{"id":187153,"date":"2026-04-21T11:51:53","date_gmt":"2026-04-21T09:51:53","guid":{"rendered":"https:\/\/factorialhr.com\/blog\/?p=187153"},"modified":"2026-04-21T18:58:14","modified_gmt":"2026-04-21T16:58:14","slug":"checklist-nis2","status":"publish","type":"post","link":"https:\/\/factorial.fr\/blog\/checklist-nis2\/","title":{"rendered":"Checklist de la directive NIS2 : votre entreprise est-elle pr\u00eate ?"},"content":{"rendered":"<p><span data-path-to-node=\"1,1\"><span class=\"citation-635\">La directive NIS2 n&rsquo;est plus un projet d&rsquo;avenir, elle est d\u00e9j\u00e0 l\u00e0. <\/span><\/span><span data-path-to-node=\"1,4\"><span class=\"citation-634\">Des milliers d&rsquo;entreprises et de fournisseurs doivent s&rsquo;adapter \u00e0 des exigences de cybers\u00e9curit\u00e9 beaucoup plus strictes afin de prot\u00e9ger leurs syst\u00e8mes et d&rsquo;\u00e9viter d&rsquo;\u00e9ventuelles sanctions. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"1,7\"><span class=\"citation-633\">Le probl\u00e8me est qu&rsquo;il n&rsquo;est pas simple de se confronter au texte juridique. <\/span><\/span><span data-path-to-node=\"1,10\"><span class=\"citation-632\">Pour de nombreux responsables informatiques ou dirigeants, passer de la th\u00e9orie \u00e0 la pratique peut s&rsquo;av\u00e9rer confus et peu utile. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"1,13\"><span class=\"citation-631\">C&rsquo;est pourquoi nous allons simplifier les choses : vous trouverez ci-dessous une checklist NIS2 claire et pratique. <\/span><\/span><span data-path-to-node=\"1,16\"><span class=\"citation-630\">Elle inclut les 10 mesures de l&rsquo;Article 21 expliqu\u00e9es \u00e9tape par \u00e9tape afin que vous puissiez \u00e9valuer votre entreprise, d\u00e9tecter les failles et commencer \u00e0 vous y conformer d\u00e8s aujourd&rsquo;hui.<\/span><\/span><\/p>\n<h2><span data-path-to-node=\"2,0\">1. <\/span><span data-path-to-node=\"2,2\"><span class=\"citation-629\">Politiques d&rsquo;analyse des risques et de s\u00e9curit\u00e9 de l&rsquo;information<\/span><\/span><\/h2>\n<p><span data-path-to-node=\"2,5\"><span class=\"citation-628\">La premi\u00e8re \u00e9tape pour se conformer \u00e0 la directive NIS2 est de conna\u00eetre les menaces auxquelles vous \u00eates confront\u00e9. <\/span><\/span><span data-path-to-node=\"2,8\"><span class=\"citation-627\">La directive exige que la cybers\u00e9curit\u00e9 ne soit plus improvis\u00e9e, mais qu&rsquo;elle soit formellement organis\u00e9e. <\/span><\/span><span data-path-to-node=\"2,11\"><span class=\"citation-626\">Il ne suffit pas d&rsquo;installer des outils de protection, vous devez \u00e9galement savoir clairement ce que vous prot\u00e9gez et selon quelles normes. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"2,14\"><span class=\"citation-625\">Pour valider ce point de votre checklist, assurez-vous de disposer des \u00e9l\u00e9ments suivants : <\/span><\/span><\/p>\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-21\" data-path-to-node=\"3,0,1\"><span data-path-to-node=\"3,0,1,0\"><b data-path-to-node=\"3,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-624\">Inventaire des actifs :<\/span><\/b><span class=\"citation-624\"> savoir exactement quels mat\u00e9riels, logiciels, syst\u00e8mes et donn\u00e9es critiques l&rsquo;entreprise g\u00e8re. <\/span><\/span><span data-path-to-node=\"3,0,1,3\"><span class=\"citation-623\">Si vous ne savez pas ce que vous poss\u00e9dez, vous ne pouvez pas le prot\u00e9ger.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-21\" data-path-to-node=\"3,0,1\"><b data-path-to-node=\"3,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-622\">Analyse de risques p\u00e9riodique :<\/span><\/b><span class=\"citation-622\"> disposer d&rsquo;une cartographie \u00e0 jour qui identifie les vuln\u00e9rabilit\u00e9s de vos syst\u00e8mes et \u00e9value l&rsquo;impact r\u00e9el d&rsquo;une cyberattaque sur les op\u00e9rations de l&rsquo;entreprise.<\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-21\" data-path-to-node=\"3,0,1\"><b data-path-to-node=\"3,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-621\">Politique de s\u00e9curit\u00e9 de l&rsquo;information :<\/span><\/b><span class=\"citation-621\"> un document officiel approuv\u00e9 par la direction qui d\u00e9finit les r\u00e8gles et proc\u00e9dures de gestion et de protection des informations au quotidien au sein de l&rsquo;organisation.<\/span><\/p>\n<\/li>\n<\/ul>\n<h3>Exemple pratique<\/h3>\n<p>Prenez l&rsquo;exemple d&rsquo;une entreprise de taille moyenne sp\u00e9cialis\u00e9e dans la production et la distribution de produits alimentaires, un secteur consid\u00e9r\u00e9 comme essentiel par la directive NIS2. Lors de la r\u00e9vision de son inventaire, elle identifie que le syst\u00e8me industriel SCADA, charg\u00e9 de contr\u00f4ler les temp\u00e9ratures des chambres froides, est son actif le plus critique.<\/p>\n<p>L&rsquo;analyse des risques montre que si un ransomware venait \u00e0 affecter ces capteurs, la cha\u00eene du froid serait rompue, des tonnes de produits seraient perdues et la cha\u00eene d&rsquo;approvisionnement serait interrompue.<\/p>\n<p>Pour \u00e9viter cela, la direction approuve une politique de s\u00e9curit\u00e9 officielle obligeant \u00e0 isoler le r\u00e9seau des machines, de sorte qu&rsquo;il ne soit pas connect\u00e9 au Wi-Fi des bureaux, et interdit l&rsquo;utilisation de cl\u00e9s USB sur les \u00e9quipements de l&rsquo;usine.<\/p>\n<h2><span data-path-to-node=\"6,0\">2. <\/span><span data-path-to-node=\"6,2\"><span class=\"citation-615\">Protocoles de gestion et de r\u00e9ponse aux incidents<\/span><\/span><\/h2>\n<p><span data-path-to-node=\"6,5\"><span class=\"citation-614\">Subir une cyberattaque n&rsquo;est plus seulement un probl\u00e8me technique. <\/span><\/span><span data-path-to-node=\"6,8\"><span class=\"citation-613\">Avec la directive NIS2, c&rsquo;est aussi une question juridique avec des d\u00e9lais tr\u00e8s stricts. <\/span><\/span><span data-path-to-node=\"6,11\"><span class=\"citation-612\">Lorsqu&rsquo;un incident grave survient, il n&rsquo;y a pas de place pour l&rsquo;improvisation. <\/span><\/span><span data-path-to-node=\"6,14\"><span class=\"citation-611\">La directive exige que vous ayez d\u00e9fini la marche \u00e0 suivre d\u00e8s les premiers instants, qui dirige la r\u00e9ponse et qui vous devez informer. