Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires
L'article 21 de NIS2 impose 10 mesures de sécurité. Checklist détaillée avec actions concrètes pour chaque exigence.
- Vue d’ensemble des 10 mesures de l’article 21
- Mesure 1 : Analyse des risques et politique de sécurité
- Mesure 2 : Gestion des incidents
- Mesure 3 : Continuité des activités et gestion des crises
- Mesure 4 : Sécurité de la chaîne d’approvisionnement
- Mesure 5 : Sécurité de l’acquisition, du développement et de la maintenance
- Mesure 6 : Évaluation de l’efficacité des mesures
- Mesure 7 : Cyber-hygiène et formation
- Mesure 8 : Cryptographie et chiffrement
- Mesure 9 : Sécurité RH, contrôle d’accès et gestion des actifs
- Mesure 10 : Authentification multi-facteurs et communications sécurisées
- Gouvernance et responsabilité de la direction
- Les sanctions NIS2
- Calendrier de mise en conformité
- Conclusion
La directive NIS2 impose aux entités essentielles et importantes un socle de dix mesures de sécurité énumérées à l’article 21, paragraphe 2. Ces mesures ne sont pas optionnelles : elles constituent le minimum obligatoire que chaque entité soumise doit mettre en oeuvre. Les organes de direction sont tenus de les approuver et peuvent voir leur responsabilité personnelle engagée en cas de manquement. Cet article détaillé chacune de ces dix mesures et fournit une checklist d’actions concrètes pour chacune d’elles.
Vue d’ensemble des 10 mesures de l’article 21
L’article 21, paragraphe 2, de la directive NIS2 dispose que les mesures de gestion des risques en matière de cybersécurité comprennent au minimum :
- Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
- La gestion des incidents
- La continuité des activités et la gestion des crises
- La sécurité de la chaîne d’approvisionnement
- La sécurité dans l’acquisition, le développement et la maintenance des réseaux et systèmes d’information, y compris le traitement et la divulgation des vulnérabilités
- Les politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques
- Les pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité
- Les politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement
- La sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs
- L’utilisation de solutions d’authentification multi-facteurs ou d’authentification continue, de communications sécurisées et de systèmes de communication d’urgence sécurisés
Ces mesures doivent être proportionnées au risque, à la taille de l’entité, à la probabilité de survenance d’incidents et à leur gravité potentielle, y compris leurs conséquences sociétales et économiques. Elles doivent tenir compte de l’état des connaissances, des normes européennes et internationales applicables, ainsi que du coût de mise en oeuvre.
Mesure 1 : Analyse des risques et politique de sécurité
Exigence NIS2
Les entités doivent adopter des politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information. C’est le fondement de toute démarche de sécurité : identifier les risques avant de définir les mesures pour les traiter.
Checklist d’actions
| Action | Description |
|---|---|
| Réaliser une analyse de risques formalisée | Utiliser une méthodologie reconnue (EBIOS RM, ISO 27005, MEHARI) pour identifier les menaces, les vulnérabilités et les impacts potentiels |
| Définir les critères d’acceptation du risque | Fixer le seuil au-delà duquel un risque doit être traité, validé par la direction |
| Élaborer un plan de traitement des risques | Pour chaque risque identifie au-dessus du seuil : réduction, transfert, évitement ou acceptation motivée |
| Rédiger une PSSI | Formaliser la politique de sécurité couvrant l’ensemble des mesures NIS2, approuvée par la direction |
| Reviser périodiquement l’analyse de risques | Au minimum annuellement, et après tout changement significatif du système d’information ou de l’environnement de menaces |
L’analyse de risques constitue également un prérequis à la conformité au RGPD. L’article 32 du RGPD exigé en effet que les mesures de sécurité soient adaptées au risque, ce qui présuppose une évaluation préalable de celui-ci.
Mesure 2 : Gestion des incidents
Exigence NIS2
Les entités doivent disposer d’une capacité de détection, de gestion et de notification des incidents de cybersécurité. L’article 23 de NIS2 impose par ailleurs des obligations spécifiques de notification aux autorités compétentes.
