Nous mettons volontairement en œuvre les mesures de l'article 21 en utilisant Reglyze (le produit) à la fois comme sujet et comme outil. C'est du dogfooding, pas une obligation réglementaire. Nous publions cette page pour que vous puissiez vérifier à quoi ressemble réellement une base d'évidence NIS2 construite par IA avant d'acheter.
Chaque politique, enregistrement de formation, entrée fournisseur et KPI d'efficacité ci-dessous a été généré, noté et revu dans Reglyze le produit, par le fondateur de Reglyze la société, sur le même plan que celui de nos clients payants.
Nous avons documenté toute notre base d'évidence NIS2 en moins d'une heure.
Estimation consultant manuelle à titre de comparaison : 80 à 120 heures.
Minutes wall-clock issues du journal de timing dogfooding (docs/research/self-compliance-timing.md). Inclut la génération IA, l'édition par Cyril et le packet de revue. Exclut l'écart de 36 h overnight entre phases.
La baseline manuelle est la borne inférieure des engagements de conseil NIS2 typiques en UE pour PME (5–25 collaborateurs) : 10–15 jours de consultant senior à 80–100 €/heure. Source : devis marché des réseaux CLUSIF, Clusit et APDC (2025–2026).
19 mai 2026
19 août 2026
Auto-audit trimestriel au titre de l'article 21(2)(f). Le cycle Q2-2026 s'est tenu le 19 mai 2026 — 5 KPI revus, 4 « à la cible » + 1 « au-dessus de la cible », aucun écart « en deçà de la cible ». Le cycle remplace en place les PDF précédents sur cette page ; la métrique et les dates se mettent à jour à chaque cycle.
Reglyze (entité légale) est une société de 5 personnes au chiffre d'affaires sous 10 M€ — explicitement sous le plancher petite entreprise que l'article 2(1) NIS2 utilise pour faire entrer les entités dans le champ. Nous ne pourrions même pas déposer une notification d'incident article 23 auprès de l'ANSSI si nous le voulions ; nous sommes hors champ de la directive. Les raisons honnêtes pour lesquelles nous publions tout de même cette base d'évidence :
Les 14 artefacts ci-dessous couvrent les dix mesures de gestion du risque cyber de l'article 21(2) plus la formation de l'organe de direction (article 20(2)) et les tests d'efficacité (article 21(2)(f)). Chaque ligne pointe vers le PDF rédigé une fois publié ; les cartes marquées Résumé uniquement portent l'abstract jusqu'à ce que Cyril finalise la passe de rédaction par PDF.
Politique faîtière : analyse des risques, gouvernance, rôles et responsabilités. Approuvée par Cyril (seul membre de l'organe de direction) pour l'entité Reglyze.
Détection → tri → confinement → éradication → restauration → leçons apprises. Le canal de communication avec l'autorité est volontaire pour Reglyze (hors champ au titre de l'article 2(1)) mais documenté pour exhaustivité.
Objectifs RTO/RPO par niveau de service, chemins de bascule (Hetzner primaire + Google Drive en sauvegarde froide), et cadence d'exercices de simulation pour le SaaS Reglyze.
Sauvegardes PostgreSQL quotidiennes via rclone vers Google Drive ; rotation 7 jours sur la machine ; exercice de restauration dans deploy-rollback.md. Dimensionné pour la capacité d'un seul fondateur.
Liste de vérification due diligence fournisseurs, attentes DPA, cascade de notification de brèche. S'applique à la pile SaaS de 7 fournisseurs (Cloudflare, Hetzner, Anthropic, Stripe, GitHub, Resend, Google Drive).
Modèle du moindre privilège, MFA sur chaque surface SaaS, flux entrant/changement/sortant (trivialement formel à 5 personnes mais documenté). Pose le plafond de politique pour les futurs recrutements.
TLS 1.3 en transit, AES-256 au repos (PostgreSQL, MinIO, sauvegarde GDrive), cadence de rotation des clés, pas de crypto maison. Héritée des fournisseurs SaaS le cas échéant.
Périmètre d'inventaire des actifs (laptop + comptes cloud), étiquetage, cycle de vie et mise hors service. Auto-attesté à l'échelle solo ; revu trimestriellement.
Checklist sécurité onboarding, modèle NDA, exigence de formation et étapes de révocation d'accès au départ. Dimensionné pour le premier recrutement ; état actuel auto-attesté.
Dependabot + alertes de sécurité GitHub comme canal entrant ; SLA par niveau de gravité (critique < 7 jours, élevé < 30 jours) ; preuve de patch dans l'historique des commits.
MFA imposée sur chaque surface SaaS ; application authentificatrice privilégiée (pas de repli SMS) ; matrice de canaux sécurisés pour les communications sensibles (Signal pour incidents, GitHub pour code).
Cadence d'auto-audit trimestrielle, définitions de KPI (aujourd'hui : Mean Time To Detect < 2 jours), preuve de revue stockée à côté de l'horodatage de dernier audit de cette page.
Programme annuel de formation pour l'organe de direction (article 20(2)) et le personnel (article 21(2)(g)). À 5 personnes c'est Cyril ; signalé pour validation tierce au prochain recrutement.
