SEC-01 · RECYF / NIS2

Évaluation de maturité
cybersécurité

Grille d'évaluation basée sur le référentiel RECYF et les exigences de la directive NIS2. Pour chaque critère, sélectionnez le niveau de maturité actuel de votre organisation (N0 à N4). La cible NIS2 est le niveau N3 pour tous les domaines.

Informations générales

Organisation / Client

Évaluateur

Date d'évaluation

Niveau de maturité NIS2 cible

N3 – Défini

Obligatoire pour toutes les entités NIS2

Référentiel des niveaux de maturité

N0 – Initial

Inexistant ou totalement ad hoc. Aucune pratique formalisée. Exposition maximale.

N1 – Informel

Pratiques réactives, non documentées. Résultats imprévisibles. Dépend des individus.

N2 – Géré

Pratiques répétables, partiellement documentées. Pilotage encore informel.

N3 – Défini ✓

Processus formalisés, documentés et approuvés. Pilotage actif. Niveau NIS2 minimum.

N4 – Optimisé

Amélioration continue, mesures quantitatives. Veille proactive et innovation.

Gouvernance & Organisation

Art. 20–21 NIS2

Une PSSI formalisée est-elle approuvée par la direction et communiquée à l'ensemble des collaborateurs ?

Un RSSI (ou équivalent) est-il désigné avec des responsabilités clairement définies et des moyens alloués ?

La gouvernance cyber fait-elle l'objet de reportings réguliers au COMEX / Conseil d'administration ?

Un budget dédié à la cybersécurité est-il alloué, tracé et ajusté annuellement ?

Gestion des risques

Art. 21.2.a NIS2

Une analyse de risques cyber formalisée (EBIOS RM ou équivalent) est-elle réalisée et actualisée régulièrement ?

Les risques cyber sont-ils intégrés dans la cartographie des risques globale de l'organisation ?

Des plans de traitement des risques sont-ils définis, priorisés et leur avancement suivi ?

Les résultats d'analyse de risques sont-ils présentés et actionnés par la direction ?

Sécurité technique & SI

Art. 21.2.b,c NIS2

Un inventaire des actifs critiques (matériels, logiciels, données, services cloud) est-il maintenu à jour ?

Un processus de gestion des correctifs (patch management) est-il en place avec des délais de déploiement définis ?

Le réseau est-il segmenté et protégé (pare-feu, IDS/IPS, cloisonnement des zones sensibles) ?

Une gestion des accès à privilèges (PAM) et des habilitations est-elle en place et auditée régulièrement ?

Des tests d'intrusion ou audits de sécurité technique sont-ils réalisés à une fréquence adaptée aux risques ?

Continuité d'activité

Art. 21.2.c NIS2

Un Plan de Continuité (PCA) et/ou de Reprise d'Activité (PRA) est-il formalisé et maintenu à jour ?

Des sauvegardes régulières sont-elles effectuées, chiffrées et testées (incluant une copie hors ligne) ?

Les RTO/RPO sont-ils définis et validés pour chaque système ou processus critique ?

Le PCA/PRA est-il testé au moins une fois par an par un exercice ou une simulation formalisée ?

Gestion des incidents

Art. 21.2.b & Art. 23 NIS2

Une procédure de gestion des incidents de sécurité est-elle documentée et connue des équipes concernées ?

Des capacités de détection sont-elles en place (SOC, SIEM, EDR, supervision des journaux) ?

Les obligations de notification réglementaire (ANSSI, CNIL) sont-elles intégrées aux procédures d'incident ?

Des exercices de gestion de crise cyber sont-ils conduits annuellement avec le top management ?

Chaîne d'approvisionnement

Art. 21.2.d & Art. 22 NIS2

Les exigences de sécurité sont-elles intégrées dans les contrats avec les prestataires et fournisseurs critiques ?

Une cartographie des tiers ayant accès au SI ou aux données sensibles est-elle maintenue et revue périodiquement ?

Des questionnaires de sécurité ou audits sont-ils conduits auprès des fournisseurs stratégiques ?

Les accès des tiers au SI sont-ils contrôlés, tracés et révoqués à l'issue des missions ?

Sensibilisation & Formation

Art. 21.2.g NIS2

Un programme de sensibilisation cyber est-il déployé annuellement pour l'ensemble des collaborateurs ?

Des formations spécifiques sont-elles dispensées aux équipes IT/DSI et aux dirigeants ?

Des exercices de phishing simulé sont-ils conduits pour mesurer et améliorer la vigilance des collaborateurs ?

L'efficacité des actions de sensibilisation est-elle mesurée et reportée à la direction ?

