Conformité NIS2

trajectoire adossée à la préparation ISO/IEC 27001

Méthodologie – PECB IMS2

(Integrated Implementation Methodology for Management Systems and Standards)

Objectif

Objectif : atteindre un niveau de conformité NIS2 démontrable (mesures, gouvernance, preuves, préparation aux évaluations), en s’appuyant sur un SMSI ISO/IEC 27001 (pilotage, risques, contrôles, amélioration continue) afin de structurer durablement la conformité et faciliter les contrôles clients/régulateurs.

1) Résultats attendus (promesse livrable)
À l’issue de la mission, vous disposez de :
  • Une qualification NIS2 étayée : entité essentielle/importante, périmètre, responsabilités et gouvernance.
  • Une cartographie du périmètre (SI critiques, services essentiels, dépendances, fournisseurs, actifs clés) alignée NIS2.
  • Une analyse d’écart NIS2 et un plan de remédiation priorisé (quick wins + chantiers structurants).
  • Un ensemble de mesures NIS2 opérationnelles (politiques, procédures, contrôles) adaptées au risque.
  • Un dispositif gestion des incidents & reporting : détection, réponse, escalade, critères de notification, preuves.
  • Une sécurité supply chain renforcée : exigences tiers, évaluation, clauses, suivi.
  • Un plan de preuves (evidence pack) : indicateurs, enregistrements, traçabilité, préparation à l’évaluation.
  • Une trajectoire ISO/IEC 27001 : gouvernance SMSI, analyse de risques, SoA, audits internes et amélioration continue.
  • Une évaluation de préparation (readiness) et un plan d’actions correctives pour passer une évaluation NIS2 et/ou aller vers la certification ISO/IEC 27001.
2) Périmètre (ce que couvre l’offre)
2.1 Périmètre “Conformité NIS2"
  • Qualification et périmètre : entité, activités, services critiques, responsabilités.
  • Gouvernance & responsabilités : organisation, rôles, pilotage, décisions, sensibilisation management.
  • Gestion des risques : approche, priorisation, plans de traitement.
  • Mesures techniques et organisationnelles : politiques, procédures, contrôles.
  • Gestion des incidents : détection, réponse, escalade, communication, préparation au reporting.
  • Sécurité supply chain : exigences, évaluation, contractualisation, suivi.
  • Continuité / résilience (selon besoins) : dépendances critiques, mesures de robustesse.
  • Preuves & préparation à l’évaluation : indicateurs, enregistrements, traçabilité.
2.2 Périmètre “Trajectoire ISO/IEC 27001” (socle de pilotage)
  • Gouvernance SMSI : périmètre, objectifs, KPI, pilotage.
  • Analyse de risques ISO 27001 : méthode, registre, plan de traitement.
  • Déclaration d’applicabilité (SoA) : contrôles retenus et justification.
  • Gestion documentaire : politiques/procédures/enregistrements.
  • Audit interne et revue de direction : vérification, décisions, amélioration continue.

 

L’approche : NIS2 fixe les exigences, et ISO 27001 fournit l’architecture de pilotage + preuves pour rendre la conformité durable, mesurable et audit-ready.

3) Déroulé de mise en œuvre (PECB IMS2 aligné NIS2 + ISO/IEC 27001)
Phase 1 — Définir et établir (Define & Establish)
Objectif : cadrer NIS2, définir le périmètre, installer la gouvernance, et établir la base risques & preuves via ISO 27001.

Activités :
 
  1. Leadership & approbation : sponsor, gouvernance de projet, objectifs, jalons.
  2. Qualification NIS2 : statut (essentielle/importante), obligations, périmètre initial.
  3. Rôles & responsabilités : RACI (RSSI, IT Ops, Risk, Legal/Compliance, DPO si utile, métiers).
  4. Contexte & parties prenantes : régulateurs, clients, fournisseurs, risques majeurs.
  5. Cartographie périmètre : actifs critiques, services essentiels, dépendances, tiers.
  6. Méthode risques : approche NIS2 + méthode ISO 27001 (alignement).
  7. Politiques de base : cadre gouvernance sécurité, principes, exigences tiers.
  8. SoA ISO 27001 (v1) : premiers contrôles structurants en lien avec les écarts NIS2.

 

Livrables Phase 1
 
  • Charte projet + gouvernance + RACI
  • Qualification NIS2 + périmètre initial
  • Cartographie “services/actifs/tiers” (v1)
  • Méthodologie risques + registre risques (v1)
  • Politique sécurité (v1) + exigences tiers (v1)
  • SoA ISO 27001 (v1)
  • Plan projet + plan de preuves (structure)
Phase 2 — Mettre en œuvre et opérer (Implement & Operate)
Objectif : déployer les mesures NIS2 prioritaires, formaliser les procédures, et initier la collecte de preuves.