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"6,17\"><span class=\"citation-610\">Pour valider ce point, votre organisation devrait disposer des \u00e9l\u00e9ments suivants :<\/span><\/span><\/p>\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-26\" data-path-to-node=\"7,0,1\"><span data-path-to-node=\"7,0,1,0\"><b data-path-to-node=\"7,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-609\">Plan de r\u00e9ponse aux incidents :<\/span><\/b><span class=\"citation-609\"> un document pratique d\u00e9taillant \u00e9tape par \u00e9tape comment d\u00e9tecter, contenir, analyser et r\u00e9soudre une menace. <\/span><\/span><span data-path-to-node=\"7,0,1,3\"><span class=\"citation-608\">Par exemple, isoler les \u00e9quipements infect\u00e9s par un ransomware d\u00e8s les premiers instants.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-26\" data-path-to-node=\"7,0,1\"><b data-path-to-node=\"7,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-607\">R\u00f4les d\u00e9finis et cellule de crise :<\/span><\/b><span class=\"citation-607\"> il doit \u00eatre clair qui prend les d\u00e9cisions cl\u00e9s au niveau de l&rsquo;entreprise et qui est en charge de la r\u00e9ponse technique, qu&rsquo;il s&rsquo;agisse d&rsquo;une \u00e9quipe interne ou d&rsquo;un prestataire externe.<\/span><\/p>\n<\/li>\n<li><span data-path-to-node=\"7,2,1,0\"><b data-path-to-node=\"7,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-606\">Protocole de notification :<\/span><\/b><span class=\"citation-606\"> c&rsquo;est l&rsquo;un des changements majeurs de la NIS2, vous ne pouvez plus dissimuler un incident. <\/span><\/span><span data-path-to-node=\"7,2,1,3\"><span class=\"citation-605\">Vous avez besoin d&rsquo;une proc\u00e9dure claire pour notifier les autorit\u00e9s nationales [comme l&rsquo;ANSSI en France] dans les d\u00e9lais impartis :<\/span><\/span><\/li>\n<\/ul>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-29\" data-path-to-node=\"7,2,2,0,0\"><span data-path-to-node=\"7,2,2,0,0,1\"><span class=\"citation-604\">Dans les premi\u00e8res <\/span><b data-path-to-node=\"7,2,2,0,0,1\" data-index-in-node=\"19\"><span class=\"citation-604\">24 heures<\/span><\/b><span class=\"citation-604\">, une alerte pr\u00e9coce est envoy\u00e9e d\u00e8s la d\u00e9tection de l&rsquo;incident.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-29\" data-path-to-node=\"7,2,2,0,0\"><span class=\"citation-603\">Dans un d\u00e9lai maximum de <\/span><b data-path-to-node=\"7,2,2,1,0,1\" data-index-in-node=\"25\"><span class=\"citation-603\">72 heures<\/span><\/b><span class=\"citation-603\">, une notification formelle est effectu\u00e9e avec une premi\u00e8re \u00e9valuation de l&rsquo;impact.<\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-29\" data-path-to-node=\"7,2,2,0,0\"><span data-path-to-node=\"7,2,2,2,0,1\"><span class=\"citation-602\">Dans un d\u00e9lai d&rsquo;<\/span><b data-path-to-node=\"7,2,2,2,0,1\" data-index-in-node=\"16\"><span class=\"citation-602\">un mois<\/span><\/b><span class=\"citation-602\">, un rapport complet relatant les \u00e9v\u00e9nements et les mesures appliqu\u00e9es est pr\u00e9sent\u00e9.<\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><b data-path-to-node=\"9,0\" data-index-in-node=\"0\"><span class=\"citation-601\">Exemple pratique<\/span><\/b><\/h3>\n<p>Imaginez un r\u00e9seau d&rsquo;h\u00f4pitaux r\u00e9gionaux, dans le secteur de la sant\u00e9, consid\u00e9r\u00e9 comme une Entit\u00e9 Essentielle. Un vendredi \u00e0 l&rsquo;aube, un malware bloque l&rsquo;acc\u00e8s au syst\u00e8me des dossiers m\u00e9dicaux aux urgences.<\/p>\n<p>En suivant son plan de r\u00e9ponse, l&rsquo;\u00e9quipe technique intervient imm\u00e9diatement et isole les serveurs affect\u00e9s pour \u00e9viter que l&rsquo;infection ne se propage \u00e0 d&rsquo;autres centres.<\/p>\n<p>Au lieu d&rsquo;essayer de g\u00e9rer la situation en silence, le responsable de la conformit\u00e9 active le protocole. Avant que 24 heures ne s&rsquo;\u00e9coulent, il envoie une alerte pr\u00e9coce aux autorit\u00e9s nationales. En moins de 72 heures, alors que les syst\u00e8mes sont d\u00e9j\u00e0 en cours de r\u00e9tablissement, ils proc\u00e8dent \u00e0 la notification formelle avec une premi\u00e8re \u00e9valuation et confirment que la prise en charge des patients n&rsquo;a pas \u00e9t\u00e9 gravement impact\u00e9e.<\/p>\n<p>Gr\u00e2ce \u00e0 une r\u00e9ponse rapide et transparente, ils parviennent non seulement \u00e0 ma\u00eetriser l&rsquo;incident, mais ils \u00e9vitent \u00e9galement les sanctions pr\u00e9vues par la directive en cas de dissimulation.<\/p>\n<div class=\"factorial-banner inline-banner banner-other category-nis2\"\n    data-banner-id=\"187213\"\n    data-banner-type=\"other\"\n    data-category=\"NIS2\">\n    <div class=\"banner-content\">\n        <div class=\"banner-text\">\n                            <h4>Pr\u00e9parez-vous \u00e0 NIS2 avec plus de contr\u00f4le et moins de chaos<\/h4>\n            \n                            <p>Centralisez appareils, acc\u00e8s et processus IT en un seul endroit pour r\u00e9duire les t\u00e2ches manuelles et gagner en visibilit\u00e9.<\/p>\n            \n                            <a href=\"https:\/\/factorial.fr\/nis2-factorial-it#factorial-it-demo-form-nis2\"\n                    class=\"factorial-cta-button not-prose freebie\" data-cta=\"other\" data-cta-position=\"inline-banner\">\n                    En savoir plus                <\/a>\n                    <\/div>\n\n        <div class=\"banner-image has-image\">\n            <img decoding=\"async\" src=\"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/04\/21114628\/FR-sidebar-1-nis-iso.png\" class=\"not-prose\" \/>\n        <\/div>\n    <\/div>\n<\/div>\n<h2>3. Continuit\u00e9 d&rsquo;activit\u00e9, sauvegardes et gestion de crise<\/h2>\n<p>La cybers\u00e9curit\u00e9 absolue n&rsquo;existe pas. T\u00f4t ou tard, une attaque ou une d\u00e9faillance grave peut outrepasser les d\u00e9fenses. La directive NIS2 part de ce postulat et met l&rsquo;accent sur un point cl\u00e9 : que votre entreprise soit capable de continuer \u00e0 fonctionner, de prot\u00e9ger ce qui est critique et de se r\u00e9tablir rapidement sans avoir \u00e0 payer les attaquants.<\/p>\n<p>Pour consid\u00e9rer ce point de votre checklist comme valid\u00e9, vous devriez disposer des \u00e9l\u00e9ments suivants :<\/p>\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-34\" data-path-to-node=\"11,0,1\"><span data-path-to-node=\"11,0,1,0\"><b data-path-to-node=\"11,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-589\">Plan de continuit\u00e9 d&rsquo;activit\u00e9 (PCA) :<\/span><\/b><span class=\"citation-589\"> il d\u00e9finit comment l&rsquo;entreprise continuera d&rsquo;op\u00e9rer en cas de d\u00e9faillance des syst\u00e8mes. <\/span><\/span><span data-path-to-node=\"11,0,1,3\"><span class=\"citation-588\">Il inclut des sc\u00e9narios pr\u00e9voyant un travail manuel ou avec des services limit\u00e9s en attendant la r\u00e9solution de l&rsquo;incident.