🇬🇧 English version
NIS 29 min de lecture

Checklist de conformité NIS 2 : guide étape par étape

Atteindre la conformité NIS 2 nécessite une approche structurée couvrant la gouvernance, les mesures techniques, la réponse aux incidents et la gestion de la chaîne d'approvisionnement. Cette checklist fournit une feuille de route pratique pour les organisations travaillant vers la conformité aux exigences de la directive.

Points clés

Point Résumé
Périmètre Déterminez d'abord si votre organisation entre dans le périmètre NIS 2
10 domaines d'exigences L'Article 21 définit les mesures de cybersécurité à mettre en œuvre
Implication de la direction La direction doit approuver les mesures et suivre une formation
Processus continu La conformité n'est pas un effort ponctuel mais nécessite une maintenance continue
Alignement sur les référentiels Utiliser ISO 27001 ou des cadres similaires accélère la conformité

Réponse rapide : La conformité NIS 2 exige des organisations qu'elles traitent 10 catégories de mesures de cybersécurité, établissent des processus de signalement des incidents, gèrent les risques de la chaîne d'approvisionnement et assurent la responsabilité de la direction. Utilisez cette checklist pour travailler systématiquement sur chaque domaine d'exigence.

Phase 1 : Évaluation et cadrage

Déterminer l'applicabilité

  • Identifier le(s) secteur(s) de votre organisation selon l'Annexe I ou l'Annexe II
  • Vérifier que votre organisation atteint les seuils de taille (50+ employés ou 10M€+ de CA)
  • Déterminer si vous êtes classé comme entité essentielle ou importante
  • Vérifier votre transposition nationale pour toute exigence supplémentaire ou spécifique
  • Identifier l'autorité nationale et le CSIRT auxquels vous devez vous adresser

Mener l'évaluation des écarts

  • Cartographier les mesures de cybersécurité actuelles par rapport aux 10 domaines d'exigences de NIS 2
  • Identifier les certifications existantes qui soutiennent la conformité (ISO 27001, SOC 2, etc.)
  • Évaluer les capacités actuelles de réponse et de signalement des incidents par rapport aux délais NIS 2
  • Évaluer les pratiques de sécurité de la chaîne d'approvisionnement
  • Documenter les écarts et prioriser les actions de remédiation

Phase 2 : Gouvernance et direction

Responsabilité de la direction

  • Informer la direction des obligations NIS 2 et de la responsabilité personnelle
  • Établir un processus formel d'approbation par la direction des mesures de cybersécurité
  • Planifier une formation régulière en cybersécurité pour les membres de l'organe de direction
  • Définir la cadence de reporting de la direction sur le statut des risques de cybersécurité
  • Documenter les rôles et responsabilités de la direction pour la conformité NIS 2

Structure organisationnelle

  • Désigner un responsable de la conformité NIS 2 (RSSI, équipe sécurité ou partenaire externe)
  • Définir les chemins d'escalade pour les incidents de cybersécurité
  • Établir des canaux de communication avec les autorités nationales et le CSIRT
  • Intégrer la gouvernance de la cybersécurité dans les structures existantes de gestion des risques

Phase 3 : Gestion des risques

Analyse des risques et politiques

  • Développer ou mettre à jour la méthodologie d'évaluation des risques de sécurité de l'information
  • Mener une évaluation complète des risques des réseaux et systèmes d'information
  • Créer ou mettre à jour la politique de sécurité de l'information
  • Établir un plan de traitement des risques avec des actions priorisées
  • Définir les critères d'acceptation des risques et les processus d'approbation
  • Planifier des revues périodiques de l'évaluation des risques (au moins annuellement)

Gestion des actifs

  • Créer et maintenir un inventaire des actifs et systèmes critiques
  • Classifier les actifs en fonction de leur criticité et de leur risque
  • Cartographier les dépendances entre systèmes et services
  • Documenter les flux de données et les activités de traitement

Phase 4 : Mesures techniques

Sécurité réseau et système

  • Mettre en œuvre la segmentation réseau et les contrôles d'accès
  • Déployer des systèmes de détection et de prévention des intrusions
  • Établir des configurations de sécurité de référence pour tous les systèmes
  • Mettre en œuvre des processus de gestion des correctifs et d'analyse des vulnérabilités
  • Déployer une protection des endpoints sur tous les appareils

Cryptographie et chiffrement

  • Définir des politiques de chiffrement au repos et en transit
  • Mettre en œuvre des procédures de gestion des clés
  • Utiliser des standards et algorithmes de chiffrement reconnus
  • Réviser et mettre à jour régulièrement les contrôles cryptographiques

Contrôle d'accès et authentification

  • Mettre en œuvre l'authentification multifacteur là où c'est approprié
  • Appliquer les principes d'accès au moindre privilège
  • Établir des processus de gestion des identités et de revue des accès
  • Mettre en œuvre la gestion des accès privilégiés
  • Définir des processus pour accorder, réviser et révoquer les accès

Développement sécurisé

  • Intégrer la sécurité dans les processus d'acquisition et de développement des systèmes
  • Mettre en œuvre des pratiques de codage sécurisé et des procédures de revue de code
  • Établir des processus de traitement et de divulgation des vulnérabilités
  • Tester la sécurité des systèmes avant le déploiement

Phase 5 : Gestion des incidents

Détection et réponse aux incidents

  • Déployer des outils de surveillance et de détection sur les systèmes critiques
  • Développer un cadre de classification des incidents (incluant les critères d'"incident significatif")
  • Créer des procédures détaillées de réponse aux incidents avec rôles et responsabilités
  • Établir des protocoles de communication pour les parties prenantes internes et externes
  • Définir des procédures d'investigation forensique