Checklist d’actions
| Action | Description |
|---|---|
| Mettre en place une procédure de gestion des incidents | Définir les étapes : détection, qualification, containment, éradication, récupération, retour d’expérience |
| Déployer des capacités de détection | SIEM, EDR, SOC interne ou externalisé, surveillance des journaux |
| Définir les niveaux de criticité | Grille de classification des incidents (mineur, majeur, critique) avec les circuits d’escalade correspondants |
| Constituer une équipe de réponse | CSIRT interne ou contrat avec un CSIRT externe, avec des rôles et responsabilités définis |
| Préparer les templates de notification | Modèles de notification à l’autorité compétente (alerte précoce en 24h, notification en 72h, rapport final en 1 mois) |
| Tester la procédure | Exercice de simulation d’incident au moins une fois par an |
| Tenir un registre des incidents | Documentation systématique de tous les incidents et des mesures prises |
Mesure 3 : Continuité des activités et gestion des crises
Exigence NIS2
Les entités doivent assurer la continuité de leurs activités en cas d’incident majeur, y compris la gestion des sauvegardes, la reprise après sinistre et la gestion des crises.
Checklist d’actions
| Action | Description |
|---|---|
| Réaliser un BIA (Business Impact Analysis) | Identifier les processus critiques, les délais maximaux d’interruption tolérable (RTO) et les pertes de données acceptables (RPO) |
| Rédiger un PCA (Plan de Continuité d’Activité) | Documenter les procédures de fonctionnement en mode dégradé pour chaque processus critique |
| Rédiger un PRA (Plan de Reprise d’Activité) | Définir les procédures techniques de restauration des systèmes et des données |
| Mettre en place une politique de sauvegarde | Sauvegardes régulières, chiffrées, testées, avec au moins une copie hors site ou hors ligne (règle 3-2-1) |
| Tester les sauvegardes | Restauration effective testée régulièrement, pas uniquement vérification de l’intégrité |
| Définir une cellule de crise | Composition, activation, outils de communication sécurisés, procédures de décision |
| Organiser des exercices de crise | Simulations de scénarios (rançongiciel, panne majeure, attaque DDoS) au moins une fois par an |
Mesure 4 : Sécurité de la chaîne d’approvisionnement
Exigence NIS2
Les entités doivent gérer les risques lies à leurs relations directes avec les fournisseurs et prestataires de services, en tenant compte des vulnérabilités propres à chaque fournisseur et de la qualité globale des produits et pratiques de cybersécurité de leurs fournisseurs.
Checklist d’actions
| Action | Description |
|---|---|
| Cartographier les fournisseurs critiques | Identifier les fournisseurs et prestataires dont une défaillance impacterait la sécurité du SI |
| Évaluer les risques fournisseurs | Auditer ou questionner chaque fournisseur critique sur ses pratiques de sécurité (questionnaire, certifications, rapports d’audit) |
| Intégrer des clauses de sécurité dans les contrats | Exigences de sécurité, droit d’audit, notification d’incidents, sous-traitance ultérieure, clauses de réversibilité |
| Suivre les fournisseurs dans la durée | Revue périodique des risques fournisseurs, surveillance des incidents publics affectant les fournisseurs |
| Gérer les accès des prestataires | Comptes dédiés, accès limités au strict nécessaire, révocation des accès en fin de mission |
| Évaluer les dépendances logicielles | Inventaire des composants tiers (SBOM), suivi des vulnérabilités connues |
Mesure 5 : Sécurité de l’acquisition, du développement et de la maintenance
Exigence NIS2
Cette mesure couvre la sécurité dans tout le cycle de vie des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités.
Checklist d’actions
| Action | Description |
|---|---|
| Intégrer la sécurité dans les spécifications | Exigences de sécurité des l’expression de besoin, analyse de risques en phase de conception |
| Appliquer les principes de sécurité by design | Moindre privilège, défense en profondeur, minimisation de la surface d’attaque, sécurisation par défaut |
| Réaliser des tests de sécurité | Tests d’intrusion, revue de code, analyse statique (SAST) et dynamique (DAST) avant mise en production |
| Gérer les vulnérabilités | Veille sur les vulnérabilités (CVE, bulletins CERT), évaluation de l’impact, application des correctifs dans des délais définis |
| Mettre en place un processus de gestion des mises à jour | Politique de patching avec des délais maximaux selon la criticité (critique : 48-72h, haute : 1 semaine, etc.) |
| Sécuriser les environnements de développement | Séparation des environnements, protection du code source, gestion des secrets |
| Définir une politique de divulgation des vulnérabilités | Processus permettant aux chercheurs en sécurité de signaler des vulnérabilités de manière responsable |
Mesure 6 : Évaluation de l’efficacité des mesures
Exigence NIS2
Les entités doivent disposer de politiques et procédures pour évaluer l’efficacité de leurs mesures de gestion des risques. Il ne suffit pas de déployer des mesures : il faut vérifier qu’elles fonctionnent.
