Field notes

Top 10 des écarts que les auditeurs rechercheront sous NIS 2

Et pourquoi « nous avons une politique pour ça » ne suffira pas cette fois avec NIS 2

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min de lecture
Top 10 Gaps Auditors Will Look for Under NIS2

NIS2 – Formations(Et pourquoi « nous avons une politique pour ça » ne suffira pas cette fois.)

NIS2 n'est pas une nouvelle case à cocher en matière de cybersécurité.C'est un transfert de responsabilité, de l'IT vers la gouvernance.Pour la première fois, les dirigeants peuvent être tenus personnellement responsables des défaillances en matière de résilience cyber.

Lorsque la première vague d'audits NIS2 arrivera, attendez-vous à ce que les auditeurs aillent bien au-delà du classique « avez-vous une politique ? ».Ils chercheront des preuves d'exécution, de la traçabilité, et une implication de la direction.

Voici les dix lacunes concrètes qui feront ou défaire votre audit NIS2.Pas de la théorie, ce que nous observons déjà lors des évaluations d'organisations à travers l'Europe.

1. Absence de preuves de gouvernance au plus haut niveau

NIS2 fait entrer la cybersécurité dans la salle du conseil.Si vos dirigeants ne peuvent pas démontrer leur supervision, vous avez échoué au premier test.

Ce que les auditeurs vérifieront :

  • La cybersécurité est-elle un point récurrent à l'ordre du jour du conseil ?
  • Les rôles et responsabilités sont-ils formellement attribués au niveau de la direction ?
  • Existe-t-il une responsabilité documentée pour l'acceptation des risques ?

Correction :Conservez les comptes rendus, les validations et les présentations.La preuve est reine. « Le conseil a été informé » ne signifie rien si ce n'est pas consigné par écrit.

2. Le syndrome « Politique ≠ Pratique »

La plupart des organisations disposent de politiques qui semblent parfaites, sur le papier.Les auditeurs les passeront directement pour vérifier si les contrôles sont réellement appliqués.

Ce qu'ils demanderont :

  • « Montrez-moi comment cette politique est mise en œuvre. »
  • « Qui l'a révisée en dernier ? »
  • « Quand a-t-elle été communiquée au personnel ? »

Correction :Gestion des versions, journaux de diffusion et relevés de formation.Si personne ne sait que la politique existe, autant la supprimer.

3. Absence de gestion des risques de bout en bout

Dans le cadre de NIS2, la gestion des risques n'est pas un accompagnement, c'est le plat principal.Dire « Nous avons réalisé une analyse des risques » ne suffit pas.

Les auditeurs rechercheront :

  • Une méthodologie formelle (de préférence alignée sur ISO 31000 / 27005).
  • Des propriétaires de risques documentés.
  • Des plans de traitement assortis de preuves de suivi.

Correction :Réalisez des revues des risques trimestrielles, voire mensuelles, pas uniquement annuelles.Mettez à jour le dispositif lorsque le contexte évolue, pas seulement avant l'audit.

4. Intégration insuffisante de la réponse aux incidents

L'obligation de notification sous 24 heures imposée par NIS2 change tout.Les auditeurs vérifieront si votre processus de gestion des incidents peut effectivement tenir ce délai.

Ce qu'ils vérifieront :

  • Des chemins d'escalade clairs et des rôles nommément désignés.
  • Des playbooks testés lors de simulations.
  • Des journaux d'incidents alignés sur les obligations de notification.

Correction :Ne vous contentez pas d'avoir un plan. Effectuez des exercices.Les auditeurs savent en deux minutes si vous l'avez jamais testé.

5. Angles morts côté fournisseurs et tiers

Dans le cadre de NIS2, vos fournisseurs sont votre problème.Les auditeurs savent que c'est là que la plupart des organisations échouent.

Ce qu'ils vérifieront :

  • Existe-t-il un processus de gestion des risques fournisseurs ?
  • Les contrats incluent-ils des clauses de cybersécurité et des SLA ?
  • La performance des fournisseurs est-elle surveillée régulièrement ?

Correction :Constituez un registre des risques tiers allégé.Commencez par les fournisseurs critiques ; même un modèle de scoring simple vaut mieux que l'ignorance.

6. Absence de visibilité en temps réel sur la conformité

Beaucoup d'entreprises traitent encore la conformité comme un « reporting annuel ».Dans le cadre de NIS2, les auditeurs attendront une connaissance continue de la posture de conformité.