Signalement des incidents

  • Cartographier les délais de signalement NIS 2 (24h/72h/1 mois)
  • Créer des modèles de rapport pour chaque étape (alerte précoce, notification, rapport final)
  • Identifier et s'enregistrer auprès du CSIRT national et de l'autorité compétente concernés
  • Établir des procédures pour déterminer l'impact transfrontalier
  • Aligner le signalement NIS 2 avec d'autres obligations (ex. notification de violation RGPD)

Tests et exercices

  • Planifier des exercices réguliers de réponse aux incidents sur table
  • Tester les procédures de signalement avec des scénarios réalistes
  • Mener des revues post-exercice et mettre à jour les procédures en conséquence
  • Inclure des scénarios de chaîne d'approvisionnement dans les exercices

Phase 6 : Continuité d'activité

Planification de la continuité d'activité

  • Développer des plans de continuité d'activité pour les services critiques
  • Définir les objectifs de temps de reprise (RTO) et les objectifs de point de reprise (RPO)
  • Mettre en œuvre des procédures de sauvegarde et de récupération
  • Tester régulièrement la restauration des sauvegardes
  • Établir des procédures de gestion de crise et des plans de communication

Reprise après sinistre

  • Concevoir une architecture de reprise après sinistre pour les systèmes critiques
  • Mettre en œuvre la redondance pour les services essentiels
  • Documenter les procédures de reprise après sinistre
  • Tester les plans de reprise après sinistre au moins annuellement
  • Définir les rôles et responsabilités pendant les opérations de reprise

Phase 7 : Sécurité de la chaîne d'approvisionnement

Gestion des fournisseurs

  • Cartographier tous les fournisseurs ayant accès à ou un impact sur vos systèmes
  • Classifier les fournisseurs par niveau de risque
  • Mener des évaluations de sécurité des fournisseurs critiques
  • Intégrer les exigences de cybersécurité dans les contrats fournisseurs
  • Établir des exigences de notification d'incidents pour les fournisseurs

Surveillance continue

  • Mettre en œuvre des revues de sécurité régulières des fournisseurs critiques
  • Surveiller les vulnérabilités dans les produits des fournisseurs
  • Suivre et assurer le suivi des incidents de sécurité des fournisseurs
  • Réviser et mettre à jour les classifications de risque des fournisseurs annuellement

Phase 8 : Formation et sensibilisation

Formation à la cybersécurité

  • Développer une formation de sensibilisation à la cybersécurité pour tous les employés
  • Mettre en œuvre une formation spécifique au rôle pour le personnel de sécurité
  • Planifier et documenter la formation cybersécurité de la direction
  • Mener des simulations de phishing et des campagnes de sensibilisation
  • Suivre l'achèvement et l'efficacité des formations

Hygiène cyber

  • Définir et communiquer les pratiques de base d'hygiène cyber
  • Mettre en œuvre et appliquer des politiques de mots de passe
  • Établir des procédures de mise à jour et de correctifs pour les appareils des utilisateurs finaux
  • Fournir des conseils sur les pratiques de travail à distance sécurisé

Phase 9 : Documentation et preuves

Documentation requise

  • Politique de sécurité de l'information
  • Rapports d'évaluation des risques et plans de traitement
  • Procédures de réponse aux incidents et modèles de signalement
  • Plans de continuité d'activité et de reprise après sinistre
  • Politiques de sécurité de la chaîne d'approvisionnement et évaluations des fournisseurs
  • Registres de formation pour la direction et les employés
  • Politiques et procédures de contrôle d'accès
  • Politiques de cryptographie et de chiffrement

Preuves de conformité

  • Maintenir des registres des approbations et activités de supervision de la direction
  • Documenter les évaluations de sécurité et leurs résultats
  • Conserver les journaux d'incidents et les registres de réponse
  • Archiver les registres de présence aux formations et les certificats
  • Stocker les rapports d'audit et le suivi des remédiations

Phase 10 : Amélioration continue

Revue et mise à jour

  • Planifier des revues annuelles de toutes les mesures de cybersécurité
  • Surveiller les changements dans le paysage des menaces et ajuster les mesures en conséquence
  • Suivre et incorporer les leçons apprises des incidents et exercices
  • Réviser et mettre à jour régulièrement les politiques et procédures
  • Se tenir informé des actes d'exécution et des orientations de l'ENISA

Questions fréquentes

Combien de temps prend la conformité NIS 2 ?

Le calendrier dépend de votre point de départ. Les organisations disposant de cadres existants comme ISO 27001 peuvent souvent atteindre la conformité en 3-6 mois. Les organisations partant de zéro peuvent avoir besoin de 6-12 mois ou plus. Les facteurs clés incluent la taille de l'organisation, la complexité et la maturité actuelle en matière de sécurité.

Pouvons-nous atteindre la conformité sans aide externe ?

Bien que possible, la plupart des organisations bénéficient d'un accompagnement expert, notamment pour les évaluations des écarts, le développement de politiques et la planification de la réponse aux incidents. Des partenaires comme Bastion peuvent accélérer significativement le processus en fournissant des cadres éprouvés, des modèles et une supervision experte.

Que devons-nous prioriser si nous ne pouvons pas tout faire en même temps ?

Commencez par les domaines à plus haut risque : les capacités de signalement des incidents (les délais stricts sont non négociables), l'évaluation des risques et la gouvernance de la direction. Ensuite, traitez la sécurité de la chaîne d'approvisionnement et les mesures techniques restantes en fonction des résultats de votre évaluation des écarts.

← PrécédentSanctions et application de NIS 2 : ce que vous devez savoirSuivant →Évaluation des risques NIS 2 : comment évaluer les risques de cybersécurité
Retour aux guides NIS 2