Orbiq LogoOrbiq
Préparation aux audits NIS2 : De la documentation aux preuves continues
Published 22 févr. 2026
By Anna Bley

Préparation aux audits NIS2 : De la documentation aux preuves continues

NIS2 confère aux autorités de supervision le droit de demander des preuves à tout moment. Pas lors de votre prochain audit. Pas avec un préavis. À tout moment. Ce que cela signifie pour votre gestion des preuves — et pourquoi la plupart des organisations n'y sont pas préparées.

NIS2
Sécurité
Conformité

Préparation aux audits NIS2 : De la documentation aux preuves continues

La plupart des organisations traitent les preuves de conformité comme des déclarations fiscales : les collecter une fois par an, les préparer, les soumettre, les archiver. Un SMSI sous ISO 27001 fonctionne sur un cycle de trois ans — certification, audit de surveillance, re-certification. Entre-temps : des audits internes selon le calendrier. Cela fonctionne tant que personne ne demande entre les cycles.

NIS2 demande entre les cycles. L'obligation de preuve sous NIS2 n'est pas périodique — elle est permanente. Cet article montre ce que cela signifie concrètement, pourquoi le passage de la préparation d'audit aux preuves continues est la partie la plus sous-estimée de la conformité NIS2 — et comment effectuer la transition.

Aller à :

Ce que NIS2 exige en termes de preuves

L'obligation de preuve sous NIS2 ne découle pas d'une seule disposition mais de l'interaction de plusieurs :

Article 21 – Mesures de gestion des risques : Les dix mesures de l'article 21(2) doivent non seulement être mises en œuvre mais démontrées comme efficaces. « Des mesures techniques, organisationnelles et opérationnelles appropriées, proportionnées et efficaces » — le mot « efficaces » est la différence critique par rapport à une pure obligation de mise en œuvre.

Articles 32 et 33 – Supervision et exécution : Les autorités de supervision obtiennent des pouvoirs élargis. Pour les entités essentielles : supervision proactive incluant inspections sur site, audits de sécurité et demandes de preuves — sans cause spécifique. Pour les entités importantes : supervision réactive, mais avec la même autorité pour demander des preuves une fois qu'un déclencheur existe.

Article 23 – Obligations de signalement : Le régime de signalement en trois étapes crée ses propres exigences de preuves : chaque rapport doit être factuellement exact, ponctuel et documenté de manière traçable. Le rapport final après un mois est un dossier de preuves complet de l'ensemble de la réponse à l'incident.

Ce que les autorités peuvent demander : La preuve de la mise en œuvre de la stratégie de cybersécurité. Les résultats des audits de sécurité. Les données, documents et informations nécessaires à l'accomplissement des tâches de supervision. La preuve de la mise en œuvre des mesures de gestion des risques.

En résumé : NIS2 ne demande pas « avez-vous un processus ? » Il demande « pouvez-vous prouver maintenant que votre processus fonctionne ? »

Le problème de la préparation d'audit

La plupart des organisations — y compris celles disposant d'un SMSI mature — gèrent les preuves en mode « préparation d'audit ». Cela signifie :

Rythme cyclique : Les preuves sont collectées à l'approche d'un audit. Audit interne une fois par an, audit externe par cycle de certification. Entre-temps : la documentation est maintenue, mais les preuves ne sont pas activement tenues prêtes.

Assemblage rétrospectif : Quand l'auditeur arrive, la recherche commence : Où est le rapport de risques actuel ? Quand a eu lieu la dernière revue de direction ? Quelles mesures ont été mises en œuvre après le dernier audit ? Qui a approuvé la dernière évaluation fournisseur ? Les preuves existent généralement — mais elles sont dispersées, formatées de manière incohérente et pas immédiatement récupérables.

Interim basé sur la confiance : Entre les audits, on fait confiance au fait que les processus fonctionnent comme documenté. Les vérifications ponctuelles sont rares. L'efficacité réelle n'est pas vérifiée de manière continue mais évaluée rétrospectivement lors du prochain audit.

Ce modèle fonctionne sous ISO 27001. Il ne fonctionne pas sous NIS2.