Ce qu'ils rechercheront :

  • Des KPI ou tableaux de bord illustrant la performance des contrôles.
  • Des audits internes ou auto-évaluations récents.
  • Un processus de capitalisation des retours d'expérience.

Correction :Mettez en place un tableau de bord de conformité simple, avec des mises à jour mensuelles en rouge/orange/vert.L'objectif n'est pas la perfection ; c'est la visibilité.

7. Intégration incomplète de la continuité d'activité

La résilience cyber sous NIS2 ne se limite pas à la reprise informatique, c'est de la continuité d'activité.Si votre analyse d'impact sur l'activité (BIA) vit dans un autre département, c'est un signal d'alarme.

Les auditeurs demanderont :

  • « Quand avez-vous réalisé votre dernier test de continuité ? »
  • « Quels services critiques votre PCA couvre-t-il ? »
  • « Qui a validé les délais de reprise ? »

Correction :Reliez vos playbooks d'incidents cyber à vos scénarios de PCA.Les auditeurs s'attendront à voir cet alignement, pas deux univers séparés.

8. Des formations qui n'existent que dans des présentations PowerPoint

NIS2 exige explicitement la sensibilisation et la formation.Les auditeurs en testeront la profondeur, pas l'existence.

Ils demanderont :

  • « Comment adaptez-vous les formations par rôle ? »
  • « Quel est votre taux de complétion ? »
  • « Quand avez-vous réalisé votre dernière simulation de phishing ou votre dernier exercice de type table-top ? »

Correction :Mesurez l'impact, pas la présence.Démontrez une amélioration comportementale, pas seulement des slides et des feuilles d'émargement.

9. Chaos documentaire

Les auditeurs ne cherchent pas seulement des politiques, ils cherchent de la cohérence.Ils s'attendront à un système documentaire structuré : politiques, procédures, lignes directrices, enregistrements, chacun avec une propriété claire et une traçabilité.

Correction :Mettez en place un cadre documentaire simple :

  • Politique (quoi et pourquoi)
  • Procédure (comment)
  • Enregistrement (preuve)

Si retrouver un document nécessite plus de deux clics, vous n'êtes pas prêt.

10. Des contrôles sans métriques

Disposer de contrôles n'est pas la même chose que savoir s'ils fonctionnent.Selon le niveau de maturité attendu, les auditeurs sous NIS2 voudront voir des preuves d'efficacité, pas seulement des preuves d'existence.

Ils demanderont :

  • « Comment mesurez-vous la performance de vos contrôles de sécurité ? »
  • « Quand ce contrôle a-t-il été testé pour la dernière fois ? »

Correction :Reliez les contrôles à des KPI ou des KRI.Exemple : « Correctifs appliqués sous 14 jours, taux de conformité 96 %. »Les chiffres parlent. Les discours, non.

Bonus : la « conformité copier-coller »

Les auditeurs le détectent instantanément.Si votre documentation semble générée par ChatGPT ou un modèle ISO générique, ils vont creuser, sans ménagement.

Correction :Faites de votre référentiel le vôtre.Adaptez les rôles, l'appétit pour le risque et les métriques à vos opérations réelles.La conformité est facile à simuler, jusqu'à ce que quelqu'un demande pourquoi vous avez fait les choses d'une certaine manière.

Pour conclure

NIS2 n'exige pas la perfection, il exige des preuves.Si vous ne pouvez pas démontrer que votre gouvernance de la cybersécurité est réelle, reproductible et traçable, vous n'êtes pas conforme, quelle que soit la qualité de vos politiques.

Lorsque l'auditeur arrive, il est trop tard pour commencer à s'aligner.Les organisations les plus avisées s'y emploient maintenant, en faisant de NIS2 un levier pour une résilience structurée au niveau du conseil.

Comment se préparer

C'est précisément ce que nous abordons dans le programme NIS2 Lead Implementer de Cyber Academy :

  • Conception de la structure de gouvernance.
  • Référentiels de gestion des risques et des incidents alignés sur les articles 21 à 23 de NIS2.
  • Modèles documentaires résistants à l'audit.

👉 Demandez votre devis. Rejoignez la prochaine cohorte.

Parce que NIS2 ne se résume pas à réussir un audit.C'est prouver que votre organisation fonctionne réellement comme vous le dites.

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.