NIS2 Gap-Scan Express · Évaluation de conformité art. 21 avec IA défensive
Évaluation NIS2 art. 21 (10 mesures techniques et organisationnelles) avec notre stack IA défensive et signature personnelle du responsable. Diagnostic, plan priorisé et mémo direction en quatre semaines.
NIS2 Gap-Scan Express
Diagnostic de conformité NIS2 art. 21 en quatre semaines, avec IA défensive multi-modèle et signature humaine du responsable
La directive NIS2 (Directive UE 2022/2555) couvre en Espagne environ douze mille entités en tant qu'essentielles ou importantes et impose la mise en œuvre de dix mesures techniques et organisationnelles concrètes (art. 21). La transposition espagnole avance sur deux voies parallèles : le Décret Royal-Loi 7/2025 déjà en vigueur avec des obligations partielles et l'Avant-projet de loi de coordination et de gouvernance de la cybersécurité en cours d'adoption. Les sanctions potentielles atteignent dix millions d'euros ou deux pour cent du chiffre d'affaires mondial, avec responsabilité personnelle des dirigeants.
OCIRIA NIS2 Gap-Scan Express livre en quatre semaines un diagnostic technique de la conformité art. 21, une carte priorisée de constats et un mémo exécutif rédigé pour la direction. Toute l'analyse est réalisée avec un stack propre d'IA défensive multi-modèle (Claude Haiku, Sonnet et Opus en triangulation) sous la supervision et la signature personnelle du responsable d'Ibida Black Level S.L.
Ce que cela couvre exactement
L'analyse gap évalue les dix mesures établies à l'art. 21 de la directive :
1. Politique d'analyse et de gestion des risques.
2. Gestion des incidents (détection, communication et réponse).
3. Continuité des activités : sauvegardes, reprise après sinistre et gestion des crises.
4. Sécurité de la chaîne d'approvisionnement.
5. Sécurité dans l'acquisition, le développement et la maintenance des systèmes.
6. Politiques et procédures d'évaluation de l'efficacité des mesures.
7. Hygiène de base : pratiques, formation et sensibilisation.
8. Cryptographie et chiffrement, le cas échéant.
9. Sécurité des ressources humaines, politique de contrôle des accès, gestion des actifs.
10. Authentification multifacteur et communications sécurisées.
Pour chaque mesure, nous identifions l'état actuel, la distance jusqu'à la conformité, l'effort indicatif pour la combler et la priorité relative en fonction de votre organisation.
Pourquoi ce service existe
Les cabinets de conseil traditionnels abordent NIS2 avec des modèles de deux mois, des équipes de quatre à six personnes et des livrables de cent diapositives que la direction ne finit jamais de lire. Les Big4 font cela encore plus cher et plus lentement. La réalité est que la plupart des entités a d'abord besoin de savoir où elle en est, pas de recevoir un plan à douze mois avant d'avoir vu le premier constat.
OCIRIA exploite l'IA défensive pour réaliser l'analyse technique qu'une équipe humaine nécessiterait quarante à soixante heures, en une fraction du temps. Ce que l'IA ne décide pas, c'est tout livrable matériel : la carte de constats, la priorisation et le mémo exécutif sont signés personnellement par le responsable humain. L'IA accélère ; elle ne remplace pas.
Comment nous travaillons · quatre semaines, trois livrables
Semaine 1 · Périmètre et collecte. Réunion initiale (quarante-cinq minutes) pour comprendre le secteur, la taille, la criticité, les dépendances et l'exposition antérieure. Collecte d'informations minimales nécessaires sans accès aux systèmes en production : domaines, infrastructure d'e-mail, exposition publique connue, politique de sécurité existante si elle l'est, organigramme pertinent.
Semaine 2 · Analyse IA multi-modèle + validation humaine. Triangulation entre trois modèles Claude (Haiku pour la classification, Sonnet pour la corrélation, Opus pour l'analyse critique). Détection des écarts entre modèles comme signal de risque à investiguer manuellement. Vérification de la surface publique (OSINT défensif : sous-domaines, fuites indexées, configuration DNS/SPF/DMARC, en-têtes HTTP, certification, exposition Shodan/Censys). Analyse du gap normatif mesure par mesure.
Semaine 3 · Croisement avec la réalité opérationnelle. Session technique (soixante à quatre-vingt-dix minutes) avec le responsable interne (s'il y en a un) ou avec la direction pour valider les constats, combler les lacunes que les modèles ne voient pas (procédures internes, contrats fournisseurs, formations réalisées) et prioriser.
