Piloter NIS 2 sans vous évaluer ? Bonne chance.

Écrit par Lotfi BENYELLES

Choisir une trajectoire de mise en conformité, qu’elle soit exhaustive ou raisonnée, suppose d’abord de savoir où l’on se situe. NIS 2 n’impose pas un modèle unique, mais elle engage chaque organisation à démontrer la cohérence entre ses moyens, son exposition aux risques, et les mesures mises en œuvre. Autrement dit, aucune stratégie n’est crédible sans autoévaluation préalable.

Cette étape n’est pas une formalité. C’est le point de bascule entre l’intention stratégique et l’action concrète. Elle permet de sortir d’un discours général sur la conformité pour poser des fondations claires : compétences disponibles, dispositifs en place, points de fragilité, zones d’incertitude. Et surtout, la capacité réelle à piloter un plan d’action.

Autoévaluation : une lecture honnête de ses capacités

S’autoévaluer ne signifie pas établir une liste de ce qui est fait et de ce qui ne l’est pas. C’est le sujet du précédent article. Ici, nous aborderons les questions à se poser au moment de qualifier la capacité de votre organisation à prendre en charge les différentes dimensions de la conformité en fonction de la stratégie choisie, en fonction de critères simples :

  • Capacité de pilotage : Existe-t-il une feuille de route ? Un responsable désigné ? Un appui de la direction ?

  • Cartographie des actifs : Les services essentiels, flux critiques, et dépendances sont-ils identifiés et à jour ?

  • Maîtrise du risque : Une analyse de risques a-t-elle été menée ? Est-elle opérationnelle ? Mise à jour ?

  • Documentation : Les principales procédures sont-elles formalisées ? Appliquées ? Traçables ?

  • Réactivité : L’organisation est-elle en capacité de détecter un incident, d’y répondre et de notifier dans les délais requis ?

  • Relation avec les prestataires : Les dépendances critiques sont-elles encadrées par des clauses contractuelles adaptées ?

L’objectif n’est pas d’avoir un niveau homogène sur tous les axes, mais de dégager une image sincère des points d’appui et des zones d’effort à venir.

Prioriser les efforts : agir là où l’impact est décisif

Une fois l’autoévaluation posée, la priorisation devient une démarche tangible. Elle repose sur deux principes simples :
1. Protéger ce qui est vital,
2. Structurer ce qui permet d’agir durablement.

Cela signifie, en pratique :

  • Cibler les actifs critiques : là où une faille pourrait interrompre l’activité ou exposer des données sensibles.

  • Sécuriser les accès et les identités : pour réduire le risque d’intrusion ou de compromission interne.

  • Organiser la réponse à incident : même minimale, elle doit être claire, connue, documentée.

  • Structurer la gouvernance : pas nécessairement formaliser, mais instaurer un fonctionnement suivi et piloté.

  • Faire des choix d’externalisation : supervision, audit, gestion de crise, selon les ressources disponibles.

Prioriser, ce n’est pas faire moins. C’est concentrer l’effort là où il est décisif, et accepter que tout ne soit pas traité à égal niveau dans un premier temps — à condition que ce soit explicite, justifié, assumé.

Un exercice utile à toutes les phases du projet

Cette logique d’autoévaluation et de priorisation ne vaut pas seulement en début de projet. Elle est utile tout au long du processus : pour ajuster la feuille de route, documenter les choix, arbitrer entre investissements, ou encore préparer un dialogue avec l’autorité de contrôle.

C’est également un support précieux pour la direction, qui pourra mieux comprendre où porter l’effort, sur quels sujets engager les ressources, et à quel rythme.

Une dynamique de progression, pas un référentiel figé

Enfin, cette autoévaluation n’a pas pour but de définir un seuil à atteindre une fois pour toutes. Elle sert à piloter une progression. Ce qui compte, c’est moins le niveau atteint que la capacité à le situer, à l’expliquer, et à le faire évoluer.

C’est dans cet esprit que des outils comme la grille d’autoévaluation NIS 2 (ou une adaptation interne fondée sur les grands critères de la directive) peuvent être mobilisés : non comme un test, mais comme un instrument de lucidité collective et de choix stratégiques.

Lotfi BENYELLES
Précédent

NIS 2 : 5 gagnants
Suivant

NIS 2 : il ne suffit plus de bien faire