Cybersecurity

NIS 2 audit conformité : checklist ANSSI 2026

Checklist audit conformité NIS 2 : 10 mesures art. 21, contrôles ANSSI, documentation. Guide préparation pour entités essentielles et importantes 2026.

TD
Dr. Thiébaut Devergranne
3 juin 20267 min read

En une phrase. Un audit NIS 2 vérifie la conformité aux 10 mesures de l’article 21 (politiques, gestion incidents, continuité, supply chain, acquisition/dev, évaluation, hygiène, cryptographie, RH/accès, MFA) + les obligations de notification (art. 23) + la gouvernance dirigeants (art. 20). L’ANSSI publiera fin 2025-2026 un référentiel d’audit officiel ; en attendant, les standards utilisés sont ISO 27001:2022, NIST CSF 2.0, et le guide d’hygiène ANSSI (42 mesures, 2017 mis à jour 2024). Coût audit blanc complet : 15 000 à 80 000 € selon taille et périmètre.

L’audit blanc avant contrôle ANSSI est la meilleure protection contre une sanction. Il révèle les gaps en amont et permet de documenter le plan de mise en conformité — facteur atténuant majeur en cas de procédure.

Pour approfondir : PSSI ANSSI, PCA ANSSI, cartographie SI.

Points clés

  • Audit NIS 2 = vérification 10 mesures art. 21 + gouvernance + notification.
  • Standards de référence : ISO 27001:2022, NIST CSF 2.0, guide hygiène ANSSI (42 mesures).
  • L’ANSSI publiera un référentiel d’audit officiel fin 2025-2026.
  • Coût audit blanc : 15-80 K€ pour ETI/grand compte.
  • PASSI qualifié ANSSI = prestataire reconnu pour audits de sécurité.

1. Périmètre de l’audit NIS 2

Trois dimensions :

Dimension Articles NIS 2 Contenu
Gouvernance Art. 20 Implication direction, formation, responsabilité
Mesures Art. 21 10 mesures techniques et organisationnelles
Notification Art. 23 Procédures 24h alerte, 72h notification

L’audit doit couvrir les trois dimensions ; un seul gap sur la gouvernance peut compromettre une bonne maturité technique.

2. Article 20 : gouvernance et formation

Checklist gouvernance :

  • [ ] Responsabilité de la direction documentée (PV CODIR, charte)
  • [ ] Validation des mesures de gestion des risques cyber
  • [ ] Supervision opérationnelle (KPI, comité cyber)
  • [ ] Formation dirigeants régulière (1x/an minimum)
  • [ ] Sensibilisation des employés (phishing trimestriel)
  • [ ] Désignation d’un interlocuteur unique ANSSI (RSSI/CISO)
  • [ ] Politique cyber approuvée par DG

3. Article 21 §2(a) : analyses de risque

Checklist :

  • [ ] Analyse de risque documentée < 24 mois
  • [ ] Méthode reconnue : EBIOS RM v2, ISO 27005, NIST SP 800-30
  • [ ] Cartographie SI à jour
  • [ ] Périmètre clairement défini
  • [ ] Risques résiduels acceptés par direction
  • [ ] Revue annuelle programmée

4. Article 21 §2(b) : gestion incidents

Checklist :

  • [ ] Procédure incident documentée
  • [ ] SOC ou MDR opérationnel
  • [ ] SIEM déployé avec rétention 12 mois
  • [ ] Cellule de crise cyber activable 24/7
  • [ ] Playbooks par scénario (ransomware, exfiltration, DDoS)
  • [ ] REX post-incident systématique
  • [ ] MITRE ATT&CK mapping des règles de détection

5. Article 21 §2© : continuité d’activité

Checklist :

  • [ ] PCA documenté (BIA, scénarios, stratégies, tests)
  • [ ] PRA technique testé annuellement
  • [ ] Sauvegarde 3-2-1-1-0 opérationnelle
  • [ ] Tests de restauration mensuels (échantillon) + annuel (complet)
  • [ ] RTO/RPO validés métier
  • [ ] Sauvegarde immuable (offline ou Object Lock)
  • [ ] Annuaire de crise à jour < 3 mois

6. Article 21 §2(d) : supply chain

Checklist :

  • [ ] Inventaire fournisseurs Tier 1-3
  • [ ] Évaluation cyber des Tier 1 (questionnaire ou audit)
  • [ ] Clauses cyber dans contrats Tier 1-2
  • [ ] Liste sous-traitants ultérieurs vérifiée
  • [ ] Audit annuel Tier 1
  • [ ] SBOM pour développements internes
  • [ ] Politique open source

7. Article 21 §2(e-f) : acquisition, développement, évaluation

Checklist :

  • [ ] Cycle de développement sécurisé (SDL Microsoft, OWASP SAMM)
  • [ ] Tests sécurité pré-production (SAST, DAST, SCA)
  • [ ] Pentest annuel applications critiques
  • [ ] Audit code pour composants sensibles
  • [ ] Mise en production revue par sécurité
  • [ ] Vulnerability disclosure policy publiée
  • [ ] Évaluation efficacité des mesures (KPI cyber)

8. Article 21 §2(g) : hygiène cyber et formation

Checklist :

