15 mars 2026 15 min de lectureAventris

Les 10 mesures NIS2 de l'Article 21 : guide d'implémentation pratique

L'Article 21 de la directive NIS2 est le cœur opérationnel du texte. Son paragraphe 2 liste 10 catégories de mesures de gestion des risques de cybersécurité que toutes les entités régulées — essentielles et importantes — doivent mettre en œuvre. Ce guide vous donne, pour chaque mesure, une traduction concrète, les preuves à produire et un quick win pour démarrer immédiatement. Pour le contexte global, consultez notre guide complet NIS2.

(a) Politiques d'analyse des risques et de sécurité des systèmes d'information

La première mesure exige que l'entité formalise une politique de sécurité des systèmes d'information (PSSI) fondée sur une analyse de risques documentée. C'est la pierre angulaire de la conformité : toutes les autres mesures en découlent.

Que faut-il faire concrètement ?

  • Mener une analyse de risques formelle — la méthode EBIOS RM est recommandée par l'ANSSI pour les entités françaises
  • Rédiger une PSSI couvrant périmètre, objectifs, rôles et responsabilités, et mesures de sécurité
  • Faire valider et signer la PSSI par les organes de direction (Art. 20)
  • Réviser la PSSI au minimum annuellement ou après tout changement significatif

Preuves à produire : PSSI signée et datée, registre des risques, PV d'approbation par la direction, historique des révisions.

Niveau d'effort : élevé (fondation structurelle). Quick win : lancez un auto-audit de maturité pour identifier les écarts avant de rédiger la PSSI.

(b) Gestion des incidents

La deuxième mesure impose la mise en place de procédures de détection, d'analyse, de réponse et de signalement des incidents de sécurité. Elle s'articule directement avec l'Article 23 qui définit les délais de notification.

Que faut-il faire concrètement ?

  • Rédiger un plan de réponse aux incidents (IRP) définissant les rôles, circuits d'escalade et procédures
  • Mettre en place des outils de détection (SIEM, EDR, monitoring réseau)
  • Définir les critères d'un « incident significatif » déclenchant la notification ANSSI
  • Former l'équipe de réponse aux incidents et conduire des exercices de simulation

Preuves à produire : plan de réponse aux incidents, registre des incidents, PV d'exercices de simulation, métriques de détection (MTTD/MTTR).

Niveau d'effort : élevé. Quick win : documentez vos circuits d'escalade existants et créez une fiche réflexe « incident de sécurité ».

(c) Continuité des activités, gestion de crise et sauvegardes

Cette mesure exige des plans de continuité d'activité (PCA), des plans de reprise d'activité (PRA), une gestion de crise structurée et une politique de sauvegardes robuste.

Que faut-il faire concrètement ?

  • Identifier les processus métier critiques et leurs dépendances SI
  • Rédiger un PCA et un PRA avec des objectifs de temps de reprise (RTO) et de point de reprise (RPO)
  • Mettre en place une stratégie de sauvegarde 3-2-1 (3 copies, 2 supports, 1 hors site)
  • Tester régulièrement les sauvegardes et les plans de reprise (au moins annuellement)
  • Définir une cellule de crise avec des rôles clairs et des procédures de communication

Preuves à produire : PCA/PRA documentés, PV de tests de restauration, journaux de sauvegarde, registre des exercices de crise.

Niveau d'effort : élevé. Quick win : vérifiez que vos sauvegardes actuelles sont testées et restaurables.

(d) Sécurité de la chaîne d'approvisionnement

NIS2 élargit la responsabilité de l'entité à sa supply chain. Vous devez évaluer et gérer les risques liés à vos fournisseurs directs et prestataires de services.

Que faut-il faire concrètement ?

  • Cartographier les fournisseurs critiques (IT, cloud, infogérance, développement)
  • Évaluer le niveau de sécurité de chaque fournisseur critique (questionnaire, audit, certifications)
  • Intégrer des clauses de sécurité dans les contrats (notification d'incidents, droit d'audit, SLA sécurité)
  • Mettre en place un processus de suivi et de revue périodique des fournisseurs

Preuves à produire : registre des fournisseurs critiques, résultats d'évaluation, contrats avec clauses de sécurité, PV de revues.

