Checklist NIS 2

Mode d'emploi de la checklist

Cette checklist reprend les 10 mesures techniques et organisationnelles imposées par l'article 21 de la directive NIS 2. Pour chaque mesure, vous trouverez une liste de critères à cocher.

Comment l'utiliser

Réservez 30-45 minutes au calme, idéalement avec votre IT manager ou votre infogérance
Cochez les cases pour chaque critère réellement en place chez vous (sans tricher avec vous-même)
Notez votre score par mesure (nombre de cases cochées / total) en fin de chaque section
Reportez le score global dans la synthèse finale

Comment lire votre score

0-30% : niveau critique. Risque commercial réel face aux donneurs d'ordre.
31-60% : niveau à renforcer. Démarche structurée nécessaire avant la deadline.
61-80% : niveau satisfaisant. Quelques écarts à combler en priorité.
81-100% : niveau mature. Démarche d'audit pour valider et documenter.

Cette checklist est indicative. Pour un diagnostic complet et un plan d'action chiffré, le pré-audit à 299€ chez Audit NIS2 livre un rapport en 48h.

Mesure 1 — Politique de sécurité des SI

Document formel approuvé par la direction qui décrit votre organisation cyber.

Politique de sécurité écrite (8-15 pages pour une PME) Approuvée formellement par la direction (signature ou délibération) Communiquée à tous les collaborateurs (intranet, charte d'arrivée) Revue au moins annuellement avec date de mise à jour visible Cohérente avec les contrôles techniques réellement déployés Comprend les rôles et responsabilités cyber dans l'organisation

Mon score mesure 1 ____ / 6

Mesure 2 — Gestion des risques cybersécurité

Approche par les risques formalisée, périodiquement mise à jour.

Cartographie des actifs critiques (top 10-20 systèmes / données) Analyse de risques formelle avec méthodologie identifiable Matrice de risques résiduels avec décisions explicites de couverture Plan de traitement des risques avec responsable et échéance Revue annuelle de l'analyse de risques avec PV de réunion Lien explicite entre risques identifiés et mesures déployées

Mon score mesure 2 ____ / 6

Mesure 3 — Gestion des incidents

Capacité à détecter, qualifier, notifier dans les délais (24h-72h-1 mois).

Plan de réponse aux incidents documenté (qui alerte qui) Adresse email dédiée pour signalement interne, surveillée Journal des incidents tenu à jour (Notion, Excel) Procédure de notification ANSSI 24h / 72h / 1 mois connue Procédure de notification CNIL 72h en cas de violation données Contact assureur cyber et expert IRT identifié à l'avance Au moins un exercice ou tabletop dans les 12 derniers mois Retour d'expérience formalisé après incident réel ou simulé

Mon score mesure 3 ____ / 8

Mesure 4 — Continuité d'activité

Capacité à survivre à un ransomware, à un sinistre, à une indisponibilité prolongée.

Plan de continuité d'activité (PCA) documenté Plan de reprise après incident (PRA) avec RTO/RPO chiffrés Politique de sauvegardes (3-2-1 minimum, immuabilité activée) Test de restauration documenté dans les 12 derniers mois Sauvegardes hors site et hors compte administrateur Plan B identifié pour les 3 fournisseurs cloud les plus critiques Communication de crise préparée (clients, partenaires, presse) Cyber-assurance souscrite et plafond connu

Mon score mesure 4 ____ / 8

Mesure 5 — Sécurité de la chaîne d'approvisionnement

Maîtrise de vos fournisseurs critiques et des risques qu'ils introduisent.

Inventaire des fournisseurs IT critiques (10-30 noms) Évaluation du niveau de sécurité des fournisseurs critiques Questionnaire fournisseur sécurité envoyé et tracé Clauses cybersécurité dans les contrats critiques Procédure de notification d'incident côté fournisseur Identification d'alternatives pour les fournisseurs uniques Réversibilité contractuelle des données en fin de contrat

Mon score mesure 5 ____ / 7

Mesure 6 — Sécurité acquisition / développement / maintenance

Intégration de la sécurité dans le cycle de vie des SI.

