Qu'est-ce que WarDek ?

WarDek est une suite de conformite complete qui combine un scanner de vulnerabilites OWASP avec des modules de conformite NIS2, AI Act et RGPD, specialement concue pour les PME europeennes.

Mon entreprise est-elle soumise a NIS2 ?

La directive NIS2 s'applique aux entites essentielles et importantes dans des secteurs comme l'energie, la sante, les transports, le numerique, etc. Utilisez notre simulateur gratuit pour verifier.

Comment utiliser les rapports WarDek dans un audit ?

Les rapports WarDek fournissent une base de travail exploitable pour vos equipes, votre CAC ou votre preparateur audit. Ils n'equivalent pas a une certification officielle ni a un avis juridique.

Combien de temps prend un scan ?

Un scan OWASP complet prend generalement entre 2 et 5 minutes selon la complexite de votre site web.

Mes donnees sont-elles securisees ?

Absolument. Nous ne stockons jamais vos identifiants. Les rapports sont chiffres et vous pouvez les supprimer a tout moment. Nous sommes heberges en France.

Puis-je essayer avant d'acheter ?

Oui ! Le plan Gratuit vous permet de tester WarDek avec 3 scans par mois, sans carte bancaire requise.

Qui doit se conformer à NIS2 ?

NIS2 s'applique aux entités « essentielles » et « importantes » dans 18 secteurs, notamment l'énergie, les transports, la banque, la santé, les infrastructures numériques, la gestion des services TIC, l'administration publique et l'espace. Elle couvre également le secteur numérique : places de marché en ligne, moteurs de recherche, réseaux sociaux et services d'informatique en nuage. Les moyennes et grandes entreprises de ces secteurs doivent s'y conformer.

Quand NIS2 entre-t-elle en vigueur ?

NIS2 est entrée en vigueur le 16 janvier 2023. Les États membres de l'UE avaient jusqu'au 17 octobre 2024 pour la transposer en droit national. L'application effective a commencé en 2025, les autorités de contrôle menant activement des audits et imposant des sanctions en cas de non-conformité.

Quelles sont les sanctions en cas de non-conformité à NIS2 ?

Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Pour les entités importantes, les amendes peuvent atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires. De plus, NIS2 introduit la responsabilité personnelle des dirigeants qui ne garantissent pas la conformité.

En quoi NIS2 diffère-t-elle de la directive NIS originale ?

NIS2 élargit considérablement le périmètre de 7 à 18 secteurs, remplace l'exigence vague de « mesures appropriées » par 10 mesures de sécurité spécifiques dans l'Article 21, introduit la responsabilité des dirigeants avec une responsabilité personnelle, harmonise la notification des incidents (alerte précoce à 24 heures, notification complète à 72 heures) et établit des sanctions nettement plus élevées.

NIS2 s'applique-t-elle aux entreprises situées hors de l'UE ?

NIS2 s'applique aux entités qui fournissent des services au sein de l'UE, quel que soit leur lieu d'établissement. Les entreprises non européennes opérant dans des secteurs couverts au sein des États membres de l'UE doivent désigner un représentant dans l'UE et se conformer à la directive. Cette portée extraterritoriale est similaire au modèle du RGPD.

Checklist de conformité NIS2 — 10 mesures obligatoires

Qu'est-ce que la directive NIS2 ?

La directive NIS2(Directive (UE) 2022/2555) est la législation européenne globale en matière de cybersécurité, remplaçant la directive initiale sur la sécurité des réseaux et des systèmes d'information de 2016. Adoptée le 14 décembre 2022, NIS2 élargit considérablement le périmètre des organisations concernées, introduit des exigences de sécurité spécifiques et établit des sanctions substantielles en cas de non-conformité.

NIS2 concerne environ 160 000 entités à travers l'UE, contre environ 10 000 dans le cadre de la directive NIS initiale. Elle couvre 18 secteurs classés en entités « essentielles » (Annexe I) ou « importantes » (Annexe II) :

Entités essentielles (Annexe I) : Énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace
Entités importantes (Annexe II) : Services postaux et de courrier, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), organismes de recherche

Calendrier clé

14 décembre 2022

Directive NIS2 adoptée par le Parlement européen et le Conseil

16 janvier 2023

NIS2 entre en vigueur (publication au Journal officiel)

17 octobre 2024

Date limite de transposition en droit national par les États membres

2025

Début de l’application effective ; les autorités de contrôle mènent des audits

17 avril 2025

Les États membres doivent établir la liste des entités essentielles et importantes

Les 10 mesures de sécurité de l'Article 21

L'Article 21 de NIS2 impose aux entités essentielles et importantes de mettre en œuvre des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » pour gérer les risques en matière de cybersécurité. Ces mesures doivent reposer sur une approche tous risques et couvrir au minimum les dix domaines suivants :

1. Politiques d'analyse des risques et de sécurité des systèmes d'information

Exigence :Établir et maintenir des politiques complètes de cybersécurité couvrant les méthodologies d'évaluation des risques, la classification des actifs et les règles d'utilisation acceptable. Les politiques doivent être approuvées par la direction et révisées au moins annuellement.

