Endpoint Protection Service : comment choisir sa solution ?
Comment les solutions Endpoint Protection (EPP, EDR, XDR, MDR) permettent de prévenir, détecter et répondre aux menaces pour sécuriser durablement...
Un audit NIS2 consiste à évaluer l’écart entre la sécurité réelle d’une organisation et les exigences de la directive NIS2, afin de bâtir un plan de mise en conformité. Le terme recouvre deux réalités : l’audit de conformité que l’entreprise mène pour se préparer, et le contrôle officiel que l’ANSSI peut exercer une fois la transposition entrée en vigueur.
Dans les deux cas, la référence française est le ReCyF, le Référentiel Cyber France publié par l’ANSSI.
Ce guide explique qui est concerné, ce qu’un audit NIS2 vérifie, comment le mener étape par étape, ce que recouvrent les contrôles de l’ANSSI, et à quel calendrier se préparer.
Qu’est-ce qu’un audit NIS2 ?
À quoi sert un audit NIS2 ?
Un audit NIS2 mesure la conformité d’une organisation aux mesures de gestion des risques imposées par la directive (UE) 2022/2555, dite NIS2. Concrètement, il confronte les pratiques de gouvernance, de protection, de défense et de résilience de l’entité aux objectifs de sécurité attendus, puis identifie les écarts à combler.
Il sert de point de départ à toute démarche de conformité, car on ne corrige bien que ce que l’on a d’abord mesuré.
A lire aussi : Panorama 2026 des normes et obligations en cybersécurité et gouvernance des données
Quelle différence entre un audit de conformité NIS2 et un contrôle ANSSI ?
Il faut distinguer deux usages du terme. Le premier est l’audit de conformité, ou analyse d’écart, qu’une organisation conduit en interne ou avec un prestataire pour se préparer. Le second est le contrôle officiel : une fois la loi de transposition en vigueur, l’ANSSI disposera de pouvoirs de contrôle, d’audit et de sanction renforcés, et pourra exiger des audits de sécurité, surtout pour les entités les plus critiques. Anticiper le premier permet de réussir le second.
Qui est concerné par NIS2 ?
Les secteurs et les seuils concernés par NIS2
NIS2 distingue deux catégories d’entités selon le secteur d’activité, la taille et le niveau de criticité, avec des régimes de supervision et des sanctions différenciés.
Le périmètre est massif. Sous la première directive NIS, quelques centaines d’entités françaises étaient régulées ; avec NIS2, les estimations situent le nombre d’organisations concernées entre 15 000 et 18 000, réparties sur 18 secteurs d’activité.
Comment vérifier si mon entreprise est assujettie à NIS2 ?
Une entreprise peut aussi être concernée indirectement, comme sous-traitant d’une entité essentielle, la sécurité de la chaîne d’approvisionnement faisant partie des exigences.
Pour vérifier son éligibilité, l’ANSSI met à disposition un simulateur et un guichet de pré-enregistrement, MonEspaceNIS2, accessible depuis son portail. C’est la toute première étape de l’audit : déterminer si l’on est assujetti, et à quelle catégorie.
Que vérifie un audit NIS2 ?
- Gouvernance et analyse de risque : politiques de sécurité du système d’information, approche par les risques, implication et formation de la direction.
- Gestion des incidents : détection, traitement et signalement des incidents, avec des délais stricts une fois la loi en vigueur.
- Continuité d’activité : sauvegardes, tests de restauration, plan de reprise et gestion de crise.
- Sécurité de la chaîne d’approvisionnement : maîtrise des risques liés aux fournisseurs et prestataires.
- Sécurité du développement et des acquisitions : gestion des vulnérabilités, sécurité dans l’acquisition, le développement et la maintenance des systèmes.
- Hygiène et formation : mesures d’hygiène informatique de base et sensibilisation des utilisateurs.
- Cryptographie et contrôle d’accès : chiffrement, gestion des identités et des accès, authentification multifacteur, sécurité des ressources humaines et des actifs.
Ces exigences correspondent aux mesures de gestion des risques de l’article 21 de la directive. À cela s’ajoutent les obligations de signalement de l’article 23 : une alerte précoce dans les 24 heures.
Le ReCyF, référentiel officiel de l’audit NIS2 en France
Qu’est-ce que le ReCyF ?
En France, le référentiel d’audit est le ReCyF, ou Référentiel Cyber France, publié par l’ANSSI le 17 mars 2026 dans sa version de travail 2.5. Rattaché à l’article 14 du projet de loi Résilience, il liste les mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité fixés par NIS2.
