La directive NIS2 impose aux entites essentielles et importantes un socle de dix mesures de securite enumerees a l’article 21, paragraphe 2. Ces mesures ne sont pas optionnelles : elles constituent le minimum obligatoire que chaque entite soumise doit mettre en oeuvre. Les organes de direction sont tenus de les approuver et peuvent voir leur responsabilite personnelle engagee en cas de manquement. Cet article detaille chacune de ces dix mesures et fournit une checklist d’actions concretes pour chacune d’elles.

Vue d’ensemble des 10 mesures de l’article 21

L’article 21, paragraphe 2, de la directive NIS2 dispose que les mesures de gestion des risques en matiere de cybersecurite comprennent au minimum :

1. Les politiques relatives a l’analyse des risques et a la securite des systemes d’information
2. La gestion des incidents
3. La continuite des activites et la gestion des crises
4. La securite de la chaine d’approvisionnement
5. La securite dans l’acquisition, le developpement et la maintenance des reseaux et systemes d’information, y compris le traitement et la divulgation des vulnerabilites
6. Les politiques et procedures pour evaluer l’efficacite des mesures de gestion des risques
7. Les pratiques de base en matiere de cyber-hygiene et la formation a la cybersecurite
8. Les politiques et procedures relatives a l’utilisation de la cryptographie et, le cas echeant, du chiffrement
9. La securite des ressources humaines, les politiques de controle d’acces et la gestion des actifs
10. L’utilisation de solutions d’authentification multi-facteurs ou d’authentification continue, de communications securisees et de systemes de communication d’urgence securises

Ces mesures doivent etre proportionnees au risque, a la taille de l’entite, a la probabilite de survenance d’incidents et a leur gravite potentielle, y compris leurs consequences societales et economiques. Elles doivent tenir compte de l’etat des connaissances, des normes europeennes et internationales applicables, ainsi que du cout de mise en oeuvre.

Mesure 1 : Analyse des risques et politique de securite

Exigence NIS2

Les entites doivent adopter des politiques relatives a l’analyse des risques et a la securite des systemes d’information. C’est le fondement de toute demarche de securite : identifier les risques avant de definir les mesures pour les traiter.

Checklist d’actions

Action	Description
Realiser une analyse de risques formalisee	Utiliser une methodologie reconnue (EBIOS RM, ISO 27005, MEHARI) pour identifier les menaces, les vulnerabilites et les impacts potentiels
Definir les criteres d’acceptation du risque	Fixer le seuil au-dela duquel un risque doit etre traite, valide par la direction
Elaborer un plan de traitement des risques	Pour chaque risque identifie au-dessus du seuil : reduction, transfert, evitement ou acceptation motivee
Rediger une PSSI	Formaliser la politique de securite couvrant l’ensemble des mesures NIS2, approuvee par la direction
Reviser periodiquement l’analyse de risques	Au minimum annuellement, et apres tout changement significatif du systeme d’information ou de l’environnement de menaces

L’analyse de risques constitue egalement un prerequis a la conformite au RGPD. L’article 32 du RGPD exige en effet que les mesures de securite soient adaptees au risque, ce qui presuppose une evaluation prealable de celui-ci.

Mesure 2 : Gestion des incidents

Exigence NIS2

Les entites doivent disposer d’une capacite de detection, de gestion et de notification des incidents de cybersecurite. L’article 23 de NIS2 impose par ailleurs des obligations specifiques de notification aux autorites competentes.

Checklist d’actions

Action	Description
Mettre en place une procedure de gestion des incidents	Definir les etapes : detection, qualification, containment, eradication, recuperation, retour d’experience
Deployer des capacites de detection	SIEM, EDR, SOC interne ou externalise, surveillance des journaux
Definir les niveaux de criticite	Grille de classification des incidents (mineur, majeur, critique) avec les circuits d’escalade correspondants
Constituer une equipe de reponse	CSIRT interne ou contrat avec un CSIRT externe, avec des roles et responsabilites definis
Preparer les templates de notification	Modeles de notification a l’autorite competente (alerte precoce en 24h, notification en 72h, rapport final en 1 mois)
Tester la procedure	Exercice de simulation d’incident au moins une fois par an
Tenir un registre des incidents	Documentation systematique de tous les incidents et des mesures prises

Mesure 3 : Continuite des activites et gestion des crises

Exigence NIS2

Les entites doivent assurer la continuite de leurs activites en cas d’incident majeur, y compris la gestion des sauvegardes, la reprise apres sinistre et la gestion des crises.

