En vigueur depuis le 17 oct. 2024·Jour 579·

Référence · Article 21Dernière révision le 19 mai 2026

Les 21 mesures, expliquées simplement.

L’article 21 de la directive (UE) 2022/2555 énumère dix catégories de mesures de gestion du risque cyber. Nous les avons déclinées en 21 points de contrôle concrets, regroupés selon ce que votre équipe doit réellement livrer.

§ 01

Gouvernance

NIS2 fait de la cybersécurité une obligation au niveau du conseil. L’article 20 impose aux organes de direction d’approuver les mesures de gestion des risques cyber, d’en superviser la mise en œuvre et de suivre des formations leur permettant d’identifier et de gérer le risque. Le même article instaure une responsabilité personnelle des dirigeants — rupture nette avec NIS1. En pratique, quatre artefacts sont requis : une politique de sécurité approuvée au niveau du conseil, des rôles et redevabilités écrits, des formations tracées et une revue indépendante remontant au conseil. Sans cette ossature, le reste de l’article 21 ne tient pas. Le règlement d’exécution 2024/2690 traite la gouvernance comme préalable à toute autre catégorie de contrôle.

  1. M.01

    Politiques de sécurité de l’information — approuvées au niveau du conseil

    Une politique écrite approuvée au conseil fixe l’appétit de risque, le périmètre et la cadence de revue — sans elle, tout autre contrôle devient ad hoc. L’annexe A.5.1 d’ISO 27001 est la référence opérationnelle.

  2. M.02

    Rôles, responsabilités et redevabilité formellement documentés

    Chaque contrôle a un propriétaire nommé ; la séparation des tâches est documentée pour les opérations à fort risque. Les superviseurs demanderont « qui a validé » lors de l’examen post-incident.

  3. M.03

    Formation des dirigeants au risque cyber

    L’article 20, paragraphe 2 rend la formation des dirigeants obligatoire et traçable. Les modules de sensibilisation génériques ne suffisent pas — la formation doit permettre aux dirigeants de comprendre les risques propres à leur entité.

  4. M.04

    Revue indépendante annuelle du programme de sécurité

    Un audit externe ou interne indépendant examinant la maturité du programme chaque année. Les conclusions sont remontées au conseil avec plan de remédiation et calendrier.

§ 02

Gestion des risques

L’article 21, point 2 a) exige des politiques d’analyse de risque et de sécurité des systèmes d’information. Le point 2 c) ajoute continuité d’activité, gestion des sauvegardes et gestion de crise. C’est le pont entre intention de gouvernance et exécution technique : méthodologie de risque écrite, registre vivant tenu à jour des menaces et des évolutions d’actifs, inventaire conscient de ce qui tourne réellement, plans de continuité dont les procédures de restauration ont été testées — pas seulement rédigées. Les superviseurs NIS2 attendent des preuves d’exercice, pas seulement des documents. Tests de restauration, exercices de table et comptes rendus signés constituent la piste d’audit qui transforme un registre papier en programme défendable.

  1. M.05

    Méthodologie d’analyse de risque et registre des risques tenu à jour

    Une méthode documentée (qualitative ou quantitative) et un registre revu au minimum chaque trimestre. Les registres figés sont un signal d’alarme typique côté superviseur.

  2. M.06

    Inventaire des actifs : systèmes d’information et données

    On ne protège pas ce que l’on ignore opérer. L’inventaire couvre matériel, logiciels, services cloud, flux de données et dépendances — rafraîchi automatiquement quand possible.

  3. M.07

    Plans de continuité d’activité et de gestion de crise

    Les plans couvrent perte de site, perte de fournisseur et perte d’accès. Ils définissent RTO/RPO par service, protocoles de communication et chaîne de commandement en crise.

  4. M.08

    Sauvegardes : procédures de restauration testées

    Une sauvegarde jamais restaurée reste théorique. NIS2 attend des preuves de tests de restauration réguliers, idéalement avec configurations résistantes aux rançongiciels (immuables, hors ligne ou air-gapped).

§ 03

Mesures techniques

L’article 21, point 2 liste le socle technique : cryptographie (h), authentification multifacteur (j), traitement des incidents (b), sécurité dans l’acquisition, le développement et la maintenance des SI (e), sécurité des ressources humaines et contrôle d’accès (i). Le règlement d’exécution 2024/2690 traduit ces points en contrôles concrets — MFA sur les accès distants et privilégiés, segmentation entre zones de confiance, gestion des vulnérabilités avec cadence de patching, EDR sur les terminaux, cycle de développement sécurisé pour le code interne et fournisseur. Rien de nouveau au fond : l’ensemble s’aligne sur l’annexe A d’ISO 27001 et le NIST CSF. NIS2 transforme la « bonne pratique » en plancher légal et donne aux superviseurs un droit d’inspection.

  1. M.09

    Authentification multifacteur sur tous les accès critiques

    L’article 21, point 2 j) exige explicitement la MFA. L’accès critique couvre comptes administrateurs, accès distant, applications exposées et données sensibles — les facteurs résistants au phishing sont de plus en plus attendus.

  2. M.10

    Politique de cryptographie et de chiffrement

    Une politique précisant algorithmes, cycle de vie des clés et où le chiffrement est requis (données au repos, en transit, dans les sauvegardes). L’ENISA pointe la préparation post-quantique comme critère prospectif.

