Audit NIS 2 : méthode, pièges et critères qualité des mesures

L'audit NIS 2 est devenu en 2026 l'une des demandes les plus frequentes adressees aux cabinets cyber luxembourgeois. Depuis l'entree en vigueur le 10 mai 2026 de la loi de transposition (Memorial A 225), plus de 1 200 entites essentielles ou importantes doivent prouver qu'elles respectent les 10 mesures minimales de l'article 21 de la directive. Mais derriere le mot audit, il y a une realite operationnelle complexe et beaucoup de pieges. Cet article detaille la methode, les erreurs frequentes, et surtout les criteres pour distinguer une mesure technique reellement conforme d'un logiciel etiquete cyber sans substance.

Pourquoi un audit NIS 2, et pour qui

La directive (UE) 2022/2555 distingue deux statuts : entites essentielles (grandes entreprises dans 11 secteurs critiques) et entites importantes (moyennes entreprises et 7 secteurs additionnels). Les obligations sont quasi identiques en intensite, seuls les plafonds de sanctions different (10 M€ vs 7 M€, ou 2 % vs 1,4 % du CA mondial).

Un audit NIS 2 a typiquement trois declencheurs : preparation au controle de l'ILR (audit blanc avant un controle declare), auto-evaluation initiale au moment de l'auto-enregistrement, et revue annuelle exigee par l'organe de direction de l'entreprise dont la responsabilite personnelle est engagee (article 20 de la directive). La page NIS 2 Luxembourg detaille les obligations cibles.

La methode d'audit NIS 2 en 7 phases

1. Cadrage du perimetre

Avant toute mesure, il faut identifier ce qui releve de NIS 2. C'est moins evident qu'il n'y parait : NIS 2 ne couvre pas seulement l'IT mais aussi la chaine d'approvisionnement TIC (article 21 paragraphe 2 d), la gouvernance, la continuite, la securite RH et les controles d'acces. Periimetre = entreprise entiere, pas seulement DSI.

2. Cartographie des actifs et des risques

Inventaire des systemes d'information, des donnees critiques, des services rendus, des prestataires TIC critiques. Pour chaque actif, evaluation du risque selon la methode ISO/IEC 27005 ou EBIOS Risk Manager. La cartographie doit etre vivante (revue au moins annuelle).

3. Audit des 10 mesures minimales (article 21)

La directive impose 10 mesures techniques et organisationnelles minimales. L'audit les passe une a une avec evaluation de maturite (CMMI 0 a 5 typiquement) :

1. Politique d'analyse des risques et de securite des SI
2. Gestion des incidents
3. Continuite d'activite (sauvegardes, plan de reprise)
4. Securite de la chaine d'approvisionnement
5. Securite acquisition, developpement et maintenance
6. Politiques pour evaluer l'efficacite des mesures
7. Hygiene cyber et formations
8. Cryptographie et chiffrement
9. Securite RH, politiques de controle d'acces
10. Authentification multi-facteurs, communications securisees

4. Test de la gestion d'incident

L'auditeur execute un scenario d'incident reel (souvent un phishing simule ou une fuite simulee) pour mesurer la chaine alerte > triage > notification ILR sous 24 h > rapport intermediaire 72 h > rapport final 1 mois. Sans ce test pratique, l'audit reste sur du papier.

5. Audit de la chaine d'approvisionnement TIC

Identification des prestataires critiques (cloud, MSP, editeurs SaaS). Revue contractuelle (clauses securite, droit d'audit, notification d'incident, plan d'exit). Evaluation des risques residuels. Article 21 paragraphe 2 d.

6. Revue de la gouvernance

L'organe de direction (conseil d'administration ou direction generale) doit prouver qu'il supervise activement la securite : comite cyber regulier, formation des dirigeants, integration de la cybersecurite a la strategie. C'est l'angle souvent oublie.

7. Plan de remediation chiffre

Le livrable final n'est pas un score mais un plan d'action priorise et chiffre. Sans cela, l'audit ne sert qu'a rassurer. Il faut : ordre de priorite (haut/moyen/bas), porteur designe, delai cible, budget estime.

Les 5 pieges les plus frequents

1. Confondre NIS 2 et ISO 27001

ISO 27001 couvre 80 % des exigences NIS 2 techniques, mais pas la gouvernance dirigeants, la notification ILR sous 24 h (specifique NIS 2), ni les obligations supply chain aussi precises. Un audit ISO ne suffit pas a etre conforme NIS 2.

2. Auditer la DSI uniquement

NIS 2 demande explicitement la responsabilite du conseil d'administration. Un audit qui se limite au departement IT loupe la gouvernance et les obligations RH (article 21 paragraphe 2 i). Le COMEX doit etre interroge.