Cryptographie & Contrôle d'accès

Art. 21.2.h,i NIS2

Une politique de gestion des mots de passe robuste est-elle en vigueur (complexité, MFA, gestionnaire de mots de passe) ?

Le chiffrement des données sensibles est-il mis en œuvre au repos et en transit (TLS, chiffrement disque) ?

Le principe du moindre privilège est-il appliqué et les habilitations revues au moins annuellement ?

Les processus d'onboarding et d'offboarding incluent-ils une gestion formalisée et tracée des droits d'accès ?

Résultats & Synthèse

Tableau de bord · Analyse des écarts

Score global de maturité

0.0 / 4

Initial

Domaines conformes NIS2

0 / 8

Niveau ≥ N3

Critères évalués

0 / 33 critères

Radar de maturité

Scores par domaine

GOV – Gouvernance0.0

RISK – Gestion des risques0.0

TECH – Sécurité technique0.0

BCP – Continuité d'activité0.0

INC – Gestion des incidents0.0

SCM – Chaîne d'approvisionnement0.0

AWR – Sensibilisation0.0

IAM – Cryptographie0.0

Analyse des écarts (Gap Analysis) — Référence NIS2

Domaine	Réf. NIS2	Score actuel	Cible NIS2	Écart	Priorité	Statut
GOVGouvernance & Organisation	Art. 20–21 NIS2	0.0/ 4	N3	−3.0	Critique	Non conforme
RISKGestion des risques	Art. 21.2.a NIS2	0.0/ 4	N3	−3.0	Critique	Non conforme
TECHSécurité technique & SI	Art. 21.2.b,c NIS2	0.0/ 4	N3	−3.0	Critique	Non conforme
BCPContinuité d'activité	Art. 21.2.c NIS2	0.0/ 4	N3	−3.0	Critique	Non conforme
INCGestion des incidents	Art. 21.2.b & Art. 23 NIS2	0.0/ 4	N3	−3.0	Critique	Non conforme
SCMChaîne d'approvisionnement	Art. 21.2.d & Art. 22 NIS2	0.0/ 4	N3	−3.0	Critique	Non conforme
AWRSensibilisation & Formation	Art. 21.2.g NIS2	0.0/ 4	N3	−3.0	Critique	Non conforme
IAMCryptographie & Contrôle d'accès	Art. 21.2.h,i NIS2	0.0/ 4	N3	−3.0	Critique	Non conforme
SCORE GLOBAL DE MATURITÉ		0.0/ 4 · Initial	N3	−3.0	Moyenne de 8 domaines

Recommandations prioritaires

Priorité critique (Score < N2)

GOV – Gouvernance & Organisation

Formaliser et faire approuver une PSSI. Nommer un RSSI avec mandat clair. Intégrer la cybersécurité à l'agenda du COMEX.

0.0

RISK – Gestion des risques

Lancer une analyse de risques EBIOS RM. Intégrer le risque cyber à la cartographie générale. Mettre en place un suivi des plans de traitement.

0.0

TECH – Sécurité technique & SI

Établir et maintenir un inventaire des actifs. Déployer un patch management. Mettre en œuvre la segmentation réseau et le PAM.

0.0

BCP – Continuité d'activité

Rédiger et tester un PCA/PRA. Mettre en place des sauvegardes automatiques testées hors ligne. Définir les RTO/RPO par application critique.

0.0

INC – Gestion des incidents

Documenter et diffuser les procédures d'incident. Mettre en place un SIEM ou équivalent. Formaliser les procédures de notification ANSSI/CNIL.

0.0

SCM – Chaîne d'approvisionnement

Inclure des clauses de sécurité dans tous les contrats prestataires. Auditer les accès tiers. Cartographier les fournisseurs critiques.

0.0

AWR – Sensibilisation & Formation

Déployer un programme de sensibilisation annuel. Organiser des exercices de phishing simulé. Former les dirigeants aux risques cyber.

0.0

IAM – Cryptographie & Contrôle d'accès

Déployer le MFA sur tous les accès critiques. Chiffrer les données sensibles. Mettre en place des revues d'habilitations semestrielles.

0.0

Note méthodologique : Cette grille d'évaluation est basée sur le référentiel RECYF (Référentiel Cyber pour les Fédérations) et alignée avec les exigences de la directive NIS2 (UE 2022/2555). Le niveau cible N3 (Défini) correspond aux exigences minimales pour les entités importantes et essentielles soumises à NIS2. L'évaluation doit être complétée sur la base d'entretiens et d'analyses documentaires approfondies. Les scores sont indicatifs et doivent être validés par un consultant certifié.

Document produit par Sekura · Cabinet de conseil indépendant en cybersécurité · sekura.nanocorp.app