Article 21 NIS2 — les 10 mesures techniques décortiquées

Mesure 1 — Analyse des risques et politique de sécurité

L'entité doit disposer d'une politique de sécurité des SI signée par la direction et d'une analyse de risques formalisée mise à jour annuellement.

Concrètement pour une PME : document de 5-10 pages décrivant le périmètre, les menaces identifiées, les contrôles en place, les responsables. Méthodologies acceptées : EBIOS RM (ANSSI), ISO 27005, NIST 800-30. Pour une PME, EBIOS RM Express (version allégée) suffit.

Mesure 2 — Gestion des incidents

Procédure documentée de détection, qualification, traitement et notification des incidents. Notification ANSSI sous 24h (alerte précoce) et 72h (rapport intermédiaire) pour les incidents significatifs.

Pour une PME : nommer un point de contact incident (RSSI ou DSI), définir les seuils de gravité, formaliser le workflow détection → escalade → notification. Un template d'incident sur 1 page suffit pour commencer.

Mesure 3 — Continuité d'activité et gestion des crises

Plan de continuité d'activité (PCA) et plan de reprise d'activité (PRA) testés régulièrement. Sauvegardes hors ligne (air-gap) obligatoires pour les EE.

Pour une PME : PCA simple identifiant les processus critiques, les durées max d'interruption tolérables (RTO), les pertes de données acceptables (RPO). Un exercice annuel (table-top) suffit. Sauvegardes 3-2-1 (3 copies, 2 supports différents, 1 hors site).

Mesure 4 — Sécurité de la chaîne d'approvisionnement

Cartographie des fournisseurs critiques, évaluation de leur niveau de sécurité, clauses cyber dans les contrats. Audit des prestataires TIC importants.

Pour une PME : inventaire des 10-15 fournisseurs critiques (cloud, paie, ERP, MSP), questionnaire fournisseur annuel, clauses cyber dans tout nouveau contrat. CyberSCV génère le questionnaire fournisseur prêt à envoyer.

Mesure 5 — Sécurité dans l'acquisition et le développement

Intégrer la sécurité dès la conception des nouveaux SI (security by design), tests de sécurité avant mise en production, gestion des vulnérabilités.

Pour une PME : checklist sécurité dans les cahiers des charges, tests d'intrusion annuels sur les applis exposées, processus de patch management (au minimum mensuel sur l'OS et les apps critiques).

Mesure 6 — Évaluation de l'efficacité des mesures

Mesurer l'efficacité réelle des contrôles cyber via des indicateurs (KPI), audits internes ou externes, tests d'intrusion.

Pour une PME : tableau de bord trimestriel avec ~10 KPIs (taux MFA, taux patch, MTTR incidents, % salariés formés). Audit externe tous les 2 ans suffit pour une PME EI.

Mesure 7 — Pratiques d'hygiène et formation

Sensibilisation cyber annuelle obligatoire pour tous les salariés. Formation renforcée pour les administrateurs SI et les dirigeants.

Pour une PME : e-learning annuel (~30 min) avec attestation, sessions trimestrielles phishing, formation des dirigeants sur leur responsabilité personnelle (NIS2 Art. 20).

Mesure 8 — Chiffrement

Chiffrement au repos (disques, sauvegardes) et en transit (TLS). Gestion centralisée des clés et des certificats.

Pour une PME : BitLocker/FileVault sur tous les postes, chiffrement natif des sauvegardes, TLS 1.2+ partout, gestion centralisée des certificats via Let's Encrypt + monitoring d'expiration.

Mesure 9 — Sécurité des ressources humaines

Vérification des antécédents avant embauche sur postes sensibles, procédure de départ (révocation accès, restitution matériel), confidentialité contractuelle.

Pour une PME : checklist onboarding/offboarding cyber, K-bis ou casier judiciaire pour les admins (légalement encadré), clauses NDA dans tous les contrats.

Mesure 10 — Contrôle d'accès et MFA

Authentification multi-facteurs (MFA) obligatoire pour tous les comptes à privilèges et tous les accès distants. Politique de moindre privilège, séparation des rôles.

Pour une PME : MFA sur Microsoft 365, Google Workspace, VPN, RDP, accès admin cloud — c'est non négociable. SSO si possible. Revue trimestrielle des comptes inactifs.

Article 21 NIS2 : les 10 mesures qui structurent votre conformité