Semaine 4 · Livrables signés. Trois documents : rapport technique détaillé avec constats détaillés et preuves reproductibles, carte priorisée de mesures avec effort et délai indicatifs, et mémo exécutif de trois pages rédigé pour que la direction puisse le porter au conseil ou au comité d'audit. Tous signés personnellement par le responsable d'Ibida Black Level S.L.
Tarifs
OCIRIA NIS2 Gap-Scan propose trois niveaux, selon la profondeur et l'accompagnement ultérieur :
| Niveau | Produit | Prix | Délai |
|---|---|---|---|
| Express | Analyse gap art. 21 + carte priorisée + mémo direction | 3 500 € | 4 semaines |
| Standard | Express + feuille de route douze mois + tabletop incident | 6 500 € | 5-6 semaines |
| Premium | Standard + accompagnement mensuel six mois | 12 900 € | 4 semaines + 6 mois |
Les prix sont indicatifs pour les PME (jusqu'à deux cent cinquante employés) et le mid-market standard. Pour les groupes consolidés, l'infrastructure multi-sites ou les secteurs avec réglementation supplémentaire (santé, énergie, eau, finance), nous ajustons le périmètre et le budget lors de la réunion initiale.
Modalité de paiement. Cinquante pour cent au démarrage, cinquante pour cent à la remise du mémo exécutif. Pas de pénalité si après la réunion initiale nous décidons que le service ne correspond pas à votre situation.
Pour qui c'est
- Entités essentielles sous NIS2 : transport, énergie, santé, eau, infrastructure numérique, administration publique, espace.
- Entités importantes sous NIS2 : services postaux, gestion des déchets, produits chimiques, alimentation, fabrication, plateformes numériques, recherche.
- Entreprises mid-market fournissant des services à des entités NIS2 qui reçoivent des questionnaires de conformité obligatoires de clients réglementés.
- Groupes consolidés qui ont besoin d'unifier leur posture NIS2 entre plusieurs filiales avant le conseil.
Si vous avez des doutes sur l'application de NIS2, la réunion initiale est gratuite et nous clarifierons ce point en trente minutes.
Pour qui ce n'est PAS
- Les entreprises qui ont déjà un CISO interne à temps plein et une équipe de sécurité de trois personnes ou plus. Dans ce cas, ce dont vous avez probablement besoin est un AI Red Team de votre stack interne, pas une analyse gap externe.
- Les entreprises qui cherchent un tampon rapide pour passer un processus de vente et ne veulent pas d'une analyse réelle. OCIRIA ne signe pas de rapports dans lesquels il n'y a pas de constats vérifiables.
- Les secteurs où la réglementation applicable est clairement autre chose (secteur financier DORA avec dédicace spécifique, RGPD pur sans composante NIS2).
Cas typiques
Cas 1 · L'hôpital privé mid-market. Centre médical avec deux cent quarante employés, soins en présentiel et télémédecine, deux sites et un dossier médical électronique externalisé. Gap-Scan révèle l'absence d'une procédure formelle de gestion des incidents, double facteur uniquement sur le compte administratif, politique de sauvegarde sans vérification périodique et quatre fournisseurs TIC sans clauses NIS2 dans le contrat. Mémo exécutif : conformité estimée à soixante-cinq pour cent ; plan de six mois pour atteindre quatre-vingt-cinq pour cent avec un budget indicatif supplémentaire de douze mille euros.
Cas 2 · L'entreprise de traitement des eaux. Opérateur régional sous OUG 155/2024 (transposition roumaine NIS2). Gap-Scan identifie DMARC à p=none, panneaux cPanel exposés en hébergement mutualisé avec des domaines de tiers, portail clients sans double facteur ni HSTS. Mémo direction : trois mesures critiques qui peuvent être fermées en soixante-douze heures, sept mesures avec un plan de trois mois, conclusion claire sur si l'entité passerait un premier contrôle.
Cas 3 · Le fournisseur industriel de services essentiels. Entreprise manufacturière qui vend à une entité NIS2 essentielle et reçoit un questionnaire de conformité obligatoire. Gap-Scan est orienté vers la réponse à ce questionnaire avec des preuves : les questions auxquelles on peut répondre avec la conformité actuelle, celles qui nécessitent une action et celles qui nécessitent une clause contractuelle avec le client réglementé.
Comment démarrer
La première étape est une réunion initiale gratuite de quarante-cinq minutes. Nous vous expliquons comment fonctionne la méthodologie, quels constats typiques nous faisons avec une entreprise de votre profil et nous vous disons sincèrement si le Gap-Scan vous apporte de la valeur ou si votre situation nécessite autre chose.
Si nous avançons, le contrat est d'une seule page et le calendrier est de quatre semaines à partir de la signature.
Écrivez-nous à [email protected]