← Retour au blog
RECHERCHE
22/02/2026
10 min de lecture
Checklist de conformité NIS2 : 10 étapes pour se préparer avant l'échéance
Une checklist pratique en 10 étapes pour préparer votre organisation à la conformité NIS2 — du périmètre et de l'évaluation des risques à la notification d'incidents et à l'amélioration continue.
Checklist de conformité NIS2 : 10 étapes pour se préparer avant l'échéance
La directive NIS2 redéfinit les obligations de cybersécurité à travers l'Europe, et le temps presse. Avec les États membres transposant la directive en droit national et l'application qui approche, les organisations ont besoin d'une feuille de route claire et actionnable pour atteindre la conformité.
Cette checklist décompose la préparation à NIS2 en 10 étapes concrètes — chacune avec des actions spécifiques que vous pouvez entreprendre dès aujourd'hui. Que vous partiez de zéro ou que vous construisiez sur un programme de sécurité existant, ce guide vous aidera à identifier les lacunes et à prioriser vos efforts.
Étape 1 : Déterminer si vous êtes concerné
Pourquoi c'est important : NIS2 a considérablement élargi le nombre d'organisations soumises aux obligations de cybersécurité. Si vous supposez ne pas être concerné, vous pourriez vous tromper.
Actions :
- Vérifiez votre secteur : NIS2 couvre 18 secteurs répartis en deux annexes. L'annexe I (entités essentielles) inclut l'énergie, les transports, la banque, la santé, l'infrastructure numérique et les services TIC. L'annexe II (entités importantes) inclut les services postaux, la gestion des déchets, la chimie, l'alimentaire, l'industrie manufacturière et les fournisseurs numériques
- Vérifiez votre taille : la directive s'applique aux organisations de taille moyenne (50+ employés OU 10 M€+ de chiffre d'affaires) et aux grandes organisations (250+ employés OU 50 M€+ de chiffre d'affaires) dans les secteurs couverts
- Vérifiez les exceptions : certains types d'entités sont couverts quelle que soit leur taille — fournisseurs DNS, registres de TLD, réseaux de communications publiques et prestataires de services de confiance
- Évaluez l'exposition via la chaîne d'approvisionnement : même si vous n'êtes pas directement concerné, vos clients dans les secteurs couverts peuvent exiger une sécurité alignée sur NIS2 de la part de leurs fournisseurs
Comment KENSAI aide : la plateforme KENSAI est conçue pour les organisations dans le périmètre NIS2, fournissant la gestion continue des vulnérabilités et les rapports exigés par la directive. Commencer par un scan gratuit vous donne une visibilité immédiate sur votre posture de sécurité actuelle.
Étape 2 : Classifier votre type d'entité
Pourquoi c'est important : les entités essentielles font l'objet d'une surveillance plus stricte et de sanctions plus élevées que les entités importantes. Votre classification détermine vos obligations.
Actions :
- Entités essentielles (secteurs de l'annexe I, grandes organisations) : soumises à une supervision réglementaire proactive, incluant des inspections sur site et des audits réguliers. Amendes maximales de 10 millions d'euros ou 2 % du chiffre d'affaires mondial
- Entités importantes (secteurs de l'annexe II, organisations de taille moyenne) : soumises à une supervision réactive (après un incident ou preuve de non-conformité). Amendes maximales de 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial
- Documentez votre classification et le raisonnement qui la sous-tend
- Examinez la transposition nationale — certains États membres peuvent appliquer des critères plus stricts. Le NIS2UmsuCG allemand, par exemple, introduit des catégories supplémentaires
Comment KENSAI aide : les rapports de conformité KENSAI associent les résultats aux exigences spécifiques applicables à votre classification d'entité, garantissant que vos preuves de sécurité correspondent à vos obligations.
