Blog
Guided visit
  1. blog
  2. NIS2 en 2026 : le guide de préparation documentaire pour les RSSI (ce que l'auditeur va chercher)

NIS2 en 2026 : le guide de préparation documentaire pour les RSSI (ce que l'auditeur va chercher)

Résumer cet article avec :

L'auditeur NIS2 ne va pas évaluer votre niveau de sécurité réel. Il va évaluer votre capacité à le démontrer.

C'est une distinction fondamentale que beaucoup de RSSI sous-estiment encore. Une organisation qui a un niveau de maturité sécurité solide mais une documentation éparpillée, incomplète ou périmée risque de sortir d'un audit avec autant d'écarts qu'une organisation structurellement moins avancée — mais mieux documentée.

En 2026, NIS2 est pleinement applicable. Les premières mises en demeure tombent. Les entités essentielles et importantes qui n'ont pas structuré leur préparation documentaire le découvrent au pire moment : quand l'auditeur ouvre son questionnaire.

Ce guide vous dit précisément ce qu'il cherche — et comment être prêt.

Ce que NIS2 exige réellement sur le plan documentaire

La directive NIS2 s'articule autour de dix domaines de mesures de gestion des risques de cybersécurité (article 21). Pour chacun, les autorités nationales compétentes peuvent demander des preuves documentaires de mise en œuvre.

Voici les domaines les plus fréquemment auditables et ce que l'auditeur attend concrètement dans chacun.

1. Politique de sécurité des systèmes d'information

Ce que l'auditeur cherche :

  • Une politique de sécurité SI formalisée, approuvée par la direction, datée et versionnée
  • La preuve qu'elle a été diffusée à l'ensemble du personnel concerné
  • La date de la dernière révision (NIS2 exige une revue régulière)
  • Un processus de mise à jour documenté

Le piège fréquent : une politique existante mais non mise à jour depuis 2022, ou une politique validée par le RSSI mais jamais présentée en COMEX. NIS2 exige un engagement de la direction — pas seulement de l'équipe sécurité.

2. Gestion des risques

Ce que l'auditeur cherche :

  • Une analyse de risques formalisée, avec méthodologie documentée (EBIOS RM, ISO 27005 ou équivalent)
  • Un registre des risques à jour, avec niveaux de criticité, propriétaires et plans de traitement
  • La preuve que l'analyse de risques alimente les décisions de sécurité (liens entre risques et mesures)
  • Un calendrier de revue des risques

Le piège fréquent : une analyse de risques réalisée une fois pour la certification ISO 27001, jamais mise à jour depuis. L'auditeur NIS2 vérifie la fraîcheur de la démarche — pas seulement son existence.

3. Gestion des incidents de sécurité

Ce que l'auditeur cherche :

  • Une procédure de détection, qualification et notification des incidents documentée
  • Les critères de qualification d'un incident significatif (selon le seuil NIS2 : perturbation significative des services)
  • La procédure de notification à l'ANSSI sous 24h (alerte précoce) et 72h (notification initiale)
  • Les preuves de tests ou exercices de gestion d'incident
  • Le registre des incidents traités (même mineurs)

Le piège fréquent : une procédure d'escalade interne bien documentée, mais l'absence de procédure de notification externe formalisée. NIS2 ajoute une obligation de notification régulateur que peu d'organisations avaient avant.

4. Continuité d'activité et gestion de crise

Ce que l'auditeur cherche :

  • Un Plan de Continuité d'Activité (PCA) et un Plan de Reprise d'Activité (PRA) formalisés
  • Des RTO et RPO définis pour les services critiques
  • La preuve d'un test du PCA dans les 12 derniers mois
  • Une cartographie des dépendances critiques (cloud, fournisseurs, systèmes)

Le piège fréquent : un PCA théorique jamais testé. L'auditeur demandera systématiquement le compte-rendu du dernier exercice. S'il n'existe pas, c'est un écart majeur.

5. Sécurité de la chaîne d'approvisionnement

Ce que l'auditeur cherche :

  • Une politique de sécurité des fournisseurs documentée
  • Un processus d'évaluation de la sécurité des fournisseurs critiques
  • Des clauses contractuelles de sécurité dans vos contrats fournisseurs clés
  • Une liste des fournisseurs critiques avec leur niveau d'évaluation

Le piège fréquent : c'est le domaine le moins préparé dans la majorité des organisations. Les clauses contractuelles de sécurité sont souvent absentes ou trop génériques. NIS2 est explicite sur ce point — et c'est l'une des premières questions posées en audit.

