Diagnostic gratuit · 10 minutes · sans inscription

Où en es-tu vraiment sur NIS2 ?

30 questions concrètes mappées article par article de la directive. Tu reçois un score par article + tes 3 chantiers prioritaires. Aucun jargon, juste du terrain.

Aligné loi du 31 octobre 202411 articles couverts (21.2.a → 23)RGPD-friendly (rien stocké)

Identifier ton organisation (optionnel)

Renseigne juste si tu veux recevoir le rapport PDF par mail. Sinon le résultat s'affichera directement à l'écran.

Article NIS2 · 21.2.a

Politiques d'analyse des risques et SI

Votre organisation dispose-t-elle d'une politique cybersécurité écrite, signée par la direction et révisée au moins une fois par an ?

💡 Article 21.2.a NIS2. La politique doit couvrir : périmètre, gouvernance, gestion des risques, plan de continuité.

Avez-vous mené une analyse des risques cyber (type EBIOS RM, ISO 27005 ou simplifiée) dans les 24 derniers mois ?

💡 Inventaire des actifs critiques + scénarios de menace + plan de traitement.

Maintenez-vous un inventaire à jour des systèmes d'information critiques (serveurs, applications SaaS, données sensibles) ?

💡 Sans inventaire, impossible d'évaluer le risque. CMDB ou tableau Excel suffit en PME.

Article NIS2 · 21.2.b

Gestion des incidents

Avez-vous une procédure écrite de gestion des incidents (détection, qualification, escalade, contention, rétablissement) ?

💡 Article 21.2.b NIS2. La procédure doit nommer qui contacte qui à chaque étape.

Avez-vous réalisé au moins UN exercice de simulation d'incident (table-top, scénario rançongiciel) dans les 12 derniers mois ?

💡 Un plan jamais testé reste théorique. L'ANSSI recommande 1 exercice annuel minimum.

Centralisez-vous les logs critiques (auth, accès admin, alertes EDR) pour pouvoir investiguer après incident ?

💡 Retention minimum 6 mois recommandée. SIEM open source possibles (Sekoia, Wazuh).

Article NIS2 · 21.2.c

Continuité d'activité + sauvegardes

Vos sauvegardes respectent-elles la règle 3-2-1 (3 copies, 2 supports différents, 1 hors-site) ?

💡 Article 21.2.c NIS2. La règle 3-2-1 est le standard ANSSI / NIST anti-rançongiciel.

Testez-vous la restauration de vos sauvegardes au moins une fois par trimestre ?

💡 Une sauvegarde non testée n'est PAS une sauvegarde. Beaucoup d'organisations le découvrent trop tard.

Au moins UNE de vos sauvegardes est-elle immuable / déconnectée du réseau (anti-rançongiciel) ?

💡 WORM, S3 Object Lock, bandes hors-ligne. Si toutes les sauvegardes sont online, un rançongiciel les chiffre aussi.

Article NIS2 · 21.2.d

Sécurité chaîne d'approvisionnement

Maintenez-vous une liste à jour de vos sous-traitants IT critiques (hébergeur, infogéreur, SaaS métier) avec leur niveau de criticité ?

💡 Article 21.2.d NIS2. RGPD art. 28 impose déjà cet inventaire pour les traitements de données.

Vos contrats avec ces sous-traitants incluent-ils des clauses sécurité explicites (notification d'incident, droit d'audit, certifications) ?

💡 Sans clause, vous n'avez aucun levier juridique en cas d'incident chez eux.

Évaluez-vous la posture cyber de vos nouveaux sous-traitants AVANT signature (questionnaire, ISO 27001, SecNumCloud) ?

Article NIS2 · 21.2.e

Sécurité acquisition / dev / maintenance

Avez-vous un processus de gestion des correctifs de sécurité (patch management) avec un SLA défini ?

💡 Article 21.2.e NIS2. ANSSI recommande : critiques < 7j, hauts < 30j, autres < 90j.

Scannez-vous régulièrement vos systèmes pour détecter les vulnérabilités (mensuel ou trimestriel selon criticité) ?

💡 Outils gratuits : OpenVAS, Trivy pour les containers, Snyk pour les dépendances.

