Les 25 mesures ANSSI sont-elles toutes obligatoires ?

Le socle universel (M00-M16) s'applique à toutes les entités régulées. Les domaines spécialisés (M17-M24) s'appliquent selon le contexte : M17-M18 pour l'OT, M19 pour l'articulation RGPD, M20-M21 pour le cloud, M22-M24 pour les groupes.

Quel lien entre les 25 mesures ANSSI et les 10 mesures de l'article 21 ?

Les 10 mesures de l'article 21(2) correspondent aux mesures M01 à M10 du référentiel ANSSI. Les 15 mesures supplémentaires couvrent les obligations complémentaires (gouvernance dirigeants, notification, enregistrement, certification) et les adaptations sectorielles.

Comment prioriser la mise en œuvre des 25 mesures ?

Approche en trois phases : Phase 30 jours (quick wins) — M00 gouvernance, M07 cyberhygiène, M12 enregistrement, M10 MFA. Phase 60 jours — M01 analyse de risques, M02 incidents, M09 accès. Phase 90 jours — M03 continuité, M04 supply chain, M05 vulnérabilités, M06 évaluation.

Combien d'exigences comporte le référentiel ANSSI ?

Le référentiel ANSSI comprend 159 exigences vérifiables réparties sur les 25 objectifs de sécurité et organisées en 9 piliers thématiques. Chaque exigence couvre quatre volets : gouvernance, processus, technique et efficacité.

Référentiel ANSSI

Les 25 objectifs de sécurité ANSSI pour la conformité NIS2

L'ANSSI structure la transposition de NIS2 en 25 objectifs de sécurité (M00 à M24), allant de la gouvernance des dirigeants aux domaines spécialisés OT, cloud et groupe. Ce référentiel constitue la grille d'évaluation qui sera utilisée lors des contrôles de conformité. Décryptage complet.

Architecture du référentiel : 9 piliers, 25 mesures, 159 exigences

Le référentiel ANSSI organise les 25 objectifs de sécurité en 9 piliers thématiques, chacun regroupant les mesures correspondantes de la directive NIS2. Chaque mesure est déclinée en exigences vérifiables, couvrant quatre volets : gouvernance, processus, technique et efficacité. Au total, le référentiel comprend 159 exigences évaluables lors d'un audit de conformité.

Pilier	Mesures	Périmètre
Gouvernance	M00	Responsabilité des dirigeants (Art. 20)
Gestion des risques	M01	Analyse de risques et PSSI (Art. 21-a)
Protection & exploitation	M05, M07, M08, M09, M10	Mesures techniques (Art. 21-e,g,h,i,j)
Détection & réponse	M02, M11	Gestion et notification d'incidents (Art. 21-b, 23)
Résilience	M03	Continuité, PCA/PRA, gestion de crise (Art. 21-c)
Tiers & achats	M04, M13	Supply chain et certification (Art. 21-d, 24)
Évaluation & amélioration	M06, M14	Audits, tests d'intrusion, normalisation (Art. 21-f, 25)
Partage & coopération	M15, M16	Partage d'informations et notification volontaire (Art. 29, 30)
Enregistrement	M12	Identification auprès de l'ANSSI (Art. 3)

Tableau complet des 25 mesures (M00-M24)

Le tableau ci-dessous présente l'ensemble des 25 objectifs de sécurité du référentiel ANSSI. Les mesures M00 à M16 correspondent au socle universel applicable à toutes les entités. Les mesures M17 à M24 couvrent les domaines spécialisés (OT/ICS, RGPD, Cloud, Groupe).

Socle universel (M00-M16)

