NIS 2

Comment préparer votre organisation à la conformité NIS 2

L'application de NIS 2 arrive en 2026. Voici la feuille de route pratique, directe et sans détour pour mettre votre organisation en conformité, sans vous noyer dans la paperasse ni perdre des mois en théorie.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lecture
How to Prepare Your Organization for NIS2 Compliance

La plupart des organisations sont déjà en retard sur NIS2. Non pas parce que NIS2 est complexe, mais parce qu'elles sous-estiment l'ampleur du changement.

NIS2 n'est pas une mise à niveau de la cybersécurité. C'est une refonte de la gouvernance qui touche votre Conseil d'administration, vos fournisseurs, votre gestion des incidents, vos plans de continuité, vos journaux, votre programme de gestion des risques et vos preuves.

La question n'est pas « Sommes-nous conformes ? » C'est « Pouvons-nous démontrer notre maturité le jour où le régulateur se présente ? »

Voici la feuille de route.

Se préparer à NIS2, ce n'est pas acheter un outil ou rédiger quelques politiques. Cela exige de montrer aux régulateurs que votre cybersécurité est :

  • documentée
  • mise en œuvre
  • mesurée
  • testée
  • étayée par des preuves
  • gouvernée
  • portée par la direction

C'est précisément ce que la plupart des entreprises négligent ; et ce que les régulateurs examineront en premier.

Voici les étapes concrètes.

1. Commencer par une analyse d'écart NIS2 (simple, pas académique)

La première action n'est pas de déployer des contrôles ; c'est de savoir où vous en êtes.

Concentrez-vous sur 5 domaines :

  • gouvernance et politiques
  • gestion des risques
  • gestion des incidents
  • continuité d'activité et reprise après sinistre
  • risque fournisseurs et cloud

Ce document n'a pas besoin de faire 100 pages. Une évaluation de niveau direction, claire, de 10 à 15 pages avec des références à des preuves, suffit pour démarrer.

Conseil : Utilisez un modèle de maturité de type ISO 27001 (1 à 5). Les régulateurs attendent un scoring structuré, pas des opinions.

Attention : Si vous faites l'impasse sur l'analyse d'écart, vous perdrez 10 fois plus de temps par la suite.

2. Construire un véritable modèle de gouvernance et de responsabilité (obligatoire sous NIS2)

NIS2 impose au Conseil d'administration d'assumer une responsabilité personnelle. Cela signifie que vous devez formaliser la gouvernance.

Ce qu'il vous faut :

  • une stratégie de cybersécurité approuvée par la direction
  • des rôles et responsabilités définis
  • des journaux de décisions documentés
  • une structure de reporting au niveau du Conseil
  • un cycle régulier de revue CISO-Conseil
  • une formation des dirigeants (obligatoire)

Cela peut être mis en place en deux réunions, si c'est bien préparé.

Conseil : Présentez NIS2 comme une obligation réglementaire, et non comme une « initiative sécurité ». Les dirigeants ne la prennent au sérieux que lorsque la responsabilité est explicite.

3. Mettre en place un cadre de gestion des risques rigoureux

Votre gestion des risques ne peut pas se résumer à une liste de notes « élevé/moyen/faible ». Les régulateurs attendent une approche de type ISO 27005/31000.

Il vous faut :

  • une méthodologie de risque définie
  • une identification basée sur les menaces
  • des critères d'impact
  • des plans de traitement
  • une documentation d'acceptation des risques
  • des réévaluations périodiques
  • un lien avec les contrôles
  • un lien avec les fournisseurs

Sans cela, rien ne tiendra face à un audit.

Conseil : Commencez modestement : 15 à 25 risques principaux suffisent pour atteindre la maturité NIS2.

4. Mettre à niveau votre plan de réponse aux incidents (IRP) selon les délais NIS2

NIS2 impose un reporting à plusieurs niveaux :

  • 24 heures → alerte précoce
  • 72 heures → notification complète de l'incident
  • 1 mois → rapport final

Votre IRP doit intégrer explicitement ces étapes.

  • classification de la sévérité des incidents
  • déclencheurs réglementaires
  • flux de communication (interne et régulateur)
  • modèles de rapports 24h/72h
  • chemins d'escalade vers les fournisseurs SaaS/cloud
  • cadre de contact avec le CSIRT
  • étapes de revue juridique
  • plan de préservation des preuves

Testez-le. Un exercice de type tabletop est indispensable pour démontrer la préparation.