Activités :
 
  1. Analyse d’écart NIS2 : exigences → état actuel → plan de remédiation.
  2. Mesures “quick wins” : durcissement, accès, sauvegardes, logs, vulnérabilités (selon situation).
  3. Procédures clés : gestion des risques, contrôle d’accès, gestion vulnérabilités, gestion changements, sauvegardes.
  4. Supply chain : inventaire tiers, évaluation, clauses, exigences, suivi.
  5. Gestion des incidents : playbooks, escalade, critères de notification, tests.
  6. Mise en place des enregistrements : tickets, revues, journaux, attestations, rapports.

 

Livrables Phase 2
 
  • Gap analysis NIS2 + plan de remédiation priorisé
  • Procédures : incidents & escalade, gestion vulnérabilités, accès, changements, sauvegardes/logs (selon périmètre)
  • Registre tiers + exigences/clauses + plan de suivi
  • Registre risques (v2) + plan de traitement + preuves d’exécution
  • Catalogue de preuves + modèles d’enregistrements
  • Roadmap ISO 27001 (alignée remédiation NIS2)
Phase 3 — Surveiller et revoir (Monitor & Review)
Objectif : démontrer un pilotage NIS2 mesurable et préparer une évaluation, en s’appuyant sur les mécanismes ISO 27001.

Activités :
 
  1. Surveillance & KPI : indicateurs sécurité, conformité, incidents, tiers, vulnérabilités.
  2. Audit interne (ISO 27001) orienté exigences NIS2 : plan, checklists, constats.
  3. Revue de direction : décisions, arbitrages, ressources, risques résiduels, plan d’amélioration.

 

Livrables Phase 3
 
  • Tableau de bord KPI + revues périodiques (comptes rendus)
  • Rapport d’audit interne + plan de remédiation
  • Compte rendu revue de direction + décisions + plan d’actions
  • Mise à jour SoA, risques, preuves
Phase 4 — Maintenir et améliorer (Maintain & Improve)
Objectif : finaliser la conformité démontrable, fermer les écarts, et préparer l’évaluation NIS2 / la trajectoire certification ISO 27001.

Activités :
 
  1. Traitement des non-conformités : actions correctives, vérification efficacité.
  2. Readiness : simulation d’évaluation, vérification evidence pack, last-mile.
  3. Pérennisation : planning des audits internes, revues, cycles d’amélioration.

 

Livrables Phase 4
 
  • Registre non-conformités + actions correctives + preuves de clôture
  • Pack “NIS2 Readiness” : dossier de preuves final + checklist d’évaluation
  • Pack “ISO 27001 Readiness” (si souhaité) : SoA final + plan audit + planning
4) Volet “preuves & évaluation” (intégré au fil de l’eau)
4.1 Ateliers preuves (evidence-driven)
  • Définition des preuves attendues par exigence NIS2.
  • Mise en place des enregistrements : revues, tickets, rapports, journaux, validations.
  • Organisation du référentiel documentaire et traçabilité.
4.2 Livrables preuves
  • Catalogue de preuves + emplacement + owner + fréquence
  • Evidence pack consolidé (procédures + enregistrements + rapports)
5) Organisation du projet
Ateliers (typique)
  • Kick-off + qualification NIS2 + cadrage périmètre
  • Ateliers cartographie actifs/services/tiers
  • Atelier gap analysis NIS2 + priorisation remédiation
  • Atelier incidents & notification (playbooks + tests)
  • Atelier supply chain (tiers, clauses, suivi)
  • Atelier risques & SoA ISO 27001
  • Audit interne + revue de direction + readiness
Rôles côté client (minimum)
  • Sponsor (direction)
  • Référent sécurité / RSSI (owner)
  • Référent IT Ops / Production
  • Référent Risk/Compliance / Juridique
  • Référent Achats/Vendor management (tiers)
  • Référent métiers (services critiques)
6) Durée (à adapter au périmètre)
  • Standard : 8 à 14 semaines selon maturité, taille du périmètre, nombre de fournisseurs critiques.
  • Étendu : 14+ semaines si multi-sites, SI hétérogène, gros programme remédiation.
7) Ce qui fait la valeur (conformité + trajectoire ISO)
  • Conformité démontrable : exigences NIS2 traduites en mesures opérées et preuves.
  • Pilotage durable : ISO 27001 fournit un cadre stable (risques, contrôles, audit, amélioration).
  • Réduction du risque et de l’impact : meilleure préparation incidents, supply chain maîtrisée.
  • Simplification des évaluations : evidence pack prêt, traçabilité, gouvernance claire.
8) Options
  • Pack “Architecture & durcissement” : revue d’architecture, hardening, segmentation, logs/monitoring.
  • Pack “Pentest & remédiation” : pentest applicatif/infrastructure + plan de correction + preuves.
  • Pack “Exercice de crise” : table-top cyber + test de notification + REX.
  • Pack “Scale” : extension à d’autres entités / filiales / périmètres.