Analyse des risques et sécurité des SI (Article 21 NIS2) — Fondation de la mise en conformité

Ce que dit l'article 21 §2 — Texte et intention de la mesure

L'article 21, paragraphe 2, point (a) de la directive NIS2 impose aux entités essentielles et importantes d'établir et de maintenir des « politiques d'analyse des risques et de sécurité des systèmes d'information ». Cette première mesure constitue le socle de l'ensemble du dispositif de gestion des risques cyber prescrit par la directive européenne 2022/2555.

Le texte exige que les États membres veillent à ce que les entités prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques posés à la sécurité des réseaux et des systèmes d'information qu'elles utilisent. L'intention du législateur européen est claire : ancrer la cybersécurité dans une démarche structurée et continue d'analyse des risques, pilotée au plus haut niveau de l'organisation et documentée de bout en bout.

En France, cette obligation s'articule avec les recommandations de l'ANSSI qui, depuis 2025, a invité plusieurs milliers d'entités à renforcer leurs moyens de cyberdéfense dans le cadre de la préparation à la mise en œuvre de la directive NIS2. L'analyse des risques n'est plus une option ni un exercice ponctuel : elle devient le pilier central de la stratégie cyber, devant être actualisée dès qu'un changement majeur intervient dans le système d'information ou le contexte de menace.

Référentiels et standards qui s'articulent

L'analyse des risques NIS2 s'inscrit dans un ensemble normatif déjà mature. En France et en Europe, plusieurs référentiels structurants permettent de donner corps à cette obligation.

ISO/IEC 27001:2022

La norme ISO/IEC 27001:2022 fournit aux organisations de toute taille et de tous secteurs des orientations pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de la sécurité de l'information. La clause 8.2 de la norme ISO 27001:2022 impose aux organisations d'établir, de mettre en œuvre et de maintenir un processus documenté, reproductible, pour identifier, analyser et évaluer les risques de sécurité de l'information, aligné sur le contexte, les objectifs et l'appétence au risque de l'organisation.

La révision 2022 insiste sur un point clé : au lieu de se demander si vous avez complété une analyse de risques, les auditeurs veulent désormais voir comment chaque risque se rattache directement à vos objectifs, votre réputation et vos exigences réelles. L'analyse de risques ISO 27001 couvre explicitement la gestion des tiers et de la chaîne d'approvisionnement (contrôles 5.21 et 5.22 de l'Annexe A), dimension également centrale pour NIS2.

EBIOS Risk Manager

La méthode EBIOS Risk Manager constitue la référence française pour l'analyse de risques cyber. Publiée par l'ANSSI, la méthode EBIOS RM a été mise à jour en version 1.5 après six années de pratique en France comme à l'international, avec de nombreuses améliorations. EBIOS Risk Manager est désormais pleinement conforme à la norme ISO 27005:2022 grâce à des ajouts et à un alignement de vocabulaire.

EBIOS RM structure l'analyse en cinq ateliers progressifs (cadrage, menaces, scénarios opérationnels, risques, traitement) et constitue une méthode particulièrement adaptée aux entités régulées par NIS2, notamment les OIV et les OSE. Elle est utilisée par les administrations, les opérateurs d'importance vitale et les entreprises critiques pour répondre à la fois aux exigences réglementaires françaises et européennes.

NIST Cybersecurity Framework 2.0

Le NIST CSF 2.0, publié en 2024, intègre désormais six fonctions cœur dont « Govern » qui place explicitement l'analyse de risques au centre de la gouvernance cyber. Le CSF articule identification des actifs, évaluation des risques et gestion de la chaîne d'approvisionnement, dimensions totalement cohérentes avec les exigences NIS2. Bien que d'origine américaine, ce référentiel est largement reconnu en Europe et sert de base de dialogue transatlantique.

IEC 62443 (secteur industriel)

Pour les secteurs de l'énergie, de l'eau, de la chimie ou de la fabrication, la série de normes IEC 62443 définit une approche par zones et conduits pour l'analyse de risques des systèmes industriels (OT). L'IEC 62443-3-2 détaille spécifiquement l'évaluation des risques des systèmes de contrôle industriel (IACS). Cette norme est complémentaire de NIS2 pour les entités opérant des environnements IT/OT convergés.

RGS (Référentiel Général de Sécurité)

Le RGS v2.0, applicable aux administrations et prestataires de services numériques de confiance, impose également une analyse de risques documentée. Les entités publiques soumises à NIS2 doivent articuler leurs démarches RGS et NIS2, les deux étant complémentaires.

Mise en œuvre opérationnelle — Étapes concrètes pour une entité régulée

Pour une entité essentielle ou importante, la mise en œuvre d'une politique d'analyse des risques NIS2-compliant nécessite un cadrage méthodologique rigoureux et une mobilisation transverse.

Étape 1 : Définir le périmètre et les objectifs

Identifier le périmètre du système d'information concerné : infrastructures critiques, applications métier, données sensibles, prestataires tiers. Formaliser les objectifs de sécurité en fonction des enjeux métiers (disponibilité des services, confidentialité des données, intégrité des processus). Cette étape s'appuie sur l'atelier 1 d'EBIOS RM (« Cadre et périmètre de l'étude »).

