Comprendre NIS2 · Obligations

Les 10 mesures de l'article 21, expliquées à un dirigeant

L'article 21 est le cœur opérationnel de NIS2 : dix familles de mesures « techniques, opérationnelles et organisationnelles » que toute entité régulée doit mettre en œuvre — et pouvoir prouver. Les voici, sans jargon.

21.2.a  Politiques de sécurité et analyse des risques

Des politiques écrites, approuvées par la direction, fondées sur une analyse des risques réelle — pas un document générique. Le point de départ : savoir ce que vous protégez, donc disposer d'un inventaire de vos actifs et de leurs dépendances.

21.2.b  Gestion des incidents

Détecter, qualifier, traiter et journaliser les incidents de sécurité, avec des procédures prêtes avant l'incident — indispensable pour tenir les délais de notification de 24 h et 72 h.

21.2.c  Continuité d'activité et gestion de crise

Sauvegardes, plan de continuité (PCA), plan de reprise (PRA), organisation de crise. NIS2 exige que ces plans existent, soient maintenus et testés. C'est le cœur de notre métier historique.

21.2.d  Sécurité de la chaîne d'approvisionnement

Évaluer la sécurité de vos fournisseurs et prestataires directs, l'encadrer par contrat, et en tenir un registre. Votre sécurité vaut celle de votre maillon le plus faible.

21.2.e  Sécurité de l'acquisition et du développement

Intégrer la sécurité dans l'achat, le développement et la maintenance des systèmes : durcissement, gestion des configurations, traitement des vulnérabilités — y compris un processus de mise à jour.

21.2.f  Évaluation de l'efficacité des mesures

Des procédures pour mesurer que vos mesures fonctionnent : audits, tests, indicateurs, revues périodiques. La conformité se démontre, elle ne se déclare pas.

21.2.g  Hygiène informatique et formation

Pratiques d'hygiène de base (mises à jour, moindre privilège, gestion des comptes) et sensibilisation régulière de tous les collaborateurs — dirigeants compris, la directive les vise expressément.

21.2.h  Cryptographie et chiffrement

Des politiques d'usage de la cryptographie : chiffrement des données en transit et au repos là où c'est pertinent, gestion des clés et des certificats.

21.2.i  Sécurité des ressources humaines et contrôle d'accès

Gestion des arrivées, mobilités et départs, contrôle des accès aux systèmes et aux données, gestion rigoureuse des actifs (qui possède quoi, qui accède à quoi).

21.2.j  Authentification multifacteur et communications sécurisées

MFA et authentification continue là où c'est approprié, sécurisation des communications (voix, vidéo, texte) et des communications d'urgence internes.

Ce que cela implique en pratique

Prises une à une, aucune de ces mesures n'est hors de portée d'une PME. La difficulté est ailleurs : tout repose sur la connaissance précise de votre système d'information. Impossible d'analyser les risques (a), d'assurer la continuité (c) ou de contrôler les accès (i) sans un inventaire fiable des équipements, des applications, des données et de leurs dépendances.

C'est pourquoi notre démarche commence toujours par la cartographie — automatisée par la box SKube — puis structure chaque mesure dans la plateforme, où les questionnaires suivent exactement ces dix familles. Votre dossier de conformité est ainsi organisé comme le texte lui-même : lors d'un contrôle, chaque exigence a sa réponse et sa preuve.

Où en êtes-vous sur ces 10 mesures ?

L'audit NIS2 mesure votre écart sur chacune de ces familles et vous livre un plan d'action priorisé. Premier échange gratuit de 30 minutes.