La différence :

PropriétéModèle d'audit ISO 27001Modèle de preuve NIS2
RythmePlanifié (annuel/triennal)À la demande, à tout moment
DéclencheurCalendrier d'auditDemande de l'autorité, incident, contrôle de routine
Temps de préparationSemaines à moisJours
État attendu« Nous étions conformes au moment de l'audit »« Nous sommes conformes maintenant »
Format de preuveRapport d'audit, revue de directionArtefacts actuels avec métadonnées
Conséquence des lacunesNon-conformité mineure, action correctiveInjonction, amende, responsabilité personnelle

L'implication critique : NIS2 n'exige pas que vous soyez conforme lors du prochain audit programmé. NIS2 exige que vous soyez conforme maintenant — et que vous puissiez le prouver à tout moment.

Ce que signifient concrètement les preuves continues

Les preuves continues ne signifient pas « être constamment audité ». Cela signifie : la preuve de votre conformité est récupérable, actuelle et vérifiable à tout moment.

Trois propriétés que chaque preuve doit avoir :

  1. Actuelle : La preuve reflète l'état d'aujourd'hui — pas l'état du dernier audit. Un rapport de risques datant de six mois est un document historique, pas une preuve de la posture de risque actuelle.

  2. Vérifiable : La preuve contient des métadonnées qui confirment sa validité : Qui l'a créée ? Quand ? Dans quel contexte ? Est-elle approuvée ? Par qui ? Ces métadonnées ne sont pas optionnelles — elles sont ce qui distingue un document d'une preuve.

  3. Récupérable : La preuve peut être assemblée et présentée en quelques heures — pas en semaines. Pas « nous devons vérifier avec la personne responsable » ou « c'est quelque part dans SharePoint ».

Ce que cela signifie en pratique :

Au lieu d'un rapport de risques annuel : un inventaire des risques vivant mis à jour à chaque changement, avec la date de dernière mise à jour immédiatement visible.

Au lieu d'une liste de formations complétées : la preuve de qui a suivi quelle formation quand — y compris la direction générale — avec des dates de validité et des rappels automatiques à l'expiration.

Au lieu d'un dossier de questionnaires fournisseurs : un aperçu de toutes les évaluations fournisseurs avec statut, date de la dernière évaluation, prochaine évaluation planifiée et résultats des réévaluations déclenchées par des événements.

Au lieu d'un plan de réponse aux incidents archivé : la preuve que le plan a été testé — quand, avec quel scénario, avec quels résultats, et quelles améliorations ont été dérivées.

Les cinq catégories de preuves

Toutes les preuves n'ont pas la même structure. Pour une gestion systématique des preuves sous NIS2, cinq catégories peuvent être distinguées :

1. Preuves de gouvernance

Quoi : Politiques, stratégies, cadres — le fondement documenté de votre cybersécurité.

Exemples : Politique de sécurité de l'information, cadre de gestion des risques, plan de réponse aux incidents, politique de sécurité des fournisseurs, politique de cryptographie.

Exigence NIS2 : Doivent exister, être actuelles, être approuvées par la direction générale et être connues des employés. La revue régulière doit être démontrable.

Lacune courante : Les documents existent, mais la dernière revue date de deux ans. Ou : l'approbation de la direction n'est pas documentée.

Rythme de mise à jour : Au moins annuellement ou lors de changements significatifs. Approbation avec date et signature.

2. Preuves opérationnelles

Quoi : Preuve que les documents de gouvernance sont réellement mis en œuvre — que les processus ne sont pas seulement décrits mais vécus.

Exemples : Évaluations des risques complétées, évaluations fournisseurs complétées, cycles de gestion des correctifs complétés, formations complétées, résultats de tests d'intrusion, comptes-rendus de revue de direction.

Exigence NIS2 : Régulières et traçables. Pas « nous faisons cela » mais « voici la preuve que nous l'avons fait — quand, par qui, avec quel résultat ».

Lacune courante : Les processus fonctionnent, mais la documentation est lacunaire. Ou : les responsables individuels conservent leurs preuves dans des dossiers personnels auxquels les autres n'ont pas accès.

Rythme de mise à jour : Continu, selon le cycle du processus respectif.

3. Preuves d'efficacité

Quoi : Preuve que les mesures mises en œuvre sont réellement efficaces — pas seulement qu'elles existent.

Exemples : Résultats d'exercices sur table (avec améliorations documentées), KPI de réponse aux incidents (temps de réponse, temps d'escalade), résultats d'audits de sécurité, résultats de scans de vulnérabilités avec tendances, métriques de vélocité des correctifs.