Diffusé pour l’instant comme document de travail, il n’est pas obligatoire par défaut, mais les entités qui décident de l’appliquer pourront s’en prévaloir en cas de contrôle de l’ANSSI. Il constitue donc, dès aujourd’hui, la grille de référence de tout audit NIS2 sérieux.
Le ReCyF s’organise autour de 4 piliers et 22 domaines, et applique un principe de proportionnalité.
Les entités importantes comme les entités essentielles sont soumises aux objectifs 1 à 15, qui couvrent la gouvernance, la protection, la défense et la résilience des systèmes d’information.
Quelles exigences supplémentaires pour les entités essentielles ?
Les entités essentielles sont en plus tenues aux objectifs 16 à 20, qui imposent notamment une approche par les risques formalisée, des audits de sécurité réguliers, le durcissement des configurations et la supervision continue.
Autrement dit, pour les entités essentielles, l’audit n’est pas seulement une étape de préparation : il devient une obligation récurrente.
Comment réaliser un audit de conformité NIS2 ?
Étape 1 : vérifier si l’organisation est assujettie à NIS2
Déterminer si l’organisation est assujettie et à quelle catégorie (essentielle ou importante), à l’aide du simulateur MonEspaceNIS2, des secteurs et des seuils.
Étape 2 : cadrer le périmètre de l’audit
Identifier les systèmes d’information concernés, les services critiques et les dépendances, y compris les prestataires.
Étape 3 : réaliser l’analyse d’écart avec le ReCyF
Confronter les pratiques existantes aux objectifs du ReCyF pour produire une analyse d’écart claire et hiérarchisée.
Étape 4 : conduire l’analyse de risque avec EBIOS Risk Manager
S’appuyer sur une méthode reconnue comme EBIOS Risk Manager de l’ANSSI pour relier les écarts aux risques métier réels.
Étape 5 : bâtir le plan de remédiation
Prioriser les actions selon le rapport effort sur impact, avec des échéances et des responsables identifiés.
Étape 6 : mettre en conformité et constituer les preuves
Déployer les mesures, former la direction, et surtout constituer les preuves : politiques, procédures, journaux et décisions, car un contrôle exige des éléments tangibles.
Étape 7 : pérenniser la démarche avec des audits réguliers
Programmer des audits de surveillance réguliers, obligatoires pour les entités essentielles, et réévaluer à chaque évolution majeure du système d’information.
Quelle durée prévoir pour un audit NIS2 et la mise en conformité ?
Cette trajectoire transforme une contrainte réglementaire en démarche de sécurité utile. L’analyse d’écart initiale se mène en quelques jours à quelques semaines selon la taille de l’organisation, tandis que la mise en conformité complète s’étale sur plusieurs mois, voire plus pour les grands groupes multi-sites.
Pour aller plus loin : Audit cybersécurité : le guide 2026
Audit interne ou contrôle de l’ANSSI : quelle différence ?
Qu’est-ce qui distingue un audit de conformité d’un contrôle de l’ANSSI ?
L’audit de conformité est une démarche volontaire, menée par l’organisation pour mesurer sa posture et se préparer. Le contrôle, lui, est exercé par l’ANSSI, autorité compétente en France pour NIS2, qui pilotera la supervision et instruira les sanctions une fois la loi promulguée.
Le régime de contrôle diffère selon la catégorie : les entités essentielles relèvent d’une supervision ex ante, avec des contrôles proactifs et la possibilité d’audits imposés ; les entités importantes relèvent d’une supervision ex post, déclenchée à la suite d’un incident ou d’un signalement.
Quand l’ANSSI commencera-t-elle à sanctionner ?
L’ANSSI a annoncé une montée en charge progressive : une phase de sensibilisation, puis des audits ciblés, avant l’application pleine des sanctions. Cette progressivité ne doit pas être lue comme un sursis. L’agence encourage explicitement les futures entités assujetties à engager leur mise en conformité sans attendre la finalisation de la transposition, le cadre européen constituant le socle minimal des obligations.
Un audit anticipé est la meilleure assurance face à un contrôle futur, et un argument de confiance vis-à-vis des clients et partenaires.
Quel est le calendrier de NIS2 en France ?
La directive NIS2 a été adoptée le 14 décembre 2022 et est entrée en vigueur le 16 janvier 2023, avec une date limite de transposition fixée au 17 octobre 2024. La France n’a pas respecté ce délai, ce qui lui a valu un avis motivé de la Commission européenne en mai 2025.
La transposition est portée par le projet de loi Résilience, qui transpose simultanément NIS2, la directive sur les entités critiques (REC) et le règlement DORA.
