Comment réaliser une analyse d'écart NIS2 : guide pratique étape par étape pour votre organisation

Un responsable conformité d'une entreprise logistique néerlandaise ouvre un tableur. En haut de page : les dix mesures de cybersécurité de l'Article 21 de NIS2. Sur le côté : chaque département, système et processus de l'entreprise. La plupart des cellules sont vides. Elle sait désormais exactement où se situent les problèmes — et surtout, où affecter le budget en priorité.

Ce tableur, c'est une analyse d'écart NIS2. C'est la démarche la plus utile qu'une organisation puisse entreprendre dès maintenant, avant que les délais d'application n'arrivent et que les autorités de contrôle commencent à poser des questions.

Si votre organisation relève de NIS2 — ou si vous le soupçonnez — voici comment procéder correctement.

Ce qu'est réellement une analyse d'écart NIS2

Une analyse d'écart compare ce que votre organisation fait aujourd'hui avec ce qu'exige NIS2. Rien de plus, rien de moins.

NIS2 n'est pas une certification. C'est une obligation légale issue de la directive européenne 2022/2555 qui impose aux organisations des secteurs concernés de mettre en œuvre des mesures de cybersécurité spécifiques, de signaler les incidents dans des délais stricts, et d'assurer une supervision de la sécurité au niveau du conseil d'administration.

Une analyse d'écart cartographie votre posture de sécurité actuelle par rapport à ces exigences et produit une liste claire de ce qui manque, de ce qui est partiellement en place, et de ce qui est déjà conforme. Le résultat est un plan d'action priorisé — non pas un verdict de réussite ou d'échec.

Si votre organisation détient déjà la certification ISO 27001, vous avez une longueur d'avance. Mais NIS2 et ISO 27001 ne sont pas équivalents — la directive inclut des obligations spécifiques en matière de délais de notification des incidents, de sécurité de la chaîne d'approvisionnement et de responsabilité du conseil d'administration que l'ISO 27001 ne couvre pas.

Étape 1 : Confirmez que vous êtes dans le champ d'application

Avant d'investir du temps dans une analyse d'écart complète, vérifiez que NIS2 s'applique effectivement à votre organisation. Les règles de périmètre sont claires :

Votre organisation opère dans l'un des secteurs essentiels ou importants définis par la directive
Vous comptez 50 salariés ou plus, ou votre chiffre d'affaires annuel dépasse 10 millions d'euros
Certaines entités — fournisseurs DNS, prestataires de services de confiance, registres TLD — sont toujours dans le champ d'application, quelle que soit leur taille

Ne négligez pas l'angle de la chaîne d'approvisionnement. Même si votre organisation est en dessous des seuils, vos principaux clients peuvent être des entités NIS2. En vertu de l'Article 21(2)(d), ils sont tenus de gérer les risques de sécurité de leur chaîne d'approvisionnement — ce qui signifie qu'ils vont commencer à vous demander des preuves de votre niveau de sécurité.

La NIS2 s'applique-t-elle à votre organisation ?
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼
Non▼
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗
La NIS2 ne s'applique pas directement à votre organisation.
Oui▼
Non▼
✓
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →
✗
La NIS2 ne s'applique pas directement à votre organisation.
✓
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'applique
Possiblement applicable
Ne s'applique pas

Étape 2 : Cartographiez les 10 mesures de l'Article 21

L'Article 21 est la colonne vertébrale de la conformité NIS2. Il prescrit dix mesures minimales de gestion des risques de cybersécurité que toute entité dans le champ d'application doit mettre en œuvre. Votre analyse d'écart doit évaluer chacune d'elles individuellement.

Article 21 — 10 Mesures de Cybersécurité NIS2
🛡️
Article 21
10 Mesures de Cybersécurité
📊Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information
6Évaluation de l'efficacité des mesures de sécurité
🚨Incidents & Continuité
2Gestion des incidents & notification
3Continuité des activités & reprise après sinistre
🔗Chaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement
5Sécurité dans le développement des systèmes d'information
🔐Contrôles Techniques
8Cryptographie & chiffrement
10Authentification multifacteur & communications sécurisées
👥Personnel & Actifs
7Cyber-hygiène & formation
9Sécurité RH & contrôle d'accès

Pour chaque mesure, documentez trois éléments :

État actuel — qu'est-ce qui existe aujourd'hui ? Politiques, outils, processus, preuves
Écart — qu'est-ce qui manque ou est incomplet par rapport à l'exigence NIS2 ?
Priorité — dans quelle mesure cet écart est-il critique en termes de risque et de probabilité de contrôle ?