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-34\" data-path-to-node=\"11,0,1\"><span data-path-to-node=\"11,1,1,0\"><b data-path-to-node=\"11,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-587\">Sauvegardes immuables :<\/span><\/b><span class=\"citation-587\"> il ne suffit pas de faire de simples backups. <\/span><\/span><span data-path-to-node=\"11,1,1,3\"><span class=\"citation-586\">Elles doivent \u00eatre isol\u00e9es du r\u00e9seau principal et prot\u00e9g\u00e9es afin de ne pouvoir \u00eatre ni modifi\u00e9es ni chiffr\u00e9es en cas d&rsquo;attaque.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-34\" data-path-to-node=\"11,0,1\"><b data-path-to-node=\"11,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-585\">Plan de reprise d&rsquo;activit\u00e9 (PRA) :<\/span><\/b><span class=\"citation-585\"> un guide technique clair pour restaurer les syst\u00e8mes et les donn\u00e9es \u00e0 partir des sauvegardes et revenir \u00e0 la normale le plus rapidement possible.<\/span><\/p>\n<\/li>\n<\/ul>\n<h3>Exemple pratique<\/h3>\n<p><span data-path-to-node=\"13,3\"><span class=\"citation-583\">Imaginez une entreprise de gestion et d&rsquo;approvisionnement en eau, consid\u00e9r\u00e9e comme une entit\u00e9 essentielle. <\/span><\/span><span data-path-to-node=\"13,6\"><span class=\"citation-582\">Une cyberattaque met hors service ses serveurs centraux. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"13,9\"><span class=\"citation-581\">Gr\u00e2ce \u00e0 son plan de continuit\u00e9, les op\u00e9rateurs savent comment passer en contr\u00f4le manuel des vannes, et l&rsquo;approvisionnement de la ville n&rsquo;est pas interrompu. <\/span><\/span><span data-path-to-node=\"13,12\"><span class=\"citation-580\">En parall\u00e8le, l&rsquo;\u00e9quipe informatique d\u00e9ploie le plan de reprise. <\/span><\/span><span data-path-to-node=\"13,15\"><span class=\"citation-579\">Elle v\u00e9rifie que les sauvegardes, stock\u00e9es hors r\u00e9seau, n&rsquo;ont pas \u00e9t\u00e9 affect\u00e9es et commence \u00e0 restaurer les syst\u00e8mes. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"13,18\"><span class=\"citation-578\">En moins de 48 heures, l&rsquo;entreprise reprend un fonctionnement normal. <\/span><\/span><span data-path-to-node=\"13,21\"><span class=\"citation-577\">Il n&rsquo;a pas \u00e9t\u00e9 n\u00e9cessaire de payer les attaquants et le service \u00e0 la population a \u00e9t\u00e9 maintenu tout au long de l&rsquo;incident. <\/span><\/span><\/p>\n<h2><span data-path-to-node=\"14,0\">4. <\/span><span data-path-to-node=\"14,2\"><span class=\"citation-576\">S\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement<\/span><\/span><\/h2>\n<p>Il s&rsquo;agit de l&rsquo;un des changements les plus importants de la NIS2. Prot\u00e9ger votre entreprise ne sert pas \u00e0 grand-chose si les fournisseurs avec lesquels vous travaillez constituent le maillon faible. La r\u00e9glementation \u00e9largit son champ d&rsquo;action et vous oblige \u00e0 prendre en compte les risques introduits par les tiers, qu&rsquo;il s&rsquo;agisse de votre fournisseur cloud ou de toute autre entreprise ayant acc\u00e8s \u00e0 vos syst\u00e8mes.<\/p>\n<p>Pour vous conformer \u00e0 cette exigence, vous devez ma\u00eetriser les points suivants :<\/p>\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-39\" data-path-to-node=\"15,0,1\"><span data-path-to-node=\"15,0,1,0\"><b data-path-to-node=\"15,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-571\">Inventaire des prestataires critiques :<\/span><\/b><span class=\"citation-571\"> identifier quelles entreprises externes ont acc\u00e8s \u00e0 vos syst\u00e8mes, r\u00e9seaux ou donn\u00e9es sensibles. <\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-39\" data-path-to-node=\"15,0,1\"><span data-path-to-node=\"15,1,1,0\"><b data-path-to-node=\"15,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-570\">\u00c9valuation des risques li\u00e9s aux tiers :<\/span><\/b><span class=\"citation-570\"> demander aux fournisseurs de prouver leur niveau de cybers\u00e9curit\u00e9 avant de signer ou de renouveler un contrat. <\/span><\/span><span data-path-to-node=\"15,1,1,3\"><span class=\"citation-569\">Cela peut se faire par le biais de questionnaires, d&rsquo;audits ou de certifications telles que l&rsquo;ISO 27001. <\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-39\" data-path-to-node=\"15,0,1\"><span data-path-to-node=\"15,2,1,0\"><b data-path-to-node=\"15,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-568\">Clauses contractuelles de s\u00e9curit\u00e9 :<\/span><\/b><span class=\"citation-568\"> int\u00e9grer des obligations claires dans les contrats. <\/span><\/span><span data-path-to-node=\"15,2,1,3\"><span class=\"citation-567\">Par exemple, exiger que le fournisseur signale tout incident dans un d\u00e9lai imparti ou qu&rsquo;il garantisse des mesures telles que le chiffrement des informations. <\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<h3>Exemple pratique<\/h3>\n<p>Imaginez une grande entreprise de gestion des d\u00e9chets, consid\u00e9r\u00e9e comme une entit\u00e9 importante. Elle utilise un logiciel externe pour optimiser les itin\u00e9raires de collecte.<\/p>\n<p>Dans le cadre de son adaptation \u00e0 la NIS2, l&rsquo;\u00e9quipe des achats r\u00e9vise sa politique conjointement avec la direction. Avant de renouveler le contrat, elle exige du fournisseur qu&rsquo;il prouve la r\u00e9alisation r\u00e9guli\u00e8re de tests de s\u00e9curit\u00e9.<\/p>\n<p>De plus, elle ajoute une clause obligeant le fournisseur \u00e0 notifier toute faille en moins de 12 heures. S&rsquo;il ne remplit pas ces exigences, l&rsquo;entreprise d\u00e9cide de ne pas renouveler le contrat et se tourne vers une alternative plus s\u00fbre.<\/p>\n<h2><span data-path-to-node=\"18,0\">5. <\/span><span data-path-to-node=\"18,2\"><span class=\"citation-559\">S\u00e9curit\u00e9 dans l&rsquo;acquisition, le d\u00e9veloppement et la maintenance <\/span><\/span><\/h2>\n<p><span data-path-to-node=\"18,4\">La s\u00e9curit\u00e9 ne peut \u00eatre ajout\u00e9e \u00e0 la fin comme un simple correctif. <\/span><span data-path-to-node=\"18,6\"><span class=\"citation-558\">Elle doit \u00eatre pr\u00e9sente d\u00e8s le d\u00e9part. <\/span><\/span><span data-path-to-node=\"18,9\"><span class=\"citation-557\">La NIS2 insiste sur cette approche (security by design) et exige l&rsquo;application de contr\u00f4les de cybers\u00e9curit\u00e9 \u00e0 chaque fois que vous achetez de la technologie, d\u00e9veloppez des logiciels ou mettez \u00e0 jour des syst\u00e8mes. