JOUCLA CYBERDÉFENSE
Accueil
Conformité NIS2

Directive NIS2

Accompagnement complet pour la mise en conformité NIS2. Évaluation, plan d'action et déploiement des mesures requises.

Appeler

Évaluation éligibilité

Votre entreprise est-elle concernée ? Analyse par secteur et taille.

Analyse d'écarts

Audit posture actuelle vs. exigences NIS2.

Plan de conformité

Feuille de route priorisée avec actions et délais.

Mesures techniques

Gestion des accès, chiffrement, détection, sauvegarde.

Formation dirigeants

Sensibilisation obligatoire — exigence NIS2.

Notification incidents

Procédures 24h/72h conformes NIS2.

Secteurs concernés par NIS2

+50 salariés ou +10M€ CA. Sanctions jusqu'à 10M€ ou 2% du CA mondial.

Énergie et transports
Santé et pharma
Infrastructure numérique
Services financiers
Administration publique
Fournisseurs IT et cloud
Alimentation et distribution
Fabrication et industrie
Cas réel

Entité importante NIS2 — conformité 10 mesures en 18 mois

Fabricant industriel de 180 salariés (45 M€ CA) — du diagnostic d'éligibilité jusqu'à la déclaration ANSSI et la conformité totale

Le diagnostic d'éligibilité

Fabricant industriel français (équipements médicaux / pièces automobiles) : 180 salariés, 45 M€ de CA, 2 usines. La direction entend parler de NIS2, se demande si elle est concernée, et craint surtout les sanctions (jusqu'à 10 M€ ou 2% du CA mondial, dirigeants personnellement responsables). Diagnostic : secteur "fabrication" inclus dans l'annexe II → entité importante. Obligations pleines, mais sanctions proportionnellement réduites vs entité essentielle. Évaluation des 10 mesures minimales NIS2 (article 21) : 3 correctement implémentées, 7 partielles ou absentes.

Secteur : fabrication industrielle (Annexe II NIS2)

Taille : 180 salariés, 45 M€ CA → entité importante

Sanctions max : 7 M€ ou 1,4% du CA mondial

Responsabilité : pénale personnelle des dirigeants (nouveauté)

Déclaration ANSSI : obligatoire sous 3 mois après détection

La trajectoire de conformité

Plan en 3 phases sur 18 mois : d'abord les obligations immédiates (déclaration ANSSI, formation dirigeants, procédures incident), puis le gros œuvre technique (MFA, EDR, backups, segmentation), enfin la consolidation et la preuve d'efficacité (audit interne, tests PCA, supply chain). Accompagnement RSSI externalisé 3 jours/mois pour piloter et documenter.

Phase 1 : obligations immédiates (M1-M3)

→ Déclaration ANSSI, formation CODIR (6h obligatoires)

→ Procédures notification 24h / 72h / 1 mois

→ Désignation d'un responsable sécurité

Phase 2 : mesures techniques (M4-M12)

→ MFA sur 100% des accès, IAM et PAM

→ EDR + SOC externalisé, détection d'incidents

→ Segmentation IT/OT, durcissement AD

→ Backups 3-2-1, PCA/PRA testés

→ Chiffrement données sensibles au repos et en transit

Phase 3 : consolidation (M13-M18)

→ Audit fournisseurs critiques (supply chain)

→ Pentest annuel + exercice de crise cyber

→ Audit de conformité NIS2 — 0 écart majeur

Les 10 mesures minimales NIS2 couvertes

1. Politique de risques SI — Analyse EBIOS RM + PSSI adoptée par le CODIR
2. Gestion des incidents — EDR + SOC + procédures notification 24h/72h
3. Continuité d'activité — PCA/PRA documentés et testés grandeur nature
4. Sécurité chaîne d'appro. — Audit des 8 fournisseurs critiques + clauses sécurité
5. Sécurité dev/acquisition — Secure by design, pentest avant mise en production
6. Efficacité des mesures — KPI mensuels, audit interne annuel, revue direction
7. Formation et hygiène — E-learning obligatoire + dirigeants formés (6h)
8. Cryptographie — Chiffrement disque, TLS 1.3, gestion de clés PKI
9. Contrôle d'accès — MFA, PAM, RBAC, principe du moindre privilège
10. Communications sécurisées — MDM, VPN, messagerie chiffrée (Tchap ou équivalent)

Procédures NIS2 déployées

Alerte précoce 24h
Notification ANSSI initiale — Confirme la suspicion d'incident important
Notification 72h
Rapport d'évaluation — Analyse, impact, mesures prises
Rapport final 1 mois
Rapport complet ANSSI — Cause racine, remédiation, leçons
Information utilisateurs
Sans délai indu — Si menace significative persistante

Modèles de notification pré-remplis prêts à l'emploi, exercice de notification simulé chaque année. Astreinte RSSI 24/7 pour respecter les 24h en cas d'incident avéré hors heures ouvrées.

Documentation livrée (exigence NIS2)

Politique de sécurité SI (PSSI)
Analyse de risques EBIOS RM
Déclaration ANSSI et récépissé
Registre des traitements RGPD
Procédures incident 24h/72h/1mois
Plan de continuité d'activité (PCA)
Plan de reprise d'activité (PRA)
Clauses sécurité fournisseurs
Attestations formation dirigeants
Rapport d'audit interne annuel
Matrice conformité 10 mesures
Tableau de bord KPI mensuel

Résultat à 18 mois

Conformité NIS2 atteinte
10/10 mesures implémentées et documentées pour l'ANSSI
Sanctions 7 M€ évitées
Risque pénal des dirigeants couvert par preuves écrites
Cyberassurance validée
Conformité NIS2 était devenue condition bloquante chez l'assureur
ISO 27001 90% prête
Mesures NIS2 couvrent déjà la plupart des contrôles ISO
8 fournisseurs audités
Chaîne d'approvisionnement documentée et contractualisée
Gouvernance installée
COPIL trimestriel, tableau de bord CODIR, culture cyber diffusée

Tarifs

Diagnostic NIS2
2 500€ TTC
  • Évaluation éligibilité
  • Analyse d'écarts
  • Rapport de conformité
  • Feuille de route
Complet
Accompagnement
4 900€ TTC
  • Tout du diagnostic
  • Déploiement mesures
  • Formation dirigeants
  • Procédures incident
  • Suivi 12 mois
NIS2 + RSSI
Sur devis
  • Accompagnement complet
  • RSSI externalisé inclus
  • Audit annuel
  • Conformité continue

Besoin d'un accompagnement ?

Diagnostic gratuit de votre infrastructure. Réponse sous 24h.

06 24 47 36 51
Appeler