Aller au contenu principal
NIS2Certify
Retour à l'aperçu

Les 10 mesures de cybersécurité NIS2 expliquées : guide pratique de l'article 21

Par NIS2Certify
nis2article-21mesures-cybersecuriteconformitegestion-risques

L'article 21 est le cœur de la directive NIS2. Il définit les dix mesures de gestion des risques de cybersécurité que toute entité essentielle et importante doit mettre en œuvre — non comme des recommandations, mais comme des obligations légales.

Vue d'ensemble

Article 21 — 10 Mesures de Cybersécurité NIS2
Article 21
10 Mesures de Cybersécurité
Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information
6Évaluation de l'efficacité des mesures de sécurité
Incidents & Continuité
2Gestion des incidents & notification
3Continuité des activités & reprise après sinistre
Chaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement
5Sécurité dans le développement des systèmes d'information
Contrôles Techniques
8Cryptographie & chiffrement
10Authentification multifacteur & communications sécurisées
Personnel & Actifs
7Cyber-hygiène & formation
9Sécurité RH & contrôle d'accès

Les 10 mesures en détail

Mesure 1 : Analyse des risques et politiques de sécurité de l'information

Ce que cela signifie : Les organisations doivent établir une méthodologie systématique pour identifier et évaluer les risques liés à la cybersécurité. Cela comprend la documentation des actifs, des menaces et des vulnérabilités, puis la détermination de la probabilité et de l'impact potentiel des incidents. Les résultats alimentent directement une politique formelle de sécurité de l'information qui définit les engagements de la direction et les principes régissant la protection de l'information.

En pratique : Commencez par cartographier vos actifs critiques — systèmes, données et processus. Effectuez une analyse des risques structurée au moins annuellement et à chaque changement significatif. Documentez vos décisions de traitement des risques (accepter, atténuer, transférer, éviter). Publiez une politique de sécurité de l'information approuvée par la direction et révisez-la régulièrement. Assignez des responsables clairs pour chaque risque afin que les actions d'atténuation soient effectivement suivies d'effets.

Mesure 2 : Gestion des incidents

Ce que cela signifie : Les organisations doivent disposer de procédures documentées pour détecter, classer, répondre aux incidents de cybersécurité et les notifier. NIS2 introduit des délais de notification stricts : une alerte précoce au CSIRT national ou à l'autorité compétente dans les 24 heures suivant la prise de connaissance d'un incident significatif, une notification plus complète dans les 72 heures, et un rapport final dans un délai d'un mois.

En pratique : Élaborez un plan de réponse aux incidents qui définit ce qui constitue un incident significatif, qui est responsable de chaque étape et comment les preuves sont préservées. Établissez une chaîne d'escalade disponible 24h/24, 7j/7 afin que l'agent de permanence puisse toujours joindre le décideur. Intégrez les alertes issues des SIEM, EDR et autres outils de surveillance. Organisez des exercices de simulation (tabletop exercises) au moins une fois par an pour tester votre plan dans des conditions réalistes. Tenez un journal de tous les incidents, y compris les quasi-accidents, afin d'intégrer les enseignements tirés dans votre processus de gestion des risques.

Diagram laden...

Mesure 3 : Continuité des activités et gestion de crise

Ce que cela signifie : Les organisations doivent s'assurer qu'elles peuvent continuer à fournir des services essentiels même pendant et après un incident cyber grave. Cela comprend les stratégies de sauvegarde, les plans de reprise après sinistre (PRA) et des dispositifs de gestion de crise plus larges impliquant la direction générale et, le cas échéant, des parties prenantes externes.