  • [ ] Charte informatique signée par tous
  • [ ] Formation initiale cyber pour tout nouvel arrivant
  • [ ] Phishing simulé trimestriel minimum
  • [ ] Quiz annuel obligatoire
  • [ ] Communication régulière (newsletter cyber)
  • [ ] Exercices crise annuels
  • [ ] Indicateurs de progrès suivis

9. Article 21 §2(h) : cryptographie

Checklist :

  • [ ] Politique cryptographique documentée
  • [ ] Algorithmes RGS B1 v2.04 conformes (AES-256, RSA-3072, SHA-256+)
  • [ ] TLS 1.3 activé partout (1.2 minimum)
  • [ ] Chiffrement disque (BitLocker, LUKS, FileVault) sur 100% postes
  • [ ] Bases sensibles chiffrées au repos
  • [ ] HSM ou KMS pour gestion clés
  • [ ] Rotation annuelle des clés DEK
  • [ ] Hachage Argon2id ou bcrypt pour mots de passe

10. Article 21 §2(i-j) : accès, MFA, communications

Checklist :

  • [ ] Gestion d’identités centralisée (IAM)
  • [ ] MFA sur tous accès distants (VPN, SaaS, admin)
  • [ ] MFA sur tous comptes privilégiés
  • [ ] Modèle Tier 0/1/2 Active Directory
  • [ ] PAW (Privileged Access Workstations) pour admins
  • [ ] Revue trimestrielle des accès
  • [ ] Communications sécurisées (Olvid, ProtonMail Business pour sensible)
  • [ ] Politique mots de passe ANSSI (12+ caractères, gestionnaire)

11. Article 23 : notification d’incidents

Checklist :

  • [ ] Procédure notification 24h opérationnelle
  • [ ] Procédure notification 72h détaillée
  • [ ] Modèles de communication préparés (ANSSI, personnes, médias)
  • [ ] Coordonnées CSIRT intégrées au plan de crise
  • [ ] Test annuel de la procédure notification
  • [ ] Documentation incident systématique (timeline, mesures)
  • [ ] Rapport final 1 mois type préparé

12. Méthodologie d’audit blanc

Plan recommandé pour un audit blanc :

Phase Durée Livrable
Cadrage 1 semaine Note de cadrage, planning
Documentaire 2-3 semaines Analyse politiques, procédures
Entretiens 2-3 semaines 15-30 entretiens dirigeants/équipes
Tests techniques 2-4 semaines Pentest, config review, audit AD
Synthèse 1-2 semaines Rapport gap analysis, plan d’actions

Total : 8-13 semaines pour un audit complet ETI.

Prestataires qualifiés ANSSI

Pour les audits de sécurité, l’ANSSI qualifie les PASSI (Prestataires d’Audit en Sécurité des Systèmes d’Information) :

PASSI qualifiés 2024 (extraits) : Almond, Capgemini, Conix, Digital Security, Hupi Cybersecurity, Intrinsec, Lexfo, Oppida, Orange Cyberdefense, Provadys, Synacktiv, Thales, Wavestone, Yogosha.

Pour NIS 2 : le PASSI est recommandé ; pour les OIV : il est obligatoire pour certains audits.

FAQ

Quelle norme suivre pour préparer un audit NIS 2 ?

Trois standards complémentaires : ISO 27001:2022 (système management sécurité), NIST CSF 2.0 (framework risques cyber), guide hygiène ANSSI (42 mesures techniques). L’ANSSI publiera fin 2025-2026 un référentiel officiel NIS 2 ; en attendant, ces trois suffisent à 90 % de la conformité.

Combien coûte un audit NIS 2 ?

15-30 K€ pour PME EI, 30-80 K€ pour ETI, 80-200 K€ pour grand compte. Audit complet par PASSI qualifié. Variations selon périmètre (sites, applications), profondeur (pentest inclus ou non), méthodologie. ROI : éviter sanction NIS 2 qui démarre à plusieurs M€.

Combien de temps pour préparer un audit ?

Pour une entité ayant déjà un socle (ISO 27001 ou équivalent) : 3 mois pour ajustements NIS 2. Pour une entité en démarrage : 12-18 mois pour atteindre un niveau auditable. L’ANSSI accorde une doctrine progressive : pas de sanction immédiate, mais accompagnement vers conformité.

Le PASSI est-il obligatoire pour NIS 2 ?

Non, recommandé mais pas obligatoire. Pour OIV : oui pour certains audits (LPM). Pour NIS 2 : le PASSI apporte la crédibilité d’un audit reconnu. Vous pouvez aussi faire appel à un cabinet non-PASSI ou réaliser un audit interne — mais documentation plus contestable face à l’ANSSI.

Comment prouver la formation des dirigeants ?

Documenter : plan de formation annuel (programme, dates), présence (feuille émargement), support (slides, replays), évaluation (quiz), bilan (% direction formée). Format acceptable : 1/2 journée annuelle minimum, contenu adapté à des dirigeants non techniques (gouvernance, risques, sanctions). Plusieurs cabinets proposent des sessions dédiées (Wavestone, Sopra Steria, formations CESIN).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →