Qu’est-ce qu’une analyse d’écart ?
Une analyse d’écart est une comparaison systématique entre la situation actuelle de l’organisation (état présent) et celle où elle doit être (état cible) — dans ce cas, les exigences NIS2. Le résultat montre quels « écarts » existent et doivent être corrigés.
C’est la première étape vers la conformité NIS2 : avant de pouvoir planifier le parcours, vous devez savoir d’où vous partez.
La valeur : Une analyse d’écart bien menée donne à la direction une vision claire de l’ampleur, aide à prioriser les efforts, et crée la base pour la planification budgétaire et des ressources.
Avant de commencer
Préparations :
-
Obtenir l’adhésion de la direction — L’analyse d’écart prend du temps et nécessite la participation de plusieurs personnes. Sécurisez d’abord le mandat.
-
Définir le périmètre — Quelles parties de l’organisation sont concernées par NIS2 ? Quels systèmes et processus ?
-
Rassembler la documentation — Politiques existantes, procédures, évaluations de risques, rapports d’incidents, etc.
-
Identifier les parties prenantes — Qui doit être impliqué ? IT, sécurité, juridique, métier, direction.
-
Choisir la méthode — Auto-évaluation, ateliers, entretiens, ou une combinaison ?
Processus en 6 étapes
- Cartographier les exigences NIS2 Commencez par comprendre ce que NIS2 exige réellement. L'Article 21 liste 10 domaines principaux : gestion des risques, gestion des incidents, continuité d'activité, sécurité des fournisseurs, sécurité réseau, politiques de vulnérabilités, évaluation de l'efficacité, cryptographie, formation du personnel, ainsi que contrôle d'accès et gestion des actifs.
- Documenter l'état actuel Pour chaque domaine d'exigences : Que avons-nous aujourd'hui ? Existe-t-il des processus documentés ? Des contrôles techniques implémentés ? Quel est notre niveau de maturité ? Utilisez une échelle (ex. 0-4) pour évaluer le niveau de maturité.
- Identifier les ÉCARTS Comparez l'état actuel aux exigences. Où sont les lacunes ? Catégorisez : Absent complètement, Partiellement implémenté, Existe mais non documenté, Existe et documenté. Priorisez selon le risque et la complexité.
- Prioriser les actions Tous les écarts ne sont pas également critiques. Priorisez selon : Niveau de risque (quelles sont les conséquences ?), Complexité (à quel point est-ce difficile à corriger ?), Dépendances (autre chose doit-il être terminé d'abord ?), Besoins en ressources (qu'est-ce qui est requis ?).
- Créer un plan d'action Transformez l'analyse d'écart en activités concrètes. Définissez : Ce qui doit être fait, Qui est responsable, Quand cela doit être terminé, Quelles ressources sont nécessaires, Comment nous suivons.
- Suivre et rapporter L'analyse d'écart n'est pas un projet ponctuel. Suivez régulièrement, mettez à jour le statut, rapportez à la direction. Utilisez comme base pour l'amélioration continue.
NIS2 Article 21 — Domaines d’exigences
Voici les 10 domaines de l’Article 21 de NIS2 que votre analyse d’écart devrait couvrir :
| # | Domaine | Ce que cela signifie |
|---|---|---|
| 1 | Gestion des risques | Politiques et procédures d’évaluation des risques |
| 2 | Gestion des incidents | Processus pour gérer les incidents de sécurité |
| 3 | Continuité d’activité | Sauvegarde, reprise après sinistre, gestion de crise |
| 4 | Sécurité des fournisseurs | Sécurité de la chaîne d’approvisionnement |
| 5 | Sécurité réseau | Sécurité lors de l’acquisition, développement, maintenance |
| 6 | Gestion des vulnérabilités | Politiques pour gérer les vulnérabilités |
| 7 | Évaluation de l’efficacité | Processus pour évaluer les mesures de sécurité |
| 8 | Cryptographie | Politiques de chiffrement |
| 9 | Personnel et formation | Sécurité RH, sensibilisation, formation |
| 10 | Contrôle d’accès | Gestion des actifs, authentification |
Échelle de maturité
Utilisez une échelle de maturité pour évaluer l’état actuel par domaine d’exigences :
Rien n'est en place. Le domaine n'est pas adressé.
Des activités ad hoc existent. Aucune structure ni documentation.
