NIS2 Assessment gratuit · Auto-évaluation de conformité en 15 minutes | OCIRIA
Quinze minutes. Trente-deux questions. Vous saurez si NIS2 vous applique, ce qu'elle exige et par où commencer.
NIS2 Assessment
En quinze minutes, sachez comment NIS2 vous affecte et par où commencer
[Glossaire : NIS2] est la Directive européenne de cybersécurité en vigueur depuis octobre 2024. Elle change les règles du jeu pour des milliers d'entreprises qui auparavant n'avaient pas d'obligations formelles. Cet outil gratuit vous positionne d'un coup d'œil : si vous entrez dans le périmètre, ce qu'elle vous exige concrètement et quels sont vos écarts les plus urgents.
[Bouton : Commencer l'évaluation]
---
Ce qu'est NIS2
La Directive NIS2 (Network and Information Security 2) élargit considérablement les obligations de cybersécurité pour les entreprises européennes. Sa prédécesseure, NIS1, couvrait les opérateurs de services essentiels (énergie, transport, banque, santé). NIS2 étend à de nouveaux secteurs (services postaux, gestion des déchets, alimentation, fabrication), incorpore des entités importantes en plus des essentielles, élève la barre technique des contrôles exigés et durcit les sanctions pour non-conformité.
La transposition nationale dans les États membres de l'UE est en cours. Les inspections se préparent. Les sanctions administratives peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires global pour les entités essentielles (7 millions ou 1,4 % pour les importantes), en plus de la responsabilité personnelle de la direction en cas de non-conformité grave.
Cet outil ne remplace pas une analyse formelle de conformité, mais vous donne la première réponse opérationnelle : m'applique-t-elle ? que regarder en premier ? suis-je loin ou près de la conformité ?
---
Pourquoi c'est important
Le calendrier presse. La directive est en vigueur. La transposition nationale est en cours ou déjà faite dans plusieurs États membres. Les autorités de contrôle sont opérationnelles. Le délai confortable de « je regarderai plus tard » n'existe plus.
Les sanctions sont matérielles. Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires global annuel pour les entités essentielles ; jusqu'à 7 millions ou 1,4 % pour les importantes. La sanction est fréquemment accompagnée de mesures correctives publiques qui érodent la confiance des clients.
La responsabilité atteint la direction. NIS2 introduit la responsabilité explicite de l'organe de direction. Approuver les mesures, superviser la mise en œuvre, recevoir la formation. Ce n'est plus délégué entièrement au département technique.
Vos clients vont demander. Si votre client entre dans NIS2 et que vous lui fournissez un service TIC pertinent, ils vous transmettront la question. Ils peuvent exiger de nouvelles clauses contractuelles, des preuves de contrôles, la capacité de notifier des incidents dans les délais. L'anticiper est un avantage compétitif.
---
Ce qu'évalue l'assessment
Le questionnaire comporte trente-deux questions organisées en cinq sections :
Section 1 · Périmètre et applicabilité (6 questions). Secteur d'activité, taille (employés, chiffre d'affaires), type de service fourni, présence géographique. Résultat : confirmation si vous êtes entité essentielle, importante ou hors périmètre selon la directive et sa transposition nationale.
Section 2 · Gouvernance et gestion des risques (6 questions). Existence de politique de sécurité approuvée, assignation de responsabilités, formation de l'organe de direction, système de gestion des risques documenté, processus de revue et amélioration continue.
Section 3 · Mesures techniques (8 questions). Gestion des accès et identités, contrôle des comptes privilégiés, journalisation et audit, gestion des vulnérabilités, segmentation réseau, chiffrement des données, continuité et récupération, gestion de la chaîne d'approvisionnement TIC.
Section 4 · Gestion des incidents (6 questions). Existence de plan de réponse documenté, équipe identifiée et formée, critères de notification à l'autorité nationale dans les délais NIS2 (alerte précoce 24h, notification 72h, rapport final 1 mois), communication aux utilisateurs affectés, tests périodiques du plan.
Section 5 · Chaîne d'approvisionnement et fournisseurs (6 questions). Inventaire des fournisseurs TIC critiques, clauses contractuelles de sécurité, évaluation périodique du risque fournisseur, capacité de réponse coordonnée à un incident fournisseur.
Chaque question a des options guidées avec explication contextuelle ; vous n'avez pas besoin d'être spécialiste pour répondre.
---
Temps estimé
Dix à quinze minutes pour quelqu'un avec une vision de l'organisation (gérant, directeur financier, responsable IT ou qualité). Vous pouvez sauvegarder le progrès et continuer plus tard si vous devez consulter votre équipe.
---
Résultats que vous verrez
À la clôture du questionnaire vous obtenez :
Verdict de périmètre. Nous vous disons explicitement si NIS2 s'applique, dans quelle catégorie (entité essentielle · entité importante · hors périmètre · zone grise avec explication) et pourquoi.
