Ressource · Conformité
Checklist conformité NIS2 / DORA
Les directives NIS2 et DORA rehaussent nettement les exigences de cybersécurité pour les entreprises européennes, et elles ne concernent plus seulement les grands groupes : de nombreuses PME et ETI y sont désormais assujetties, directement ou en tant que maillon d'une chaîne d'approvisionnement critique. Cette checklist rassemble vingt-sept points de contrôle concrets, organisés par thème, pour cadrer votre mise en conformité sans vous noyer dans le texte réglementaire. Passez-la en revue, cochez ce qui est déjà en place, et faites de ce qui reste votre feuille de route.
Astuce : une fois le document affiché, utilisez Imprimer puis Enregistrer au format PDF pour en garder une copie et la partager avec votre équipe. Cette checklist est un point de départ pédagogique et ne se substitue pas à un accompagnement juridique ou à un audit de sécurité.
01 · Gouvernance
Gouvernance et pilotage de la sécurité
La conformité commence par un portage au plus haut niveau. NIS2 engage explicitement la responsabilité des dirigeants, tandis que DORA impose un cadre de gouvernance du risque numérique. Avant tout contrôle technique, assurez-vous que les rôles, la politique et l'analyse de risque existent et sont réellement suivis.
- Désigner un responsable de la sécurité (RSSI ou équivalent) et faire valider la politique de sécurité par la direction, qui en assume la responsabilité.
- Déterminer votre périmètre réglementaire : établir si vous êtes entité « essentielle » ou « importante » au sens de NIS2, ou entité financière assujettie à DORA.
- Tenir un inventaire à jour de tous les actifs : matériels, logiciels, services cloud, noms de domaine et comptes à privilèges.
- Conduire une analyse de risques formelle au moins une fois par an et la réviser après tout incident majeur ou changement significatif.
- Former et sensibiliser l'ensemble des collaborateurs (hameçonnage, hygiène des mots de passe, signalement) au minimum une fois par an.
02 · Vulnérabilités
Gestion des vulnérabilités
Une vulnérabilité connue et non corrigée reste l'une des premières causes de compromission. Les deux textes attendent un processus continu, et non ponctuel, de détection, de priorisation et de correction, appuyé sur une veille active.
- Maintenir une veille sur les vulnérabilités (CVE) affectant vos composants et vos dépendances logicielles.
- Appliquer les correctifs critiques sous quatorze jours, et sous quarante-huit heures pour les failles activement exploitées.
- Scanner vos actifs exposés au moins une fois par mois, et systématiquement après une mise en production.
- Prioriser la remédiation selon le risque réel (exploitabilité, exposition et criticité de l'actif) plutôt que sur le seul score CVSS.
- Publier une politique de divulgation coordonnée (fichier
security.txt, contact dédié) pour recevoir les signalements externes.
03 · Tests
Tests de sécurité et résilience
Vérifier ses défenses par la preuve est au cœur de DORA, qui impose des tests réguliers de résilience opérationnelle, et de NIS2, qui attend une évaluation de l'efficacité des mesures. Un test d'intrusion mené par un tiers reste la manière la plus fiable de confronter votre exposition réelle à la théorie.
- Réaliser un test d'intrusion externe au moins une fois par an et après toute évolution majeure de votre système d'information.
- Tester vos applications web exposées au regard de l'OWASP Top 10 (injections, contrôle d'accès, authentification…).
- Vérifier la robustesse de l'authentification : MFA généralisé, politique de mots de passe et gestion sûre des sessions.
- Éprouver vos sauvegardes par des restaurations réellement testées, au moins une fois par trimestre.
04 · Surface d'attaque
Surveillance de la surface d'attaque externe
On ne protège que ce que l'on connaît. La gestion de la surface d'attaque externe (EASM) consiste à recenser en continu tout ce qui est exposé à Internet en votre nom, y compris ce que vos équipes ont oublié, car c'est précisément là qu'un attaquant commence.
- Recenser en continu l'ensemble de vos domaines, sous-domaines et adresses IP publiques.
- Détecter les services exposés non maîtrisés : shadow IT, environnements de pré-production ou de test laissés accessibles.
- Surveiller la validité, l'expiration et le chiffrement de vos certificats TLS.
- Fermer ou protéger les interfaces d'administration exposées (VPN, RDP, panneaux de gestion) derrière une authentification forte.
- Détecter les fuites de secrets (clés d'API, identifiants) sur les dépôts publics, les journaux et le dark web.
05 · Incidents
Détection et réponse aux incidents
NIS2 impose un calendrier de notification strict : une alerte précoce sous vingt-quatre heures, puis une notification sous soixante-douze heures. Pour tenir ces délais, la réponse à incident doit être préparée, documentée et entraînée bien avant la crise.
- Formaliser un plan de réponse aux incidents précisant les rôles, les responsabilités et des coordonnées maintenues à jour.
- Être en capacité de notifier l'autorité compétente (ANSSI / CSIRT) sous vingt-quatre heures puis soixante-douze heures, conformément à NIS2.
- Journaliser et centraliser les logs, avec une conservation d'au moins six mois, pour permettre l'investigation.
- Éprouver le plan par un exercice de crise (simulation) au moins une fois par an.
06 · Fournisseurs
Sécurité de la chaîne d'approvisionnement
La sécurité de vos fournisseurs devient la vôtre. NIS2 comme DORA insistent sur la maîtrise du risque tiers : un prestataire compromis ou une dépendance logicielle malveillante suffit à contourner vos meilleures défenses. Contractualisez les exigences et surveillez ce que vous consommez.
- Tenir un registre des fournisseurs critiques, de leurs accès et des données qui leur sont confiées.
- Intégrer aux contrats des clauses de sécurité et de notification d'incident (sous-traitance, hébergement, cloud).
- Évaluer la posture de sécurité des fournisseurs clés (questionnaires, certifications ISO 27001 ou SOC 2).
- Surveiller vos dépendances logicielles (analyse de composition, SBOM) et les risques de compromission de la chaîne d'approvisionnement.