Checklist d’actions

Action	Description
Realiser un BIA (Business Impact Analysis)	Identifier les processus critiques, les delais maximaux d’interruption tolerable (RTO) et les pertes de donnees acceptables (RPO)
Rediger un PCA (Plan de Continuite d’Activite)	Documenter les procedures de fonctionnement en mode degrade pour chaque processus critique
Rediger un PRA (Plan de Reprise d’Activite)	Definir les procedures techniques de restauration des systemes et des donnees
Mettre en place une politique de sauvegarde	Sauvegardes regulieres, chiffrees, testees, avec au moins une copie hors site ou hors ligne (regle 3-2-1)
Tester les sauvegardes	Restauration effective testee regulierement, pas uniquement verification de l’integrite
Definir une cellule de crise	Composition, activation, outils de communication securises, procedures de decision
Organiser des exercices de crise	Simulations de scenarios (rancongiciel, panne majeure, attaque DDoS) au moins une fois par an

Mesure 4 : Securite de la chaine d’approvisionnement

Exigence NIS2

Les entites doivent gerer les risques lies a leurs relations directes avec les fournisseurs et prestataires de services, en tenant compte des vulnerabilites propres a chaque fournisseur et de la qualite globale des produits et pratiques de cybersecurite de leurs fournisseurs.

Checklist d’actions

Action	Description
Cartographier les fournisseurs critiques	Identifier les fournisseurs et prestataires dont une defaillance impacterait la securite du SI
Evaluer les risques fournisseurs	Auditer ou questionner chaque fournisseur critique sur ses pratiques de securite (questionnaire, certifications, rapports d’audit)
Integrer des clauses de securite dans les contrats	Exigences de securite, droit d’audit, notification d’incidents, sous-traitance ulterieure, clauses de reversibilite
Suivre les fournisseurs dans la duree	Revue periodique des risques fournisseurs, surveillance des incidents publics affectant les fournisseurs
Gerer les acces des prestataires	Comptes dedies, acces limites au strict necessaire, revocation des acces en fin de mission
Evaluer les dependances logicielles	Inventaire des composants tiers (SBOM), suivi des vulnerabilites connues

Mesure 5 : Securite de l’acquisition, du developpement et de la maintenance

Exigence NIS2

Cette mesure couvre la securite dans tout le cycle de vie des systemes d’information, y compris le traitement et la divulgation des vulnerabilites.

Checklist d’actions

Action	Description
Integrer la securite dans les specifications	Exigences de securite des l’expression de besoin, analyse de risques en phase de conception
Appliquer les principes de securite by design	Moindre privilege, defense en profondeur, minimisation de la surface d’attaque, securisation par defaut
Realiser des tests de securite	Tests d’intrusion, revue de code, analyse statique (SAST) et dynamique (DAST) avant mise en production
Gerer les vulnerabilites	Veille sur les vulnterabilites (CVE, bulletins CERT), evaluation de l’impact, application des correctifs dans des delais definis
Mettre en place un processus de gestion des mises a jour	Politique de patching avec des delais maximaux selon la criticite (critique : 48-72h, haute : 1 semaine, etc.)
Securiser les environnements de developpement	Separation des environnements, protection du code source, gestion des secrets
Definir une politique de divulgation des vulnerabilites	Processus permettant aux chercheurs en securite de signaler des vulnerabilites de maniere responsable

Mesure 6 : Evaluation de l’efficacite des mesures

Exigence NIS2

Les entites doivent disposer de politiques et procedures pour evaluer l’efficacite de leurs mesures de gestion des risques. Il ne suffit pas de deployer des mesures : il faut verifier qu’elles fonctionnent.