Étapes de mise en œuvre :Réalisez une évaluation des risques selon ISO 27005 ou NIST SP 800-30. Documentez une politique de sécurité de l'information alignée sur ISO 27001. Classifiez tous les actifs informationnels par criticité. Définissez les critères d'acceptation des risques et les plans de traitement. Attribuez la responsabilité des politiques et les calendriers de révision.

Preuves requises :Politique de sécurité écrite approuvée par la direction, rapport d'évaluation des risques, inventaire des actifs, plan de traitement des risques, registres de revue annuelle.

2. Gestion des incidents

Exigence :Mettre en place des procédures pour prévenir, détecter, analyser, contenir et répondre aux incidents de cybersécurité. NIS2 introduit des délais spécifiques de notification des incidents : alerte précoce sous 24 heures, notification complète sous 72 heures et rapport final sous un mois au CSIRT désigné.

Étapes de mise en œuvre :Élaborez un plan de réponse aux incidents avec des rôles définis (matrice RACI). Mettez en place une capacité de détection 24h/24 7j/7 ou contractualisez un service de détection et de réponse géré (MDR). Définissez les critères de classification et les procédures d'escalade. Testez le plan par des exercices de simulation réguliers.

Preuves requises :Plan de réponse aux incidents, coordonnées du CSIRT et modèles de notification, journal des incidents, rapports d'exercices de simulation, documentation de retour d'expérience post-incident.

3. Continuité d'activité et gestion de crise

Exigence :Assurer la continuité d'activité par la gestion des sauvegardes, la reprise après sinistre et les procédures de gestion de crise. Cela inclut le maintien de la capacité à fonctionner pendant et à se rétablir après des incidents de cybersécurité.

Étapes de mise en œuvre :Réalisez une analyse d'impact sur l'activité (BIA) pour identifier les processus critiques et leur durée d'indisponibilité maximale tolérable. Mettez en place des systèmes de sauvegarde automatisés avec des procédures de restauration testées. Élaborez un plan de reprise d'activité avec des RTO (objectif de temps de reprise) et RPO (objectif de point de reprise) définis. Établissez un plan de communication de crise.

Preuves requises :Analyse d'impact sur l'activité, politique de sauvegarde et journaux de tests de restauration, plan de reprise d'activité, procédures de gestion de crise, résultats annuels des tests de reprise.

4. Sécurité de la chaîne d'approvisionnement

Exigence :Traiter les risques de sécurité dans les relations avec les fournisseurs directs et les prestataires de services. Cela inclut l'évaluation de la qualité globale des produits et des pratiques de cybersécurité des fournisseurs, ainsi que l'intégration d'exigences de sécurité dans les arrangements contractuels.

Étapes de mise en œuvre :Créez un inventaire des fournisseurs avec une classification par criticité. Définissez des exigences minimales de sécurité pour les fournisseurs (clauses contractuelles). Réalisez des évaluations de sécurité des fournisseurs critiques annuellement. Surveillez la posture de sécurité des fournisseurs via des questionnaires, des audits ou des outils automatisés. Incluez des exigences de notification des incidents dans les contrats fournisseurs.

Preuves requises :Inventaire et classification des risques fournisseurs, clauses de sécurité dans les contrats, rapports d'évaluation des fournisseurs, procédures de surveillance, plan de réponse aux incidents de la chaîne d'approvisionnement.

5. Sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information

Exigence :Intégrer la sécurité dans l'ensemble du cycle de vie des réseaux et systèmes d'information, y compris l'acquisition, le développement et la maintenance. Cela couvre la gestion et la divulgation des vulnérabilités.

Étapes de mise en œuvre :Mettez en place un cycle de développement logiciel sécurisé (SSDLC). Intégrez des tests de sécurité (SAST, DAST, SCA) dans les pipelines CI/CD. Établissez un programme de gestion des vulnérabilités avec des délais de correction basés sur des SLA. Définissez une politique de divulgation des vulnérabilités. Effectuez des revues de sécurité avant le déploiement de nouveaux systèmes.

Preuves requises :Documentation du SSDLC, rapports de tests de sécurité, politique de gestion des vulnérabilités, registres de gestion des correctifs, politique de divulgation des vulnérabilités, procès-verbaux de recette sécurité.

6. Politiques et procédures d'évaluation de l'efficacité de la gestion des risques

Exigence :Établir des politiques et procédures pour évaluer si les mesures de gestion des risques de cybersécurité mises en œuvre sont efficaces. Cela signifie tester, auditer et mesurer régulièrement les contrôles de sécurité.

Étapes de mise en œuvre :Définissez des métriques et KPI de sécurité (temps moyen de détection, temps moyen de réponse, taux de conformité des correctifs). Planifiez des audits internes et des tests d'intrusion réguliers. Mettez en place des outils de surveillance continue. Réalisez des revues de direction de la performance sécurité trimestriellement. Envisagez des audits externes ou certifications (ISO 27001, SOC 2).

Preuves requises :Tableau de bord des métriques de sécurité, rapports d'audit interne, rapports de tests d'intrusion, comptes-rendus de revue de direction, sorties des outils de surveillance continue, registres de certification.

7. Pratiques d'hygiène informatique de base et formation

Exigence :Mettre en œuvre des pratiques d'hygiène cyber de base et fournir une formation régulière de sensibilisation à la cybersécurité pour tous les employés, y compris la direction. Les organes de direction doivent recevoir une formation spécifique leur permettant d'identifier les risques et d'évaluer les pratiques de gestion des risques de cybersécurité.

Étapes de mise en œuvre :Déployez un programme de sensibilisation à la cybersécurité pour tous les employés (au moins annuellement). Fournissez une formation spécialisée pour la direction sur la gouvernance des risques de cybersécurité. Mettez en place des campagnes de simulation de phishing. Appliquez les règles d'hygiène de base : politiques de mots de passe, chiffrement des terminaux, politique de bureau propre, consignes de télétravail sécurisé.

Preuves requises :Supports de formation et registres de suivi, résultats des simulations de phishing, politique d'hygiène cyber, certificats de formation de la direction, métriques des campagnes de sensibilisation.

8. Politiques et procédures relatives à la cryptographie et au chiffrement

Exigence :Établir des politiques sur l'utilisation de la cryptographie et, le cas échéant, du chiffrement pour protéger la confidentialité, l'authenticité et l'intégrité des données.

Étapes de mise en œuvre :Définissez une politique de cryptographie spécifiant les algorithmes approuvés, les longueurs de clés et les protocoles. Mettez en œuvre TLS 1.2+ pour toutes les données en transit. Chiffrez les données sensibles au repos avec AES-256. Établissez des procédures de gestion des clés (génération, distribution, stockage, rotation, révocation). Documentez les inventaires cryptographiques de tous les systèmes.

Preuves requises :Politique de cryptographie, registres de configuration TLS, documentation de mise en œuvre du chiffrement, procédures de gestion des clés, inventaire cryptographique, registres de gestion des certificats.

9. Sécurité des ressources humaines, contrôle d'accès et gestion des actifs

Exigence :Mettre en œuvre des mesures de sécurité liées aux ressources humaines (vérifications des antécédents, sécurité à l'embauche et au départ), aux politiques de contrôle d'accès (moindre privilège, accès basé sur les rôles) et à la gestion des actifs (inventaire, classification, manipulation).

Étapes de mise en œuvre :Mettez en place un contrôle d'accès basé sur les rôles (RBAC) avec le principe du moindre privilège. Établissez des checklists d'intégration et de départ pour l'attribution et la révocation des accès. Maintenez un inventaire complet des actifs incluant le matériel, les logiciels et les actifs de données. Réalisez des revues d'accès périodiques (trimestrielles pour les comptes privilégiés, annuelles pour les comptes standards). Mettez en œuvre l'authentification multi-facteurs pour tous les accès administratifs et à distance.

Preuves requises :Politique de contrôle d'accès, matrice RBAC, checklists d'intégration et de départ, inventaire des actifs, registres de revue des accès, documentation MFA, politique de vérification des antécédents.

10. Authentification multi-facteurs, communications sécurisées et systèmes de communication d'urgence

Exigence :Utiliser l'authentification multi-facteurs ou des solutions d'authentification continue, des communications vocales, vidéo et textuelles sécurisées, et des systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.

