Dix-huit mois après la transposition de la directive NIS2 en droit français, les premières procédures de mise en demeure de l'ANSSI ciblant des entités "importantes" ont été engagées. Pourtant, selon une enquête CESIN de début 2026, plus de 55 % des organisations dans le périmètre NIS2 n'ont pas encore conduit d'audit de maturité formalisé. Le problème n'est pas la méconnaissance des exigences — les textes sont accessibles. C'est l'absence d'une méthode structurée pour transformer ces exigences en diagnostic opérationnel. Dans cet article, vous trouverez un cadre en 90 jours pour conduire cet audit de façon rigoureuse — sans sur-conformité et sans angle mort.
Pourquoi 90 jours, ni moins ni plus
L'audit de maturité NIS2 n'est pas un audit de conformité documentaire. Un audit de conformité vérifie si vous avez les bons documents. Un audit de maturité vérifie si vos pratiques réelles correspondent à vos obligations — et où se situent les écarts. Ces deux exercices ont des durées très différentes.
Deux semaines ne suffisent pas : vous récupérerez des déclarations, pas des preuves. Dix-huit mois sont trop longs : vous produirez un rapport obsolète avant de le finir. Le cycle de 90 jours permet de couvrir les 10 domaines d'exigences NIS2 avec des ressources internes raisonnables — et d'arriver en fin de cycle avec une feuille de route concrète plutôt qu'un rapport académique.
Un repère de marché : les organisations ayant conduit un audit NIS2 structuré en 2025 ont réduit leur délai moyen de notification d'incident de 47 % dans les 12 mois suivants (Forrester/ENISA, 2026). L'audit n'est pas une contrainte administrative — c'est un vecteur de maturité opérationnelle.
Mois 1 : délimiter avant d'évaluer
L'erreur la plus fréquente dans les démarches NIS2 insuffisantes est de partir des exigences avant de connaître son périmètre réel. Les exigences sont génériques. Votre périmètre est spécifique — et souvent plus étendu que ce que la direction imagine.
La première question n'est pas "répondons-nous à l'exigence X" mais "quels systèmes, processus et tiers entrent dans le périmètre critique NIS2 pour notre organisation". Pour une entité "importante" dans le secteur numérique, ce périmètre inclut les fournisseurs cloud, les prestataires de maintenance IT, les logiciels de gestion critique — et pas seulement l'infrastructure interne.
Le livrable du mois 1 est une carte de périmètre validée par la direction : liste des systèmes d'information critiques, inventaire des tiers ayant accès à ces systèmes, cartographie des dépendances de service. Ce document n'est pas un luxe — c'est la fondation sans laquelle l'évaluation du mois 2 sera systématiquement faussée.
Piège courant : négliger la chaîne de sous-traitance. NIS2 impose explicitement la gestion de la sécurité des tiers (article 21, point d). Un prestataire de nettoyage n'entre pas dans le périmètre. Un prestataire qui maintient votre base de données de production, si. La distinction n'est pas toujours évidente — c'est pourquoi l'inventaire des tiers précède l'évaluation des contrôles.
Mois 2 : mesurer l'écart réel, pas l'écart documentaire
L'évaluation des gaps est l'étape où la majorité des démarches de conformité s'égarent vers la "conformité papier". Avoir une politique de gestion des incidents ne signifie pas avoir une capacité de réponse aux incidents. Avoir un contrat fournisseur incluant des clauses de sécurité ne signifie pas que ces clauses sont vérifiées.
La méthode recommandée par l'ANSSI, alignée avec le framework ENISA, structure l'évaluation sur 10 domaines avec des niveaux de maturité de 1 à 5. L'objectif NIS2 minimal se situe entre 2 et 3 selon les domaines — pas 5. Viser le niveau 5 en 90 jours est une erreur de cadrage qui paralyse les équipes et produit des livrables académiques sans valeur opérationnelle.
La distinction clé à maintenir pendant l'évaluation : ce que vous avez documenté vs. ce que vous opérez réellement. Pour chaque domaine, posez deux questions. Première : "Avons-nous une politique, une procédure, un outil ?" Deuxième : "Pouvez-vous m'en montrer une application réelle datant de moins de 90 jours ?" L'écart entre les réponses à ces deux questions est votre maturité réelle — et votre exposition effective à une sanction ANSSI.
Le livrable du mois 2 est une heatmap de maturité par domaine, avec identification des 3 à 5 gaps les plus exposants. Cette heatmap est le document de pilotage du mois 3 — et le premier document que vous présenterez si l'ANSSI engage une procédure.
Mois 3 : prioriser sans sur-conformité
Un plan de remédiation NIS2 n'est pas une liste de 47 projets à conduire en parallèle. C'est une matrice de décision sur deux axes : l'exposition réglementaire (risque de sanction si le gap est constaté lors d'un contrôle ANSSI) et l'effort de remédiation (temps, budget, compétences). Les quick wins se situent en haut à gauche de cette matrice.
Dans les démarches que nous accompagnons, ces quick wins se concentrent généralement sur trois domaines. La gestion des incidents : un plan de réponse documenté, testé une fois par an, avec une chaîne de notification ANSSI sous 24 heures. L'authentification : MFA sur tous les accès critiques, revue semestrielle des comptes à privilèges. La documentation des risques : un registre formalisé, même minimaliste, avec révision trimestrielle. Ces trois domaines couvrent environ 60 % des observations relevées dans les contrôles NIS2 publiés à ce jour.
Les projets structurants — segmentation réseau, gouvernance des tiers à l'échelle, programme de sensibilisation récurrent — méritent une planification sur 6 à 18 mois. Les inscrire dans le plan en Q3/Q4 est une posture appropriée, à condition de ne pas les présenter comme "en cours" lors d'un audit alors qu'ils sont en phase d'avant-projet.
Le piège de la sur-conformité : investir dans des contrôles qui dépassent le niveau requis avant d'avoir couvert les gaps fondamentaux. Une organisation qui déploie une SIEM enterprise sans avoir de plan de réponse aux incidents documenté a inversé ses priorités. L'ANSSI sanctionne l'absence des fondamentaux — pas l'insuffisance du sophistiqué.
Accélérer la démarche avec les bons outils
Presidio intègre les 10 domaines NIS2 dans son moteur de scoring, avec cartographie automatique des gaps et priorisation par niveau d'exposition. Résultat pratique : un rapport de maturité en 4 heures d'entretiens structurés, là où un audit manuel requiert généralement 3 à 4 semaines. Voir aussi : NIS2 en France — calendrier et obligations concrètes et les angles morts supply chain que NIS2 sanctionne. 30 minutes pour discuter de votre démarche.
Conclusion
Trois insights à retenir. Délimiter avant d'évaluer : un audit conduit sans cartographie préalable du périmètre réel produit un diagnostic inexact et une feuille de route hors-sol. Mesurer l'opérationnel, pas le documentaire : l'écart entre ce que vous avez écrit et ce que vous opérez réellement est votre exposition NIS2 effective. Prioriser les fondamentaux avant le sophistiqué : les sanctions initiales ciblent l'absence des bases, pas l'insuffisance du niveau avancé.
Les entités qui arriveront à leur premier contrôle ANSSI préparées ne seront pas celles qui auront investi le plus. Ce seront celles qui auront diagnostiqué avec précision, priorisé avec discipline, et documenté avec rigueur les domaines les plus exposants.
Et dans votre contexte : si l'ANSSI vous contactait la semaine prochaine, quel serait le premier gap que vous voudriez avoir comblé ? C'est généralement un bon point de départ.