Réglementation

Les 10 mesures de l'article 21 expliquées à un dirigeant non technique

Publié le 22 juin 2026 · L’équipe Expert NIS2 (BKube)

L’article 21 est le cœur de NIS2 : dix familles de mesures que toute entité régulée doit mettre en œuvre. Le texte est écrit pour des juristes ; voici sa traduction pour un comité de direction, avec notre lecture de terrain sur les priorités.

Les dix mesures, en une phrase chacune

  1. Politiques et analyse des risques — savoir ce que vous protégez, contre quoi, et l’écrire noir sur blanc avec l’aval de la direction.
  2. Gestion des incidents — être capable de détecter, traiter et tracer un incident de sécurité, avec une procédure écrite avant que ça n’arrive.
  3. Continuité et gestion de crise — sauvegardes, plan de continuité, plan de reprise : votre entreprise doit survivre à l’arrêt de son informatique.
  4. Chaîne d’approvisionnement — connaître vos fournisseurs critiques, évaluer leur sécurité et l’encadrer par contrat.
  5. Sécurité des acquisitions et développements — acheter et maintenir vos systèmes proprement : configurations durcies, vulnérabilités traitées, mises à jour organisées.
  6. Évaluation de l’efficacité — vérifier régulièrement que tout cela fonctionne : audits, tests, indicateurs.
  7. Hygiène et formation — les fondamentaux pour tous (mises à jour, mots de passe, moindre privilège) et de la sensibilisation régulière — dirigeants compris.
  8. Cryptographie — chiffrer ce qui doit l’être, en transit et au repos, et gérer les clés sérieusement.
  9. Ressources humaines et contrôle d’accès — maîtriser qui a accès à quoi, y compris quand les gens arrivent, changent de poste ou partent.
  10. Authentification forte — le MFA partout où c’est pertinent, et des communications sécurisées.

La lecture qui change tout : ce n’est pas une liste de courses

L’erreur classique consiste à traiter ces dix points comme des cases à cocher indépendantes — acheter un outil par ligne et déclarer victoire. En réalité, les dix mesures reposent toutes sur le même socle : la connaissance précise de votre système d’information. Impossible d’analyser des risques (mesure 1), d’assurer la continuité (3) ou de contrôler les accès (9) sur un inventaire faux ou incomplet.

C’est pourquoi, dans nos missions, tout commence par la cartographie : la box SKube découvre ce qui est réellement branché sur le réseau — et l’écart avec ce que tout le monde croyait est presque toujours la première leçon de l’audit.

Par où commencer, avec un budget fini

Si vous devez prioriser (et vous devrez), notre séquence éprouvée :

  • D’abord ce qui sauve : sauvegardes saines et testées, MFA sur les accès critiques, mises à jour. Trois chantiers peu coûteux qui neutralisent la majorité des scénarios catastrophes.
  • Ensuite ce qui structure : inventaire et cartographie, politique de sécurité réaliste, procédure d’incident avec les modèles de notification prêts.
  • Enfin ce qui approfondit : chaîne d’approvisionnement, PCA/PRA complets, exercices de crise, indicateurs.

Le tout, documenté au fur et à mesure — car NIS2 ne demande pas seulement de faire, mais de prouver. Un contrôleur ne vous croira pas sur parole ; il voudra les politiques, les registres, les rapports de tests. C’est exactement ce que notre plateforme structure, mesure par mesure, dans l’ordre du texte lui-même.

Par où commencer ?

En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.