6. Sécurité des ressources humaines

Ce que l'auditeur cherche :

  • Une procédure d'onboarding et d'offboarding sécurisée (révocation des accès documentée)
  • Des preuves de formation et de sensibilisation du personnel (dates, contenus, taux de couverture)
  • Une politique de gestion des habilitations et des droits d'accès

7. Contrôle des accès et gestion des identités (IAM)

Ce que l'auditeur cherche :

  • Une politique de gestion des accès documentée (principe de moindre privilège)
  • La gestion des comptes à privilèges (PAM) avec journalisation
  • L'authentification multifacteur sur les systèmes critiques
  • Une revue périodique des droits d'accès documentée

8. Cryptographie et chiffrement

Ce que l'auditeur cherche :

  • Une politique de cryptographie documentée (algorithmes approuvés, gestion des clés)
  • La preuve de chiffrement des données sensibles en transit et au repos
  • Un processus de renouvellement des certificats

La checklist de préparation documentaire NIS2

📎 Cette checklist est conçue pour être utilisée en auto-évaluation avant un audit. Pour chaque item, indiquez : ✅ Disponible et à jour | ⚠️ Existant mais à mettre à jour | ❌ Manquant

BLOC A — Gouvernance et politique

  • [ ]  Politique de sécurité SI formalisée, datée, versionnée
  • [ ]  Approbation documentée par la direction générale
  • [ ]  Preuve de diffusion au personnel (email, intranet, formation)
  • [ ]  Date de dernière révision (< 12 mois)
  • [ ]  Processus de revue documenté
  • [ ]  Organigramme de la fonction sécurité avec rôles et responsabilités
  • [ ]  Engagement NIS2 formalisé en COMEX ou équivalent

BLOC B — Gestion des risques

  • [ ]  Méthodologie d'analyse de risques documentée
  • [ ]  Analyse de risques à jour (< 12 mois ou suite à changement majeur)
  • [ ]  Registre des risques avec propriétaires et échéances
  • [ ]  Plans de traitement des risques critiques documentés
  • [ ]  Lien entre risques et mesures de sécurité traçable
  • [ ]  Calendrier de revue des risques

BLOC C — Gestion des incidents

  • [ ]  Procédure de détection et qualification des incidents
  • [ ]  Critères de qualification d'un incident significatif NIS2
  • [ ]  Procédure de notification ANSSI (24h / 72h / rapport final)
  • [ ]  Contacts ANSSI et CERT-FR documentés et à jour
  • [ ]  Registre des incidents (12 derniers mois minimum)
  • [ ]  Compte-rendu du dernier exercice de gestion d'incident

BLOC D — Continuité d'activité

  • [ ]  PCA formalisé avec RTO et RPO par service critique
  • [ ]  PRA formalisé
  • [ ]  Cartographie des dépendances critiques (cloud, fournisseurs, systèmes)
  • [ ]  Compte-rendu du dernier test PCA (< 12 mois)
  • [ ]  Procédure de communication de crise

BLOC E — Sécurité de la chaîne d'approvisionnement

  • [ ]  Politique de sécurité fournisseurs documentée
  • [ ]  Liste des fournisseurs critiques avec criticité évaluée
  • [ ]  Processus d'évaluation sécurité des fournisseurs critiques
  • [ ]  Clauses de sécurité dans les contrats fournisseurs clés
  • [ ]  Questionnaires de sécurité envoyés et archivés (réponses fournisseurs)

BLOC F — Ressources humaines et formation

  • [ ]  Procédure d'onboarding sécurisé documentée
  • [ ]  Procédure d'offboarding avec révocation des accès
  • [ ]  Registre des formations et sensibilisations (dates, contenus, personnes)
  • [ ]  Taux de couverture de la sensibilisation (cible NIS2 : l'ensemble du personnel)

BLOC G — Contrôle des accès (IAM)

  • [ ]  Politique de gestion des accès documentée
  • [ ]  Politique de moindre privilège appliquée et documentée
  • [ ]  Gestion des comptes à privilèges (PAM) avec journalisation
  • [ ]  MFA déployé sur les systèmes critiques (preuve de déploiement)
  • [ ]  Revue des droits d'accès (< 6 mois)

BLOC H — Cryptographie

  • [ ]  Politique de cryptographie documentée
  • [ ]  Inventaire des certificats avec dates d'expiration
  • [ ]  Processus de renouvellement des certificats
  • [ ]  Chiffrement des données sensibles en transit et au repos documenté

Ce que l'auditeur fait avec vos documents

Comprendre le déroulement d'un audit NIS2 vous permet d'anticiper précisément ce qui sera demandé.

Phase 1 — Questionnaire préalable. Avant l'audit sur site, vous recevrez un questionnaire de maturité structuré. C'est votre première occasion de démontrer la rigueur de votre préparation — et la première occasion de révéler des lacunes documentaires que l'auditeur approfondira ensuite.

