laure