Skip to Content

Analyse d’écart

L’analyse d’écart mesure votre situation face aux mesures de gestion des risques de cybersécurité de l’article 21 de NIS2 et transforme le résultat en un plan priorisé.

Le tableau de bord de conformité après une évaluation des écarts — score global et répartition par domaine de mesures

Ce qui est évalué

L’article 21(2) énonce les mesures de base que toute entité concernée doit prendre — analyse des risques et politiques de sécurité des systèmes d’information, gestion des incidents, continuité d’activité et gestion de crise, sécurité de la chaîne d’approvisionnement, acquisition et développement sécurisés, politiques d’évaluation de l’efficacité, hygiène cyber de base et formation, cryptographie, contrôle d’accès et gestion des actifs, authentification multifacteur et communications sécurisées.

Reglyze décline ces mesures en contrôles et sous-contrôles, et évalue chacun selon deux axes :

  • Mise en œuvre — la mesure est-elle effectivement en place ?
  • Documentation — pouvez-vous en apporter la preuve ?

Transposition nationale

NIS2 est une directive européenne : elle s’applique via la loi de chaque État membre, et plusieurs autorités nationales publient un référentiel de mesures qui se rattache aux mesures de l’article 21. Reglyze vous évalue selon le socle de l’article 21(2) — le tronc commun — de sorte que les mêmes preuves se reportent sur le référentiel qui vous concerne :

  • France — le ReCyF de l’ANSSI (Référentiel Cyber France) : objectifs de sécurité obligatoires (le « quoi ») et mesures recommandées (le « comment ») reconnues pour démontrer la conformité auprès de l’ANSSI.
  • Allemagne — le BSI au titre de la NIS2-Umsetzungsgesetz (NIS2UmsuCG), avec IT-Grundschutz comme méthodologie de référence.
  • Italie — l’ACN au titre du D.Lgs 138/2024, qui fixe les mesures de sécurité de base et les obligations de notification.
  • Portugal — le CNCS et le Quadro Nacional de Referência para a Cibersegurança (QNRCS).

Lorsqu’un référentiel national ajoute ou précise une mesure, considérez vos scores d’évaluation des écarts comme la base de preuve de départ, et non comme le dernier mot.

Notation et gravité

Chaque contrôle reçoit un score de mise en œuvre et de documentation ; ensemble ils composent un score de posture global et une gravité par contrôle (à quel point l’écart est urgent). Le tableau de bord montre la répartition, pour voir d’un coup d’œil si vous faites face à quelques failles critiques ou à de nombreuses lacunes superficielles.

Des écarts à un plan

Chaque écart peut alimenter une tâche de remédiation avec un responsable, une échéance et une gravité — l’analyse n’est donc pas un rapport statique mais le point de départ d’une liste de travaux suivie. Voyez Politiques & documents pour générer les artefacts qu’appelle un écart, et Multi-référentiels pour projeter ce même travail sur ISO 27001 / NIST CSF / DORA.

Réévaluer

Lancez l’analyse régulièrement et après tout changement significatif. L’article 21(1) de NIS2 attend que les mesures restent efficaces dans le temps — suivez la tendance de vos scores pour en faire la preuve.

Démarrage