  3. M.11

    Segmentation réseau et principes zero-trust

    Les réseaux plats laissent un compromis initial devenir une panne sectorielle. La segmentation isole les systèmes critiques ; le zero-trust remplace la confiance implicite par une vérification continue de l’identité et de la posture des terminaux.

  4. M.12

    Gestion des vulnérabilités et cadence de patching

    Un SLA documenté de patching par criticité (critique / élevé / moyen), un processus de patches d’urgence hors cycle, et le suivi des exceptions sur systèmes non patchables avec contrôles compensatoires.

  5. M.13

    Détection et réponse sur les terminaux (EDR)

    EDR ou XDR sur postes et serveurs — au-delà de l’antivirus historique. La télémétrie doit être conservée suffisamment longtemps pour l’investigation forensique (typiquement 6–12 mois) et alimenter le SOC ou MSSP.

  6. M.14

    Cycle de développement logiciel sécurisé

    Modélisation de menace en conception, scan de dépendances en CI, détection de secrets, revue de code et tests applicatifs runtime. Vaut autant pour les équipes internes que pour les développeurs externalisés.

§ 04

Chaîne d’approvisionnement

L’article 21, point 2 d) érige la sécurité tiers en obligation directe : l’organisation doit traiter les risques issus de ses fournisseurs et prestataires. Les évaluations coordonnées du Groupe de coopération (cadre dérivé de la 5G toolbox) annoncent la direction — évaluations sectorielles des prestataires critiques, avec mitigations pouvant inclure des restrictions de fournisseur. Trois couches en pratique : évaluations sécurité pré-contractuelles, clauses contractuelles qui survivent en opérations (notification, audit, contrôle des sous-traitants), surveillance continue de l’exposition tiers (brèches, sanctions, risque géopolitique). Les incidents Kaseya, SolarWinds et MOVEit sont la référence implicite : un fournisseur critique peut faire tomber un secteur, et le superviseur attendra votre cartographie.

  1. M.15

    Évaluations de sécurité des fournisseurs

    Tiérez vos fournisseurs (lesquels peuvent vous mettre à terre ?) et exigez des évaluations de sécurité proportionnées au tier — questionnaires, certifications (ISO 27001, SOC 2) ou audits sur site pour les plus critiques.

  2. M.16

    Clauses de sécurité contractuelles pour les fournisseurs critiques

    Droit d’audit, délais de notification d’incident (alignés sur vos propres obligations NIS2), localisation des données si requise, divulgation des sous-traitants, assistance de sortie/transition. Les clauses doivent survivre aux renouvellements et aux fusions-acquisitions.

  3. M.17

    Surveillance continue de l’exposition tiers

    Surveillance de la surface d’attaque externe, criblage des sanctions, veille brèches, et réévaluation lors d’un changement d’actionnariat fournisseur. Un questionnaire annuel figé ne satisfait pas l’exigence « continue » de NIS2.

§ 05

Gestion des incidents

L’article 23 fixe une cadence en trois temps : alerte précoce à 24 h, notification d’incident à 72 h avec évaluation initiale de gravité, rapport final dans un délai d’un mois. Le déclencheur est l’incident « significatif » — celui qui a causé ou peut causer une perturbation opérationnelle grave, des pertes financières ou un impact sur des tiers. Derrière ces délais, des artefacts opérationnels : playbooks de détection et classification, chaîne d’escalade joignant le CSIRT ou l’autorité compétente, matrice de gravité utilisable par l’astreinte à 3 h du matin, processus de retour d’expérience. Plusieurs régulateurs publient déjà des montants types pour délais ratés — bien tenir le 24/72/30 est la ligne la moins chère du programme.

  1. M.18

    Playbooks de détection, classification et escalade

    Runbooks documentés pour les scénarios probables (rançongiciel, exfiltration de données, DDoS, compromission de chaîne d’approvisionnement, menace interne). Chaque runbook liste étapes de triage, critères de classification et chaîne d’escalade.

  2. M.19

    Alerte précoce 24 h au CSIRT

    Dans les 24 heures suivant la prise de connaissance d’un incident significatif, alerte précoce au CSIRT ou à l’autorité compétente — même avec une information partielle. Le compteur part de la prise de connaissance, pas de la compréhension complète.

  3. M.20

    Notification d’incident à 72 h avec évaluation de gravité

    Notification formelle dans les 72 heures incluant la gravité initiale, les indicateurs de compromission et l’éventuel impact transfrontalier. Les mises à jour suivent l’évolution de l’évaluation.

  4. M.21

    Rapport final dans un délai d’un mois

    Rapport détaillé sous un mois couvrant cause racine, impact réel, mitigations appliquées et leçons retenues. Ce rapport sert de base à toute relance du superviseur.

Conseil d’administration en pleine discussion — l’instant où un board commande son auditAction · Lancer l’auto-évaluation

§ Passer à l’action

Prêt à mettre des chiffres sur tout ça ?

Faites l’évaluation en 21 points. Score en deux minutes. Repartez avec un plan d’action priorisé, prêt à partager avec votre conseil.

Lancer l’auto-évaluation