NIS2
12 min de lecture

10 étapes pour la conformité NIS2

Guide pratique pas à pas

La NIS2 peut sembler écrasante. Dix domaines de mesures, déclaration d'incidents, documentation, audits... Par où commencer ? Dans cet article, nous vous proposons un guide pratique pas à pas.

Aperçu des étapes

1

Déterminer si vous êtes concerné par la NIS2

Faible1 jour

Vérifiez deux critères - secteur (énergie, transport, santé, fabrication...) et taille (50+ employés ou 10 M€+ de chiffre d'affaires). Résultat : réponse OUI/NON claire et catégorie.

2

Obtenir le soutien de la direction

Moyen1-2 semaines

La NIS2 exige l'implication de la direction. Préparez une présentation sur la NIS2, les sanctions et les ressources nécessaires. Désignez un sponsor exécutif et un reporting régulier.

3

Faire une évaluation

Faible1-2 jours

Passez en revue les 10 domaines NIS2 et évaluez l'état actuel. Qu'avez-vous ? Qu'est-ce qui manque ? Qu'est-ce qui est prioritaire ? Notre évaluation gratuite vous aidera.

4

Analyser les risques

Moyen2-4 semaines

Identifiez les actifs (systèmes, données, infrastructure), les menaces (ransomware, phishing, DDoS) et évaluez les risques. Définissez des mesures pour les risques élevés.

5

Créer la documentation

Moyen4-8 semaines

Priorité 1 : Politique de cybersécurité et plan de réponse aux incidents. Priorité 2 : Registre des risques, plan de continuité, politique d'accès. Priorité 3 : Documents restants.

6

Mettre en œuvre des mesures techniques

Élevé2-6 mois

Fondamentaux : pare-feu, antivirus/EDR, sauvegardes, chiffrement, MFA. Avancés : segmentation réseau, SIEM, scan de vulnérabilités, PAM.

7

Mettre en place la gestion des incidents

Moyen2-4 semaines

Définissez l'équipe de réponse aux incidents, la matrice d'escalade, des playbooks pour les incidents courants. Préparez les formulaires et contacts pour le signalement aux autorités.

8

Sécuriser la chaîne d'approvisionnement

Moyen1-3 mois

Cartographiez les fournisseurs, évaluez les risques, définissez des exigences de sécurité dans les contrats. Mettez en place une évaluation régulière.

9

Former les employés

FaibleEn continu

Pour tous : bases d'hygiène cyber. Pour l'IT : formation technique. Pour la direction : responsabilité au titre de la NIS2. Enregistrez la participation.

10

Tester et améliorer

MoyenEn continu

Mensuel : revue des indicateurs. Trimestriel : scan de vulnérabilités, revue des accès. Annuel : test d'intrusion, révision des risques, audit.

Calendrier

Mois 1
Définition du périmètre, soutien de la direction, évaluation
Mois 2-3
Analyse des risques, documentation de base
Mois 4-6
Mesures techniques (phase 1), gestion des incidents
Mois 5-6
Chaîne d'approvisionnement, formation initiale
Mois 7+
Tests, amélioration, phases suivantes

Calendrier réaliste pour une entreprise de taille moyenne : 6 à 12 mois pour une conformité de base.

Liste de vérification

  • Je sais si je suis concerné par la NIS2 et dans quelle catégorie
  • J'ai le soutien de la direction et un budget
  • J'ai une analyse des écarts avec des priorités
  • J'ai un registre des risques
  • J'ai au moins 2 documents clés
  • J'ai des mesures techniques de base
  • Je sais à qui et comment signaler les incidents
  • J'ai une vue d'ensemble des fournisseurs critiques
  • Les employés ont suivi une formation de base
  • J'ai un plan de tests réguliers

Commencez par les étapes 1 et 3

Vérifiez le périmètre et faites une évaluation. Notre évaluation NIS2 gratuite vous dira où vous en êtes et ce qui manque.

Cet article est fourni à titre informatif. Pour une mise en œuvre spécifique, consultez un expert.