Voici comment aborder l'évaluation des mesures pour lesquelles les organisations présentent le plus fréquemment des lacunes.

Analyse des risques et politiques de sécurité de l'information

Disposez-vous d'une politique de sécurité de l'information documentée et approuvée par le conseil d'administration ? Non pas un document vieux de cinq ans qui dort dans SharePoint — une politique actuelle qui reflète votre environnement de risques réel et a été formellement approuvée par la direction, comme l'exige l'Article 20.

Ce qu'il faut vérifier : la date de la dernière approbation par le conseil, si la politique couvre l'ensemble des systèmes pertinents pour NIS2, si elle a été communiquée aux collaborateurs.

Gestion des incidents

Votre organisation est-elle en mesure de détecter, de qualifier et de signaler un incident de cybersécurité dans les 24 heures ? Les délais de notification prévus par NIS2 — 24 heures pour l'alerte précoce, 72 heures pour la notification complète, un mois pour le rapport final — exigent des processus que la plupart des organisations de taille intermédiaire ne possèdent pas.

Calendrier de Notification des Incidents NIS2
24h
⚡Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
Étape 1
72h
📋Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
Étape 2
1mo
📊Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.
Étape 3
24h
⚡Alerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
72h
📋Notification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
1mo
📊Rapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.

Ce qu'il faut vérifier : des procédures d'escalade définies, les coordonnées du CSIRT national (en France : le CERT-FR de l'ANSSI, accessible via cyber.gouv.fr), des modèles de notification, des outils de surveillance permettant la détection dans les délais requis.

Sécurité de la chaîne d'approvisionnement

C'est la mesure que la plupart des organisations sous-estiment. L'Article 21(2)(d) vous impose d'évaluer et de gérer les risques de sécurité au sein de votre chaîne d'approvisionnement — y compris vos prestataires informatiques, fournisseurs de services en nuage et éditeurs de logiciels.

Ce qu'il faut vérifier : des contrats comportant des clauses de sécurité, des évaluations du risque fournisseur, des clauses de droit d'audit, des exigences de notification d'incident imposées aux fournisseurs.

Évaluation de l'efficacité

Disposer de mesures de sécurité ne suffit pas. L'Article 21 exige que vous évaluiez si ces mesures fonctionnent réellement. Cela implique des tests, des audits et des revues — de façon régulière, et non une seule fois.

Ce qu'il faut vérifier : des rapports de tests d'intrusion, un calendrier d'audit interne, des indicateurs mesurant l'efficacité des contrôles de sécurité, le suivi des constats antérieurs.

Étape 3 : Évaluez vos écarts

Utilisez un système de notation à trois niveaux pour chacune des dix mesures :

Niveau	Signification	Action requise
Vert	Mesure mise en œuvre, documentée et régulièrement révisée	Maintenir et documenter
Ambre	Partiellement mise en œuvre ou documentation obsolète	Remédier sous 3 à 6 mois
Rouge	Non mise en œuvre ou fondamentalement insuffisante	Prioriser immédiatement

Soyez honnête. L'analyse d'écart est un outil interne — gonfler vos scores en décrédibilise l'utilité. Lorsqu'une autorité de contrôle vous demandera des preuves de votre programme de conformité NIS2, une analyse d'écart authentique assortie d'un calendrier de remédiation clair témoigne d'une maturité bien plus grande qu'un document soigné qui ne reflète pas la réalité.

Étape 4 : Priorisez selon le risque et les axes de contrôle réglementaire

Tous les écarts n'ont pas le même poids. Priorisez en fonction de deux critères :

Exposition au risque — quels écarts, s'ils étaient exploités, causeraient le plus de préjudice à votre organisation ? Une gestion des vulnérabilités défaillante (mesure 5) combinée à une gestion des incidents insuffisante (mesure 2) crée un scénario où une violation n'est ni détectée ni signalée — déclenchant à la fois des dommages opérationnels et des sanctions réglementaires.