Checklist d’actions
| Action | Description |
|---|---|
| Définir des indicateurs de sécurité (KPI) | Taux de correction des vulnérabilités, délai moyen de détection des incidents, taux de disponibilité, etc. |
| Planifier des audits réguliers | Audits internes et externes couvrant les dimensions technique et organisationnelle |
| Réaliser des tests d’intrusion périodiques | Au moins annuellement sur les systèmes critiques, par un prestataire indépendant (idéalement qualifié PASSI) |
| Conduire des scans de vulnérabilités | Scans automatisés mensuels ou trimestriels sur l’ensemble du périmètre |
| Produire des tableaux de bord de sécurité | Reporting régulier à la direction sur l’état de la sécurité et l’avancement des plans de remédiation |
| Organiser des revues de direction | Présentation périodique des indicateurs de sécurité aux organes de direction, comme exigé par NIS2 |
Cette mesure rejoint l’exigence de l’ISO 27001 en matière de surveillance et de mesure de la performance du SMSI (clause 9).
Mesure 7 : Cyber-hygiène et formation
Exigence NIS2
Les entités doivent mettre en oeuvre des pratiques de base en matière de cyber-hygiène et assurer la formation de leur personnel à la cybersécurité.
Checklist d’actions
| Action | Description |
|---|---|
| Déployer un programme de sensibilisation | Sessions régulières pour tous les collaborateurs couvrant : phishing, mots de passe, ingénierie sociale, signalement d’incidents |
| Organiser des campagnes de phishing simulées | Tests réguliers pour évaluer la resistance des collaborateurs et cibler les formations |
| Former les équipes techniques | Formations spécialisées pour les administrateurs systèmes, développeurs, équipes de réponse |
| Former les dirigeants | NIS2 exige explicitement que les membres des organes de direction suivent des formations en cybersécurité |
| Définir une politique de mots de passe | Longueur minimale, complexité, interdiction de réutilisation, gestionnaire de mots de passe |
| Appliquer les mises à jour de sécurité | Processus systématique de déploiement des correctifs sur l’ensemble du parc |
| Mettre en place des règles d’usage | Charte informatique couvrant l’utilisation des équipements, des messageries, d’internet, du BYOD |
Mesure 8 : Cryptographie et chiffrement
Exigence NIS2
Les entités doivent définir des politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement.
Checklist d’actions
| Action | Description |
|---|---|
| Rédiger une politique cryptographique | Algorithmes autorisés, longueurs de clés minimales, cas d’usage du chiffrement |
| Chiffrer les données sensibles au repos | Chiffrement des bases de données, des systèmes de fichiers, des sauvegardes contenant des données sensibles |
| Chiffrer les communications | TLS 1.2 minimum (1.3 recommandé) pour toutes les communications, VPN pour les accès distants |
| Chiffrer les équipements mobiles | Chiffrement intégral des disques des ordinateurs portables et des terminaux mobiles |
| Gérer les clés et certificats | Processus de génération, stockage, rotation et révocation des clés cryptographiques |
| Surveiller l’obsolescence cryptographique | Veille sur les algorithmes déconseillés, plan de migration vers des algorithmes plus robustes |
La politique cryptographique participe également de la conformité à l’article 32 du RGPD, qui mentionne explicitement le chiffrement comme mesure de sécurité appropriée.
Mesure 9 : Sécurité RH, contrôle d’accès et gestion des actifs
Exigence NIS2
Cette mesure recouvre trois domaines interconnectés : la dimension humaine de la sécurité, la maîtrisé des accès logiques et la gestion des actifs informationnels.