Politique d'achat IT avec critères de sécurité Patch management formalisé (mensuel minimum) Politique de gestion des correctifs critiques (fenêtre 7 jours) Si développement interne : revue de code obligatoire Scans de vulnérabilités intégrés à la CI/CD Inventaire des dépendances logicielles (SBOM) Tests d'intrusion sur les nouvelles versions critiques

Mon score mesure 6 ____ / 7

Mesure 7 — Évaluation de l'efficacité

Mesure et amélioration continue du dispositif sécurité.

Tableau de bord cyber avec 5-10 indicateurs clés Couverture MFA mesurée par catégorie de comptes Taux de patch mesuré et suivi Taux de clic sur exercices phishing simulés Temps moyen de détection des incidents Revue annuelle du dispositif par la direction (PV) Audit interne ou externe annuel

Mon score mesure 7 ____ / 7

Mesure 8 — Cyberhygiène et formation

Culture sécurité dans l'entreprise, gestes essentiels au quotidien.

Charte informatique signée par tous les collaborateurs Sensibilisation cybersécurité annuelle (1h minimum/personne) Exercices phishing simulés (1-2 par an) Suivi de complétion des formations (qui a fait quoi) Formation cybersécurité spécifique pour les dirigeants (4-8h/an) Briefing sécurité dans le processus d'arrivée nouveau collab. Procédure de signalement interne d'incident communiquée

Mon score mesure 8 ____ / 7

Mesure 9 — Cryptographie et chiffrement

Protection des données sensibles au repos et en transit.

HTTPS obligatoire sur tous les sites exposés TLS 1.2 minimum (1.3 recommandé) — vérifié SSL Labs Chiffrement des disques sur les postes de travail (BitLocker) Chiffrement des bases de données contenant des données sensibles Sauvegardes chiffrées et clés gérées séparément Politique de gestion des clés cryptographiques Certificats valides et renouvellement automatisé

Mon score mesure 9 ____ / 7

Mesure 10 — RH, contrôle d'accès et MFA

Sécurité du cycle de vie des collaborateurs et des accès aux SI.

MFA obligatoire sur 100% des comptes administrateurs MFA obligatoire sur tous les accès distants (VPN, RDP, SSH) MFA disponible et fortement encouragée pour les utilisateurs Comptes à privilèges identifiés et inventoriés Procédure d'arrivée incluant création / formation accès Procédure de départ avec révocation des accès dans les 24h Revue trimestrielle des accès actifs Mots de passe gérés via coffre-fort partagé (Bitwarden, 1Password)

Mon score mesure 10 ____ / 8

Synthèse — votre score NIS 2 sur 100

Mesure	Score	/ Total
1 — Politique de sécurité des SI	____	6
2 — Gestion des risques cybersécurité	____	6
3 — Gestion des incidents	____	8
4 — Continuité d'activité	____	8
5 — Sécurité de la chaîne d'approvisionnement	____	7
6 — Sécurité acquisition / développement / maintenance	____	7
7 — Évaluation de l'efficacité	____	7
8 — Cyberhygiène et formation	____	7
9 — Cryptographie et chiffrement	____	7
10 — RH, contrôle d'accès et MFA	____	8
Total	____	71
Score sur 100	____ / 100

Plan d'action priorisé — top 3 mesures à traiter

Identifiez les 3 mesures avec le score le plus faible. Pour chacune, listez la première action concrète à mener.

Priorité 1 — Mesure n° ____

Action : __________________________________________

Responsable : ___________ Délai : ___________

Priorité 2 — Mesure n° ____

Action : __________________________________________

Responsable : ___________ Délai : ___________

Priorité 3 — Mesure n° ____

Action : __________________________________________

Responsable : ___________ Délai : ___________

Et après ?

Si votre score est inférieur à 70/100 et que vous avez un client donneur d'ordre régulé, il est temps de structurer votre démarche. Notre pré-audit à 299€ vous fournit en 48h un état des lieux professionnel avec plan d'action chiffré, opposable à votre direction.