It and SecureQui est concerné (en clair)
- OES/SE : opérateurs essentiels et importants (santé, énergie, finance, transports, services numériques…)
- Chaîne de sous-traitance : si vous dépendez d’eux, vous êtes potentiellement embarqués par contractuel.
Objectif NIS2 : réduire la surface d’attaque, prévenir les fuites de données et prioriser les actions utiles.
Ce que NIS2 attend concrètement
- Gouvernance sécurité : responsabilités, pilotage, revues régulières.
- Prévention : contrôle des accès, patching, E/PD(R), sauvegardes testées, chiffrement.
- Surveillance & détection : journaux, détection d’anomalies, remontées d’alertes.
- Plan de gestion d’incident : procédures, astreintes, contacts, escalade.
- Notification rapide des incidents aux autorités compétentes.
Feuille de route en 30 jours
- Semaine 1 : audit essentiel (externe/interne), cartographie, priorités.
- Semaine 2 : MFA, renforcement messagerie (filtrage mail avancé, SPF/DKIM/DMARC), durcissement Microsoft 365.
- Semaine 3 : E/PDR managé, sauvegardes 365 managées (tests de restauration), politiques de mots de passe.
- Semaine 4 : sensibilisation phishing, plan d’incident, documentation, indicateurs.
« Compliqué » devient gérable avec une liste claire d’actions priorisées et mesurables.
Ce que nous faisons
- Audit NIS2 (gap analysis) et plan d’action chiffré.
- Mise en place des contrôles essentiels (E/PDR, sauvegardes, filtrage mail, MFA).
- Procédures et modèles : réponse à incident, registre des actifs, journaux.