Étape 3 : Obtenir l'adhésion et la responsabilité de la direction
Pourquoi c'est important : l'article 20 de NIS2 rend les organes de direction personnellement responsables de la cybersécurité. Ce n'est pas une suggestion — c'est une exigence légale avec des implications de responsabilité personnelle.
Actions :
- Informez le conseil d'administration et la direction générale des exigences NIS2 et de leur responsabilité personnelle
- Désignez un dirigeant responsable de la supervision de la cybersécurité (RSSI, DSI ou équivalent)
- Établissez une structure de gouvernance où la direction approuve formellement les politiques de cybersécurité et examine les évaluations des risques
- Planifiez une formation obligatoire en cybersécurité pour tous les membres des organes de direction — NIS2 l'exige explicitement
- Documentez l'implication de la direction dans les décisions de cybersécurité à des fins d'audit
- Inscrivez la cybersécurité comme point permanent à l'ordre du jour des réunions du conseil
Comment KENSAI aide : KENSAI fournit des tableaux de bord exécutifs et des rapports de tendances qui donnent à la direction la visibilité nécessaire pour remplir ses responsabilités de supervision sans nécessiter une expertise technique approfondie.
Étape 4 : Réaliser une évaluation complète des risques
Pourquoi c'est important : l'article 21 de NIS2 exige des mesures techniques et organisationnelles « appropriées et proportionnées » basées sur une évaluation des risques. Sans évaluation documentée, vous ne pouvez pas démontrer que vos mesures sont proportionnées.
Actions :
- Identifiez les actifs critiques : cartographiez tous les réseaux et systèmes d'information qui soutiennent vos services essentiels
- Évaluez les menaces : documentez le paysage des menaces pertinent pour votre secteur et votre zone géographique (rançongiciels, attaques étatiques, compromission de la chaîne d'approvisionnement, menaces internes)
- Évaluez les vulnérabilités : réalisez des évaluations techniques de vulnérabilités de votre infrastructure, applications et processus
- Déterminez l'impact : pour chaque risque identifié, évaluez l'impact potentiel sur la continuité de service, l'intégrité des données et les parties affectées
- Calculez les niveaux de risque : utilisez une méthodologie cohérente (probabilité × impact) pour prioriser les risques
- Documentez tout : l'évaluation des risques doit être rédigée, révisée et régulièrement mise à jour
Comment KENSAI aide : le scan automatisé de vulnérabilités de KENSAI fournit les données techniques dont votre évaluation des risques a besoin. Au lieu de vous appuyer sur des évaluations manuelles ponctuelles, KENSAI délivre une intelligence continue des vulnérabilités qui maintient votre évaluation des risques à jour.
Étape 5 : Cartographier votre surface d'attaque
Pourquoi c'est important : NIS2 exige des mesures de sécurité pour vos réseaux et systèmes d'information. Vous ne pouvez pas sécuriser ce que vous ne connaissez pas.
Actions :
- Inventoriez tous les actifs exposés : applications web, API, serveurs de messagerie, points d'accès VPN, services cloud, sous-domaines
- Identifiez le shadow IT : découvrez les services cloud non autorisés, les environnements de test oubliés et les systèmes hérités
- Cartographiez les connexions tierces : documentez toutes les intégrations externes, connexions API et flux de données avec les fournisseurs et partenaires
- Évaluez l'exposition cloud : examinez les configurations IaaS, PaaS et SaaS pour les erreurs de configuration et les permissions excessives
- Documentez vos résultats : maintenez un inventaire vivant de votre surface d'attaque
Comment KENSAI aide : la découverte de surface d'attaque de KENSAI identifie automatiquement vos actifs exposés, y compris les sous-domaines oubliés et les services exposés que les inventaires internes ne détectent pas. Lancez un scan gratuit pour voir votre surface d'attaque du point de vue d'un attaquant.
Étape 6 : Mettre en œuvre les 10 mesures de sécurité minimales
Pourquoi c'est important : l'article 21(2) de NIS2 énumère dix catégories spécifiques de mesures de sécurité que toutes les entités concernées doivent mettre en œuvre. Elles ne sont pas optionnelles.