En pratique : Définissez des Objectifs de Durée de Rétablissement (ODR/RTO) et des Objectifs de Point de Rétablissement (OPR/RPO) pour tous les systèmes critiques. Mettez en œuvre des sauvegardes automatisées et chiffrées stockées dans un emplacement géographiquement séparé, et testez régulièrement les restaurations. Développez un runbook PRA avec des procédures étape par étape pour les scénarios de défaillance les plus probables. Organisez des exercices de gestion de crise incluant l'équipe dirigeante afin que les responsables connaissent leur rôle avant qu'une urgence réelle ne survienne.

Mesure 4 : Sécurité de la chaîne d'approvisionnement

Ce que cela signifie : La posture de sécurité de vos fournisseurs et prestataires de services affecte directement votre propre niveau de risque. NIS2 exige que les organisations évaluent les pratiques de cybersécurité de leurs fournisseurs directs, veillent à ce que des obligations contractuelles de sécurité soient en place et gèrent les risques introduits par les tiers tout au long du cycle de vie de la relation.

En pratique : Maintenez un registre de tous les tiers ayant accès à vos systèmes ou données. Effectuez une due diligence basée sur les risques avant l'intégration de nouveaux fournisseurs — utilisez des questionnaires, des certifications (p. ex. ISO 27001) ou des droits d'audit. Incluez des exigences de sécurité minimales dans les contrats : obligations de notification des incidents, clauses de droit d'audit et normes de traitement des données. Révisez les fournisseurs critiques annuellement et mettez fin aux relations présentant des risques inacceptables.

Mesure 5 : Sécurité des réseaux et des systèmes d'information

Ce que cela signifie : Des contrôles de sécurité techniques doivent être appliqués tout au long du cycle de vie des réseaux et systèmes d'information — de la conception et du développement à l'exploitation et au déclassement. Cela englobe les configurations sécurisées par défaut, la gestion des vulnérabilités et l'application rapide des correctifs.

En pratique : Appliquez une base de référence de durcissement à tous les serveurs, postes de travail et équipements réseau. Maintenez un inventaire des actifs à jour pour ne rien négliger. Abonnez-vous à des flux de renseignements sur les vulnérabilités et définissez des SLA pour la correction : vulnérabilités critiques sous 72 heures, élevées sous 30 jours. Utilisez la segmentation réseau pour limiter les mouvements latéraux. Appliquez des pratiques de développement sécurisé — revues de code, analyse statique, analyse des dépendances — pour les logiciels développés ou personnalisés en interne.

Mesure 6 : Évaluation de l'efficacité des mesures de cybersécurité

Ce que cela signifie : Les organisations doivent disposer de mécanismes pour évaluer si leurs contrôles de sécurité fonctionnent réellement. Cela inclut des tests réguliers, des audits indépendants et l'utilisation de métriques pour démontrer et améliorer les performances de sécurité dans le temps.

En pratique : Définissez des Indicateurs Clés de Performance (KPI) et des Indicateurs Clés de Risque (KRI) pour votre programme de sécurité. Faites réaliser des tests de pénétration au moins annuellement — et après des changements majeurs — pour valider les contrôles techniques. Réalisez des audits internes en vous appuyant sur vos politiques de sécurité et les exigences de NIS2. Présentez les résultats à la direction avec des calendriers de remédiation clairs. Utilisez les résultats pour mettre à jour votre analyse des risques et prioriser les investissements.

Mesure 7 : Cyber-hygiène de base et formations en cybersécurité

Ce que cela signifie : Le comportement humain reste l'un des vecteurs d'attaque les plus importants. NIS2 exige que les organisations mettent en place des pratiques de cyber-hygiène de base dans l'ensemble du personnel et dispensent des formations adaptées au rôle de chacun. L'hygiène couvre les fondamentaux tels que la gestion des mots de passe, les mises à jour logicielles et la sensibilisation au phishing.