Checklist d’actions
| Action | Description |
|---|---|
| Intégrer la sécurité dans le cycle de vie RH | Vérification des antécédents pour les postes sensibles, sensibilisation à l’embauche, révocation des accès au départ |
| Appliquer le principe du moindre privilège | Chaque utilisateur ne dispose que des accès strictement nécessaires à ses fonctions |
| Mettre en oeuvre une séparation des fonctions | Aucun utilisateur ne peut réaliser seul une opération critique de bout en bout |
| Gérer les comptes a privileges | Comptes administrateurs inventoriés, accès contrôle par un bastion (PAM), journalisation de toutes les actions |
| Reviser régulièrement les droits d’accès | Campagnes de revue des habilitations au minimum semestrielles |
| Tenir un inventaire des actifs | Registre à jour de tous les actifs matériels et logiciels du système d’information |
| Classifier les actifs | Attribution d’un niveau de sensibilité à chaque actif, déterminant les mesures de protection applicables |
| Gérer le cycle de vie des actifs | Procédures de mise en service, de maintenance et de mise au rebut sécurisée (effacement des données) |
Mesure 10 : Authentification multi-facteurs et communications sécurisées
Exigence NIS2
Les entités doivent utiliser des solutions d’authentification multi-facteurs (MFA) ou d’authentification continue, des communications vocales, vidéo et texte sécurisées, et des systèmes de communication d’urgence sécurisés au sein de l’entité.
Checklist d’actions
| Action | Description |
|---|---|
| Déployer le MFA | Authentification multi-facteurs obligatoire pour tous les accès privilégiés, les accès distants et les applications critiques |
| Étendre le MFA progressivement | Plan de déploiement pour couvrir l’ensemble des utilisateurs et des applications |
| Choisir des facteurs robustes | Privilégier les clés de sécurité FIDO2 ou les applications d’authentification ; éviter le SMS comme second facteur quand possible |
| Sécuriser les communications internes | Messagerie chiffrée, visioconférence sécurisée, partagé de fichiers sécurisé |
| Mettre en place un canal de communication d’urgence | Systeme de communication alternatif utilisable en cas de compromission du SI principal (messagerie hors bande) |
| Gérer les sessions | Durée limitée, déconnexion automatique, détection des sessions concurrentes suspectes |
Gouvernance et responsabilité de la direction
Un point transversal fondamental de NIS2 : l’article 20 impose que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques et supervisent leur mise en oeuvre. Les dirigeants doivent suivre des formations spécifiques et peuvent être tenus personnellement responsables en cas d’infraction.
Cette exigence change fondamentalement la gouvernance de la cybersécurité : il ne s’agit plus d’un sujet technique délégué au RSSI, mais d’un sujet de direction générale, au même titre que la gestion financière ou la conformité juridique.
Les sanctions NIS2
Le non-respect des mesures de l’article 21 expose à des sanctions significatives :
- Pour les entités essentielles : amendes administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total
- Pour les entités importantes : amendes pouvant atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total
Les sanctions RGPD peuvent s’ajouter à ces montants lorsque l’incident de sécurité implique également une violation de données personnelles.
Calendrier de mise en conformité
La transposition de NIS2 en droit national devait intervenir avant le 17 octobre 2024. Les entités soumises doivent se mettre en conformité avec l’ensemble des exigences dans les délais prévus par la législation nationale de transposition.
Un audit RGPD conduit en parallèle permet de couvrir les exigences communes entre NIS2 et le RGPD, notamment en matière de sécurité des traitements. En pratique, la mise en conformité avec les dix mesures de l’article 21 est un projet qui se deploie sur 12 à 24 mois pour une organisation de taille moyenne. La priorisation est essentielle :
- Première priorité (0-6 mois) : analyse de risques, politique de sécurité, gestion des incidents, MFA sur les accès critiques
- Deuxième priorité (6-12 mois) : continuité d’activité, gestion des vulnérabilités, sécurité de la chaîne d’approvisionnement, formation
- Troisième priorité (12-24 mois) : évaluation de l’efficacité, maturité des processus, amélioration continue
Conclusion
Les dix mesures de l’article 21 de NIS2 ne constituent pas une révolution pour les organisations déjà engagées dans une démarche de sécurité structurée (ISO 27001, guide d’hygiène ANSSI). En revanche, pour les nombreuses entités qui n’avaient jusqu’ici aucune obligation formelle en matière de cybersécurité, le chemin a parcourir est considérable. L’approche la plus efficace consiste à partir de l’analyse de risques (mesure 1) pour dimensionner les autres mesures de manière proportionnée, puis a utiliser les mécanismes d’évaluation (mesure 6) pour mesurer les progrès et ajuster le dispositif. La conformité NIS2 n’est pas un état statique a atteindre, mais un processus continu d’amélioration de la sécurité.