Cyril a achevé la formation organe de direction Reglyze le 2026-05-17 (auto-rythmée, auto-attestée). Valable jusqu'au 2027-05-17. Honnête sur la limitation à l'échelle solo.
L'organe de direction de Reglyze a achevé la formation article 20(2) dans le produit le 17 mai 2026. À 5 personnes avec un seul fondateur, l'organe de direction est une personne ; nous signalons honnêtement cette limitation à l'échelle solo, qui déclenchera une formation validée par un tiers au prochain recrutement.
NIS2 Article 20(2) — Management-Body Training
Échelle solo, auto-rythmée, auto-attestée. Validation tierce signalée pour le prochain recrutement.
Reglyze tourne sur une pile SaaS à 7 fournisseurs. Le registre suit les données partagées, le score de risque résiduel et la cadence de revue par fournisseur. Nous publions les noms des fournisseurs à découvert — voir la page Trust pour la vue en direct.
| Fournisseur | Service | Criticité |
|---|---|---|
| Cloudflare | CDN, DNS, WAF, terminaison TLS | Critique |
| Hetzner Online GmbH | Infrastructure cloud / hébergement | Critique |
| Anthropic | IA / LLM (API Claude pour génération de documents) | Critique |
| Stripe | Traitement des paiements et facturation | Critique |
| GitHub | Hébergement de code source et CI/CD | Critique |
| Google Workspace + Drive (via rclone) | Destination de sauvegarde hors-site | Élevée |
| Resend | Livraison d'email transactionnel | Moyenne |
Le registre complet, incluant scores de risque résiduel et dates de revue, vit dans le produit. La classification de criticité ci-dessus correspond au champ audit_classification (critique / important / standard) utilisé par le cron de rappel de revue fournisseur.
Le cycle Q2-2026 (premier audit trimestriel article 21(2)(f)) a enregistré 5 KPI d'efficacité par rapport à leurs cibles : Mean Time To Detect (MTTD), Mean Time To Restore (MTTR), respect du SLA de patch critique, exécution des exercices de restauration, et taux de revue fournisseurs à jour. Le nombre de KPI grandira avec les nouvelles politiques — l'ossature est posée.
| KPI | Sous-contrôle article 21(2)(f) | Cible | Observé Q2-2026 | Statut |
|---|---|---|---|---|
Mean Time To Detect (MTTD) Temps entre la survenue d'un événement cyber et la détection par Reglyze. Sonde uptime Hetzner + healthchecks Docker à l'échelle solo-CTO ; pas de SOC/SIEM. | nis2.21.2.f.1 | < 2 jours | 0 incident | À la cible |
Mean Time To Restore (MTTR) Temps entre la détection d'un incident et la restauration complète du service. Sauvegarde pré-déploiement + auto-rollback validés en deux exercices de mai 2026 en moins de 3 min wall-clock. | nis2.21.2.f.2 | < 4 heures | 0 incident | À la cible |
Respect du SLA de patch critique Pourcentage de PR Dependabot critiques/élevées mergés sous 7 jours. Q2-2026 : 3/3 (drizzle-orm, Next.js, @xmldom/xmldom). | nis2.21.2.f.3 | 100 % | 100 % | À la cible |
Exercice de restauration de sauvegarde Exercices de restauration réussis par trimestre. Restauration staging 2026-05-03 + auto-RESTORE_DB-en-cas-d'échec-smoke validé 2026-05-15. | nis2.21.2.f.4 | ≥ 1 / trimestre | 2 exercices | Au-dessus de la cible |
Taux de revue fournisseurs à jour Pourcentage de fournisseurs dont la revue est à jour. 7/7 fournisseurs portent next_review_due_at dans le futur à la date d'audit. | nis2.21.2.f.5 | 100 % | 100 % | À la cible |
Les constats par KPI et les actions correctives sont stockés dans effectiveness_reviews sur la base prod (idempotent, append-only). Prochain cycle verrouillé au 19 août 2026.
Les KPI non testés (MTTD, MTTR, cadence de revue fournisseurs) sont des artefacts honnêtes du dogfooding — Reglyze n'a connu aucun incident de cybersécurité au Q2-2026, donc les contrôles de détection et de restauration n'ont pas pu être validés empiriquement. Le SLA de patch et l'exercice de restauration sont quantitativement validés.
Une seule ligne audit_logs marque l'achèvement du cycle. La signature du réviseur est numérique — la promesse dogfooding : l'organe de direction, c'est Cyril, l'unique admin qui a cliqué sur chaque écran.
Reglyze est hors champ NIS2 au titre de l'article 2(1) ; cet audit est volontaire. Cadence verrouillée trimestrielle — la même recommandation que nous faisons aux clients payants.
Cette page fait partie du site Reglyze, servie en route statique Next.js, et les PDF rédigés vivent en gestion de versions à côté. N'importe qui peut vérifier la chronologie :
Démarrez un scoping gratuit en cinq minutes. Si vous êtes hors champ de l'article 2(1) comme nous, vous pouvez toujours construire la base d'évidence volontaire sur le plan Free. Si vous êtes dans le champ, le plan Pro de Reglyze couvre toute la surface de l'article 21 avec génération de documents par IA, registre fournisseurs et audits trimestriels.