Code	Mesure	Article	Catégorie
M00	Gouvernance des dirigeants	Article 20	Gouvernance
M01	Politiques d'analyse des risques et sécurité des SI	Article 21(2)-1	Risques
M02	Gestion des incidents	Article 21(2)-2	Détection
M03	Continuité d'activité, sauvegardes, reprise, gestion de crise	Article 21(2)-3	Résilience
M04	Sécurité de la chaîne d'approvisionnement	Article 21(2)-4 + 21(3)	Tiers
M05	Sécurité acquisition, développement, maintenance & vulnérabilités	Article 21(2)-5	Protection
M06	Évaluation de l'efficacité des mesures	Article 21(2)-6	Évaluation
M07	Pratiques de cyberhygiène de base et formation	Article 21(2)-7	Protection
M08	Cryptographie et chiffrement	Article 21(2)-8	Protection
M09	Sécurité RH, contrôle d'accès et gestion des actifs	Article 21(2)-9	Protection
M10	MFA, authentification continue et communications sécurisées d'urgence	Article 21(2)-10	Protection
M11	Obligations de déclaration d'incidents	Article 23	Détection
M12	Identification et enregistrement	Article 3(3)-(4)	Enregistrement
M13	Recours aux schémas européens de certification cybersécurité	Article 24	Tiers
M14	Normalisation	Article 25	Évaluation
M15	Accords de partage d'informations cybersécurité	Article 29	Partage
M16	Notification volontaire d'informations pertinentes	Article 30	Partage

Domaines spécialisés (M17-M24)

Code	Mesure	Article	Catégorie
M17	Sécurité OT / ICS / SCADA	Art. 21 §2(e) + IEC 62443-2-1 §4.2	Protection
M18	Gestion des vulnérabilités et incidents OT	Art. 21 §2(b) + Art. 21 §2(e) + IEC 62443-2-3	Détection
M19	Articulation NIS2 / RGPD – double notification	Art. 21 §2(b) + Art. 23 + Art. 32-33 RGPD	Détection
M20	Gouvernance et sécurité cloud SaaS	Art. 21 §2(d) + Art. 21 §2(i) + ISO 27017 CLD.9.5.1	Tiers
M21	Souveraineté des données et conformité cloud	Art. 21 §2(h) + SecNumCloud §19 + ISO 27018 §A.10.1	Protection
M22	Gouvernance cybersécurité groupe	Art. 20 + Art. 21 §2(a)	Gouvernance
M23	Gestion des incidents et notification groupe	Art. 23 + Art. 21 §2(b)	Détection
M24	Harmonisation des exigences de sécurité filiales	Art. 21 + Art. 20	Évaluation

Évaluez vos 25 mesures en auto-audit

L'auto-audit Aventris couvre les 25 objectifs ANSSI avec 159 exigences. Scoring automatique par pilier, identification des écarts et plan de remédiation priorisé.

Détail des mesures du socle universel

M00 — Gouvernance des dirigeants (Art. 20)

L'article 20 de NIS2 impose une responsabilité directe des organes de direction. Les dirigeants doivent approuver les mesures de cybersécurité, suivre leur mise en œuvre et suivre une formation spécifique. En cas de manquement, leur responsabilité personnelle peut être engagée. Cette mesure est le fondement de la gouvernance NIS2 : sans l'implication de la direction, aucun programme de conformité ne peut être efficace.

M01 à M10 — Les 10 mesures de l'article 21

Les mesures M01 à M10 transposent directement les 10 familles de mesures de l'article 21(2). Elles constituent le cœur des obligations de cybersécurité :

M01 : Politiques d'analyse des risques et sécurité des SI — méthode EBIOS RM, PSSI, plan de traitement.
M02 : Gestion des incidents — détection, classification, réponse, analyse post-mortem, playbooks.
M03 : Continuité d'activité — PCA/PRA, sauvegardes, RTO/RPO, exercices de crise annuels.
M04 : Sécurité de la chaîne d'approvisionnement — évaluation fournisseurs, clauses contractuelles, monitoring tiers.
M05 : Sécurité de l'acquisition, développement et maintenance — security by design, patch management, gestion des vulnérabilités.
M06 : Évaluation de l'efficacité des mesures — audits internes, tests d'intrusion, revues de conformité.
M07 : Cyberhygiène et formation — sensibilisation de tous les collaborateurs, formation des dirigeants.
M08 : Cryptographie et chiffrement — politique crypto, gestion des clés, algorithmes conformes RGS.
M09 : Sécurité RH, contrôle d'accès et gestion des actifs — IAM, moindre privilège, inventaire des actifs.
M10 : MFA, authentification continue et communications sécurisées d'urgence.

Le détail de chaque mesure est disponible sur la page Conformité NIS2 — Article 21.

