Une mission NIS2 n'est pas un simple audit ponctuel
Contrairement à un audit de sécurité classique, une mission de mise en conformité NIS2 engage l'entreprise sur la durée, elle implique une gouvernance de la sécurité, une gestion des risques documentée, des obligations de notification d'incident, et des mesures techniques vérifiables dans le temps. Choisir le bon prestataire pour cette mission a donc un impact direct sur votre conformité réelle, pas seulement sur un rapport ponctuel.
Les compétences à exiger d'un prestataire mission NIS2
- Maîtrise de la méthodologie EBIOS RM la méthode d'analyse de risques recommandée par l'ANSSI doit être maîtrisée et appliquée concrètement, pas seulement mentionnée commercialement
- Connaissance fine du texte NIS2 et de sa transposition française, notamment la distinction entre entités essentielles (EE) et entités importantes (EI), qui détermine le niveau d'obligations applicable
- Capacité à couvrir le volet technique ET organisationnel la conformité NIS2 ne se limite pas à des outils techniques, elle inclut gouvernance, formation, gestion des fournisseurs et procédures de notification d'incident
- Expérience documentée sur des missions similaires, idéalement dans votre secteur d'activité
Le déroulé attendu d'une mission de conformité NIS2
| Phase | Contenu | Durée typique |
|---|---|---|
| 1. Cadrage et périmètre | Détermination du statut EE/EI, cartographie des systèmes d'information critiques | 2 à 4 semaines |
| 2. Analyse de risques EBIOS RM | Identification des biens supports, sources de risque, scénarios d'attaque | 4 à 6 semaines |
| 3. Plan de mise en conformité | Définition des mesures techniques et organisationnelles à mettre en œuvre, priorisées par criticité | 2 à 3 semaines |
| 4. Mise en œuvre technique | Déploiement des mesures (MFA, segmentation, supervision, sauvegardes) | 3 à 6 mois selon maturité initiale |
| 5. Formation et procédures | Sensibilisation des équipes, formalisation des procédures de notification d'incident | En continu |
Méfiez-vous d'un prestataire qui propose une "conformité NIS2" livrée en quelques jours sous forme d'un simple document type. Une mise en conformité réelle implique nécessairement une analyse de risques propre à votre organisation et un accompagnement dans la durée, pas un document générique adapté à la marge.
Pourquoi le volet supervision et détection est indissociable de NIS2
La directive NIS2 impose des obligations de détection et de notification rapide des incidents de sécurité, ce qui rend une capacité de supervision continue (SOC ou MDR) quasiment indispensable pour une conformité réelle, et pas seulement documentaire. Un prestataire qui couvre à la fois l'accompagnement réglementaire ET la supervision technique évite la fragmentation entre plusieurs interlocuteurs et garantit une cohérence entre vos obligations légales et vos capacités techniques réelles.
Questions à poser avant de signer
- Qui réalisera concrètement l'analyse de risques, et quelles sont ses certifications ?
- Le prestataire peut-il fournir un exemple anonymisé de livrable d'analyse de risques EBIOS RM ?
- Comment le prestataire accompagne-t-il la notification d'incident en cas d'attaque réelle ?
- Le prestataire propose-t-il un suivi dans le temps, ou uniquement une prestation ponctuelle ?
ONYX-CYBER accompagne les PME et ETI françaises sur l'ensemble du parcours de mise en conformité NIS2, de l'analyse de risques EBIOS RM jusqu'à la supervision MDR continue, avec une équipe dédiée et une approche calibrée pour des budgets de PME.
Démarrer votre mise en conformité NIS2 ?
ONYX-CYBER réalise un diagnostic initial gratuit pour déterminer votre statut NIS2 et vos priorités de mise en conformité.
Demander un diagnostic NIS2 gratuit