Checklist NIS2 en 21 points pour PME

Vous êtes concerné par NIS2 et vous cherchez un point de départ concret. Cette checklist en 21 contrôles couvre les exigences essentielles de la directive, traduites en questions opérationnelles. Comptez 45 minutes pour la parcourir avec votre DSI ou votre RSSI.

Pour chaque point, attribuez un score :

Le volet le plus souvent négligé en PME, et pourtant le premier examiné lors d'un contrôle. NIS2 engage personnellement la direction.

• 1. Une politique de sécurité des SI signée par la direction existe et a été revue depuis moins de 12 mois.
• 2. Le dirigeant et le comité de direction ont suivi une formation cybersécurité dans les 24 derniers mois.
• 3. Une analyse des risques formalisée (méthode EBIOS RM ou équivalent) est disponible et actualisée.
• 4. Un budget cybersécurité annuel est voté et tracé dans les comptes (cible : 5 à 10 % du budget IT).
• 5. Un référent cybersécurité (interne ou RSSI externalisé) est nommément désigné par décision écrite.
• 6. L'entreprise est enregistrée auprès de l'ANSSI via le téléservice NIS2 (si applicable).
• 7. Un tableau de bord mensuel suit au moins 5 indicateurs de sécurité (incidents, vulnérabilités, sauvegardes, formation, audits).

Le socle minimum exigé. Sans ces 7 mesures, aucune conformité NIS2 n'est crédible.

• 8. Authentification multifacteur (MFA) activée sur 100 % des comptes administrateurs et des accès distants.
• 9. Solution EDR (Endpoint Detection & Response) déployée sur l'ensemble des postes de travail et serveurs.
• 10. Sauvegardes 3-2-1 avec au moins une copie hors-ligne ou immuable, testées en restauration tous les trimestres.
• 11. Politique de correctifs documentée : patchs critiques appliqués sous 14 jours, autres sous 30 jours.
• 12. Chiffrement des données sensibles au repos (disques, bases) et en transit (TLS 1.2 minimum sur tous les services exposés).
• 13. Segmentation réseau effective entre poste de travail, serveurs métier et systèmes industriels / IoT.
• 14. Journalisation centralisée des événements de sécurité conservée au moins 12 mois (SIEM ou équivalent).

Les processus et les personnes. Sans eux, la technique ne tient pas une attaque réelle.

• 15. Procédure documentée de notification d'incident à l'ANSSI : alerte sous 24 h, notification sous 72 h, rapport sous 1 mois.
• 16. Plan de continuité d'activité (PCA) et plan de reprise (PRA) documentés et testés au moins une fois par an.
• 17. Sensibilisation cybersécurité dispensée à 100 % des collaborateurs dans les 12 derniers mois.
• 18. Au moins une simulation de phishing par an, suivie d'un débrief et d'une formation ciblée.
• 19. Inventaire à jour des actifs (matériels, logiciels, données, comptes) avec criticité associée.
• 20. Évaluation cybersécurité de vos 5 fournisseurs IT et SaaS critiques (cloud, MSP, éditeurs métier).
• 21. Exercice de gestion de crise cyber réalisé dans les 24 derniers mois, impliquant la direction.

1. Semaine 1

   Faire le diagnostic à 21 points

   Avec votre DSI ou votre RSSI. Ne trichez pas — l'objectif est de poser une base honnête.

2. Semaines 2 à 4

   Prioriser les écarts

   Tout ce qui est < 2 et qui touche aux blocs 1 et 2 (gouvernance + technique) passe en priorité haute.

3. Mois 2 à 4

   Combler les manques rapides

   MFA, EDR, sauvegardes immuables, formation direction : 80 % des écarts se ferment en 90 jours.

4. Mois 6

   Audit tiers ou test d'intrusion

   Pour valider que la posture théorique tient face à un attaquant réel.