M11 — Obligations de déclaration d'incidents (Art. 23)

Au-delà de la gestion interne des incidents (M02), l'article 23 impose des obligations de notification au CSIRT national (CERT-FR en France) avec des délais stricts : alerte précoce sous 24 heures, notification complète sous 72 heures et rapport final sous un mois. Les entités doivent disposer de procédures documentées et de canaux de communication pré-établis avec le CERT-FR.

M12 — Identification et enregistrement (Art. 3)

Les entités régulées doivent s'enregistrer auprès de l'ANSSI en fournissant les informations requises : nom, secteur, coordonnées, périmètre des services concernés. L'ANSSI ouvrira un portail dédié pour l'enregistrement. L'absence d'enregistrement constitue un manquement sanctionnable.

M13 — Schémas européens de certification (Art. 24)

Les entités peuvent recourir aux schémas européens de certification de cybersécurité (ENISA) pour démontrer leur conformité à certaines exigences. Bien que facultatif, le recours à une certification reconnue (comme le futur EUCS pour les services cloud) peut simplifier la preuve de conformité lors des contrôles ANSSI.

M14 — Normalisation (Art. 25)

NIS2 encourage le recours aux normes européennes et internationales (ISO 27001, ISO 27002, IEC 62443 pour l'OT). L'ANSSI pourra reconnaître certaines certifications comme preuve partielle de conformité, réduisant ainsi la charge administrative pour les entités déjà certifiées.

M15-M16 — Partage d'informations et notification volontaire (Art. 29-30)

Ces mesures couvrent les accords de partage de renseignements sur les cybermenaces entre entités et la notification volontaire d'incidents non significatifs. Elles favorisent la construction d'une posture de cybersécurité collective à l'échelle sectorielle et nationale.

Domaines spécialisés : OT, RGPD, Cloud, Groupe

Le référentiel ANSSI complète le socle universel par quatre domaines spécialisés couvrant des contextes particuliers :

OT/ICS/SCADA (M17-M18)

Les entités opérant des systèmes industriels (OT, ICS, SCADA, MES) sont soumises à des exigences spécifiques : segmentation IT/OT, gestion des vulnérabilités adaptée aux contraintes de disponibilité, inventaire des automates et RTU, et procédures de réponse aux incidents OT distinctes du périmètre IT. Ces mesures s'alignent sur la norme IEC 62443 et les guides ANSSI dédiés aux systèmes industriels.

Articulation NIS2/RGPD (M19)

En cas d'incident impliquant des données personnelles, l'entité doit mener une double notification : au CERT-FR (NIS2) et à la CNIL (RGPD article 33). La mesure M19 formalise cette articulation et définit les procédures de coordination entre le DPO et le RSSI.

Cloud et SaaS (M20-M21)

Les entités utilisant des services cloud doivent évaluer la posture de sécurité de leurs fournisseurs cloud, contractualiser les exigences de sécurité (clauses NIS2), et assurer la souveraineté des données (localisation, chiffrement, transférabilité). Les exigences SecNumCloud de l'ANSSI constituent le standard de référence pour les services cloud qualifiés.

Gouvernance groupe (M22-M24)

Les groupes multi-entités doivent assurer une gouvernance cybersécurité consolidée : politique groupe, gestion centralisée des incidents avec notification consolidée, et harmonisation des exigences de sécurité entre la maison mère et les filiales. Ces mesures s'adressent particulièrement aux groupes CAC40, ETI et aux organisations multi-sites.

Couvrez les 25 objectifs ANSSI avec Aventris

Aventris intègre les 25 mesures M00-M24, les 159 exigences et les 4 domaines spécialisés dans un workflow unique : auto-audit, risques, preuves, échéancier. Essai gratuit.

Comment utiliser ce référentiel

Le référentiel des 25 objectifs ANSSI est conçu pour être utilisé dans trois contextes :

Auto-évaluation (gap analysis) — Évaluez votre posture actuelle mesure par mesure. Aventris automatise cette évaluation avec un scoring par pilier et des recommandations de remédiation.
Constitution du dossier de preuves — Chaque mesure requiert des documents justificatifs : politiques, procédures, comptes rendus, rapports d'audit. Aventris génère les modèles documentaires pour chaque exigence.
Préparation aux contrôles ANSSI — Le dossier de conformité structuré selon les 9 piliers et les 25 mesures constitue la base documentaire attendue par l'ANSSI lors de ses inspections.