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"18,12\"><span class=\"citation-556\">Pour r\u00e9pondre \u00e0 ce point, l&rsquo;organisation devrait s&rsquo;assurer des \u00e9l\u00e9ments suivants : <\/span><\/span><\/p>\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-44\" data-path-to-node=\"19,0,1\"><span data-path-to-node=\"19,0,1,0\"><b data-path-to-node=\"19,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-555\">Gestion des vuln\u00e9rabilit\u00e9s et des correctifs :<\/span><\/b><span class=\"citation-555\"> disposer d&rsquo;un processus clair pour appliquer les mises \u00e0 jour critiques le plus rapidement possible. <\/span><\/span><span data-path-to-node=\"19,0,1,3\"><span class=\"citation-554\">Qu&rsquo;il soit automatis\u00e9 ou planifi\u00e9, l&rsquo;objectif est d&rsquo;\u00e9viter que les failles connues ne deviennent une porte d&rsquo;entr\u00e9e pour les attaquants.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-44\" data-path-to-node=\"19,0,1\"><span data-path-to-node=\"19,1,1,0\"><b data-path-to-node=\"19,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-553\">Politiques d&rsquo;acquisition s\u00e9curis\u00e9e :<\/span><\/b><span class=\"citation-553\"> avant d&rsquo;int\u00e9grer tout \u00e9quipement ou logiciel, l&rsquo;\u00e9quipe informatique doit v\u00e9rifier qu&rsquo;il r\u00e9pond \u00e0 des crit\u00e8res de s\u00e9curit\u00e9 minimaux. <\/span><\/span><span data-path-to-node=\"19,1,1,3\"><span class=\"citation-552\">Par exemple, en s&rsquo;assurant qu&rsquo;il ne comporte pas de mots de passe par d\u00e9faut ni de configurations non s\u00e9curis\u00e9es.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-44\" data-path-to-node=\"19,0,1\"><b data-path-to-node=\"19,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-551\">D\u00e9veloppement s\u00e9curis\u00e9 :<\/span><\/b><span class=\"citation-551\"> si l&rsquo;entreprise d\u00e9veloppe ses propres logiciels, il est essentiel que les \u00e9quipes suivent les bonnes pratiques d\u00e8s le d\u00e9but pour \u00e9viter les vuln\u00e9rabilit\u00e9s courantes.<\/span><\/p>\n<\/li>\n<\/ul>\n<h3><span data-path-to-node=\"21,0\"><b data-path-to-node=\"21,0\" data-index-in-node=\"0\"><span class=\"citation-550\">Exemple pratique<\/span><\/b> <\/span><\/h3>\n<p><span data-path-to-node=\"21,2\">Imaginez une entreprise de transport ferroviaire, consid\u00e9r\u00e9e comme une entit\u00e9 essentielle. <\/span><span data-path-to-node=\"21,4\"><span class=\"citation-549\">Elle d\u00e9cide d&rsquo;installer de nouvelles cam\u00e9ras de vid\u00e9osurveillance connect\u00e9es au r\u00e9seau dans ses gares. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"21,7\"><span class=\"citation-548\">Avant de les d\u00e9ployer, l&rsquo;\u00e9quipe de cybers\u00e9curit\u00e9 examine les appareils et d\u00e9tecte un probl\u00e8me. <\/span><\/span><span data-path-to-node=\"21,10\"><span class=\"citation-547\">Les cam\u00e9ras int\u00e8grent un mot de passe d&rsquo;usine connu et ne permettent pas de le modifier. <\/span><\/span><span data-path-to-node=\"21,13\"><span class=\"citation-546\">Face \u00e0 ce risque, elle refuse l&rsquo;achat et exige un mod\u00e8le permettant la gestion des identifiants et la r\u00e9ception de mises \u00e0 jour de s\u00e9curit\u00e9. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"21,16\"><span class=\"citation-545\">Parall\u00e8lement, l&rsquo;entreprise a mis en place un syst\u00e8me permettant aux serveurs g\u00e9rant la billetterie de se mettre \u00e0 jour automatiquement d\u00e8s l&rsquo;apparition de correctifs critiques. <\/span><\/span><span data-path-to-node=\"21,19\"><span class=\"citation-544\">De cette mani\u00e8re, elle r\u00e9duit au minimum la dur\u00e9e pendant laquelle elle peut \u00eatre expos\u00e9e.<\/span><\/span><\/p>\n<h2><span data-path-to-node=\"22,0\">6. <\/span><span data-path-to-node=\"22,2\"><span class=\"citation-543\">Politiques d&rsquo;\u00e9valuation de l&rsquo;efficacit\u00e9 des mesures de s\u00e9curit\u00e9<\/span><\/span><\/h2>\n<p>L&rsquo;installation d&rsquo;un pare-feu ou la possession d&rsquo;un manuel ne suffisent pas si vous ne v\u00e9rifiez pas r\u00e9guli\u00e8rement que tout fonctionne comme il se doit. La NIS2 met l&rsquo;accent sur l&rsquo;am\u00e9lioration continue. Vous ne pouvez pas consid\u00e9rer votre s\u00e9curit\u00e9 comme un fait acquis, vous devez la tester et prouver, donn\u00e9es \u00e0 l&rsquo;appui, qu&rsquo;elle demeure efficace face aux nouvelles menaces.<\/p>\n<p>Pour vous conformer \u00e0 cette exigence, votre checklist devrait inclure les \u00e9l\u00e9ments suivants :<\/p>\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-49\" data-path-to-node=\"23,0,1\"><span data-path-to-node=\"23,0,1,0\"><b data-path-to-node=\"23,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-539\">Audits de s\u00e9curit\u00e9 r\u00e9guliers :<\/span><\/b><span class=\"citation-539\"> des examens internes et externes permettant de valider le respect des politiques et le niveau r\u00e9el de protection.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-49\" data-path-to-node=\"23,0,1\"><span data-path-to-node=\"23,1,1,0\"><b data-path-to-node=\"23,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-538\">Tests d&rsquo;intrusion (pentests) et analyses de vuln\u00e9rabilit\u00e9s :<\/span><\/b><span class=\"citation-538\"> simuler des attaques contr\u00f4l\u00e9es contre vos syst\u00e8mes pour identifier les points d&rsquo;entr\u00e9e qu&rsquo;un v\u00e9ritable attaquant pourrait exploiter.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-49\" data-path-to-node=\"23,0,1\"><span data-path-to-node=\"23,2,1,0\"><b data-path-to-node=\"23,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-537\">Indicateurs (m\u00e9triques) pour la direction :<\/span><\/b><span class=\"citation-537\"> des rapports clairs et r\u00e9guliers pr\u00e9sentant l&rsquo;\u00e9tat de la s\u00e9curit\u00e9, les risques d\u00e9tect\u00e9s et les temps de r\u00e9ponse. <\/span><\/span><span data-path-to-node=\"23,2,1,3\"><span class=\"citation-536\">La direction doit avoir de la visibilit\u00e9 car elle porte la responsabilit\u00e9 finale.