NIS2 : 5 erreurs fréquentes dans la préparation des DSI et RSSI

vendredi 18 juillet

Cybersécurité

Nicolas Lacourte
Solution Manager Cybersécurité

La directive NIS2 est entrée en vigueur au niveau européen, avec une obligation de transposition dans les États membres avant octobre 2024. Cependant, la majorité des pays, dont la France, accusent un retard dans sa mise en œuvre concrète.

Où en est la France ?

Le projet de loi a été adopté au sénat le 12 mars 2025
Il est encore en cours d’examen par la commission spéciale de l’Assemblée nationale (vote prévu pour septembre)
Les décrets d’application sont en cours d’élaboration par l’ANSSI

Selon nos dernières informations, l’ANSSI travaille sur 20 objectifs de sécurité, regroupés en 4 grands axes :

Gouvernance : PSSI, cartographie, gestion RH, contrôle des accès physiques
Protection : cloisonnement, MFA, gestion des identités, anti-malware
Défense : analyse de risque, audits, gestion de crise
Résilience : supervision, PRA, administration dédiée, configuration sécurisée

En clair : la loi n’est pas encore finalisée, mais les attendus sont déjà largement identifiables.
Les entreprises concernées gagneraient donc à anticiper la mise en conformité dès maintenant, sans attendre le décret final.

5 erreurs à éviter dès aujourd’hui

1. Réduire NIS2 à une mise en conformité documentaire

NIS2 ne se limite pas à cocher des cases sur un tableau de gouvernance.
Elle impose des capacités opérationnelles démontrables : détection, réponse aux incidents, supervision, continuité, gestion des fournisseurs…

À faire :

Ne pas se limiter à la production de politiques.
Travailler aussi sur l’opérationnalisation : processus, outils, contrôles réels, traçabilité.

2. Attendre la version finale de la transposition pour commencer

Beaucoup d’organisations attendent encore des textes “clairs” avant d’agir.
C’est une erreur stratégique : les grandes exigences sont connues et les délais seront courts.

À faire :

Réaliser dès maintenant une gap analysis (diagnostic d’écart) entre votre niveau actuel et les attendus de NIS2.
Prioriser les chantiers selon la criticité, la dépendance fournisseur et le niveau d’exposition.

3. Négliger la gestion des actifs et des dépendances

NIS2 introduit la notion de « supply chain security ». Or, de nombreuses organisations ignorent encore :

ce qu’elles exposent réellement sur Internet,
quels actifs sont critiques,
qui sont leurs fournisseurs à risques.

À faire :

Construire ou fiabiliser une CMDB (Configuration Management Database)
Identifier les services sensibles et les actifs critiques, y compris dans le cloud
Cartographier les tiers, leurs accès, leurs dépendances, leurs clauses contractuelles

4. Sous-estimer la dimension « temps réel »

NIS2 n’impose pas une conformité figée, mais une capacité dynamique à détecter, réagir et notifier.

Cela implique :

de surveiller activement ses systèmes (EDR, SOC, etc.)
de notifier les autorités sous 24 heures
de disposer de moyens de réaction rapide (isolation, remédiation, blocage)

À faire :

Mettre en place une capacité de détection et réponse (interne ou externalisée)
Préparer les processus d’alerte vers les autorités compétentes
Tester des scénarios d’incidents à blanc (fiches réflexes, RACI, etc.)

5. Limiter le sujet au RSSI

Trop souvent, la conformité NIS2 est vue comme une affaire purement IT ou cybersécurité.
Or, la directive impose :

une implication de la direction générale (avec responsabilité légale)
un pilotage transversal (IT, métiers, juridique, achats…)
une sensibilisation des collaborateurs et partenaires

À faire :

Impliquer la direction dès le début, avec un plan d’engagement NIS2 clair
Nommer un référent transverse (RSSI ou responsable conformité) avec autorité
Mettre en place une gouvernance structurée, pas uniquement un plan technique

Conclusion : agir maintenant, avec méthode

Préparer NIS2, ce n’est pas anticiper un simple audit.
C’est renforcer durablement la posture cybersécurité de l’organisation.

Les clés d’une mise en conformité réussie :

Diagnostic clair
Priorisation des chantiers
Pilotage transverse
Preuves concrètes
Capacités opérationnelles activables

Envie de vérifier où vous en êtes ?

La première étape est souvent de cartographier l’existant.
Vous souhaitez un accompagnement ?

Nos experts NXO peuvent vous aider.

Je consulte NXO_blank

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_01CQSTSNYF	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_92794824_2	1 minute	Set by Google to distinguish users.
_gat_UA-92794824-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
pardot	past	The pardot cookie is set while the visitor is logged in as a Pardot user. The cookie indicates an active session and is not used for tracking.

Cookie	Durée	Description
DEVICE_INFO	5 months 27 days	YouTube: Utilisé pour suivre l'interaction de l'utilisateur avec le contenu intégré.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lpv983551	30 minutes	Ce cookie empêche le suivi de chaque rechargement en tant que vue de page.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
visitor_id983551	1 year	Le cookie visiteur inclut un identifiant unique de visiteur et l'identifiant unique de notre unité commerciale.
visitor_id983551-hash	1 year	Ce cookie est une mesure de sécurité qui empêche un utilisateur malveillant de se faire passer pour un visiteur et d’accéder aux informations du prospect correspondant.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description
SGPBShowingLimitationPage65978	session	No description
SGPBShowingLimitationPage68398	session	No description

NIS2 : 5 erreurs fréquentes dans la préparation des DSI et RSSI

Où en est la France ?

5 erreurs à éviter dès aujourd’hui

1. Réduire NIS2 à une mise en conformité documentaire

2. Attendre la version finale de la transposition pour commencer

3. Négliger la gestion des actifs et des dépendances

4. Sous-estimer la dimension « temps réel »

5. Limiter le sujet au RSSI

Conclusion : agir maintenant, avec méthode

Envie de vérifier où vous en êtes ?

Sur le même thème