L’article 21 de la directive NIS2 est le cœur réglementaire du dispositif. Il liste dix mesures techniques et organisationnelles minimales que toute entité essentielle ou importante doit mettre en place pour gérer ses risques de cybersécurité. La rédaction du texte est volontairement générique pour s’adapter à toutes les tailles d’entreprises, mais cette généricité crée une difficulté : que veut dire concrètement chaque mesure pour une PME de 30 personnes ? Cet article passe les dix mesures en revue, avec pour chacune ce qu’il faut documenter, ce qu’il faut déployer techniquement, et ce que vérifie un auditeur.
Mesure 1 — Politique de sécurité des systèmes d’information
C’est le document de référence de votre dispositif cybersécurité. Une politique de sécurité des SI (PSSI) décrit votre organisation cyber, vos principes directeurs, vos rôles et responsabilités, et les règles applicables aux collaborateurs.
À documenter : un document approuvé par la direction (signature ou délibération), revu au moins annuellement, communiqué à tous les collaborateurs concernés, et adapté à la taille et à l’activité de l’entreprise. Pour une PME, 8 à 15 pages suffisent largement ; au-delà, on tombe dans le copier-coller stérile.
À déployer : ce n’est pas un document technique, mais il doit refléter la réalité. Si vous écrivez « tous les comptes administrateurs sont protégés par MFA » alors que ce n’est pas vrai, l’auditeur le verra et la politique perd toute valeur. La règle d’or : ne pas écrire ce qui n’est pas déjà mis en œuvre ou ce qui n’a pas un plan de déploiement chiffré et daté.
À vérifier : présence du document, date d’approbation, signature de la direction, traces de revue et de diffusion, cohérence avec les contrôles réels.
Mesure 2 — Gestion des risques cybersécurité
NIS2 impose une approche par les risques. Concrètement, vous devez avoir une cartographie de vos actifs critiques (serveurs, applications, données, processus métier), une analyse des menaces qui pèsent sur eux, et un plan de traitement des risques identifiés.
À documenter : une cartographie d’actifs (peut tenir sur un Excel pour une PME), une analyse de risques formelle (méthodologie EBIOS RM allégée recommandée), une matrice de risques résiduels avec les décisions de couverture (accepter, réduire, transférer, éviter). Cette analyse doit être revue au moins annuellement.
À déployer : pas de mesure technique en tant que telle, mais l’analyse doit déboucher sur des décisions opérationnelles : telle vulnérabilité doit être corrigée, telle assurance doit être souscrite, tel accès doit être restreint. La gestion des risques sans suivi de mise en œuvre est inutile.
À vérifier : existence d’une analyse récente, méthodologie défendable, lien avec les actions correctrices effectivement prises.
Mesure 3 — Gestion des incidents
Vous devez disposer d’un processus de détection, d’analyse, de qualification et de notification des incidents de cybersécurité. Cette mesure devient critique en raison du calendrier de notification imposé par la directive : 24h pour une alerte précoce, 72h pour un rapport, 1 mois pour le rapport final.
À documenter : un plan de réponse aux incidents qui décrit les rôles (qui prévient qui, qui décide quoi), les outils utilisés (boîte mail dédiée, canal Slack/Teams isolé, contact ANSSI), les seuils de criticité, le canal de notification à l’autorité, et le format du rapport interne post-incident.
À déployer : a minima, une adresse email dédiée et surveillée pour la déclaration interne ; un journal des incidents (un tableau Notion ou Excel suffit pour une PME) ; un exercice par an minimum simulant un incident pour tester le plan.
À vérifier : présence du plan, traces des exercices, capacité à raconter un incident passé (réel ou simulé) avec les actions prises et le retour d’expérience.
Mesure 4 — Continuité d’activité et gestion des crises
Vous devez prévoir comment continuer à opérer en cas d’incident majeur (ransomware paralysant le SI, indisponibilité prolongée d’un fournisseur cloud, sinistre physique). Concrètement, cela passe par des sauvegardes restaurables, des procédures dégradées, et un test régulier de la chaîne de reprise.