3. Acheter un logiciel "SOC" sans criteres

Le piege le plus repandu en 2026 : croire que le simple fait d'acheter un produit appele "SOC" coche la case incident management. C'est faux. Un logiciel SOC name-only ne garantit pas la conformite NIS 2. Les criteres de validite sont detailles dans la section suivante.

4. Documenter sans deployer

Avoir une "politique de gestion des incidents" en PDF non lu, c'est l'erreur que la CNPD (en RGPD) et l'ILR (en NIS 2) reperent en 10 minutes lors d'un controle. Il faut prouver que la procedure a ete exercee au moins une fois (exercice annuel documente).

5. Pas de plan de tests reguliers

NIS 2 impose des tests de mesures (article 21 paragraphe 2 f). Beaucoup d'entreprises font un audit puis n'effectuent aucun pentest, aucune revue de droits, aucun exercice de continuite. Le regulateur attend de la regularite (semestrielle ou annuelle).

Comment juger de la qualite d'une mesure technique

Le cas du SOC : 6 criteres a verifier

Un SOC (Security Operations Center) annonce ne vaut rien sans verification. Voici la grille pour distinguer un vrai SOC d'un produit marketing :

1. Humains 24/7 ou pas ? Un SOC sans analystes en astreinte de nuit et week-end est un SIEM avec un dashboard. Demander l'effectif et le calendrier de garde.
2. MTTR (Mean Time To Respond) documente ? Le SOC doit publier ses temps de detection et de remediation par categorie d'incident. Sans MTTR, pas de garantie de service.
3. SLA contractuel ? Niveau de service en heures et en penalites financieres. Un SOC sans SLA est un produit, pas un service.
4. Cas d'usage couverts ? Combien de regles de detection actives ? Le MITRE ATT&CK comme reference. Si le fournisseur ne sait pas repondre, c'est mauvais signe.
5. Couverture des actifs ? Le SOC voit-il tous les endpoints, tous les serveurs, le cloud, M365, Google Workspace, les containers ? Couverture partielle = angle mort.
6. Hebergement EU et conformite RGPD ? Les logs partent ou ? Sous quel droit ? CLOUD Act US applicable ? Important au Luxembourg ou la CSSF demande une localisation EU.

Notre SOC managed Luxgap repond a ces 6 criteres, mais surtout : on est capable de produire la documentation lors d'un controle ILR.

EDR : signature ne suffit plus

Critere qualite : detection comportementale (behavioral) et pas seulement par signature. Tests independants AV-Comparatives ou MITRE Engenuity ATT&CK Evaluations. Verifier que l'EDR couvre Linux serveur et conteneurs, pas seulement Windows endpoint.

MFA : tous les seconds facteurs ne se valent pas

L'ANSSI et l'ENISA recommandent les facteurs phishing-resistant : passkeys FIDO2, cles materielles. SMS et TOTP sont contournables par phishing avance et adversary-in-the-middle. NIS 2 ne le precise pas explicitement mais un audit serieux le retient.

Sauvegardes : 3-2-1 + offline + tests

Regle 3-2-1 (3 copies, 2 supports, 1 offsite) etendue : ajouter 1 copie immuable hors ligne pour resister aux rançongiciels. Et surtout, des tests de restauration documentes au moins trimestriels. Avoir des sauvegardes qu'on n'a jamais restaurees, c'est ne pas en avoir.

Sensibilisation : mesurer, pas seulement former

Une formation cyber sans phishing simule regulier et sans taux de clic mesure n'a pas la valeur attendue par l'ILR. Les criteres : frequence (mensuelle), populations couvertes, taux de clic suivi dans le temps, escalade en cas d'echec repete.

Comment Luxgap conduit un audit NIS 2

Notre approche : 3 a 4 semaines pour un audit complet, avec une equipe de juristes pour le perimetre legal et d'ingenieurs cyber pour les mesures techniques. Livrables : matrice de conformite article par article, rapport executif pour COMEX, plan de remediation chiffre, recommandations de prestataires si necessaire.

Pour le pilotage operationnel post-audit, nous proposons un mandat CISO externe ou plus simplement un CISO Luxembourg au mois pour mettre en oeuvre le plan de remediation.

Sources officielles

• Directive (UE) 2022/2555 (NIS 2) texte officiel
• Loi luxembourgeoise du 5 mai 2026 de transposition
• Portail ILR NIS 2 et auto-enregistrement
• ENISA : guides techniques NIS 2
• MITRE ATT&CK : base de connaissances tactiques cyber