Comment réaliser une évaluation des risques NIS 2
Trois étapes que l'UE demande : identifier, analyser, évaluer et traiter. Une méthode écrite. Une approbation de la direction. Réexaminée à intervalles planifiés et lors de changements importants. Cette page vous montre à quoi ressemble chaque élément en pratique.
La version courte
L'article 21(2)(a) de NIS 2 dispose que chaque entité essentielle et importante doit appliquer une politique fondée sur l'analyse des risques. Le §2 de l'annexe du CIR (UE) 2024/2690 le concrétise. Vous mettez en place un cadre de gestion des risques liés à la sécurité de l'information. Vous l'utilisez pour identifier, analyser, évaluer et traiter les risques pesant sur vos réseaux et systèmes d'information. Vous consignez par écrit les critères que vous utilisez, et l'organe de direction les approuve.
La méthode n'est pas inventée par vous. Vous pouvez utiliser le BSI Standard 200-3 (Allemagne), ISO/IEC 27005:2022 (l'équivalent international) ou toute autre méthode reconnue. Ce qui importe, c'est qu'elle soit documentée, qu'elle couvre les actifs que vous exploitez réellement, et que vous la réexaminiez à intervalles planifiés, au moins une fois par an, et chaque fois que survient un changement important.
Le piège dans lequel tombe la plupart des opérateurs : ils choisissent un scénario de menace, le notent, et s'arrêtent. Une évaluation des risques est une méthode appliquée à votre inventaire des actifs, et non un atelier unique. Nous parcourons l'identification, l'analyse et l'évaluation ci-dessous, puis montrons les principes qui tiennent l'ensemble.
Article 21(2)(a) de la directive NIS 2 (2022/2555)
Policies on risk analysis and information system security.
Le point (a) de la liste des dix mesures de cybersécurité que chaque entité essentielle et importante doit mettre en place. La directive ne prescrit pas de méthode. Elle prescrit l'obligation.
CIR (UE) 2024/2690, annexe §2
For the purposes of Article 21(2)(a) of Directive (EU) 2022/2555, the relevant entities shall establish an appropriate information security risk management framework to identify, analyse, evaluate and treat information security risks. The relevant entities shall review and, where appropriate, update the framework at planned intervals and at least annually, as well as when significant changes occur.
Parce qu'il s'agit d'un règlement (et non d'une directive), il constitue un droit de l'UE directement contraignant. Le §2 de l'annexe du CIR relie également le cadre à l'inventaire des actifs au titre du §12 du CIR. Les quatre verbes identifier, analyser, évaluer, traiter proviennent directement du texte de l'UE.
§30(2)(1) BSIG (Allemagne)
Policies on risk analysis and on information technology security.
L'Allemagne reprend le texte de l'UE presque mot pour mot. Les BSI Standards 200-2 (ISMS) et 200-3 (analyse des risques) vous indiquent en détail comment satisfaire à l'obligation au titre du §30 BSIG. La même obligation de l'article 21(2)(a) s'applique dans chaque autre État membre par le biais de sa loi nationale de transposition.
Identifier
Prenez votre inventaire des actifs issu du §12 du CIR. Pour chaque actif (ou classe regroupée d'actifs identiques), énumérez les menaces et vulnérabilités qui s'appliquent. Utilisez un catalogue de référence pour ne pas partir d'une page blanche. Le catalogue Elementare Gefährdungen du BSI compte 47 entrées couvrant l'incendie, le vol, l'ingénierie sociale, les logiciels malveillants, la chaîne d'approvisionnement, la perte de personnel clé et le reste. L'annexe A d'ISO/IEC 27005:2022 énumère des types de menaces et de vulnérabilités comparables. Le résultat est un triplet actif, menace et vulnérabilité pour chaque risque.
Analyser
Pour chaque triplet, notez la gravité de l'impact et la probabilité de survenue. Une matrice 3x3 (faible / moyen / élevé) suffit pour la plupart des entités du Mittelstand. Une matrice 5x5 vous donne plus de résolution si vous devez comparer des risques similaires. L'impact couvre la confidentialité, l'intégrité et la disponibilité, plus tout effet commercial ou de sécurité qui en découle. La probabilité est un jugement éclairé par ce que vous avez déjà constaté, les données sectorielles et l'état de vos contrôles. Consignez la note par écrit avec une justification d'une ligne.
Évaluer et traiter
Comparez chaque risque noté à vos critères d'acceptation, que vous fixez avant de commencer la notation. Au-dessus du seuil, vous traitez : réduire (appliquer des contrôles), éviter (cesser l'activité), partager (assurance ou contrat, avec des limites, voir ci-dessous), ou accepter (avec un motif documenté). En deçà du seuil, vous notez que vous l'acceptez. Chaque décision de traitement a un responsable nommé et une date. L'organe de direction approuve les risques résiduels qu'il est disposé à assumer.
Méthode écrite avec approbation de la direction
Le §2 du CIR parle d'un cadre, et non d'un atelier. La méthode (comment vous notez, à quoi ressemble la matrice, qui décide, quels sont vos seuils d'acceptation) doit être consignée sur papier. L'organe de direction l'approuve. Vous n'avez pas besoin d'une méthode sophistiquée. Vous avez besoin d'une méthode documentée. L'article 21(1) vous permet de maintenir la profondeur proportionnée à votre risque et à votre taille, mais la méthode elle-même n'est pas facultative.