Étape 2 : Inventorier les actifs et cartographier les processus

Établir un inventaire exhaustif et tenu à jour des actifs informationnels : serveurs, bases de données, applications, équipements réseau, équipements OT, services cloud. Documenter les processus métiers critiques et leurs dépendances au SI. Cet inventaire doit mentionner les propriétaires (asset owners) et les responsables de risques (risk owners).

Étape 3 : Identifier les menaces et vulnérabilités

S'appuyer sur les panoramas de menace ANSSI et les bases de vulnérabilités (CVE, CERT-FR) pour caractériser les menaces pesant sur le secteur et l'organisation. En 2025, l'ANSSI a traité 3 586 événements de sécurité, dont 1 366 incidents confirmés. Les incidents liés à des exfiltrations de données ont bondi de 130 à 196 cas ; certains groupes préfèrent désormais voler les données sans chiffrer les systèmes.

Étape 4 : Évaluer les risques (impact × vraisemblance)

Pour chaque scénario de risque identifié, évaluer la gravité de l'impact (sur la disponibilité, l'intégrité, la confidentialité) et la vraisemblance de réalisation (en fonction de l'attractivité de la cible, de la sophistication de l'attaquant, de l'exposition des vulnérabilités). Utiliser une grille de cotation cohérente et documentée (ex. : échelle 1–5 ou Faible/Moyen/Élevé/Critique).

Étape 5 : Définir les critères d'acceptation et l'appétence au risque

Formaliser le niveau de risque acceptable pour l'organisation, validé par la direction générale et le conseil d'administration. Selon NIS2, les instances dirigeantes doivent approuver et superviser les mesures de gestion des risques cyber et peuvent être tenues responsables des infractions. Cette décision stratégique conditionne le plan de traitement.

Étape 6 : Traiter les risques et planifier les mesures

Pour chaque risque, choisir un mode de traitement : réduire (mise en place de contrôles), transférer (assurance cyber, externalisation maîtrisée), accepter (risques résiduels documentés), éviter (abandon d'une activité). Formaliser un plan de traitement des risques priorisé, avec échéances, budgets et responsables.

Étape 7 : Documenter et communiquer

Produire les livrables exigés : politique de gestion des risques, registre des risques, déclaration d'applicabilité (Statement of Applicability), plan de traitement. Communiquer les résultats aux parties prenantes (direction, DSI, RSSI, métiers, auditeurs, autorités compétentes).

Étape 8 : Réviser et améliorer en continu

L'organisation doit réaliser des évaluations de risques de sécurité de l'information à intervalles planifiés et lorsque des changements l'exigent. Actualiser l'analyse de risques au moins annuellement, ou dès qu'un événement majeur survient (incident, nouveau service, changement réglementaire, menace émergente).

Prestataires ANSSI à mobiliser pour cette mesure

La mise en œuvre d'une analyse des risques robuste et NIS2-compliant justifie le recours à des prestataires qualifiés par l'ANSSI, garants d'une expertise reconnue.

PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information)

Un PASSI peut réaliser un audit organisationnel et technique pour identifier les vulnérabilités du SI, valider la pertinence des scénarios de risques et vérifier la conformité de la démarche d'analyse de risques aux exigences NIS2 et ISO 27001. Pour les OIV, le recours à un PASSI-LPM qualifié est recommandé voire obligatoire selon le contexte.

PACS (Prestataire d'Accompagnement et de Conseil en Sécurité)

Un PACS intervient en amont pour cadrer la démarche, animer les ateliers d'analyse de risques (méthode EBIOS RM, ISO 27005), former les équipes internes et piloter la rédaction de la politique de gestion des risques. Le PACS est un partenaire clé pour structurer la gouvernance et assurer la montée en compétence.

PDIS et PRIS (Prestataires de Détection et Réponse aux Incidents)

Les PDIS et PRIS alimentent l'analyse de risques en fournissant des retours d'expérience sur les incidents détectés (indicateurs de compromission, modes opératoires attaquants observés) et contribuent ainsi à affiner les scénarios de menace. Leur expertise terrain enrichit la cartographie des risques réels.

SecNumCloud (pour les données sensibles)

Pour les entités traitant des données sensibles ou hébergeant des applications critiques dans le cloud, le choix d'un prestataire SecNumCloud qualifié garantit un socle de sécurité élevé et documenté, facilitant l'analyse de risques liée à l'externalisation et à la chaîne d'approvisionnement.

Outils techniques recommandés

L'outillage de l'analyse de risques facilite la traçabilité, la mise à jour continue et le pilotage.

Plateformes GRC (Governance, Risk & Compliance)

Des solutions comme Agile Risk Manager (labellisé EBIOS RM par l'ANSSI), ServiceNow GRC, RSA Archer, Metricstream ou OneTrust permettent de centraliser l'inventaire des actifs, le registre des risques, les plans de traitement et la documentation de conformité. Elles offrent des workflows collaboratifs et des tableaux de bord pour la direction.

