Pouvez-vous répondre à ces 10 questions NIS2 ? La plupart des organisations ne le peuvent pas
Vous avez lu les articles. Vous connaissez la date limite. Peut-être avez-vous même commencé un inventaire interne.
Mais pouvez-vous réellement répondre à ces 10 questions ?
Elles proviennent de notre évaluation de conformité NIS2 en 50 questions, et chacune cible un angle mort spécifique que les organisations sous-estiment systématiquement. Ce ne sont pas des questions pièges — ce sont les questions que les régulateurs poseront lorsque l'application commencera.
Soyez honnête avec vous-même. Si vous hésitez sur plus de trois, vous avez des lacunes qui nécessitent votre attention.
Comment ça fonctionne
Chaque question ci-dessous correspond à l'une des 10 catégories de mesures de gestion des risques de l'article 21 de la directive NIS2. Ensemble, ces catégories définissent ce que signifie une « cybersécurité appropriée et proportionnée » dans la pratique.
Nous avons sélectionné la question la plus difficile de chaque catégorie — celle qui distingue les organisations qui se sont véritablement préparées de celles qui n'ont lu que le résumé.
Les 10 questions
1. Analyse des risques et sécurité des systèmes d'information
Pouvez-vous présenter une évaluation des risques documentée, approuvée par la direction, couvrant tous les actifs, menaces et vulnérabilités pertinents pour NIS2 — mise à jour au cours des 12 derniers mois ?
La plupart des organisations ont une forme de registre des risques. Peu en ont un qui soit complet, à jour et approuvé par leur organe de direction comme l'exige l'article 20 de NIS2. Une évaluation des risques de 2022 qui couvre l'IT mais ignore l'OT, les dépendances de la chaîne d'approvisionnement ou les services cloud ne satisfera pas un régulateur.
2. Gestion des incidents
Disposez-vous d'un processus testé pour détecter, classifier et signaler un incident significatif à votre autorité nationale dans les 24 heures ?
NIS2 exige une alerte précoce dans les 24 heures, une notification complète dans les 72 heures et un rapport final dans un mois. Le mot clé est « testé ». Une procédure documentée qui n'a jamais été répétée est un échec documenté en attente.
3. Continuité des activités et gestion de crise
Quand avez-vous testé pour la dernière fois votre plan de restauration des sauvegardes et de reprise après sinistre de bout en bout — et pouvez-vous le prouver ?
Avoir des sauvegardes n'est pas la même chose qu'avoir la continuité des activités. NIS2 exige que vous puissiez réellement restaurer les opérations après un incident. Si votre dernier test de restauration était « nous avons vérifié que la tâche de sauvegarde s'était exécutée avec succès », ce n'est pas un test — c'est de l'espoir.
4. Sécurité de la chaîne d'approvisionnement
Pouvez-vous démontrer que vous évaluez et surveillez les pratiques de cybersécurité de vos fournisseurs critiques — avec des critères documentés et des évaluations régulières ?
La sécurité de la chaîne d'approvisionnement est le domaine où la plupart des organisations ont le plus grand écart. L'article 21(3) de NIS2 exige explicitement que vous traitiez les risques de sécurité découlant de vos relations avec les fournisseurs directs et les prestataires de services.
5. Sécurité dans l'acquisition, le développement et la maintenance
Vos processus d'approvisionnement et de développement incluent-ils des exigences de cybersécurité de la conception au déploiement — y compris la gestion et la divulgation des vulnérabilités ?
Il ne s'agit pas seulement de correctifs. NIS2 attend que la sécurité soit intégrée dans la façon dont vous acquérez, construisez et maintenez les systèmes. Si votre processus d'approvisionnement évalue le coût, les fonctionnalités et les délais mais pas la sécurité, vous avez une lacune structurelle.
6. Évaluation de l'efficacité des mesures
Comment mesurez-vous si vos mesures de cybersécurité fonctionnent réellement — et quand l'avez-vous fait pour la dernière fois ?
C'est la question qui arrête la plupart des organisations. Avoir des mesures en place est la première étape. Prouver qu'elles sont efficaces est la deuxième — et c'est l'étape que NIS2 exige explicitement. Si votre réponse est « nous n'avons pas été piratés », ce n'est pas une mesure.
7. Cyberhygiène et formation
Pouvez-vous prouver que tout le personnel — y compris la direction — a reçu une formation de sensibilisation à la cybersécurité adaptée à son rôle au cours des 12 derniers mois ?
L'article 20(2) exige spécifiquement que les organes de direction suivent une formation. Pas optionnel. Et « tout le personnel » signifie tout le monde, y compris les sous-traitants et les travailleurs temporaires. Une seule simulation de phishing annuelle n'est pas une formation.
8. Cryptographie et chiffrement
Avez-vous une politique documentée sur quand et comment le chiffrement est appliqué aux données au repos et en transit — avec des normes définies et des procédures de gestion des clés ?
De nombreuses organisations chiffrent les données en transit (HTTPS, VPN) mais n'ont aucune politique pour les données au repos. NIS2 exige des politiques et procédures documentées, pas des pratiques ad hoc.
9. Contrôle d'accès et gestion des actifs
Existe-t-il un processus documenté pour accorder, réviser et révoquer les droits d'accès — y compris lorsque quelqu'un change de rôle ou quitte l'organisation ?
Les comptes orphelins sont l'un des vecteurs d'attaque les plus courants. NIS2 attend que vous gériez les droits d'accès comme un processus continu. S'il faut plus de 24 heures pour révoquer complètement l'accès d'un employé partant, votre processus a des lacunes.
10. Authentification multi-facteurs
Le MFA est-il appliqué pour tous les accès privilégiés, les connexions à distance et l'administration critique — avec des exceptions documentées ?
NIS2 exige l'utilisation « le cas échéant » de l'authentification multi-facteurs. Toute organisation qui n'applique pas le MFA pour l'accès administrateur aura du mal à argumenter que ses mesures sont « appropriées ».
Ce que votre score vous dit
Comptez les questions auxquelles vous pouvez répondre par un « oui » confiant et documenté :
| Votre score | Ce que cela signifie |
|---|---|
| 8–10 oui confiant | Base solide. Vous êtes en avance sur la plupart des organisations. Concentrez-vous sur la documentation et l'amélioration continue. |
| 5–7 oui confiant | Lacunes significatives. Vous comprenez les bases mais manquez de la profondeur que NIS2 exige. Priorisez les domaines où vous avez hésité. |
| Moins de 5 | Action urgente requise. Votre organisation a des lacunes matérielles qui pourraient vous exposer à des mesures d'application au-delà des amendes. |
N'oubliez pas : les régulateurs ne demanderont pas si vous avez essayé. Ils demanderont si vous pouvez démontrer que vos mesures sont appropriées et proportionnées. La documentation n'est pas de la bureaucratie — c'est votre preuve.
Ce ne sont que 10 sur 50
Ces questions sont un échantillon de notre évaluation de conformité NIS2 complète en 50 questions, qui couvre en profondeur les 10 catégories de mesures de l'article 21.
Le quickscan gratuit vous donne un aperçu structuré de votre situation. L'évaluation complète produit un rapport PDF détaillé — le genre que vous pouvez présenter à votre conseil d'administration.
Que vous soyez un consultant IT évaluant des clients, un responsable conformité rapportant au conseil, ou un RSSI construisant un business case — l'évaluation vous donne le point de départ structuré que NIS2 exige.