Étapes de mise en œuvre :Déployez le MFA pour tous les comptes utilisateurs ayant accès aux systèmes critiques. Mettez en place des canaux de communication chiffrés de bout en bout pour les échanges sensibles. Établissez des procédures de communication d'urgence hors bande (en cas de compromission des canaux principaux). Testez régulièrement les systèmes de communication d'urgence.

Preuves requises :Registres de déploiement du MFA, documentation de la plateforme de communication sécurisée, plan et résultats de test des communications d'urgence, statistiques d'inscription des utilisateurs, documentation des exceptions.

Sanctions en cas de non-conformité

NIS2 introduit un régime de sanctions progressif qui fait de la cybersécurité un enjeu de gouvernance :

Entités essentielles

EUR 10M or 2%

du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu

Entités importantes

EUR 7M or 1.4%

du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu

Au-del\u00e0 des sanctions financi\u00e8res, NIS2 introduit la responsabilit\u00e9 personnelle des dirigeants. L'Article 20 stipule que les organes de direction des entit\u00e9s essentielles et importantes doivent approuver et superviser les mesures de gestion des risques de cybers\u00e9curit\u00e9, et peuvent \u00eatre tenus personnellement responsables en cas d'infraction. Les autorit\u00e9s de contr\u00f4le peuvent imposer des interdictions temporaires d'exercer des fonctions de direction en cas de manquement.

Responsabilité de la direction dans le cadre de NIS2

NIS2 répond explicitement à l'idée reçue selon laquelle « la cybersécurité est un problème informatique ». L'Article 20 exige que :

Les organes de direction approuvent les mesures de gestion des risques de cybersécurité
Les organes de direction supervisent la mise en œuvre de ces mesures
Les membres de la direction suivent une formation pour acquérir les connaissances et compétences suffisantes afin d'identifier les risques et évaluer les pratiques de cybersécurité
Tous les employés bénéficient d'une formation régulière

Cela signifie que le PDG, le DAF et les membres du conseil d'administration peuvent être tenus personnellement responsables des défaillances en matière de cybersécurité. Il s'agit d'un changement majeur par rapport à la législation européenne précédente en cybersécurité, qui s'aligne sur les dispositions de responsabilité personnelle existant en régulation financière.

Exigences de notification des incidents

NIS2 établit un processus structuré de notification des incidents en trois phases pour les incidents significatifs :

Alerte précoce (24 heures) :Dans les 24 heures suivant la prise de connaissance d'un incident significatif, l'entité doit soumettre une alerte précoce au CSIRT ou à l'autorité compétente, indiquant si l'incident est présumé résulter d'actes illicites ou malveillants et s'il pourrait avoir un impact transfrontalier.
Notification d'incident (72 heures) :Dans les 72 heures, une notification complète doit être soumise incluant une évaluation initiale de l'incident (gravité, impact), les indicateurs de compromission le cas échéant, et les mesures de réponse de l'entité.
Rapport final (1 mois) :Dans le mois suivant la notification d'incident, un rapport final doit être soumis incluant une description détaillée de l'incident, l'analyse des causes profondes, les mesures de remédiation appliquées et l'impact transfrontalier le cas échéant.

Démarrer votre mise en conformité NIS2

Le parcours vers la conformité NIS2 commence par la compréhension de votre posture de sécurité actuelle. Une analyse d'écart par rapport aux 10 mesures de l'Article 21 révèle où vous en êtes et ce qui reste à faire. Pour la plupart des organisations, les domaines prioritaires sont :

Évaluation des risques et politiques (Mesure 1) :C'est le socle sur lequel tout le reste repose. Sans comprendre vos risques, vous ne pouvez pas allouer efficacement vos ressources.
Gestion des incidents (Mesure 2) :L'exigence de notification sous 24 heures signifie que vous devez disposer de capacités de détection et de procédures de réponse avant qu'un incident ne survienne.
Sécurité de la chaîne d'approvisionnement (Mesure 4) :Souvent la mesure la plus longue à mettre en œuvre car elle nécessite d'interagir avec des tiers. Commencez tôt.
Mesures techniques (Mesures 5, 8, 10) :Les outils de scan automatisés peuvent rapidement identifier les lacunes de votre posture de sécurité technique, couvrant la gestion des vulnérabilités, le chiffrement et l'authentification.

Checklist de conformité NIS2 — 10 mesures obligatoires pour les entreprises européennes