Outils d'inventaire et de cartographie

Asset management : solutions CMDB (Configuration Management Database) intégrées dans les ITSM (ServiceNow, Jira Service Management) ou spécialisées (Device42, Lansweeper) pour maintenir un inventaire d'actifs à jour.

Network mapping : outils de cartographie réseau (Netbrain, SolarWinds Network Topology Mapper) pour visualiser les flux et dépendances.

Bases de vulnérabilités et threat intelligence

CERT-FR : alertes et bulletins de l'ANSSI, panoramas annuels de la cybermenace.

CVE / NVD : bases de vulnérabilités publiques.

Plateformes de threat intelligence : Recorded Future, Mandiant Threat Intelligence, MISP (Malware Information Sharing Platform, utilisé par le CERT-FR), pour enrichir la caractérisation des attaquants et des tactiques (MITRE ATT&CK).

Outils d'évaluation technique

Scanners de vulnérabilités : Tenable Nessus, Qualys VMDR, Rapid7 InsightVM pour identifier les failles techniques.

Pentest et red team : essais d'intrusion réalisés par des PASSI pour valider la vraisemblance des scénarios de risque.

Cas d'incidents documentés — Absence ou défaillance de l'analyse de risques

L'absence ou l'insuffisance d'analyse de risques a aggravé l'impact de nombreux incidents majeurs documentés entre 2023 et 2026.

France Travail (2024-2025)

L'attaque la plus massive de l'histoire française a touché France Travail avec 43 millions de personnes concernées en mars 2024, puis 340 000 comptes supplémentaires compromis en juillet 2025, et 1,6 million de jeunes exposés en décembre 2025, pour un impact total de plus de 44,9 millions de personnes. La méthode d'attaque a exploité des comptes partenaires compromis, des infostealers sur ordinateurs personnels et une absence de MFA généralisée malgré les alertes depuis 2023. Une analyse de risques rigoureuse aurait identifié la chaîne d'approvisionnement partenaires comme vecteur critique et imposé l'authentification multi-facteurs.

Opérateur télécom français (2023-2024)

Un groupe étatique a été présent pendant près de deux ans dans le SI d'un opérateur télécom français sans déclenchement d'alerte, en raison de l'absence de supervision centralisée ; la compromission n'a été découverte que lors d'un audit externe, avec des traces remontant à décembre 2022. L'absence d'analyse de risques couvrant les scénarios d'espionnage prolongé et l'absence de détection en profondeur ont permis un dwell time supérieur à 200 jours.

Collins Aerospace (octobre 2025)

L'attaque contre Collins Aerospace en octobre 2025, revendiquée par le groupe Everest, a perturbé plusieurs aéroports européens pendant plusieurs jours. Cet incident illustre les risques de chaîne d'approvisionnement : la compromission d'un fournisseur critique peut avoir des effets en cascade sur l'ensemble d'un secteur (transports aériens).

Infrastructures électriques polonaises (fin 2025)

Les attaques informatiques coordonnées contre les infrastructures électriques polonaises fin 2025, attribuées à des acteurs liés à la Russie, visaient à provoquer des coupures d'électricité et de chauffage à grande échelle. Cet événement dresse le spectre du scénario redouté auquel la France se prépare : une augmentation massive d'ici 2030 des attaques hybrides avec des effets concrets voire destructeurs sur les infrastructures critiques. Une analyse de risques intégrant des scénarios de menace étatique destructive est désormais indispensable pour les secteurs de l'énergie et de l'eau.

Cloud d'une entité française importante (juillet 2025)

En juillet 2025, le chiffrement de ressources cloud d'une entité française importante a entraîné une indisponibilité de services pour des clients professionnels et grand public en France. Ce cas rappelle l'importance d'analyser les risques spécifiques au cloud (configuration, cloisonnement, sauvegardes déportées).

Sanctions et risques en cas de non-conformité

NIS2 introduit un cadre de sanctions harmonisé, avec un volet administratif et financier, et une responsabilité personnelle des dirigeants.

Risques réputationnels et opérationnels

Au-delà des sanctions légales, l'absence d'une analyse de risques solide expose à des pertes d'exploitation majeures, à une perte de confiance des clients et partenaires, et à des sanctions RGPD en cas de fuite de données. En France en 2024, la CNIL a reçu 5 629 notifications de violations de données personnelles (+20 % vs 2023), avec un doublement des violations touchant plus d'un million de personnes. L'articulation RGPD-NIS2 impose une vigilance renforcée : toute faille dans l'analyse de risques peut déclencher des procédures croisées.

Ressources complémentaires :

Gestion des incidents de sécurité (mesure NIS2 n°2)
Continuité d'activité et gestion de crise (mesure NIS2 n°3)
Sécurité de la chaîne d'approvisionnement (mesure NIS2 n°4)
Évaluation de l'efficacité des mesures (mesure NIS2 n°6)
Qui est concerné par NIS2 ?
Secteur Énergie
Secteur Santé
Secteur Transports