Phase 2 — Revue documentaire. L'auditeur demande à consulter les documents listés dans votre questionnaire. Il vérifie la cohérence entre ce que vous avez déclaré et ce que vous produisez. Il contrôle les dates de mise à jour, les signatures d'approbation, les versions. Une politique non approuvée par la direction ou un PCA jamais testé sera immédiatement signalé.

Phase 3 — Entretiens. L'auditeur rencontre le RSSI, le DSI, parfois le DG. Il pose des questions sur des cas concrets : "Décrivez le dernier incident significatif que vous avez géré." "Comment avez-vous évalué la sécurité de votre principal fournisseur cloud ?" Les réponses doivent être cohérentes avec les documents produits.

Phase 4 — Tests techniques. Sur certains périmètres, l'auditeur peut demander des démonstrations techniques : revue de configuration, test de procédure de notification, vérification du déploiement MFA.

Les trois erreurs documentaires les plus fréquentes

Erreur 1 : des documents qui existent mais que personne ne trouve. La politique de sécurité est dans SharePoint, dossier Sécurité > Politiques > Archives > 2024. L'auditeur demande à voir la version en vigueur. Il faut 20 minutes pour la retrouver. C'est un signal négatif sur la maturité de votre organisation documentaire.

Erreur 2 : des dates d'approbation qui trahissent l'absence de revue. Un document approuvé en 2021 et jamais mis à jour depuis sera systématiquement questionné. L'auditeur NIS2 ne demande pas seulement si le document existe — il demande quand il a été revu pour la dernière fois, et ce qui a changé depuis.

Erreur 3 : des documents incohérents entre eux. La politique de gestion des accès indique que les revues de droits sont trimestrielles. Le registre des revues montre la dernière il y a 11 mois. Ce type d'incohérence entre politique déclarée et preuve de mise en œuvre est l'écart le plus courant — et le plus facile à éviter.

Comment préparer la collecte documentaire sans paralyser votre équipe

La préparation documentaire NIS2 représente entre 3 et 6 semaines de travail pour une équipe de 2 à 3 personnes dans une organisation de taille intermédiaire. Ce délai peut être considérablement réduit si la base documentaire existante est accessible et interrogeable.

Optivalue.ai permet de centraliser l'ensemble de votre base documentaire sécurité (politiques, certifications, rapports d'audit, procédures, comptes-rendus) et de répondre aux questionnaires d'audit NIS2 en mobilisant directement vos propres documents, avec la source exacte (document, page, date) pour chaque réponse.

Concrètement : quand le questionnaire préalable de l'auditeur arrive, chaque question est traitée en mobilisant automatiquement les documents pertinents de votre base. Votre équipe relit, ajuste, valide. Le temps de production des réponses passe de plusieurs jours à quelques heures.

Jérôme Emin, RSSI de Sully Group, a utilisé cette approche pour préparer le renouvellement de la certification ISO 27001 de l'entreprise : "La constitution du dossier de preuves, qui nous prenait habituellement une semaine, a été réduite à une journée. Chaque réponse était sourcée depuis nos propres documents — l'auditeur n'avait pas de question sur l'origine des informations."

Par où commencer cette semaine

Si votre audit NIS2 est dans les 3 à 6 mois, voici les trois actions à prioriser immédiatement.

Action 1 — Cartographiez vos lacunes documentaires. Utilisez la checklist ci-dessus pour identifier les blocs où vous êtes en ⚠️ ou ❌. Concentrez d'abord vos efforts sur les blocs A (gouvernance), C (incidents) et E (chaîne d'approvisionnement) — ce sont les trois domaines les plus fréquemment en écart lors des premiers audits NIS2.

Action 2 — Vérifiez toutes vos dates d'approbation. Passez en revue chaque document clé et identifiez ceux dont la date de dernière approbation dépasse 12 mois. Planifiez une revue et une réapprobation — même formelle — avant l'audit.

Action 3 — Constituez votre dossier de preuves. Chaque domaine NIS2 doit pouvoir être démontré par une preuve documentaire. Commencez à rassembler ces preuves maintenant, dans un dossier structuré par domaine — pas dans la semaine qui précède l'audit.

**Optivalue.ai vous permet de répondre aux questionnaires NIS2 en mobilisant directement votre base documentaire existante. Instance privée dédiée, hébergement en France, réponses sourcées document par document.** Demandez une démonstration personnalisée →

Turn your quizzes into opportunities, right now

30 days free • No credit card required • No commitment

Try for free

Items that could
You are interested

La clause que vous n'avez pas vue à la page 34 : comment transformer la revue de contrats en système
Le board attend une réponse d'ici demain matin : comment les meilleurs DG gèrent l'urgence documentaire
Comment mesurer honnêtement le ROI d'une IA documentaire métier : le guide sans bullshit