En pratique : Déployez une formation obligatoire de sensibilisation à la sécurité pour tous les collaborateurs lors de l'intégration et au moins une fois par an par la suite. Proposez des modules avancés pour les administrateurs IT, les développeurs et les cadres dirigeants. Menez des campagnes de phishing simulé pour mesurer et améliorer la vigilance du personnel. Publiez des directives claires et accessibles sur l'utilisation acceptable, la politique de bureau propre et la sécurité en télétravail. Suivez les taux d'achèvement et intégrez les résultats dans votre tableau de bord des risques.

Mesure 8 : Politiques de cryptographie et de chiffrement

Ce que cela signifie : Les organisations doivent définir et appliquer des politiques régissant l'utilisation des contrôles cryptographiques pour protéger la confidentialité, l'intégrité et l'authenticité des informations. Cela comprend la spécification des algorithmes approuvés, des longueurs de clés et des procédures de gestion des clés.

En pratique : Publiez une politique de cryptographie qui impose l'utilisation d'algorithmes actuels et reconnus par l'industrie (p. ex. AES-256 pour les données au repos, TLS 1.2/1.3 pour les données en transit). Établissez une procédure de gestion des clés couvrant la génération, le stockage, la rotation et la destruction des clés cryptographiques. Assurez-vous que les données sensibles sont chiffrées de bout en bout — y compris les sauvegardes et les supports amovibles. Révisez vos standards cryptographiques au moins tous les deux ans.

Mesure 9 : Sécurité des ressources humaines, contrôle d'accès et gestion des actifs

Ce que cela signifie : Des risques de sécurité surviennent tout au long du cycle de vie des employés — du recrutement au départ. NIS2 exige des contrôles de sécurité du personnel appropriés (notamment des vérifications des antécédents là où la loi le permet), un cadre de contrôle d'accès robuste basé sur le principe du moindre privilège, et un inventaire complet des actifs.

En pratique : Définissez des exigences de vérification pour les postes ayant un accès élevé à des systèmes ou données sensibles. Mettez en place un processus formel d'entrée-mobilité-sortie : provisionnez les accès le premier jour, ajustez-les lors de changements de rôle et révoquez-les immédiatement lors du départ. Appliquez le Contrôle d'Accès Basé sur les Rôles (RBAC) et révisez les droits d'accès trimestriellement. Maintenez un inventaire actualisé de tous les actifs matériels et logiciels, tagués avec leur propriétaire et leur niveau de classification.

Mesure 10 : Authentification multi-facteurs et communications sécurisées

Ce que cela signifie : Les mots de passe seuls sont insuffisants pour protéger l'accès aux systèmes sensibles. NIS2 exige l'utilisation de l'authentification multi-facteurs (MFA) et de canaux de communication chiffrés, notamment pour l'accès administratif, la connectivité à distance et les communications impliquant des informations critiques.

En pratique : Imposez la MFA sur tous les systèmes accessibles de l'extérieur — VPN, messagerie web, portails cloud et bureau à distance. Étendez la MFA à tous les comptes privilégiés et aux systèmes internes sensibles. Utilisez des méthodes MFA résistantes au phishing (p. ex. FIDO2/jetons matériels) pour les accès les plus critiques. Assurez-vous que toutes les communications administratives utilisent des canaux chiffrés. Maintenez des procédures d'accès d'urgence à la fois sécurisées et fiables pour les cas où les voies d'authentification principales sont défaillantes.

Priorisation

PhaseMesuresPourquoi en premier
Phase 11 (Risques), 9 (Accès), 10 (MFA)Fondation + gains rapides
Phase 22 (Incidents), 3 (Continuité)Résilience
Phase 37 (Formation), 8 (Cryptographie)Personnes + données
Phase 44 (Chaîne), 5 (Développement), 6 (Efficacité)Maturité + vérification

Commencez par un quickscan gratuit

Notre quickscan NIS2 gratuit évalue votre organisation sur les 10 catégories de mesures de l'article 21.

À lire aussi

Faire le quickscan gratuit →

    Les 10 mesures de cybersécurité NIS2 expliquées : guide pratique de l'article 21 — NIS2Certify