Outil

Checklist NIS2 — 47 points de contrôle

Par l'équipe NIS2 Radar — Mis à jour janvier 2025

Cette checklist couvre les 10 domaines de l'article 21 de la directive NIS2. Utilisez-la pour évaluer votre niveau de conformité actuel et prioriser vos actions.

1. Gouvernance et politique de sécurité (6 points)

• ☐ Politique de sécurité des SI formalisée et approuvée par la direction
• ☐ Responsable NIS2 désigné (RSSI ou équivalent)
• ☐ Cartographie des systèmes et actifs critiques à jour
• ☐ Revue annuelle de la politique de sécurité documentée
• ☐ Formation NIS2 de la direction générale réalisée
• ☐ Budget cybersécurité alloué et approuvé

2. Gestion des risques (8 points)

• ☐ Analyse de risques formelle réalisée (méthode EBIOS RM ou équivalent)
• ☐ Registre des risques cyber tenu à jour
• ☐ Plan de traitement des risques validé
• ☐ Revue des risques au moins annuelle
• ☐ Risques supply chain identifiés et évalués
• ☐ Scénarios de menaces sectoriels documentés
• ☐ Indicateurs de risque (KRI) définis et suivis
• ☐ Critères d'acceptation des risques résiduels définis

3. Gestion des incidents (7 points)

• ☐ Procédure de détection des incidents documentée
• ☐ Procédure de réponse aux incidents testée
• ☐ Critères de qualification d'un incident significatif définis
• ☐ Process de notification 24h / 72h / 1 mois en place
• ☐ Contact autorité nationale établi (ANSSI / CCN / CNCS)
• ☐ Journal des incidents tenu et conservé
• ☐ Retours d'expérience (RETEX) post-incident documentés

4. Continuité d'activité (5 points)

• ☐ Plan de continuité d'activité (PCA) formalisé
• ☐ Plan de reprise d'activité (PRA) testé
• ☐ RTO et RPO définis pour les systèmes critiques
• ☐ Sauvegardes testées et isolées (règle 3-2-1)
• ☐ Exercice de crise cyber réalisé dans les 12 derniers mois

5. Sécurité supply chain (5 points)

• ☐ Inventaire des fournisseurs critiques établi
• ☐ Clauses de sécurité dans les contrats fournisseurs
• ☐ Évaluation sécurité des fournisseurs réalisée
• ☐ Procédure de qualification nouveaux fournisseurs
• ☐ Plan de sortie fournisseur critique documenté

6. Sécurité des développements (4 points)

• ☐ Politique de développement sécurisé (SDLC) appliquée
• ☐ Tests de sécurité (pentest, revue de code) réalisés
• ☐ Gestion des vulnérabilités et patches formalisée
• ☐ Environnements de développement séparés de la production

7. Cyberhygiène et formation (4 points)

• ☐ Programme de sensibilisation cyber annuel pour tous les employés
• ☐ Formation spécifique pour les équipes IT et sécurité
• ☐ Politique de mots de passe et MFA appliquée
• ☐ Simulations de phishing réalisées

8. Cryptographie et chiffrement (3 points)

• ☐ Politique de chiffrement des données sensibles définie
• ☐ Chiffrement des communications (TLS 1.2+ obligatoire)
• ☐ Gestion des clés cryptographiques documentée

9. Contrôle d'accès et RH (3 points)

• ☐ Principe du moindre privilège appliqué
• ☐ Procédure d'onboarding / offboarding sécurisée
• ☐ Revue des droits d'accès semestrielle

10. Authentification multifacteur (2 points)

• ☐ MFA activé sur tous les accès distants et privilégiés
• ☐ MFA activé sur les outils d'administration et cloud