NIS2 est souvent perçue comme une directive abstraite, réservée aux juristes et aux DSI. Dans la pratique, elle impose quelque chose de très concret : savoir ce que vous avez, ce qui est critique, et ce qui dépend de quoi.
Cette connaissance ne s'improvise pas. Elle repose sur un exercice que beaucoup d'organisations repoussent : la cartographie du système d'information. Et si NIS2 ne cite pas le mot "cartographie" dans ses textes, elle en pose toutes les conditions. Sans inventaire des actifs, impossible de gérer les risques. Sans gestion des risques, impossible d'être conforme.
Voici les catégories d'actifs que NIS2 vous oblige, de fait, à identifier — et par lesquelles commencer.
Ce que NIS2 exige vraiment en matière de gestion des actifs
La directive NIS2, entrée en vigueur en octobre 2024, impose aux entités dites essentielles et importantes de mettre en place des mesures de gestion des risques liés à la sécurité des réseaux et des systèmes d'information.
Parmi ces mesures figurent explicitement :
- L'analyse des risques et les politiques de sécurité
- La gestion des incidents
- La continuité des activités et la gestion des crises
- La sécurité de la chaîne d'approvisionnement
- La sécurité des ressources humaines et le contrôle des accès
Chacun de ces points suppose une chose fondamentale : savoir sur quels actifs ces mesures doivent porter. Vous ne pouvez pas analyser les risques d'un système que vous ignorez. Vous ne pouvez pas planifier la continuité d'une application dont vous ne savez pas qu'elle est critique.
C'est là que la cartographie du SI devient le socle de toute démarche NIS2 sérieuse.
Les 6 catégories d'actifs à identifier en priorité
1. Les services essentiels à votre activité
Le premier travail n'est pas technique — c'est métier. Il faut identifier les processus dont l'interruption aurait un impact immédiat et grave sur votre organisation ou sur vos clients.
NIS2 parle de "continuité des services essentiels". Mais qu'est-ce qu'un service essentiel pour votre organisation ? C'est une question que vous seuls pouvez répondre.
Quelques exemples concrets : la facturation, la production, la gestion des accès clients, la chaîne logistique, les systèmes de communication internes. Ces services sont votre point de départ. Tout ce qui les supporte — applications, infrastructure, données — devient automatiquement prioritaire dans votre cartographie.
À retenir : Partez du métier, pas de la technique. Les actifs critiques sont ceux dont la perte ou le dysfonctionnement paralyserait votre activité.
2. Les systèmes d'information qui supportent ces services
Une fois les services essentiels identifiés, il faut remonter à leur socle technique : quelles applications, plateformes et infrastructures font tourner ces processus ?
C'est souvent à cette étape que les organisations découvrent des dépendances inattendues. Une application métier critique hébergée sur un serveur en fin de vie. Un ERP connecté à une dizaine de systèmes périphériques dont personne n'a de liste à jour. Un outil cloud souscrit par un service sans validation IT.
Pour chaque service essentiel identifié à l'étape précédente, posez-vous systématiquement : sur quoi repose ce service ? Listez les applications, les bases de données, les serveurs, les environnements cloud. C'est ce périmètre technique qui doit être sécurisé, surveillé et maintenu à jour selon les exigences de NIS2.
3. Les réseaux et systèmes d'information au sens de la directive
NIS2 s'applique spécifiquement aux réseaux et systèmes d'information (NSI). Cette définition couvre un périmètre plus large qu'on ne le pense : non seulement les serveurs et postes de travail, mais aussi les équipements réseau, les systèmes de contrôle industriels (OT), les équipements IoT connectés, et tout dispositif numérique qui interagit avec votre SI.
Les organisations du secteur industriel, de la santé ou des infrastructures critiques doivent être particulièrement vigilantes sur ce point : des équipements physiques connectés — automates, capteurs, systèmes de supervision — font partie du périmètre NIS2 et doivent figurer dans la cartographie.
Identifier ces actifs "invisibles" est souvent la principale surprise de la démarche. Ils représentent pourtant des vecteurs d'attaque fréquemment exploités.
4. Les données sensibles et leur localisation
NIS2 ne se limite pas à la disponibilité des systèmes : elle concerne aussi la confidentialité et l'intégrité des données. Pour être conforme, vous devez savoir où sont stockées vos données les plus sensibles.
Données personnelles des clients et des collaborateurs, propriété intellectuelle, données financières, informations stratégiques, secrets commerciaux : chaque catégorie représente un niveau de risque différent et appelle des mesures de protection adaptées.
Cartographier les données, c'est répondre à trois questions simples : Quelles données sont sensibles ? Où sont-elles stockées ? Qui y a accès ?
Cette couche est souvent la plus difficile à compléter — et la plus précieuse. Elle révèle des situations problématiques fréquentes : des données RH stockées dans un partage de fichiers accessible à toute l'entreprise, des informations clients exportées dans des tableurs sur des postes locaux, des sauvegardes chiffrées dont personne ne détient la clé.