<\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<h3><span data-path-to-node=\"25,0\"><b data-path-to-node=\"25,0\" data-index-in-node=\"0\"><span class=\"citation-535\">Exemple pratique<\/span><\/b> <\/span><\/h3>\n<p><span data-path-to-node=\"25,2\">Imaginez une institution bancaire ou de cr\u00e9dit. <\/span><span data-path-to-node=\"25,4\"><span class=\"citation-534\">Elle vient de lancer une nouvelle application mobile pour ses clients. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"25,7\"><span class=\"citation-533\">Pour valider sa s\u00e9curit\u00e9, elle ne se contente pas de faire confiance au d\u00e9veloppement interne et fait appel \u00e0 une \u00e9quipe externe pour tester l&rsquo;application. <\/span><\/span><span data-path-to-node=\"25,10\"><span class=\"citation-532\">Lors de la simulation, ils d\u00e9tectent une faille permettant de contourner la connexion. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"25,13\"><span class=\"citation-531\">Le probl\u00e8me est corrig\u00e9 avant d&rsquo;affecter le moindre utilisateur et le responsable de la s\u00e9curit\u00e9 pr\u00e9sente les r\u00e9sultats \u00e0 la direction. <\/span><\/span><span data-path-to-node=\"25,16\"><span class=\"citation-530\">Cela permet non seulement d&rsquo;am\u00e9liorer la protection, mais aussi de justifier l&rsquo;investissement dans la cybers\u00e9curit\u00e9 avec des donn\u00e9es concr\u00e8tes.<\/span><\/span><\/p>\n<h2><span data-path-to-node=\"26,0\">7. <\/span><span data-path-to-node=\"26,2\"><span class=\"citation-529\">Pratiques de base d&rsquo;hygi\u00e8ne informatique et formation continue <\/span><\/span><\/h2>\n<p><span data-path-to-node=\"26,5\"><span class=\"citation-528\">Le point faible de nombreuses entreprises ne se situe pas dans la technologie, mais chez les personnes. <\/span><\/span><span data-path-to-node=\"26,8\"><span class=\"citation-527\">La NIS2 met l&rsquo;accent sur la formation et exige que les employ\u00e9s tout comme les dirigeants sachent identifier les menaces et adopter un comportement s\u00e9curis\u00e9 au quotidien. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"26,11\"><span class=\"citation-526\">Pour valider ce point, l&rsquo;organisation devrait s&rsquo;assurer des \u00e9l\u00e9ments suivants : <\/span><\/span><\/p>\n<ul>\n<li>\n<p data-path-to-node=\"27,0,1\"><span data-path-to-node=\"27,0,1,0\"><b data-path-to-node=\"27,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-525\">Formation continue en cybers\u00e9curit\u00e9 :<\/span><\/b><span class=\"citation-525\"> des programmes adapt\u00e9s \u00e0 chaque profil pour apprendre \u00e0 d\u00e9tecter les risques tels que le phishing ou l&rsquo;ing\u00e9nierie sociale.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p data-path-to-node=\"27,0,1\"><b data-path-to-node=\"27,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-524\">Simulations de phishing :<\/span><\/b><span class=\"citation-524\"> l&rsquo;envoi d&rsquo;e-mails contr\u00f4l\u00e9s pour \u00e9valuer le comportement des employ\u00e9s et renforcer la sensibilisation de mani\u00e8re pratique.<\/span><\/p>\n<\/li>\n<li>\n<p data-path-to-node=\"27,0,1\"><b data-path-to-node=\"27,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-523\">Bonnes pratiques quotidiennes :<\/span><\/b><span class=\"citation-523\"> des r\u00e8gles claires concernant l&rsquo;utilisation de mots de passe robustes, le verrouillage des appareils, l&rsquo;utilisation des r\u00e9seaux et le traitement des informations sensibles.<\/span><\/p>\n<\/li>\n<\/ul>\n<h3><span data-path-to-node=\"29,0\"><b data-path-to-node=\"29,0\" data-index-in-node=\"0\"><span class=\"citation-522\">Exemple pratique<\/span><\/b> <\/span><\/h3>\n<p><span data-path-to-node=\"29,2\">Imaginez une grande entreprise du secteur de l&rsquo;\u00e9nergie. <\/span><span data-path-to-node=\"29,4\"><span class=\"citation-521\">Un employ\u00e9 re\u00e7oit un e-mail urgent semblant provenir du directeur g\u00e9n\u00e9ral, demandant un virement et le t\u00e9l\u00e9chargement d&rsquo;une pi\u00e8ce jointe. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"29,7\"><span class=\"citation-520\">Gr\u00e2ce \u00e0 une formation r\u00e9cente, il rep\u00e8re une l\u00e9g\u00e8re anomalie dans le nom de domaine de l&rsquo;e-mail. <\/span><\/span><span data-path-to-node=\"29,10\"><span class=\"citation-519\">Au lieu d&rsquo;interagir avec le message, il le signale \u00e0 l&rsquo;\u00e9quipe informatique. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"29,13\"><span class=\"citation-518\">Ce simple geste emp\u00eache l&rsquo;intrusion d&rsquo;un malware sur le r\u00e9seau de l&rsquo;entreprise et bloque une \u00e9ventuelle attaque avant qu&rsquo;elle n&rsquo;ait un impact r\u00e9el.<\/span><\/span><\/p>\n<h2><span data-path-to-node=\"30,0\">8. <\/span><span data-path-to-node=\"30,2\"><span class=\"citation-517\">Proc\u00e9dures d&rsquo;utilisation de la cryptographie et du chiffrement des donn\u00e9es<\/span><\/span><\/h2>\n<p>Si un attaquant parvient \u00e0 acc\u00e9der \u00e0 vos informations, le chiffrement fait toute la diff\u00e9rence entre un incident ma\u00eetris\u00e9 et un probl\u00e8me grave. La NIS2 exige la protection des donn\u00e9es sensibles \u00e0 tout moment, qu&rsquo;elles soient stock\u00e9es ou en cours de transmission.<\/p>\n<p>Pour valider ce point, l&rsquo;organisation devrait s&rsquo;assurer des \u00e9l\u00e9ments suivants :<\/p>\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-59\" data-path-to-node=\"31,0,1\"><span data-path-to-node=\"31,0,1,0\"><b data-path-to-node=\"31,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-513\">Chiffrement des donn\u00e9es stock\u00e9es :<\/span><\/b><span class=\"citation-513\"> les ordinateurs portables, bases de donn\u00e9es et appareils mobiles doivent \u00eatre prot\u00e9g\u00e9s par un chiffrement. <\/span><\/span><span data-path-to-node=\"31,0,1,3\"><span class=\"citation-512\">Ainsi, en cas de perte ou de vol d&rsquo;un \u00e9quipement, les informations restent inaccessibles.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-59\" data-path-to-node=\"31,0,1\"><span data-path-to-node=\"31,1,1,0\"><b data-path-to-node=\"31,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-511\">Chiffrement des donn\u00e9es en transit :<\/span><\/b><span class=\"citation-511\"> utilisation de protocoles s\u00e9curis\u00e9s pour les communications et de connexions prot\u00e9g\u00e9es pour les acc\u00e8s \u00e0 distance. <\/span><\/span><span data-path-to-node=\"31,1,1,3\"><span class=\"citation-510\">Cela emp\u00eache que les informations soient intercept\u00e9es lorsqu&rsquo;elles transitent sur le r\u00e9seau.