5. Formaliser la continuité d'activité et la reprise après sinistre (BC/DR)

NIS2 exige une résilience opérationnelle, pas des plans théoriques.

Livrables attendus :

  • analyse d'impact sur l'activité (BIA)
  • plans de continuité
  • plans de reprise après sinistre
  • stratégie de basculement et de sauvegarde
  • rapports de tests
  • plan de communication de crise

La plupart des entreprises disposent de plans BC/DR sur le papier uniquement. NIS2 exige des preuves de test ; c'est là toute la différence.

6. Corriger la gestion des risques fournisseurs et cloud (le manque le plus fréquent)

NIS2 vous oblige légalement à piloter vos fournisseurs critiques.

Vous devez :

  • identifier les fournisseurs critiques
  • les évaluer par le risque
  • mettre en place des clauses contractuelles de sécurité
  • exiger la transparence sur les sous-traitants
  • évaluer les dépendances cloud
  • valider leurs capacités de gestion des incidents
  • définir des stratégies de sortie

Un simple système de classification des fournisseurs par niveau de risque règle 80 % du problème.

Conseil : Évitez la sur-ingénierie. Commencez par trois niveaux : Critique / Important / Basique.

7. Renforcer la journalisation, la supervision et la détection (niveau minimum requis)

Les régulateurs attendent :

  • des journaux d'événements
  • des politiques de rétention
  • une supervision centralisée
  • une détection des anomalies
  • un MDR/SOC pour les structures de taille intermédiaire
  • la preuve que la détection fonctionne

Si vous n'avez aucune stratégie de journalisation, vous n'êtes pas prêt pour NIS2. Si vous avez des journaux mais aucune supervision, le résultat est identique.

Un petit prestataire MDR peut résoudre ce point immédiatement pour les PME.

8. Constituer une bibliothèque de preuves structurée (votre bouée de sauvetage en audit)

La conformité NIS2 se joue entièrement sur les preuves. Des politiques seules équivalent à une non-conformité.

Votre bibliothèque de preuves doit comprendre :

  • politiques et procédures versionnées
  • évaluations des risques
  • journaux d'incidents
  • évaluations fournisseurs
  • registres de formations
  • pistes d'audit
  • procès-verbaux du Conseil
  • journaux de décisions
  • sorties de supervision

Outils qui fonctionnent bien :

  • Eramba (meilleur rapport qualité-prix)
  • CISO Assistant (léger et adapté NIS2)
  • OneTrust / ServiceNow (entreprises)
  • Drata/Vanta (automatisation pour le mid-market)

Sans preuves, vous n'avez rien.

9. Préparer votre Conseil d'administration (et en garder la trace)

C'est obligatoire ET auditable.

Les dirigeants doivent :

  • recevoir une formation en cybersécurité
  • approuver la stratégie
  • examiner les risques
  • accepter formellement les risques
  • allouer un budget
  • valider les décisions majeures

Documentez tout. Si vous ne pouvez pas prouver la supervision par les dirigeants, c'est une non-conformité.

10. Réaliser un audit interne ou une évaluation de préparation

En 2026, effectuez un audit à blanc couvrant :

  • la gouvernance
  • les risques
  • l'IRP
  • le BC/DR
  • la supervision des fournisseurs
  • les contrôles
  • les preuves

Cela permet d'identifier les manques et de vous préparer aux inspections des régulateurs.

Conclusion

NIS2 ne se résume pas à acheter de la technologie. Il s'agit de prouver que votre cybersécurité est :

  • gouvernée
  • documentée
  • testée
  • étayée par des preuves
  • responsabilisée
  • résiliente

Si vous pouvez le démontrer, vous êtes prêt pour NIS2. Dans le cas contraire, aucun outil ni consultant ne pourra vous sauver le jour de l'audit.

NIS2 exige de la maturité, pas de la perfection. Commencez tôt, avancez étape par étape et documentez tout.

Si vous souhaitez une méthode complète et pas à pas pour atteindre la conformité NIS2, gouvernance, risques, fournisseurs, IRP, BC/DR et preuves, c'est exactement ce que nous enseignons dans le Cyber Academy NIS2 Lead Implementer. Rejoignez la prochaine session et soyez prêt bien avant 2026.

← Retour à tous les articlesPlus sur NIS 2

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.

S'abonner à la newsletterBack to articles