← Tous les articles
14 juin 2026·6 min de lecture

Les 5 domaines du référentiel ANSSI NIS2 expliqués

L'ANSSI a structuré les exigences NIS2 en 5 domaines. Pour chacun, voici ce que cela signifie concrètement dans une ETI — sans jargon technique.

01🏛

Gouvernance & Organisation

L'ANSSI vérifie que la cybersécurité est prise en charge au niveau direction, pas uniquement par l'équipe IT.

Ce que l'ANSSI vérifie
  • Une politique de sécurité informatique écrite et validée par la direction
  • Un responsable sécurité identifié (RSSI ou DSI avec mission explicite)
  • Une formation annuelle des collaborateurs aux risques cyber
  • Un budget alloué à la sécurité informatique
⚠ Piège courant : Le piège courant : avoir des pratiques de sécurité sans les avoir documentées. Ce qui n'est pas écrit n'existe pas aux yeux de l'ANSSI.
02🛡

Protection des systèmes

Les mesures techniques en place pour protéger vos données et systèmes au quotidien.

Ce que l'ANSSI vérifie
  • Authentification multi-facteurs (MFA) sur les accès distants et comptes administrateurs
  • Chiffrement des données sensibles (au repos et en transit)
  • Gestion des mises à jour de sécurité (patch management)
  • Politique de gestion des mots de passe
  • Segmentation réseau (séparer le réseau bureautique de la production)
⚠ Piège courant : Beaucoup d'ETI ont le VPN mais pas le MFA. Or NIS2 considère le MFA comme indispensable sur les accès sensibles.
03🚨

Gestion des incidents

Votre capacité à détecter, réagir et notifier les incidents de sécurité — dans les délais imposés.

Ce que l'ANSSI vérifie
  • Procédure formalisée de réponse aux incidents (qui fait quoi, dans quel ordre)
  • Notification à l'ANSSI dans les 24h après détection d'un incident significatif
  • Rapport complet sous 72h
  • Journal des incidents (même mineurs)
⚠ Piège courant : C'est le domaine le plus souvent à zéro dans les ETI. Beaucoup gèrent les incidents "à l'intuition" sans aucune procédure écrite. NIS2 exige des délais stricts de notification.
04🔄

Continuité d'activité

Votre capacité à fonctionner et reprendre rapidement en cas de sinistre ou cyberattaque.

Ce que l'ANSSI vérifie
  • Plan de Continuité d'Activité (PCA) : comment l'entreprise tourne en mode dégradé
  • Plan de Reprise d'Activité (PRA) : comment on repart après un incident
  • Sauvegardes régulières, testées et stockées hors site (règle 3-2-1)
  • Test de restauration documenté au moins une fois par an
⚠ Piège courant : Avoir des sauvegardes ne suffit pas. NIS2 demande de prouver qu'elles fonctionnent (test de restauration documenté avec date et résultat).
05🔗

Chaîne d'approvisionnement

La sécurité de vos fournisseurs et prestataires qui ont accès à vos systèmes ou données.

Ce que l'ANSSI vérifie
  • Cartographie des fournisseurs ayant accès à vos systèmes IT
  • Questionnaire sécurité envoyé aux prestataires critiques
  • Clauses contractuelles de sécurité dans les contrats fournisseurs
  • Processus de revue périodique des accès prestataires
⚠ Piège courant : C'est souvent le domaine le plus sous-estimé. Si votre prestataire de maintenance informatique est compromis, votre réseau l'est aussi. NIS2 vous rend responsable de cette chaîne.

Où en êtes-vous sur ces 5 domaines ?

Netcurity vous donne un score sur chacun + les actions prioritaires pour progresser.

Accès anticipé →