Actions pour chaque mesure :
a) Analyse des risques et politiques de sécurité de l'information
- Élaborer et documenter une politique de sécurité de l'information
- Établir un cadre de gestion des risques avec des cycles de révision réguliers
b) Gestion des incidents
- Créer un plan de réponse aux incidents avec des rôles, responsabilités et procédures d'escalade clairs
- Mettre en place des capacités de détection et de surveillance des incidents
- Réaliser des exercices réguliers de réponse aux incidents
c) Continuité d'activité et gestion de crise
- Élaborer des plans de continuité d'activité pour les services critiques
- Mettre en place et tester les procédures de sauvegarde et de reprise après sinistre
- S'assurer que des sauvegardes hors ligne/immuables existent (essentiel pour la résilience face aux rançongiciels)
d) Sécurité de la chaîne d'approvisionnement
- Évaluer les pratiques de cybersécurité des fournisseurs critiques
- Inclure des exigences de sécurité dans les achats et les contrats
- Surveiller la sécurité des fournisseurs de manière continue
e) Sécurité dans l'acquisition, le développement et la maintenance
- Mettre en place des pratiques de développement sécurisé (SDLC)
- Réaliser la gestion des vulnérabilités et des tests de sécurité réguliers
- Établir des procédures de gestion des correctifs
f) Évaluation de l'efficacité
- Planifier des audits et évaluations de sécurité réguliers
- Mettre en place des métriques et KPI de sécurité
- Réviser et mettre à jour les mesures en fonction des résultats des évaluations
g) Cyberhygiène et formation
- Déployer une formation de sensibilisation à la sécurité pour tous les employés
- Mettre en place des programmes de simulation d'hameçonnage
- Établir des standards de cyberhygiène de base (politiques de mots de passe, bureau propre, etc.)
h) Cryptographie et chiffrement
- Chiffrer les données en transit (TLS 1.2+ pour tous les services)
- Chiffrer les données au repos pour les informations sensibles
- Gérer les clés cryptographiques selon les bonnes pratiques
i) Sécurité des ressources humaines et contrôle d'accès
- Mettre en place l'authentification multifacteur pour tous les systèmes critiques
- Appliquer le principe du moindre privilège
- Établir des processus de revue des accès
j) Communications sécurisées
- Déployer des canaux de communication chiffrés pour les discussions sensibles
- Établir des procédures de communication d'urgence fonctionnant lorsque les systèmes principaux sont compromis
Comment KENSAI aide : KENSAI soutient directement les mesures (e), (f) et les aspects de gestion des vulnérabilités de (a) et (d). Le scan automatisé continu garantit que vous répondez aux exigences de « tests réguliers » et de « gestion des vulnérabilités » avec des preuves vérifiables.
Étape 7 : Établir les capacités de notification d'incidents
Pourquoi c'est important : NIS2 introduit des exigences strictes de notification d'incidents en plusieurs étapes. Ne pas respecter le délai d'alerte précoce de 24 heures peut entraîner des sanctions indépendantes de l'incident lui-même.
Actions :
- Définissez les critères d'« incident significatif » pour votre organisation, alignés sur la définition de NIS2 (perturbation opérationnelle grave, perte financière ou dommage considérable à des tiers)
- Mettez en place une surveillance 24h/24 7j/7 capable de détecter les incidents significatifs en temps réel — vous ne pouvez pas signaler ce que vous n'avez pas détecté
- Identifiez votre CSIRT national et l'autorité compétente — sachez exactement où signaler et comment (en France : l'ANSSI)
- Préparez des modèles de notification pour chaque étape :
- Alerte précoce à 24 heures : faits de base sur l'incident, suspicion d'acte illicite ou malveillant, impact transfrontalier potentiel
- Notification à 72 heures : évaluation initiale, gravité, impact, indicateurs de compromission
- Rapport final à 1 mois : description détaillée, analyse des causes profondes, mesures d'atténuation, impact transfrontalier
- Désignez et formez les déclarants d'incidents — assurez-vous que plusieurs membres de l'équipe peuvent soumettre des rapports
- Entraînez-vous au processus de notification — réalisez des exercices de simulation incluant le calendrier de notification
Comment KENSAI aide : la surveillance continue de KENSAI signifie que les vulnérabilités sont détectées et signalées avant qu'elles ne deviennent des incidents. Lorsque des problèmes sont trouvés, les rapports techniques détaillés de KENSAI fournissent les indicateurs de compromission et les détails techniques nécessaires à une notification rapide.