Les processus sont documentés mais pas suivis de manière cohérente.
Les processus sont implémentés et suivis de manière cohérente.
Niveau 4 : Optimisé — Les processus sont mesurés, améliorés en continu et intégrés dans l’activité.
Niveau cible pour NIS2 : Au moins niveau 3 sur tous les domaines d’exigences.
Modèle d’analyse d’écart
| Domaine d’exigences | État actuel (0-4) | Description de l’état actuel | Écart | Priorité | Action |
|---|---|---|---|---|---|
| Gestion des risques | 2 | Politiques existantes, registre des risques manquant | Implémenter registre des risques | Haute | T1 2026 |
| Gestion des incidents | 1 | Processus ad hoc, aucune documentation | Documenter processus, créer modèles | Critique | Immédiat |
| Continuité d’activité | 3 | Plan existe, testé l’année dernière | Écarts mineurs | Moyen | T2 2026 |
| … | … | … | … | … | … |
Exemples d’écarts par domaine
Gestion des risques — Écarts typiques
- Aucune méthodologie de risque documentée
- Registre des risques manquant ou obsolète
- Évaluations de risques non réalisées régulièrement
- La direction n’est pas impliquée dans l’acceptation des risques
Gestion des incidents — Écarts typiques
- Aucune définition d’« incident significatif »
- Voies de contact avec l’ANSSI manquantes
- Modèles de rapportage manquants
- Astreinte manquante
- Processus non testés
Sécurité des fournisseurs — Écarts typiques
- Fournisseurs critiques non identifiés
- Exigences de sécurité non incluses dans les contrats
- Aucun suivi régulier
- Sous-traitants non contrôlés
De l’écart à l’action
Contenu du plan d’action :
Pour chaque écart identifié, définir :
- Action : Que doit-on faire concrètement ?
- Responsable : Qui possède l’activité ?
- Échéance : Quand cela doit-il être terminé ?
- Ressources : Qu’est-ce qui est nécessaire (temps, argent, compétences) ?
- Dépendances : Autre chose doit-il être terminé d’abord ?
- Statut : Commencé, en cours, terminé
- Vérification : Comment savons-nous que c’est fait ?
Erreurs communes
Se contenter de cocher « oui/non » sans comprendre le niveau de maturité. La profondeur compte.
Réaliser l'analyse sans le soutien de la direction. Le résultat finit au placard.
Faire l'analyse d'écart une fois puis ne pas suivre. C'est un processus continu.
Identifier les écarts sans s'assurer des ressources pour les combler.
Comment Securapilot peut aider
Le module d’analyse d’écart de Securapilot automatise et optimise le processus :
- Référentiels d’exigences intégrés — Toutes les exigences NIS2 préconfigurées
- Évaluation guidée — Étape par étape à travers tous les domaines
- Priorisation automatique — Basée sur le risque et la complexité
- Générateur de plans d’action — Des écarts aux activités automatiquement
- Tableaux de bord — Visualisation de l’état actuel et des progrès
- Fonction d’export — Rapports pour la direction et l’audit
Réservez une démo et voyez comment nous pouvons vous aider à réaliser une analyse d’écart efficace.
Questions fréquentes
Combien de temps prend une analyse d'écart ?
Une analyse d'écart de base peut être réalisée en 2-4 semaines selon la taille et la complexité de l'organisation. Une analyse plus approfondie avec entretiens et revue documentaire prend plus de temps.
Pouvons-nous réaliser l'analyse d'écart nous-mêmes ?
Oui, les petites organisations avec des compétences internes peuvent réaliser l'analyse elles-mêmes. Les grandes organisations ou celles manquant d'expertise interne bénéficient souvent d'une aide externe pour garantir objectivité et exhaustivité.
Combien coûte une analyse d'écart ?
Le coût varie considérablement. En interne, cela coûte principalement du temps de travail. Les consultants externes coûtent typiquement 50-200k€ selon l'ampleur. Les outils automatisés comme Securapilot peuvent réduire coût et temps.
À quelle fréquence l'analyse d'écart doit-elle être mise à jour ?
Réalisez une analyse d'écart initiale puis mettez à jour annuellement ou lors de changements majeurs dans l'activité, l'environnement IT ou la réglementation. Utilisez les résultats pour l'amélioration continue.