Exigence NIS2 : Explicitement requise par l'article 21(2)(f) — « politiques et procédures pour évaluer l'efficacité ». L'autorité ne veut pas savoir que vous avez un processus. Elle veut savoir s'il fonctionne.

Lacune courante : De loin la lacune la plus fréquente. La plupart des organisations peuvent démontrer que les mesures sont mises en œuvre. Très peu peuvent démontrer qu'elles sont efficaces. Les exercices sur table ne sont pas réalisés ou documentés. Les KPI ne sont pas collectés. L'évaluation de l'efficacité se résume à « pas d'incidents = tout fonctionne ».

Rythme de mise à jour : Au moins semestriel pour les exercices, continu pour les métriques.

4. Preuves relatives aux incidents

Quoi : Documentation de la réponse aux incidents — de la détection au rapport final.

Exemples : Protocoles de tri, rapports de situation (versionnés), journaux de décisions, soumissions réglementaires (les trois étapes), journaux de communication (internes et externes), analyses techniques, revues post-incident, rapports finaux.

Exigence NIS2 : Complètes, versionnées, traçables. Le rapport final après un mois doit contenir une documentation complète de l'ensemble de la réponse à l'incident — incluant l'analyse des causes profondes et les mesures prises.

Lacune courante : Les preuves relatives aux incidents sont reconstituées après coup plutôt que documentées en temps réel. Ou : différents artefacts résident dans différents systèmes et ne peuvent pas être consolidés.

Rythme de mise à jour : En temps réel pendant l'incident, consolidation dans les 30 jours.

5. Preuves relatives à la chaîne d'approvisionnement

Quoi : Documentation de l'évaluation et de la surveillance de la sécurité des fournisseurs et prestataires de services.

Exemples : Classification des risques fournisseurs, résultats d'évaluation (initiaux et continus), accords contractuels de sécurité, résultats de surveillance, documentation des réévaluations déclenchées par des événements, preuves de communication sur les incidents fournisseurs.

Exigence NIS2 : Prise en compte des « vulnérabilités spécifiques de chaque fournisseur individuel » et de la « qualité globale des pratiques de cybersécurité » (Art. 21(2)(d)). Cela va au-delà d'une checklist annuelle.

Lacune courante : Les preuves fournisseurs sont obsolètes (dernière évaluation il y a 18 mois), incomplètes (seuls les fournisseurs critiques évalués), ou non récupérables (les résultats sont chez les achats, pas chez la sécurité).

Rythme de mise à jour : Surveillance continue, réévaluations déclenchées par des événements, au moins une évaluation complète annuelle des fournisseurs critiques.

Les preuves ne sont pas la même chose que la documentation

Une idée reçue courante : plus de documents signifie une meilleure gestion des preuves. C'est le contraire qui est vrai.

Un document ne devient une preuve que par le contexte :

  • Qui l'a créé ? (Responsabilité)
  • Quand a-t-il été créé ou mis à jour pour la dernière fois ? (Actualité)
  • Est-il approuvé ? Par qui ? (Autorisation)
  • Quelle est sa durée de validité ? (Portée)
  • Où réside-t-il ? Qui y a accès ? (Récupérabilité)
  • Quelle version est actuelle ? (Versionnage)

Sans ces métadonnées, une évaluation des risques de 50 pages vaut moins qu'un résumé d'une page avec une responsabilité, une date et une approbation claires.

La conséquence pratique : Il ne s'agit pas de documenter davantage. Il s'agit de structurer ce qui existe déjà pour que cela puisse servir de preuve à tout moment — avec les bonnes métadonnées, dans un emplacement central, dans un format cohérent.

La mise en œuvre en pratique

Phase 1 : Inventaire (Semaine 1–2)

Avant de construire quoi que ce soit de nouveau, capturez ce qui existe déjà. La plupart des organisations disposent de beaucoup plus de preuves qu'elles ne le pensent — elles sont simplement dispersées et non étiquetées comme telles.

Pour chacune des cinq catégories de preuves :

  • Quelles preuves existent déjà ?
  • Où résident-elles ? (Outil SMSI, SharePoint, e-mail, dossiers locaux ?)
  • Quelle est leur actualité ?
  • Ont-elles les métadonnées requises ?
  • Qui en est responsable ?