Étape 8 : Adresser la sécurité de la chaîne d'approvisionnement
Pourquoi c'est important : NIS2 exige explicitement des organisations qu'elles gèrent les risques de cybersécurité dans leur chaîne d'approvisionnement. La directive reconnaît que de nombreuses violations majeures proviennent de fournisseurs de confiance.
Actions :
- Identifiez les fournisseurs critiques : cartographiez les fournisseurs ayant accès à vos systèmes, données ou réseau
- Évaluez la posture de sécurité des fournisseurs : demandez des certifications de sécurité (ISO 27001, SOC 2), réalisez des questionnaires ou exigez des évaluations tierces
- Incluez des exigences de sécurité dans les contrats : définissez des standards de sécurité minimaux, des obligations de notification d'incidents, des droits d'audit et des clauses de résiliation pour manquements à la sécurité
- Surveillez la sécurité des fournisseurs en continu : ne vous contentez pas d'évaluer à l'intégration — réalisez des revues régulières
- Élaborez des procédures de réponse aux incidents fournisseurs : sachez quoi faire quand un fournisseur est compromis
- Diversifiez les dépendances critiques : évitez les points de défaillance uniques dans votre chaîne d'approvisionnement
Comment KENSAI aide : KENSAI peut scanner l'infrastructure exposée de vos fournisseurs (avec leur autorisation) pour fournir une vue objective de leur posture de sécurité. Cela vous donne des données vérifiables au lieu de vous fier uniquement à des questionnaires auto-déclarés.
Étape 9 : Tout documenter pour la préparation aux audits
Pourquoi c'est important : la supervision NIS2 inclut le pouvoir de réaliser des audits, inspections et demandes de preuves. Si vous ne pouvez pas démontrer la conformité par la documentation, vous n'êtes pas conforme.
Actions :
- Maintenez un référentiel de preuves de conformité avec toutes les politiques, procédures, évaluations des risques et résultats de tests
- Conservez des registres de tous les incidents de sécurité et vos actions de réponse, qu'ils aient atteint ou non le seuil « significatif »
- Documentez les approbations de la direction — chaque approbation de politique, acceptation de risque et décision budgétaire
- Archivez les résultats des tests de sécurité avec horodatage — le scan continu fournit des preuves plus solides que les rapports annuels
- Suivez l'achèvement des formations pour tout le personnel, avec une attention particulière aux formations de la direction
- Enregistrez les évaluations de la chaîne d'approvisionnement et les clauses de sécurité contractuelles
- Maintenez des journaux de modifications pour toutes les politiques et procédures liées à la sécurité
Comment KENSAI aide : KENSAI génère automatiquement des rapports de scan horodatés, des historiques de suivi des vulnérabilités et des chronologies de remédiation. Cela crée une piste d'audit continue qui démontre des tests de sécurité permanents — bien plus convaincant pour les régulateurs qu'un seul rapport annuel de test d'intrusion.
Étape 10 : Mettre en place l'amélioration continue
Pourquoi c'est important : NIS2 n'est pas un exercice de case à cocher ponctuel. La directive exige une gestion continue des risques et une évaluation régulière de l'efficacité des mesures. Les régulateurs rechercheront des preuves d'amélioration continue, pas de conformité statique.