Axes de contrôle réglementaire — les autorités nationales de l'UE, dont l'ANSSI pour la France, ont indiqué que les contrôles initiaux porteront en priorité sur :

La conformité en matière d'enregistrement (êtes-vous enregistré ?)
Les capacités de notification des incidents (pouvez-vous respecter les délais de 24/72 heures ?)
La gouvernance au niveau du conseil d'administration (votre direction a-t-elle approuvé les mesures de cybersécurité ?)
La diligence raisonnable en matière de chaîne d'approvisionnement (avez-vous évalué vos fournisseurs ?)

Ces quatre domaines doivent figurer en tête de votre liste de remédiation, quel que soit votre bilan de risques interne.

Étape 5 : Construisez votre feuille de route de remédiation

Transformez votre analyse d'écart en un plan d'action concret avec des responsables, des échéances et des estimations budgétaires.

Gains rapides (1 à 3 mois) :

Formaliser l'approbation par le conseil des politiques de sécurité existantes
Planifier une formation des dirigeants en cybersécurité (exigence de l'Article 20)
S'enregistrer auprès de l'autorité nationale compétente si le portail est ouvert
Établir une chaîne de contacts pour la réponse aux incidents

Actions à moyen terme (3 à 6 mois) :

Mettre en œuvre ou renforcer les capacités de surveillance et de détection
Réaliser des évaluations de sécurité des fournisseurs critiques
Déployer l'authentification multifacteur sur l'ensemble des systèmes critiques
Élaborer et tester des modèles de notification d'incident

Initiatives à long terme (6 à 12 mois) :

Mettre en place un programme continu d'évaluation de l'efficacité
Intégrer les exigences de sécurité de la chaîne d'approvisionnement dans les processus d'achat
Établir un cycle régulier d'audit et de revue
Aligner les plans de continuité d'activité avec les exigences NIS2

Erreurs courantes dans les analyses d'écart NIS2

La traiter comme un exercice ponctuel. La conformité NIS2 est un processus continu. Votre analyse d'écart doit être un document vivant, révisé au moins chaque trimestre — et systématiquement après tout changement significatif dans votre environnement informatique, votre structure organisationnelle ou votre paysage des menaces.

Négliger la chaîne d'approvisionnement. Les organisations ont tendance à se concentrer sur leur périmètre interne. Or l'Article 21(2)(d) vous impose explicitement de regarder vers l'extérieur — vers vos fournisseurs, prestataires de services et dépendances. Une analyse d'écart qui s'arrête à votre propre périmètre est incomplète.

Écarter le conseil d'administration. L'Article 20 rend les organes de direction personnellement responsables. Si votre conseil n'a pas été informé des résultats de l'analyse d'écart et n'a pas formellement approuvé le plan de remédiation, vous avez une lacune de gouvernance que les autorités de contrôle ne manqueront pas de relever.

Complexifier excessivement la démarche. Vous n'avez pas besoin d'une mission de conseil de six mois pour réaliser une analyse d'écart. Une auto-évaluation structurée portant sur les dix mesures de l'Article 21, menée honnêtement et documentée rigoureusement, vous permet d'atteindre 80 % de l'objectif.

Commencez par une évaluation rapide

Réaliser une analyse d'écart NIS2 complète demande du temps et une coordination interne. Mais vous pouvez obtenir une première image claire en quelques minutes.

Effectuez le Quick Scan NIS2 gratuit — il cartographie votre organisation par rapport aux exigences de l'Article 21 et vous indique précisément où se situent vos lacunes les plus importantes. C'est le moyen le plus rapide de comprendre votre niveau de préparation à NIS2 avant de vous engager dans un programme de remédiation complet.

Les organisations qui lancent leur analyse d'écart dès maintenant — tandis que l'application de la directive s'intensifie à travers l'Europe — auront le temps de combler leurs lacunes de manière méthodique, sans la pression et les surcoûts qu'entraîne inévitablement une mise en conformité de dernière minute.