Article NIS2 · 21.2.f

Politiques d'évaluation de l'efficacité

Réalisez-vous au moins un audit interne de votre dispositif cyber par an (auto-évaluation ou cabinet externe) ?

💡 Article 21.2.f NIS2. Pour les PME : auto-audit avec grille publique (ANSSI guide 42 mesures).

Suivez-vous des indicateurs cyber au comité de direction (taux de couverture MFA, incidents, modules de formation) ?

Article NIS2 · 21.2.g

Cyber-hygiène + formation

Avez-vous un programme de sensibilisation cyber pour TOUS vos collaborateurs (pas seulement IT) ?

💡 Article 21.2.g NIS2 — explicite sur la formation OBLIGATOIRE de l'ensemble du personnel.

Lancez-vous des campagnes de phishing simulées au moins 2 fois par an pour mesurer le réflexe de vos équipes ?

💡 Mesure tangible exigée par les assureurs cyber et les auditeurs.

Vos dirigeants (COMEX, CODIR) ont-ils suivi une formation cyber spécifique à leur niveau dans les 24 derniers mois ?

💡 Article 20 NIS2 — formation des dirigeants OBLIGATOIRE et imposable juridiquement.

Article NIS2 · 21.2.h

Cryptographie + chiffrement

Vos données sensibles (RH, finance, clients) sont-elles chiffrées au repos (disques, bases de données, sauvegardes) ?

💡 Article 21.2.h NIS2. AES-256 standard. Activable nativement sur PostgreSQL, S3, BitLocker.

Toutes les communications externes (mails, web, API) utilisent-elles TLS 1.2+ (HTTPS systématique, plus de SMTP en clair) ?

Article NIS2 · 21.2.i

Sécurité RH + contrôle d'accès

Avez-vous une procédure de départ employé qui révoque AUTOMATIQUEMENT tous les accès dans les 24h ?

💡 Article 21.2.i NIS2. 30 % des fuites de données viennent d'ex-collaborateurs avec des accès résiduels (CESIN 2024).

Appliquez-vous le principe du moindre privilège (chaque collaborateur a accès UNIQUEMENT à ce dont il a besoin) ?
Vos administrateurs ont-ils des comptes séparés (compte utilisateur courant ≠ compte admin) ?

💡 Recommandation ANSSI hygiène n°37. Évite qu'un phishing sur l'admin = compromission totale.

Article NIS2 · 21.2.j

MFA + authentification

Le MFA est-il activé pour TOUS vos comptes administrateurs (M365, Google, hébergeur, banque) ?

💡 Article 21.2.j NIS2. Microsoft : MFA bloque 99,9 % des compromissions de compte.

Le MFA est-il activé pour TOUS vos collaborateurs, pas uniquement les administrateurs ?

💡 Un seul compte non-MFA = brèche potentielle pour toute l'organisation.

Utilisez-vous un MFA résistant au phishing (passkey, FIDO2, app authenticator) plutôt que SMS ?

💡 Le MFA SMS est contournable par SIM swap. ANSSI recommande FIDO2 ou OTP app.

Article NIS2 · 23

Notification d'incident à l'autorité

Savez-vous QUI doit prévenir QUI et dans quels délais en cas d'incident majeur (alerte précoce 24h, notification 72h) ?

💡 Article 23 NIS2. ANSSI = autorité de notification en France. Format = MISP-compatible (cf. cert.ssi.gouv.fr).

Avez-vous un modèle de rapport d'incident pré-rempli (qui, quoi, quand, périmètre, mesures prises) ?

💡 À préparer à froid. L'avoir au moment où ça brûle évite de perdre les délais.

Avez-vous identifié un référent communication de crise (interne ou externe) à contacter en cas d'incident public ?

💡 Pas obligatoire NIS2 mais conditionne souvent l'image post-incident.

Tu as répondu aux 30 questions ?

Tu vas voir ton score par article + tes 3 chantiers prioritaires NIS2.

Aucune donnée n'est stockée. Le résultat est généré dans ton navigateur et l'URL ne contient aucune information personnelle.

Comparatif honnête · Trust Center · Tarifs