Niveau d'effort : moyen. Quick win : listez vos 10 fournisseurs IT critiques et vérifiez qu'ils ont des clauses de sécurité dans leurs contrats.

(e) Sécurité de l'acquisition, du développement et de la maintenance des SI

Cette mesure couvre la sécurité dans le cycle de vie complet des systèmes d'information : de l'achat de solutions à leur maintenance, en passant par le développement interne.

Que faut-il faire concrètement ?

  • Intégrer des critères de sécurité dans les cahiers des charges (acquisition)
  • Mettre en place des pratiques de développement sécurisé (revues de code, SAST/DAST, gestion des dépendances)
  • Gérer les vulnérabilités : processus de veille, de qualification et de correction (patching)
  • Sécuriser les environnements de développement et de test

Preuves à produire : politique de développement sécurisé, résultats de scans de vulnérabilité, registre des correctifs, cahiers des charges avec critères sécurité.

Niveau d'effort : moyen à élevé. Quick win : activez les mises à jour automatiques de sécurité sur vos systèmes critiques.

(f) Évaluation de l'efficacité des mesures de gestion des risques

Il ne suffit pas de mettre en place des mesures : NIS2 exige de vérifier régulièrement qu'elles sont effectives. C'est le principe d'amélioration continue appliqué à la cybersécurité.

Que faut-il faire concrètement ?

  • Planifier des audits internes réguliers (au moins annuels)
  • Réaliser des tests d'intrusion (pentest) sur les systèmes critiques
  • Conduire des exercices de crise et de simulation d'incidents
  • Définir des indicateurs de performance sécurité (KPI) et les suivre dans un tableau de bord

Preuves à produire : rapports d'audit, rapports de pentest, PV d'exercices, tableau de bord KPI sécurité.

Niveau d'effort : moyen. Quick win : planifiez un premier audit interne simplifié sur vos 3 mesures les plus critiques.

(g) Pratiques de cyberhygiène et formation

La sensibilisation et la formation de tous les collaborateurs sont une exigence explicite de NIS2. L'Article 20 impose par ailleurs que les dirigeants suivent eux-mêmes des formations en cybersécurité.

Que faut-il faire concrètement ?

  • Déployer un programme de sensibilisation récurrent (phishing simulé, e-learning, ateliers)
  • Rédiger et diffuser une charte informatique / politique d'utilisation acceptable
  • Organiser des formations spécifiques pour les équipes IT et sécurité
  • Former les dirigeants à leurs obligations personnelles NIS2

Preuves à produire : charte informatique signée, registre des formations, résultats des campagnes de phishing, attestations de formation dirigeants.

Niveau d'effort : faible à moyen. Quick win : lancez une première campagne de phishing simulé et rédiger une charte informatique.

(h) Politiques et procédures relatives à la cryptographie

Cette mesure vise à protéger la confidentialité, l'intégrité et l'authenticité des données par le chiffrement et les mécanismes cryptographiques.

Que faut-il faire concrètement ?

  • Chiffrer les données sensibles au repos (bases de données, sauvegardes, postes de travail)
  • Chiffrer les communications en transit (TLS 1.2+ pour tout, VPN pour les accès distants)
  • Mettre en place une gestion des clés cryptographiques (génération, stockage, rotation, révocation)
  • Documenter la politique de cryptographie (algorithmes autorisés, longueurs de clé minimales)

Preuves à produire : politique de cryptographie, inventaire des certificats, registre des clés, configuration TLS documentée.

Niveau d'effort : moyen. Quick win : vérifiez que TLS 1.2+ est activé sur tous vos services exposés.