Checklist d’actions

Action	Description
Definir des indicateurs de securite (KPI)	Taux de correction des vulnerabilites, delai moyen de detection des incidents, taux de disponibilite, etc.
Planifier des audits reguliers	Audits internes et externes couvrant les dimensions technique et organisationnelle
Realiser des tests d’intrusion periodiques	Au moins annuellement sur les systemes critiques, par un prestataire independant (idealement qualifie PASSI)
Conduire des scans de vulnerabilites	Scans automatises mensuels ou trimestriels sur l’ensemble du perimetre
Produire des tableaux de bord de securite	Reporting regulier a la direction sur l’etat de la securite et l’avancement des plans de remediation
Organiser des revues de direction	Presentation periodique des indicateurs de securite aux organes de direction, comme exige par NIS2

Cette mesure rejoint l’exigence de l’ISO 27001 en matiere de surveillance et de mesure de la performance du SMSI (clause 9).

Mesure 7 : Cyber-hygiene et formation

Exigence NIS2

Les entites doivent mettre en oeuvre des pratiques de base en matiere de cyber-hygiene et assurer la formation de leur personnel a la cybersecurite.

Checklist d’actions

Action	Description
Deployer un programme de sensibilisation	Sessions regulieres pour tous les collaborateurs couvrant : phishing, mots de passe, ingenierie sociale, signalement d’incidents
Organiser des campagnes de phishing simulees	Tests reguliers pour evaluer la resistance des collaborateurs et cibler les formations
Former les equipes techniques	Formations specialisees pour les administrateurs systemes, developpeurs, equipes de reponse
Former les dirigeants	NIS2 exige explicitement que les membres des organes de direction suivent des formations en cybersecurite
Definir une politique de mots de passe	Longueur minimale, complexite, interdiction de reutilisation, gestionnaire de mots de passe
Appliquer les mises a jour de securite	Processus systematique de deploiement des correctifs sur l’ensemble du parc
Mettre en place des regles d’usage	Charte informatique couvrant l’utilisation des equipements, des messageries, d’internet, du BYOD

Mesure 8 : Cryptographie et chiffrement

Exigence NIS2

Les entites doivent definir des politiques et procedures relatives a l’utilisation de la cryptographie et, le cas echeant, du chiffrement.

Checklist d’actions

Action	Description
Rediger une politique cryptographique	Algorithmes autorises, longueurs de cles minimales, cas d’usage du chiffrement
Chiffrer les donnees sensibles au repos	Chiffrement des bases de donnees, des systemes de fichiers, des sauvegardes contenant des donnees sensibles
Chiffrer les communications	TLS 1.2 minimum (1.3 recommande) pour toutes les communications, VPN pour les acces distants
Chiffrer les equipements mobiles	Chiffrement integral des disques des ordinateurs portables et des terminaux mobiles
Gerer les cles et certificats	Processus de generation, stockage, rotation et revocation des cles cryptographiques
Surveiller l’obsolescence cryptographique	Veille sur les algorithmes deconseilles, plan de migration vers des algorithmes plus robustes

La politique cryptographique participe egalement de la conformite a l’article 32 du RGPD, qui mentionne explicitement le chiffrement comme mesure de securite appropriee.

Mesure 9 : Securite RH, controle d’acces et gestion des actifs

Exigence NIS2

Cette mesure recouvre trois domaines interconnectes : la dimension humaine de la securite, la maitrise des acces logiques et la gestion des actifs informationnels.

Checklist d’actions

Action	Description
Integrer la securite dans le cycle de vie RH	Verification des antecedents pour les postes sensibles, sensibilisation a l’embauche, revocation des acces au depart
Appliquer le principe du moindre privilege	Chaque utilisateur ne dispose que des acces strictement necessaires a ses fonctions
Mettre en oeuvre une separation des fonctions	Aucun utilisateur ne peut realiser seul une operation critique de bout en bout
Gerer les comptes a privileges	Comptes administrateurs inventories, acces controle par un bastion (PAM), journalisation de toutes les actions
Reviser regulierement les droits d’acces	Campagnes de revue des habilitations au minimum semestrielles
Tenir un inventaire des actifs	Registre a jour de tous les actifs materiels et logiciels du systeme d’information
Classifier les actifs	Attribution d’un niveau de sensibilite a chaque actif, determinant les mesures de protection applicables
Gerer le cycle de vie des actifs	Procedures de mise en service, de maintenance et de mise au rebut securisee (effacement des donnees)