Le résultat est une matrice d'inventaire : cinq catégories, couverture actuelle, lacunes.

Phase 2 : Consolidation (Semaine 3–6)

Centralisez les preuves existantes. Pas nécessairement dans un nouvel outil — mais dans un emplacement central avec une structure cohérente :

  • Chaque preuve reçoit des métadonnées : Propriétaire, date de création, date de validité, statut d'approbation, version.
  • Lien vers l'exigence : Quelle mesure NIS2 cette preuve couvre-t-elle ? (Référence à l'Art. 21(2)(a-j))
  • Suivi du statut : Actuel / Revue due / Expiré / Manquant.

Phase 3 : Combler les lacunes (Mois 2–4)

Maintenant, traitez les lacunes de la Phase 1. Priorités typiques :

  1. Construire les preuves d'efficacité : C'est presque toujours la lacune la plus importante. Planifier et documenter les exercices sur table. Définir et collecter les KPI pour les processus clés. Réaliser la première évaluation d'efficacité.

  2. Mettre à jour les preuves de la chaîne d'approvisionnement : Renouveler les évaluations obsolètes. Développer la capacité de surveillance. Revoir les fondations contractuelles.

  3. Préparer les structures de preuves relatives aux incidents : Modèles pour la documentation en temps réel. Structures pour les rapports de situation versionnés. Processus d'archivage pour les incidents terminés.

Phase 4 : Automatisation (Mois 3–6)

Identifiez quelles preuves peuvent être générées ou mises à jour automatiquement :

  • Enregistrements de formation depuis le LMS
  • Statut des correctifs depuis la gestion des vulnérabilités
  • Journaux d'accès depuis le IAM
  • Surveillance des fournisseurs depuis la plateforme Trust Center
  • Journaux d'incidents depuis le système de gestion des incidents

L'automatisation réduit l'effort manuel et augmente l'actualité. Tout n'a pas besoin d'être automatisé — mais tout ce qui peut l'être devrait l'être.

Phase 5 : Tester (Mois 4–6)

Le test ultime : simuler une demande de l'autorité.

Scénario : L'autorité de supervision demande des preuves dans un délai de cinq jours ouvrables couvrant :

  • Votre posture de risque actuelle et les mesures de gestion des risques en place
  • L'efficacité de votre capacité de gestion des incidents
  • Le statut actuel de votre sécurité fournisseurs
  • Les enregistrements de formation de la direction

Pouvez-vous fournir cela ? En cinq jours ? Complet, actuel, vérifiable ?

Si oui : vous êtes préparé. Si non : vous savez maintenant ce qui manque.

Contrôle interne et communication externe

Un SMSI gère la sécurité interne : identifier les risques, mettre en œuvre des mesures, évaluer l'efficacité, améliorer continuellement. C'est essentiel et cela le reste.

L'obligation de preuve sous NIS2 ajoute une dimension externe : la capacité de montrer à des tiers — autorités de supervision, clients, partenaires — à tout moment que le contrôle interne fonctionne. Pas avec un rapport d'audit d'hier, mais avec des preuves actuelles et vérifiables.

Ce sont deux tâches différentes. Le contrôle interne nécessite un SMSI. La communication externe nécessite une couche qui structure les preuves, les maintient à jour et les rend disponibles à la demande — un Trust Center qui comble l'écart entre la gouvernance interne et les obligations de preuves externes.

Sources

  1. Directive (UE) 2022/2555 (Directive NIS2) – Texte intégral – Article 21(2)(f) sur l'évaluation de l'efficacité, Articles 32 et 33 sur les pouvoirs de supervision.
  2. OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland – § 30 BSIG sur les mesures de gestion des risques, §§ 61–65 sur la supervision et l'exécution.
  3. ENISA – Guide de mise en œuvre des mesures de sécurité NIS2 – Guide de mise en œuvre incluant les exigences de preuves.
  4. ISO/IEC 27001:2022 – Systèmes de management de la sécurité de l'information – Exigences pour les audits internes, les revues de direction et l'amélioration continue comme base de comparaison.
  5. OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland – Aide à l'orientation pour la mise en œuvre pratique.

Lectures connexes

Préparation aux audits NIS2 : De la documentation aux...