(i) Sécurité des ressources humaines, contrôle d'accès et gestion des actifs

Cette mesure couvre trois domaines liés : la sécurité RH (arrivée/départ), le contrôle d'accès aux systèmes et la gestion des actifsinformationnels.

Que faut-il faire concrètement ?

  • Mettre en place un processus d'onboarding/offboarding sécurisé (création/suppression des comptes, récupération du matériel)
  • Appliquer le principe du moindre privilège : chaque utilisateur n'a accès qu'aux ressources nécessaires à ses fonctions
  • Tenir un inventaire des actifs informationnels (matériel, logiciel, données) à jour
  • Réaliser des revues d'accès périodiques (au moins trimestrielles pour les accès privilégiés)

Preuves à produire : processus d'onboarding/offboarding, matrice de droits d'accès, inventaire des actifs, PV de revues d'accès.

Niveau d'effort : moyen. Quick win : lancez une revue d'accès sur vos comptes privilégiés (administrateurs).

(j) Authentification multifacteur et communications sécurisées

La dernière mesure exige le déploiement de l'authentification multifacteur (MFA) et la sécurisation des canaux de communication, y compris les communications d'urgence.

Que faut-il faire concrètement ?

  • Déployer le MFA sur tous les accès critiques (messagerie, VPN, administration, applications métier sensibles)
  • Sécuriser les communications internes (messagerie chiffrée bout à bout pour les sujets sensibles)
  • Mettre en place des canaux de communication d'urgence (hors système principal, en cas de compromission)
  • Documenter la politique d'authentification (exigences de mot de passe, conditions de MFA)

Preuves à produire : politique d'authentification, taux de couverture MFA, plan de communication d'urgence, configuration MFA documentée.

Niveau d'effort : faible à moyen. Quick win : activez le MFA sur tous les comptes administrateurs et la messagerie professionnelle.

Comment prioriser les 10 mesures ?

Toutes les mesures sont obligatoires, mais leur séquençage est crucial. Voici notre recommandation de priorisation basée sur une matrice effort/impact :

  1. Phase 1 — Fondations (mois 1-3) : mesure (a) analyse de risques + mesure (g) cyberhygiène + mesure (j) MFA
  2. Phase 2 — Résilience (mois 3-6) : mesure (b) gestion des incidents + mesure (c) continuité + mesure (h) cryptographie
  3. Phase 3 — Écosystème (mois 6-12) : mesure (d) supply chain + mesure (e) développement sécurisé + mesure (i) RH/accès
  4. Phase 4 — Amélioration (continu) : mesure (f) évaluation de l'efficacité

Pour approfondir l'articulation avec EBIOS RM, consultez notre article EBIOS RM et NIS2. Pour le cadre théorique de l'Article 21, voir notre analyse Article 21 : les mesures de gestion des risques. Le référentiel complet est détaillé sur notre page Conformité NIS2 — Article 21.

FAQ

Évaluez votre conformité NIS2 en 30 minutes

Aventris structure votre démarche NIS2 de bout en bout : auto-audit, EBIOS RM, dossier de preuves et pack audit ANSSI.

Articles connexes

Guide

NIS2 : le guide complet pour les entreprises françaises (édition 2026)

La directive NIS2 élargit les obligations de cybersécurité à plus de 15 000 entités en France. Ce guide complet couvre les 10 mesures de l'Article 21, les sanctions, le calendrier de la loi Résilience et un plan d'action en 5 étapes.

15 mars 2026 20 min
Pratique

EBIOS RM et NIS2 : articuler analyse de risques et conformité

EBIOS RM est la méthode d'analyse de risques recommandée par l'ANSSI pour NIS2. Découvrez comment articuler les 5 ateliers avec les exigences de l'Article 21 et le mapping complet.

15 mars 2026 10 min
Guide

NIS2 Article 21 : comprendre les mesures de gestion des risques

L'Article 21 impose une approche « tous risques ». Cet article analyse le principe de proportionnalité, la responsabilité des dirigeants (Art. 20) et l'articulation risques vs contrôles.

15 mars 2026 12 min