5. Les prestataires et tiers ayant accès à votre SI
C'est l'une des grandes nouveautés de NIS2 par rapport à sa prédécesseure : la directive impose explicitement de gérer les risques liés à la chaîne d'approvisionnement.
Cela signifie que vous devez identifier tous les tiers — prestataires informatiques, éditeurs de logiciels, hébergeurs, sous-traitants — qui ont accès à votre système d'information, directement ou indirectement. Leurs vulnérabilités sont les vôtres.
Un prestataire de maintenance qui se connecte à vos serveurs sans authentification forte. Un éditeur SaaS qui héberge vos données dans un pays sans niveau de protection adéquat. Un sous-traitant qui accède à votre réseau avec des droits administrateurs permanents. Ces situations sont communes et représentent des risques réels que NIS2 vous demande de documenter et de maîtriser.
Conseil pratique : Pour chaque prestataire critique, documentez le type d'accès accordé, les données auxquelles il peut accéder, et les garanties contractuelles de sécurité en place.
6. Les actifs en fin de vie ou hors support
NIS2 exige que les organisations maintiennent leurs systèmes à jour et corrigent les vulnérabilités connues. Cela suppose d'identifier les actifs qui ne peuvent plus être mis à jour : systèmes d'exploitation en fin de support, applications legacy, équipements réseaux obsolètes dont le fabricant ne publie plus de correctifs.
Ces actifs représentent un risque particulier : ils ne peuvent pas être sécurisés par les voies normales et nécessitent des mesures compensatoires spécifiques (isolation réseau, surveillance renforcée, plan de remplacement). Les ignorer dans la cartographie, c'est laisser des portes ouvertes connues.
Comment prioriser quand on ne peut pas tout faire d'un coup
Identifier l'ensemble de ces actifs prend du temps. La bonne nouvelle : NIS2 n'exige pas la perfection du premier coup — elle exige une démarche structurée et documentée.
Pour prioriser, utilisez deux critères croisés :
La criticité métier — Quelle est l'importance de cet actif pour la continuité de vos services essentiels ? Sa perte ou sa compromission aurait-elle un impact immédiat sur l'activité ?
Le niveau d'exposition — Cet actif est-il accessible depuis internet ? Est-il partagé avec des tiers ? Dispose-t-il de mesures de sécurité à jour ?
Les actifs à la fois très critiques et très exposés sont votre priorité absolue. Commencez par eux. Documentez, évaluez les risques, mettez en place les mesures. Puis élargissez progressivement le périmètre.
Ce que votre cartographie doit permettre de démontrer
Au-delà de l'exercice interne, votre cartographie doit pouvoir servir de preuve lors d'un audit ou d'un contrôle de conformité NIS2. Les autorités compétentes — en France, l'ANSSI — pourront demander à vérifier que vous maîtrisez votre périmètre.
Votre cartographie doit permettre de répondre à ces questions :
- Quels sont vos actifs critiques et comment les avez-vous identifiés ?
- Quels risques avez-vous évalués sur ces actifs ?
- Quelles mesures de sécurité avez-vous mises en place, et pour quels actifs ?
- Comment vos prestataires sont-ils évalués et encadrés ?
- Quel est votre plan en cas d'incident affectant ces actifs ?
Une cartographie bien tenue transforme ces questions en réponses documentées. Elle est le fil conducteur de toute votre politique de sécurité.
Par où commencer concrètement ?
Si vous partez de zéro, voici une séquence simple :
Semaine 1 — Identifiez vos 5 à 10 services les plus critiques pour votre activité avec les directions métier concernées.
Semaine 2 — Pour chacun de ces services, listez les applications et systèmes qui les supportent. Interrogez votre DSI ou vos prestataires.
Semaine 3 — Identifiez les tiers qui ont accès à ces systèmes et le type d'accès accordé.
Semaine 4 — Vérifiez si des données sensibles sont stockées dans ces systèmes et leur niveau de protection actuel.
Ce premier périmètre, même imparfait, vous donnera une base solide sur laquelle construire votre conformité NIS2. Et il vous permettra d'avoir une réponse concrète si vous êtes sollicité par vos clients, vos partenaires ou votre autorité de supervision.
La cartographie du SI n'est pas un prérequis bureaucratique à NIS2 — c'est le socle sans lequel aucune autre mesure de sécurité n'a vraiment de sens. Vous ne pouvez pas protéger ce que vous ne connaissez pas, gérer les risques d'actifs ignorés, ni démontrer votre conformité sans preuve de maîtrise de votre périmètre.
Chez Cybershell, nous accompagnons les organisations dans leur démarche de conformité NIS2, de la cartographie des actifs à la sensibilisation des collaborateurs. Parce qu'une posture cyber solide commence toujours par une meilleure connaissance de ce que l'on protège.