Réexamen à intervalles planifiés et lors de changements importants
Le §2(2) du CIR est explicite : vous réexaminez le cadre et l'évaluation à intervalles planifiés, au moins une fois par an, et lorsque surviennent des changements importants. Une nouvelle ligne d'activité, un nouveau fournisseur clé, un incident majeur, un changement réglementaire, tous comptent comme importants. Le réexamen annuel est le plancher, non le plafond. Traitez l'évaluation comme un artefact vivant lié à votre inventaire des actifs, et non comme un classeur que vous rédigez une fois.
BSI Standards 200-2 et 200-3
Le BSI publie deux normes qui couvrent de bout en bout l'obligation d'analyse des risques du §30 BSIG. Le BSI 200-2 expose le cycle de vie de l'ISMS. Le BSI 200-3 est l'analyse des risques elle-même, avec les Elementare Gefährdungen comme catalogue de menaces. Le BSI est explicite dans ses Infopakete : un transfert de risque global ou une acceptation générale des risques est exclu. L'assurance est un élément que vous ajoutez par-dessus, jamais un substitut au traitement.
Guide de mise en œuvre technique de l'ENISA
L'ENISA, l'agence de cybersécurité de l'UE, publie un guide de mise en œuvre technique (TIG) pour le CIR (UE) 2024/2690. Ce n'est pas du droit. C'est la référence pratique qui met en correspondance le texte du CIR avec des normes reconnues, y compris ISO/IEC 27005:2022 pour la gestion des risques. Les autorités nationales et les auditeurs le citent comme une interprétation raisonnable du CIR.
ISO/IEC 27005:2022
ISO/IEC 27005:2022 est la norme internationale pour la gestion des risques liés à la sécurité de l'information. Elle est nommée dans le TIG de l'ENISA comme une méthode reconnue pour satisfaire au §2 du CIR. Si vous exploitez déjà un ISMS ISO 27001, ISO 27005 est la méthode d'analyse des risques qui s'y inscrit. Utilisez la méthode reconnue qui convient à votre contexte. Le CIR n'en choisit aucune.
Nous avons fait l'évaluation des risques l'an dernier, donc nous avons terminé.
Le §2(2) du CIR exige un réexamen à intervalles planifiés, au moins une fois par an, et lors de changements importants. Une évaluation unique de l'an dernier ne satisfait pas à l'obligation si un fournisseur majeur a changé, si un nouveau système a été mis en service, ou si un incident important est survenu entre-temps. Traitez l'évaluation comme un artefact vivant lié à votre inventaire des actifs.
Nous avons besoin d'une entrée de risque distincte pour chaque CVE et chaque menace.
Non. L'évaluation des risques se fait actif par actif (ou par classe regroupée d'actifs identiques), et non vulnérabilité par vulnérabilité. Le BSI vous permet de regrouper 45 ordinateurs portables de bureau en une seule entrée. Vous évaluez les menaces et les vulnérabilités au niveau de l'actif. La gestion des correctifs est une obligation continue distincte au titre de l'article 21(2)(e), et non une partie de l'évaluation annuelle.
Nous avons une cyberassurance, donc nous pouvons accepter le reste.
Le BSI est sans détour : un transfert de risque global ou une acceptation générale des risques est exclu. L'assurance vient par-dessus le traitement, ne le remplace jamais. Il en va de même pour l'acceptation : vous ne pouvez pas accepter tout risque dont vous ne voulez pas vous occuper. L'acceptation doit être motivée, nominative, signée, et dans les limites des critères que vous fixez à l'avance.
Ce que nous voyons dans les entités du Mittelstand de 60 à 250 personnes : dix à quinze actifs regroupés, un sous-ensemble d'Elementare Gefährdungen d'environ vingt menaces, une matrice 3x3, et entre quarante et quatre-vingts entrées de risque au total. La première passe prend quelques jours ouvrés avec les bonnes personnes dans la salle. Une fois fait, le réexamen annuel se compte en heures, et non en jours.
Les deux éléments qui prennent le plus de temps la première fois sont l'inventaire des actifs et les critères d'acceptation. Tous deux rapportent : chaque exigence ultérieure (fournisseurs, incidents, continuité d'activité, formation) réutilise la même liste d'actifs, et les critères vous évitent de rediscuter chaque décision de traitement individuelle. Les praticiens ayant trente clients Mittelstand disent la même chose : faites la méthode correctement une fois, et le réexamen annuel est l'heure la moins chère que vous consacrez à NIS 2.
Méthodologie des risques, inventaire des actifs, menaces et vulnérabilités, risques notés, plans de traitement et critères d'acceptation résident dans un seul module sur la plateforme. Vous enregistrez la méthode une fois, l'organe de direction l'approuve, et chaque évaluation ultérieure utilise la même notation. La piste d'audit est la preuve.
Le réexamen annuel et le réexamen lors de changements importants découlent de l'utilisation de la plateforme : échéances, approbations, statut. Rien à maintenir à côté. Lorsque l'évaluation se lie directement à votre inventaire des actifs (comme le demande le §2(3) du CIR), chaque changement apporté à un actif ressort lors du réexamen suivant. Gratuit et open source. Sans verrouillage.
- Directive (UE) 2022/2555 (NIS 2), article 21(2)(a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §2 et §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Loi sur le BSI (BSIG), §30 tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- BSI Standard 200-2 : méthodologie IT-Grundschutz — bsi.bund.de
- BSI Standard 200-3 : analyse des risques fondée sur l'IT-Grundschutz — bsi.bund.de
- BSI Infopakete 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
- ISO/IEC 27005:2022 — Sécurité de l'information, cybersécurité et protection de la vie privée : lignes directrices sur la gestion des risques liés à la sécurité de l'information
- Guide de mise en œuvre technique de l'ENISA pour le CIR (UE) 2024/2690 (au mois de mai 2026)