Actions :
- Planifiez des revues de sécurité trimestrielles pour évaluer l'efficacité des mesures mises en œuvre
- Suivez les métriques de sécurité dans le temps : nombre de vulnérabilités, délai moyen de remédiation, fréquence des incidents, taux d'achèvement des formations
- Mettez à jour les évaluations des risques quand le paysage des menaces change, après des incidents significatifs, ou au moins annuellement
- Comparez-vous aux référentiels : utilisez ISO 27001, NIST CSF ou CIS Controls comme benchmarks de maturité
- Participez au partage d'informations : rejoignez les ISAC sectoriels (centres de partage et d'analyse de l'information) et collaborez avec votre CSIRT national (CERT-FR en France)
- Révisez et mettez à jour cette checklist — réévaluez votre statut de conformité NIS2 chaque trimestre
- Planifiez l'évolution réglementaire : NIS2 sera révisée et potentiellement mise à jour ; intégrez de la flexibilité dans votre programme de sécurité
Comment KENSAI aide : le modèle de scan continu de KENSAI est intrinsèquement aligné sur l'amélioration continue. Chaque scan s'appuie sur les résultats précédents, suivant quelles vulnérabilités ont été corrigées, lesquelles sont nouvelles, et comment votre posture de sécurité globale évolue dans le temps. La plateforme fournit les métriques et les données de tendances qui démontrent l'amélioration aux auditeurs et aux régulateurs.
Votre calendrier de conformité NIS2
Voici un calendrier réaliste pour mettre en œuvre cette checklist :
Mois 1-2 : Phase d'évaluation
- Étapes 1-2 : détermination du périmètre et classification
- Étape 3 : présentation à la direction et adhésion
- Étape 4 : début de l'évaluation des risques
- Étape 5 : cartographie de la surface d'attaque (commencez par le scan gratuit KENSAI)
Mois 3-4 : Phase de fondation
- Étape 4 : achèvement de l'évaluation des risques
- Étape 6 : début de la mise en œuvre des 10 mesures minimales (priorisez les lacunes)
- Étape 7 : établissement des capacités de notification d'incidents
Mois 5-6 : Phase de mise en œuvre
- Étape 6 : poursuite de la mise en œuvre des mesures minimales
- Étape 8 : traitement de la sécurité de la chaîne d'approvisionnement
- Étape 9 : mise en place de la documentation et de la gestion des preuves
Mois 7+ : Phase continue
- Étape 10 : amélioration, surveillance et évaluation continues
- Revues et mises à jour régulières sur toutes les étapes
Erreurs courantes à éviter
- Traiter NIS2 comme un projet exclusivement IT : cela nécessite l'implication de la direction et une collaboration transversale
- Attendre la transposition nationale : les exigences sont claires ; commencez maintenant
- Se reposer excessivement sur les certifications : ISO 27001 est une base solide mais n'équivaut pas automatiquement à la conformité NIS2
- Négliger les obligations de la chaîne d'approvisionnement : c'est là que de nombreuses organisations seront prises au dépourvu
- Conformité ponctuelle : NIS2 exige une gestion continue des risques, pas des exercices annuels
- Ignorer l'exigence de notification à 24 heures : cela nécessite des capacités de surveillance, pas seulement un document de politique
Commencez par la visibilité
On ne peut pas corriger ce qu'on ne voit pas. La première étape vers la conformité NIS2 est de comprendre votre posture de sécurité actuelle.
👉 Obtenez votre scan de sécurité KENSAI gratuit sur kensai.app/free-scan — cartographiez votre surface d'attaque et identifiez les vulnérabilités en quelques minutes.
Essayez KENSAI gratuitement
Scannez votre infrastructure à la recherche de vulnérabilités en quelques minutes — sans carte bancaire.
Lancer un scan gratuit →
Publié par KENSAI Security Research — Plateforme de cybersécurité alimentée par l'IA