Mesure 10 : Authentification multi-facteurs et communications securisees

Exigence NIS2

Les entites doivent utiliser des solutions d’authentification multi-facteurs (MFA) ou d’authentification continue, des communications vocales, video et texte securisees, et des systemes de communication d’urgence securises au sein de l’entite.

Checklist d’actions

Action	Description
Deployer le MFA	Authentification multi-facteurs obligatoire pour tous les acces privilegies, les acces distants et les applications critiques
Etendre le MFA progressivement	Plan de deploiement pour couvrir l’ensemble des utilisateurs et des applications
Choisir des facteurs robustes	Privilegier les cles de securite FIDO2 ou les applications d’authentification ; eviter le SMS comme second facteur quand possible
Securiser les communications internes	Messagerie chiffree, visioconference securisee, partage de fichiers securise
Mettre en place un canal de communication d’urgence	Systeme de communication alternatif utilisable en cas de compromission du SI principal (messagerie hors bande)
Gerer les sessions	Duree limitee, deconnexion automatique, detection des sessions concurrentes suspectes

Gouvernance et responsabilite de la direction

Un point transversal fondamental de NIS2 : l’article 20 impose que les organes de direction des entites essentielles et importantes approuvent les mesures de gestion des risques et supervisent leur mise en oeuvre. Les dirigeants doivent suivre des formations specifiques et peuvent etre tenus personnellement responsables en cas d’infraction.

Cette exigence change fondamentalement la gouvernance de la cybersecurite : il ne s’agit plus d’un sujet technique delegue au RSSI, mais d’un sujet de direction generale, au meme titre que la gestion financiere ou la conformite juridique.

Les sanctions NIS2

Le non-respect des mesures de l’article 21 expose a des sanctions significatives :

• Pour les entites essentielles : amendes administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total
• Pour les entites importantes : amendes pouvant atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total

Les sanctions RGPD peuvent s’ajouter a ces montants lorsque l’incident de securite implique egalement une violation de donnees personnelles.

Calendrier de mise en conformite

La transposition de NIS2 en droit national devait intervenir avant le 17 octobre 2024. Les entites soumises doivent se mettre en conformite avec l’ensemble des exigences dans les delais prevus par la legislation nationale de transposition.

Un audit RGPD conduit en parallele permet de couvrir les exigences communes entre NIS2 et le RGPD, notamment en matiere de securite des traitements. En pratique, la mise en conformite avec les dix mesures de l’article 21 est un projet qui se deploie sur 12 a 24 mois pour une organisation de taille moyenne. La priorisation est essentielle :

1. Premiere priorite (0-6 mois) : analyse de risques, politique de securite, gestion des incidents, MFA sur les acces critiques
2. Deuxieme priorite (6-12 mois) : continuite d’activite, gestion des vulnerabilites, securite de la chaine d’approvisionnement, formation
3. Troisieme priorite (12-24 mois) : evaluation de l’efficacite, maturite des processus, amelioration continue

Conclusion

Les dix mesures de l’article 21 de NIS2 ne constituent pas une revolution pour les organisations deja engagees dans une demarche de securite structuree (ISO 27001, guide d’hygiene ANSSI). En revanche, pour les nombreuses entites qui n’avaient jusqu’ici aucune obligation formelle en matiere de cybersecurite, le chemin a parcourir est considerable. L’approche la plus efficace consiste a partir de l’analyse de risques (mesure 1) pour dimensionner les autres mesures de maniere proportionnee, puis a utiliser les mecanismes d’evaluation (mesure 6) pour mesurer les progres et ajuster le dispositif. La conformite NIS2 n’est pas un etat statique a atteindre, mais un processus continu d’amelioration de la securite.