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-59\" data-path-to-node=\"31,0,1\"><span data-path-to-node=\"31,2,1,0\"><b data-path-to-node=\"31,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-509\">Gestion s\u00e9curis\u00e9e des cl\u00e9s :<\/span><\/b><span class=\"citation-509\"> d\u00e9finir comment sont cr\u00e9\u00e9es, stock\u00e9es et renouvel\u00e9es les cl\u00e9s prot\u00e9geant les donn\u00e9es. <\/span><\/span><span data-path-to-node=\"31,2,1,3\"><span class=\"citation-508\">Sans une gestion rigoureuse, le chiffrement perd une grande partie de sa valeur.<\/span><\/span><\/p>\n<\/li>\n<\/ul>\n<h3><span data-path-to-node=\"33,0\"><b data-path-to-node=\"33,0\" data-index-in-node=\"0\"><span class=\"citation-507\">Exemple pratique<\/span><\/b> <\/span><\/h3>\n<p><span data-path-to-node=\"33,3\"><span class=\"citation-506\">Imaginez un laboratoire pharmaceutique qui doit envoyer la formule d&rsquo;un nouveau m\u00e9dicament depuis son si\u00e8ge social vers une usine de production. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"33,6\"><span class=\"citation-505\">Pour le faire en toute s\u00e9curit\u00e9, ils utilisent un canal chiffr\u00e9 qui prot\u00e8ge l&rsquo;information pendant le transfert. <\/span><\/span><span data-path-to-node=\"33,9\"><span class=\"citation-504\">De plus, les syst\u00e8mes o\u00f9 cette formule est stock\u00e9e sont \u00e9galement chiffr\u00e9s. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"33,12\"><span class=\"citation-503\">Quelques semaines plus tard, le vol d&rsquo;un disque dur survient dans l&rsquo;usine. <\/span><\/span><span data-path-to-node=\"33,15\"><span class=\"citation-502\">Cependant, les donn\u00e9es sont illisibles car elles sont prot\u00e9g\u00e9es et les cl\u00e9s sont g\u00e9r\u00e9es correctement. <\/span><\/span><span data-path-to-node=\"33,18\"><span class=\"citation-501\">L&rsquo;incident se limite \u00e0 la perte mat\u00e9rielle de l&rsquo;\u00e9quipement et \u00e9vite un probl\u00e8me bien plus grave li\u00e9 \u00e0 la fuite d&rsquo;informations critiques.<\/span><\/span><\/p>\n<h2>9. S\u00e9curit\u00e9 des RH, contr\u00f4le d&rsquo;acc\u00e8s et gestion des actifs<\/h2>\n<p><span data-path-to-node=\"34,5\"><span class=\"citation-499\">De nombreuses failles de s\u00e9curit\u00e9 ne proviennent pas de hackers sophistiqu\u00e9s, mais d&rsquo;erreurs internes : un ancien employ\u00e9 ayant conserv\u00e9 un acc\u00e8s actif ou un collaborateur disposant d&rsquo;autorisations inutiles peut causer des d\u00e9g\u00e2ts consid\u00e9rables. <\/span><\/span><span data-path-to-node=\"34,8\"><span class=\"citation-498\">La NIS2 impose de contr\u00f4ler qui acc\u00e8de \u00e0 vos syst\u00e8mes, ce qu&rsquo;ils peuvent y faire et de quelle mani\u00e8re leurs acc\u00e8s sont r\u00e9voqu\u00e9s lorsqu&rsquo;ils s&rsquo;en vont. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"34,11\"><span class=\"citation-497\">Pour vous conformer \u00e0 ce point, votre checklist devrait inclure : <\/span><\/span><\/p>\n<ul>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-64\" data-path-to-node=\"35,0,1\"><span data-path-to-node=\"35,0,1,0\"><b data-path-to-node=\"35,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-496\">Politiques strictes d&rsquo;arriv\u00e9es et de d\u00e9parts (onboarding\/offboarding) :<\/span><\/b><span class=\"citation-496\"> automatiser les processus pour que, d\u00e8s le d\u00e9part d&rsquo;un employ\u00e9, tous ses identifiants, acc\u00e8s et comptes soient imm\u00e9diatement r\u00e9voqu\u00e9s.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-64\" data-path-to-node=\"35,0,1\"><span data-path-to-node=\"35,1,1,0\"><b data-path-to-node=\"35,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-495\">Principe de moindre privil\u00e8ge :<\/span><\/b><span class=\"citation-495\"> chaque employ\u00e9 ne doit avoir acc\u00e8s qu&rsquo;aux informations et syst\u00e8mes strictement n\u00e9cessaires \u00e0 son travail. <\/span><\/span><span data-path-to-node=\"35,1,1,3\"><span class=\"citation-494\">Cela limite le risque d&rsquo;erreurs ou d&rsquo;abus en interne.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p id=\"p-rc_45e0b096a82a40fa-64\" data-path-to-node=\"35,0,1\"><b data-path-to-node=\"35,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-493\">Gestion des actifs d&rsquo;entreprise :<\/span><\/b><span class=\"citation-493\"> utiliser des logiciels permettant de contr\u00f4ler, bloquer ou effacer \u00e0 distance les ordinateurs portables et t\u00e9l\u00e9phones mobiles professionnels en cas de perte ou de vol.<\/span><\/p>\n<\/li>\n<\/ul>\n<h3><span data-path-to-node=\"37,0\"><b data-path-to-node=\"37,0\" data-index-in-node=\"0\"><span class=\"citation-492\">Exemple pratique<\/span><\/b> <\/span><\/h3>\n<div class=\"source-inline-chip-container ng-star-inserted\"><span data-path-to-node=\"37,2\">Imaginez un grand port de fret. <\/span><span data-path-to-node=\"37,4\"><span class=\"citation-491\">Un op\u00e9rateur de grues automatis\u00e9es est licenci\u00e9 pour faute. <\/span><\/span><\/div>\n<div><\/div>\n<div class=\"source-inline-chip-container ng-star-inserted\"><span data-path-to-node=\"37,7\"><span class=\"citation-490\">Gr\u00e2ce au processus d&rsquo;offboarding automatique, les Ressources Humaines pr\u00e9viennent l&rsquo;informatique et ses identifiants sont r\u00e9voqu\u00e9s instantan\u00e9ment. <\/span><\/span><span data-path-to-node=\"37,10\"><span class=\"citation-489\">De plus, le principe de moindre privil\u00e8ge garantit que, lorsqu&rsquo;il \u00e9tait actif, l&#8217;employ\u00e9 n&rsquo;avait pas acc\u00e8s aux syst\u00e8mes de facturation ni aux bases de donn\u00e9es des douanes. <\/span><\/span><\/div>\n<div><\/div>\n<div class=\"source-inline-chip-container ng-star-inserted\"><span data-path-to-node=\"37,13\"><span class=\"citation-488\">Si l&rsquo;entreprise n&rsquo;avait pas mis en place ces mesures, l&#8217;employ\u00e9 aurait pu se connecter depuis chez lui et saboter les syst\u00e8mes, paralysant des centaines de conteneurs.<\/span><\/span><\/div>\n<div><\/div>\n<h2><span data-path-to-node=\"38,0\">10. <\/span><span data-path-to-node=\"38,2\"><span class=\"citation-487\">Utilisation de l&rsquo;authentification multifacteur (MFA) et communications s\u00e9curis\u00e9es<\/span><\/span><\/h2>\n<p><span data-path-to-node=\"38,5\"><span class=\"citation-486\">Les mots de passe ne suffisent plus \u00e0 eux seuls pour prot\u00e9ger les syst\u00e8mes critiques. <\/span><\/span><span data-path-to-node=\"38,8\"><span class=\"citation-485\">La NIS2 exige des couches de s\u00e9curit\u00e9 suppl\u00e9mentaires pour v\u00e9rifier l&rsquo;identit\u00e9 des utilisateurs, ainsi que des canaux de communication ne pouvant \u00eatre intercept\u00e9s, en particulier lors de la gestion des incidents. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"38,11\"><span class=\"citation-484\">Pour compl\u00e9ter ce point de la checklist, l&rsquo;organisation devrait mettre en \u0153uvre : <\/span><\/span><\/p>\n<ul>\n<li>\n<p data-path-to-node=\"39,0,1\"><span data-path-to-node=\"39,0,1,0\"><b data-path-to-node=\"39,0,1,0\" data-index-in-node=\"0\"><span class=\"citation-483\">Authentification multifacteur (MFA) :<\/span><\/b><span class=\"citation-483\"> v\u00e9rification en deux \u00e9tapes via des applications, des SMS ou des cl\u00e9s de s\u00e9curit\u00e9 physiques pour tous les acc\u00e8s au r\u00e9seau, en donnant la priorit\u00e9 aux connexions VPN, au t\u00e9l\u00e9travail et aux comptes administrateurs.<\/span><\/span><\/p>\n<\/li>\n<li>\n<p data-path-to-node=\"39,0,1\"><b data-path-to-node=\"39,1,1,0\" data-index-in-node=\"0\"><span class=\"citation-482\">Communications internes chiffr\u00e9es :<\/span><\/b><span class=\"citation-482\"> les messageries instantan\u00e9es, appels et visioconf\u00e9rences professionnels doivent \u00eatre prot\u00e9g\u00e9s par un chiffrement de bout en bout afin de maintenir la confidentialit\u00e9 des informations.<\/span><\/p>\n<\/li>\n<li>\n<p data-path-to-node=\"39,0,1\"><b data-path-to-node=\"39,2,1,0\" data-index-in-node=\"0\"><span class=\"citation-481\">Canaux de communication alternatifs d&rsquo;urgence :<\/span><\/b><span class=\"citation-481\"> disposer d&rsquo;un syst\u00e8me de secours s\u00e9curis\u00e9 pour coordonner la r\u00e9ponse en cas de cyberattaque venant interrompre les services habituels.<\/span><\/p>\n<\/li>\n<\/ul>\n<h3><span data-path-to-node=\"41,0\"><b data-path-to-node=\"41,0\" data-index-in-node=\"0\"><span class=\"citation-480\">Exemple pratique<\/span><\/b> <\/span><\/h3>\n<p><span data-path-to-node=\"41,2\">Imaginez un fournisseur de services cloud. <\/span><span data-path-to-node=\"41,4\"><span class=\"citation-479\">Un attaquant parvient \u00e0 voler le mot de passe administrateur d&rsquo;un ing\u00e9nieur via un phishing. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"41,7\"><span class=\"citation-478\">Lorsqu&rsquo;il tente d&rsquo;acc\u00e9der aux serveurs depuis un autre pays, le syst\u00e8me exige la MFA, que seul l&rsquo;ing\u00e9nieur peut approuver depuis son t\u00e9l\u00e9phone portable, bloquant ainsi l&rsquo;acc\u00e8s. <\/span><\/span><\/p>\n<p><span data-path-to-node=\"41,10\"><span class=\"citation-477\">L&rsquo;ing\u00e9nieur alerte la cellule de crise et l&rsquo;\u00e9quipe technique se coordonne via un canal chiffr\u00e9 alternatif, emp\u00eachant ainsi l&rsquo;attaquant, qui pourrait surveiller les e-mails, d&rsquo;interf\u00e9rer dans la strat\u00e9gie de d\u00e9fense.<\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La directive NIS2 n&rsquo;est plus un projet d&rsquo;avenir, elle est d\u00e9j\u00e0 l\u00e0. Des milliers d&rsquo;entreprises et de fournisseurs doivent s&rsquo;adapter \u00e0 des exigences de cybers\u00e9curit\u00e9 beaucoup plus strictes afin de prot\u00e9ger leurs syst\u00e8mes et d&rsquo;\u00e9viter d&rsquo;\u00e9ventuelles sanctions. Le probl\u00e8me est qu&rsquo;il n&rsquo;est pas simple de se confronter au texte juridique. Pour de nombreux responsables informatiques<a href=\"https:\/\/factorial.fr\/blog\/checklist-nis2\/\" class=\"read-more\"> [&#8230;]<\/a><\/p>\n","protected":false},"author":352,"featured_media":187171,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1058],"tags":[],"class_list":["post-187153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nis2-fr"],"acf":{"topics":"factorial-it"},"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v21.5 (Yoast SEO v21.9.1) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Checklist de la directive NIS2 | Factorial<\/title>\n<meta name=\"description\" content=\"Checklist NIS2 : 10 \u00e9tapes pratiques pour auditer votre entreprise, prot\u00e9ger vos syst\u00e8mes et respecter la r\u00e9glementation sans sanctions.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/factorial.fr\/blog\/checklist-nis2\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Checklist de la directive NIS2 : votre entreprise est-elle pr\u00eate ?\" \/>\n<meta property=\"og:description\" content=\"Checklist NIS2 : 10 \u00e9tapes pratiques pour auditer votre entreprise, prot\u00e9ger vos syst\u00e8mes et respecter la r\u00e9glementation sans sanctions.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/factorial.fr\/blog\/checklist-nis2\/\" \/>\n<meta property=\"og:site_name\" content=\"Factorial\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-04-21T09:51:53+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-04-21T16:58:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/factorial.fr\/wp-content\/uploads\/2026\/04\/21115138\/checklist-directive-nis2.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1800\" \/>\n\t<meta property=\"og:image:height\" content=\"976\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Enrique Quiroga\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@factorialapp\" \/>\n<meta name=\"twitter:site\" content=\"@factorialapp\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Enrique Quiroga\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"13 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/factorial.fr\/blog\/checklist-nis2\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/factorial.fr\/blog\/checklist-nis2\/\"},\"author\":{\"name\":\"Enrique Quiroga\",\"@id\":\"https:\/\/factorial.fr\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014\"},\"headline\":\"Checklist de la directive NIS2 : votre entreprise est-elle pr\u00eate ?\",\"datePublished\":\"2026-04-21T09:51:53+00:00\",\"dateModified\":\"2026-04-21T16:58:14+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/factorial.fr\/blog\/checklist-nis2\/\"},\"wordCount\":3432,\"publisher\":{\"@id\":\"https:\/\/factorial.fr\/blog\/#organization\"},\"articleSection\":[\"NIS2\"],\"inLanguage\":\"fr-FR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/factorial.fr\/blog\/checklist-nis2\/\",\"url\":\"https:\/\/factorial.fr\/blog\/checklist-nis2\/\",\"name\":\"Checklist de la directive NIS2 | Factorial\",\"isPartOf\":{\"@id\":\"https:\/\/factorial.fr\/blog\/#website\"},\"datePublished\":\"2026-04-21T09:51:53+00:00\",\"dateModified\":\"2026-04-21T16:58:14+00:00\",\"description\":\"Checklist NIS2 : 10 \u00e9tapes pratiques pour auditer votre entreprise, prot\u00e9ger vos syst\u00e8mes et respecter la r\u00e9glementation sans sanctions.