Score global de préparation. Un score 0-100 qui estime comment votre organisation se situe face aux exigences de la directive. Inclut un détail par section avec points forts et faibles.
Diagramme radar par section. Visualisation de votre position relative dans les cinq sections du questionnaire. Utile pour montrer à la direction d'un coup d'œil où concentrer l'effort.
Trois recommandations top. Les trois actions qui auraient le plus d'impact sur votre niveau de conformité, priorisées par rapport effort-bénéfice. Pas une liste de cinquante choses : les trois qui comptent vraiment maintenant.
Plan d'action 90 jours. Un guide concret des prochaines étapes suggérées dans les trois prochains mois, avec ordre raisonnable et références à des articles concrets de la directive.
Avertissements sur écarts critiques. Si dans une réponse apparaît un écart que la directive considère obligatoire (par exemple, absence totale de plan de réponse aux incidents), nous le marquons avec priorité maximale.
---
PDF téléchargeable
Le résultat complet peut être téléchargé en PDF de dix à quinze pages, avec :
- Résumé exécutif pour la direction.
- Résultat par section avec réponses données et commentaires contextuels.
- Plan d'action 90 jours détaillé.
- Glossaire de termes et références à articles de la directive.
- Modèle de suivi pour revoir le progrès trimestriel.
Le PDF est conçu pour être présenté au comité de direction sans travail supplémentaire. Il se télécharge directement sans avoir besoin de laisser email. Si vous voulez le recevoir aussi par email, il y a un champ optionnel.
---
Pour qui
CISO ou responsable sécurité qui a besoin d'une première ligne de base avant une analyse formelle complète.
CTO ou directeur technique d'une entreprise de taille moyenne sans fonction sécurité dédiée, qui veut comprendre l'exposition avant de budgétiser.
DPO ou responsable protection des données qui connaît déjà le RGPD et a besoin de positionner NIS2 par rapport à ce qu'il gère déjà.
CEO ou directeur général de PME et mid-market qui ont entendu parler de NIS2 et ont besoin de savoir, en langage clair, ce que cela suppose pour leur organisation.
Responsable conformité ou qualité qui cartographie les obligations réglementaires et a besoin d'incorporer NIS2 dans le tableau de bord.
---
Questions fréquentes
Remplace-t-il une analyse formelle de conformité ?
Non. C'est une première carte, pas une analyse exhaustive. Si après le résultat vous considérez avoir besoin d'un diagnostic profond, nous pouvons parler. Si le résultat vous donne le confort nécessaire pour gérer en interne, parfait : l'outil vous a fait économiser argent et temps.
Que faites-vous avec mes réponses ?
Si vous téléchargez le PDF sans laisser d'email, nous ne gardons rien sauf des statistiques agrégées anonymes (combien d'entreprises de votre secteur répondent similaire) pour améliorer l'outil. Si vous laissez email, nous l'utilisons seulement pour envoyer le PDF et, si vous cochez la case spécifique, pour vous contacter avec une proposition. Pas de newsletter automatique ni cession à des tiers.
Est-il à jour avec la transposition nationale ?
Oui. Nous tenons l'outil à jour avec la transposition en Espagne et surveillons les transpositions d'autres États membres pertinents. Si la transposition de votre pays a des nuances, nous l'indiquons dans le résultat.
Puis-je sauvegarder le progrès et revenir plus tard ?
Oui. Si vous interrompez le questionnaire, vous pouvez demander un lien par email pour reprendre où vous l'aviez laissé. Les réponses sont sauvegardées chiffrées pendant 30 jours puis supprimées si vous ne complétez pas.
Est-ce vraiment gratuit et sans piège ?
Oui. Résultat complet et PDF téléchargeable gratuits. L'option commerciale est volontaire : vous cochez vous-même la case si vous voulez être contacté. Si vous ne la cochez pas, nous ne vous contactons pas.
Plusieurs membres de la même entreprise peuvent-ils le faire et comparer les réponses ?
Oui. C'est une pratique que nous recommandons : que le responsable IT et le directeur général répondent séparément et comparent. Les écarts révèlent souvent des lacunes de perception qui méritent d'être discutées avant de commencer à investir.
---
Vous voulez aller plus loin ?
Si après l'assessment vous décidez avoir besoin d'accompagnement pour clôturer les écarts, nous pouvons parler d'un diagnostic formel ou de l'option de vCISO mensuel qui dirige le programme d'adaptation. Sans pression : si l'outil vous a été utile tel quel, il vous a fait économiser de l'argent. C'est déjà un gain.
Parlons-en · [[email protected]](mailto:[email protected])
[Bouton : Commencer l'évaluation] · [Bouton : Essayez aussi Email Scanner](/fr/outils/email-scanner)