NIS2 : par où commencer sans transformer la conformité en usine à gaz ?
Une méthode pragmatique pour identifier votre périmètre, vos écarts prioritaires et les premières preuves à construire.
NIS2 élargit le nombre d’organisations concernées et renforce les attentes en matière de gestion des risques, de continuité et de notification des incidents. Le premier enjeu n’est pourtant pas de produire davantage de documents : il consiste à savoir où se situent les risques les plus importants.
1. Confirmer le périmètre concerné
Commencez par identifier les entités, services essentiels, systèmes et fournisseurs qui participent réellement à votre activité. Cette cartographie évite d’appliquer les mêmes efforts partout et permet de concentrer les contrôles sur les actifs critiques.
2. Évaluer les écarts avec des preuves
Une politique écrite ne suffit pas. Pour chaque exigence, recherchez une preuve observable : configuration MFA, journal de test de restauration, inventaire à jour, procédure d’incident testée ou revue des comptes privilégiés.
La conformité devient utile lorsqu’elle permet de prendre une décision et de réduire un risque mesurable.
3. Prioriser un premier cycle de 90 jours
- Sécuriser les comptes administrateurs et les accès distants.
- Vérifier les sauvegardes et réaliser un test de restauration.
- Identifier les vulnérabilités critiques exposées.
- Formaliser les rôles et le circuit d’escalade en cas d’incident.
4. Construire les preuves au fil de l’eau
Associez chaque action à un responsable, une échéance et une preuve attendue. Vous obtenez ainsi une trajectoire de conformité pilotable plutôt qu’un audit ponctuel difficile à maintenir.
Votre organisation rencontre un enjeu similaire ?
Nous pouvons vous aider à qualifier le risque, prioriser les actions et documenter les résultats.
Parler de votre contexte