\",\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/factorial.fr\/blog\/checklist-nis2\/\"]}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/factorial.fr\/blog\/#website\",\"url\":\"https:\/\/factorial.fr\/blog\/\",\"name\":\"Factorial\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\/\/factorial.fr\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/factorial.fr\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/factorial.fr\/blog\/#organization\",\"name\":\"All-in-one business management software - Factorial\",\"url\":\"https:\/\/factorial.fr\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/factorial.fr\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/factorial.fr\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png\",\"contentUrl\":\"https:\/\/factorial.fr\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png\",\"width\":946,\"height\":880,\"caption\":\"All-in-one business management software - Factorial\"},\"image\":{\"@id\":\"https:\/\/factorial.fr\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/\",\"https:\/\/twitter.com\/factorialapp\",\"https:\/\/www.linkedin.com\/company\/factorialhr\",\"https:\/\/www.youtube.com\/@factorialmedia\",\"https:\/\/www.instagram.com\/factorial\/#\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/factorial.fr\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014\",\"name\":\"Enrique Quiroga\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/factorial.fr\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g\",\"caption\":\"Enrique Quiroga\"},\"url\":\"https:\/\/factorial.fr\/blog\/author\/enrique-quiroga\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Checklist de la directive NIS2 | Factorial","description":"Checklist NIS2 : 10 \u00e9tapes pratiques pour auditer votre entreprise, prot\u00e9ger vos syst\u00e8mes et respecter la r\u00e9glementation sans sanctions.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/factorial.fr\/blog\/checklist-nis2\/","og_locale":"fr_FR","og_type":"article","og_title":"Checklist de la directive NIS2 : votre entreprise est-elle pr\u00eate ?","og_description":"Checklist NIS2 : 10 \u00e9tapes pratiques pour auditer votre entreprise, prot\u00e9ger vos syst\u00e8mes et respecter la r\u00e9glementation sans sanctions.","og_url":"https:\/\/factorial.fr\/blog\/checklist-nis2\/","og_site_name":"Factorial","article_publisher":"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/","article_published_time":"2026-04-21T09:51:53+00:00","article_modified_time":"2026-04-21T16:58:14+00:00","og_image":[{"width":1800,"height":976,"url":"https:\/\/factorial.fr\/wp-content\/uploads\/2026\/04\/21115138\/checklist-directive-nis2.png","type":"image\/png"}],"author":"Enrique Quiroga","twitter_card":"summary_large_image","twitter_creator":"@factorialapp","twitter_site":"@factorialapp","twitter_misc":{"Written by":"Enrique Quiroga","Est. reading time":"13 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/factorial.fr\/blog\/checklist-nis2\/#article","isPartOf":{"@id":"https:\/\/factorial.fr\/blog\/checklist-nis2\/"},"author":{"name":"Enrique Quiroga","@id":"https:\/\/factorial.fr\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014"},"headline":"Checklist de la directive NIS2 : votre entreprise est-elle pr\u00eate ?","datePublished":"2026-04-21T09:51:53+00:00","dateModified":"2026-04-21T16:58:14+00:00","mainEntityOfPage":{"@id":"https:\/\/factorial.fr\/blog\/checklist-nis2\/"},"wordCount":3432,"publisher":{"@id":"https:\/\/factorial.fr\/blog\/#organization"},"articleSection":["NIS2"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/factorial.fr\/blog\/checklist-nis2\/","url":"https:\/\/factorial.fr\/blog\/checklist-nis2\/","name":"Checklist de la directive NIS2 | Factorial","isPartOf":{"@id":"https:\/\/factorial.fr\/blog\/#website"},"datePublished":"2026-04-21T09:51:53+00:00","dateModified":"2026-04-21T16:58:14+00:00","description":"Checklist NIS2 : 10 \u00e9tapes pratiques pour auditer votre entreprise, prot\u00e9ger vos syst\u00e8mes et respecter la r\u00e9glementation sans sanctions.","inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/factorial.fr\/blog\/checklist-nis2\/"]}]},{"@type":"WebSite","@id":"https:\/\/factorial.fr\/blog\/#website","url":"https:\/\/factorial.fr\/blog\/","name":"Factorial","description":"","publisher":{"@id":"https:\/\/factorial.fr\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/factorial.fr\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/factorial.fr\/blog\/#organization","name":"All-in-one business management software - Factorial","url":"https:\/\/factorial.fr\/blog\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/factorial.fr\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/factorial.fr\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png","contentUrl":"https:\/\/factorial.fr\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png","width":946,"height":880,"caption":"All-in-one business management software - Factorial"},"image":{"@id":"https:\/\/factorial.fr\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/","https:\/\/twitter.com\/factorialapp","https:\/\/www.linkedin.com\/company\/factorialhr","https:\/\/www.youtube.com\/@factorialmedia","https:\/\/www.instagram.com\/factorial\/#"]},{"@type":"Person","@id":"https:\/\/factorial.fr\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014","name":"Enrique Quiroga","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/factorial.fr\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g","caption":"Enrique Quiroga"},"url":"https:\/\/factorial.fr\/blog\/author\/enrique-quiroga\/"}]}},"_links":{"self":[{"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/posts\/187153"}],"collection":[{"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/users\/352"}],"replies":[{"embeddable":true,"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/comments?post=187153"}],"version-history":[{"count":3,"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/posts\/187153\/revisions"}],"predecessor-version":[{"id":187254,"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/posts\/187153\/revisions\/187254"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/media\/187171"}],"wp:attachment":[{"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/media?parent=187153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/categories?post=187153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/factorial.fr\/blog\/wp-json\/wp\/v2\/tags?post=187153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}