À documenter : un plan de continuité d’activité (PCA) court mais opérationnel, une politique de sauvegardes (fréquence, rétention, immutabilité, hors-site), un plan de reprise après incident (DRP) avec des objectifs de temps de reprise (RTO) et de point de reprise (RPO) chiffrés.
À déployer : sauvegardes automatisées, chiffrées, immuables (3-2-1 minimum : 3 copies, 2 supports, 1 hors-site), avec test de restauration documenté au moins une fois par an. Pour une PME, des solutions comme Veeam, Datto, ou les sauvegardes immuables AWS/Azure sont accessibles.
À vérifier : présence de sauvegardes effectives (et pas juste théoriques), trace d’un test de restauration récent, plan de reprise lisible et à jour.
Mesure 5 — Sécurité de la chaîne d’approvisionnement
C’est la mesure phare de NIS2, celle qui crée l’effet domino sur les sous-traitants. Vous devez identifier vos fournisseurs critiques, évaluer leur niveau de sécurité, et inscrire des clauses cybersécurité dans vos contrats.
À documenter : une liste des fournisseurs critiques (ceux dont la défaillance ou la compromission impacte significativement votre activité), un questionnaire de sécurité fournisseur, des clauses contractuelles types (notification d’incident, droit d’audit, obligations de sécurité de base).
À déployer : envoi du questionnaire aux fournisseurs critiques, traitement des réponses (qui ne renvoie pas, qui répond mal), avenants contractuels pour les fournisseurs ne respectant pas les exigences de base.
À vérifier : preuve de l’envoi des questionnaires, traitement des non-réponses, mises à jour contractuelles, plan de remédiation pour les fournisseurs jugés insuffisants.
Mesure 6 — Sécurité de l’acquisition, du développement et de la maintenance des SI
Si vous développez des logiciels (en interne ou pour vos clients), ou si vous acquérez des solutions IT, la sécurité doit être intégrée au cycle de vie. C’est l’application du principe « security by design ».
À documenter : politique d’achat IT (qui valide quoi, sur quels critères de sécurité), politique de développement sécurisé si pertinent (revue de code, scan de vulnérabilités, tests d’intrusion avant mise en production), politique de gestion des correctifs (patch management).
À déployer : procédure de revue de sécurité des nouveaux fournisseurs IT, intégration de scans de vulnérabilités dans les pipelines de déploiement (Snyk, Dependabot, OWASP Dependency-Check…), politique de mise à jour des systèmes (au moins mensuelle pour les patchs critiques).
À vérifier : présence des politiques, journaux de patch management, traces de scans de vulnérabilités.
Mesure 7 — Politiques d’évaluation de l’efficacité
Vous devez mesurer l’efficacité de vos contrôles cyber. Cette mesure introduit une boucle d’amélioration continue : l’audit initial constate, des indicateurs suivent l’évolution, des revues décident des corrections.
À documenter : un tableau de bord cyber avec quelques indicateurs clés (couverture MFA, taux de patch, temps moyen de détection d’un incident, taux de phishing simulé), une revue annuelle (a minima) du dispositif par la direction.
À déployer : extraction périodique des indicateurs depuis vos outils (annuaire, EDR, MDM), formalisation d’une réunion annuelle de revue cybersécurité avec la direction.
À vérifier : indicateurs effectivement mesurés (et pas inventés au moment de l’audit), traces de revue, décisions prises à la suite.
Mesure 8 — Pratiques de cyberhygiène et formation
La directive impose une culture cybersécurité dans l’entreprise. Concrètement, cela se traduit par des règles d’hygiène simples appliquées par tous, et une formation périodique des collaborateurs.
À documenter : une charte informatique signée par chaque collaborateur, un programme de sensibilisation annuel (sessions, exercices phishing, fiches mémo), un suivi de complétion (qui a fait quoi).
À déployer : a minima, une session annuelle de sensibilisation (1h en présentiel ou en e-learning), des exercices phishing périodiques, une formation cybersécurité spécifique pour les dirigeants et organes de direction (NIS2 l’impose explicitement).