Ce texte a été adopté en première lecture au Sénat en mars 2025, puis examiné en commission spéciale à l’Assemblée nationale en septembre 2025. L’examen en séance publique est attendu pour juillet 2026, suivi d’une promulgation courant été 2026 puis de la publication des décrets et arrêtés techniques.
Dans l’intervalle, l’ANSSI a publié le ReCyF dès le 17 mars 2026 et ouvert le pré-enregistrement via MonEspaceNIS2, précisément pour que les organisations n’attendent pas le vote pour agir. La fenêtre 2026 est celle de la préparation, pas du rattrapage en urgence.
Combien de temps et quel budget pour un audit NIS2 ?
Durée de l’audit NIS2 selon la taille de l’organisation
La durée et le coût dépendent de la taille de l’organisation, de la complexité de son système d’information et de l’écart initial avec les exigences. L’analyse d’écart, c’est-à-dire l’audit proprement dit, se mène généralement en quelques jours pour une PME à quelques semaines pour une structure plus complexe. C’est la mise en conformité qui constitue l’essentiel de l’effort et du budget, car elle implique souvent des investissements en sécurité, en processus et en formation.
Budget d’un programme de mise en conformité NIS2
À titre indicatif, observé sur le marché français, un programme de mise en conformité NIS2 représente de l’ordre de plusieurs centaines de milliers d’euros pour une entreprise de taille intermédiaire, et davantage pour un groupe multi-sites.
Ces montants se répartissent typiquement entre le conseil et l’audit, la technologie (segmentation, supervision, détection), les processus et la formation, et restent à apprécier au regard du risque : une attaque réussie coûte souvent bien plus cher, sans compter l’exposition aux sanctions et la responsabilité des dirigeants.
Ce qu’il faut retenir avant de lancer son audit NIS2
- La responsabilité des dirigeants : NIS2 place la cybersécurité au niveau de la gouvernance : la direction doit valider, superviser et comprendre la posture de sécurité, suivre des formations, et peut voir sa responsabilité engagée. Ce n’est plus un sujet à déléguer entièrement à l’informatique.
- Ne pas attendre la loi : l’ANSSI recommande d’engager la démarche dès maintenant. Commencer tôt étale l’effort et évite le rattrapage en urgence à l’approche des contrôles.
- La chaîne d’approvisionnement : même hors seuils, une organisation peut être tenue de se conformer en tant que fournisseur d’une entité essentielle. La question doit être posée en amont.
- Le ReCyF comme référence : s’appuyer sur le Référentiel Cyber France permet de se prévaloir de sa conformité en cas de contrôle. C’est la grille à utiliser pour l’audit.
- La preuve avant tout : un contrôle ne se satisfait pas de déclarations : politiques, procédures, journaux et décisions documentées font la différence le jour venu.
- Une démarche continue : pour les entités essentielles, les audits de sécurité réguliers sont une obligation. La conformité se maintient, elle ne se constate pas une fois pour toutes.
Audit NIS2 : les questions les plus fréquentes
Mon entreprise est-elle concernée par NIS2 ?
Si elle dépasse 50 salariés ou 10 M€ de chiffre d’affaires dans l’un des 18 secteurs visés, probablement. Elle peut aussi l’être indirectement, comme sous-traitant d’une entité essentielle. Le simulateur MonEspaceNIS2 de l’ANSSI permet de vérifier l’éligibilité et la catégorie.
Quelle est la différence entre entité essentielle et entité importante ?
Le régime de contrôle et les sanctions diffèrent. Les entités essentielles relèvent d’une supervision proactive (ex ante) avec des sanctions jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial ; les entités importantes relèvent d’un contrôle après incident (ex post), avec des sanctions jusqu’à 7 M€ ou 1,4 %.
Sur quel référentiel s’appuie un audit NIS2 en France ?
Sur le ReCyF, le Référentiel Cyber France publié par l’ANSSI le 17 mars 2026. Non obligatoire par défaut, il devient la référence pratique : les entités qui l’appliquent peuvent s’en prévaloir lors d’un contrôle de l’ANSSI.
Faut-il attendre la loi pour se mettre en conformité ?
Non. La loi Résilience est attendue en séance à l’été 2026, mais l’ANSSI encourage à engager la démarche dès maintenant, le cadre européen constituant le socle minimal. Anticiper étale l’effort et prépare aux futurs contrôles.
Qui peut réaliser un audit NIS2 ?
L’audit de conformité peut être mené en interne ou avec un prestataire spécialisé en cybersécurité, sur la base du ReCyF et d’une méthode d’analyse de risque comme EBIOS Risk Manager. Le contrôle officiel, lui, relève de l’ANSSI une fois la transposition en vigueur.