À vérifier : signatures des chartes, traces des sessions, résultats des exercices phishing, attestation de formation des dirigeants.
Mesure 9 — Cryptographie et chiffrement
Toutes les données sensibles doivent être chiffrées au repos et en transit, avec des algorithmes et des clés à l’état de l’art.
À documenter : politique de chiffrement (qu’est-ce qui doit être chiffré, avec quels algorithmes, comment sont gérées les clés), inventaire des données sensibles.
À déployer : HTTPS sur tous les sites, TLS 1.2+ obligatoire (1.3 recommandé), chiffrement des disques des postes de travail (BitLocker, FileVault), chiffrement des bases de données contenant des données personnelles ou sensibles, chiffrement des sauvegardes, gestion des clés (rotation, conservation hors-bande).
À vérifier : configuration TLS du site web (test SSL Labs), activation du chiffrement disque sur un échantillon de postes, vérification des paramètres des bases.
Mesure 10 — Sécurité des ressources humaines, contrôle d’accès, MFA
Cette mesure regroupe trois sujets : la sécurité RH (procédures d’arrivée et de départ des collaborateurs), le contrôle d’accès (qui peut accéder à quoi), et l’authentification multifactorielle (MFA).
À documenter : procédures d’arrivée et de départ avec checklist sécurité (création/suppression des accès, restitution du matériel), politique de gestion des comptes à privilèges, politique MFA.
À déployer : MFA généralisée pour tous les accès externes (VPN, RDP, webmail, applications cloud), MFA spécifique pour tous les comptes à privilèges (administrateurs systèmes, comptes admin cloud), revue trimestrielle des accès, suppression rapide des comptes en cas de départ.
À vérifier : couverture MFA (% comptes / % applications), processus de revue des accès, ancienneté du dernier processus de désinscription.
Articulation avec les autres réglementations
Les dix mesures de l’article 21 NIS2 reprennent largement les bonnes pratiques déjà connues : ISO 27001, recommandations ANSSI, principes du RGPD pour ce qui touche les données personnelles, exigences de la cyber-assurance. Une PME qui aurait déjà une démarche ISO 27001 a 80% du chemin parcouru pour NIS2. Une PME RGPD-compliant a 30 à 40% du chemin (les politiques RGPD couvrent partiellement les mesures 1, 5, 8 et 10).
Pour vous repérer dans cet ensemble, lisez aussi notre article sur la différence entre NIS2 et RGPD et celui sur le choix entre audit NIS2 et audit PASSI.
Comment se prépare un audit NIS2
Lors d’un audit NIS2 chez nous, chaque mesure est passée en revue selon trois axes : présence d’une politique formelle, mise en œuvre réelle, et traces de surveillance et d’amélioration continue. Pour chaque mesure, l’auditeur attribue un score (0 à 4) et identifie les actions à mener pour combler l’écart. Le rapport final contient une matrice de conformité reprenant les dix mesures, un score global, et un plan d’action priorisé.
Pour une PME de 10-50 personnes, un audit complet prend 7 à 10 jours ouvrés et coûte 1 500 € chez nous (vs 8-25 k€ chez un PASSI). Pour une démarche initiale, le pré-audit à 299 € permet d’identifier les écarts majeurs en 48h.
Conclusion
Les dix mesures de l’article 21 ne sont pas des cases à cocher administratives mais un système de management de la cybersécurité simplifié pour les entreprises. Pour une PME, l’effort principal porte généralement sur trois mesures : gestion des incidents, continuité d’activité (sauvegardes immuables) et MFA généralisée. Bien menée, la démarche apporte au passage des bénéfices opérationnels concrets : meilleure résilience, capacité à répondre aux questionnaires fournisseurs, réduction des primes d’assurance cyber, et différenciation commerciale auprès des donneurs d’ordre régulés.
Pour démarrer, faites le quiz NIS2 ou commandez directement un pré-audit à 299€. Vous repartirez avec une vision claire des dix mesures appliquées à votre contexte précis.
Cet article vous concerne ?
Démarrez par un pré-audit à 299€, livré sous 48h. Vous repartez avec un plan d'action clair.