Évaluation de l'efficacité des mesures de cybersécurité (Article 21 NIS2) — Guide opérationnel pour la conformité

Ce que dit l'article 21 §2 de la directive NIS2

L'article 21, paragraphe 2, alinéa (f) de la directive NIS2 impose aux entités essentielles et importantes de mettre en place « des politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité ». Cette exigence se distingue de l'obligation d'analyse de risques (mesure n° 1) ou de gestion d'incidents (mesure n° 2) : elle porte sur la mesure continue de la performance réelle des dispositifs déployés.

L'intention du législateur européen est claire : empêcher le déploiement de « cybersécurité en théorie », où des mesures existent sur le papier mais ne sont jamais testées ni validées. Les États membres doivent s'assurer que les entités évaluent les mesures de cybersécurité en tenant compte de leur taille, de leur exposition au risque, de la probabilité et de la gravité des incidents potentiels, ainsi que de l'impact sociétal et économique.

Le ReCyF (Référentiel Cyber Français), publié le 17 mars 2026, précise les 20 objectifs de sécurité applicables en France et rappelle que l'évaluation de l'efficacité doit reposer sur des indicateurs documentés, reproductibles et régulièrement revus. Sans cette boucle d'amélioration continue, les entités s'exposent à un décalage permanent entre posture déclarée et vulnérabilités réelles.

Référentiels et standards qui s'articulent avec cette mesure

L'évaluation de l'efficacité n'est pas une invention NIS2. Elle s'appuie sur des pratiques éprouvées et documentées dans plusieurs référentiels majeurs.

ISO/IEC 27001:2022 – Clause 9.1 et performance ISMS

La clause 9.1 de la version 2022 d'ISO 27001 exige désormais explicitement que l'organisation évalue la performance de l'ISMS, et non simplement qu'elle surveille son fonctionnement. Les méthodes de surveillance, mesure, analyse et évaluation de l'efficacité de l'ISMS doivent être comparables et reproductibles. L'audit interne (clause 9.2) et la revue de direction (clause 9.3) constituent les deux piliers de cette évaluation périodique. ISO 27001:2022 impose d'établir et de maintenir un processus pour évaluer régulièrement la performance des contrôles de sécurité.

Le lien entre NIS2 et ISO 27001 est direct : une entité certifiée ISO 27001 dispose déjà de la structure documentaire pour satisfaire l'obligation NIS2. Toutefois, l'ISO ne prescrit pas quoi mesurer, mais comment documenter et améliorer. C'est ici que NIST CSF 2.0 prend le relais.

NIST Cybersecurity Framework 2.0 – Fonction Govern et Detect

NIST CSF 2.0, publié le 26 février 2024, a introduit une sixième fonction appelée « Govern », qui traite la gouvernance de la cybersécurité, la stratégie de gestion des risques et la gestion des risques de la chaîne d'approvisionnement. La fonction Detect, sous-catégorie DE.CM (Continuous Monitoring), exige la surveillance continue pour garantir que les événements adverses sont détectés précocement et traités avant de s'aggraver.

La création de profils organisationnels d'état actuel et d'état cible permet aux organisations de comparer où elles se trouvent par rapport à où elles veulent ou doivent être, et leur permet de mettre en œuvre et d'évaluer les contrôles de sécurité plus rapidement. Cette approche Profil actuel/Profil cible est directement transposable à l'article 21 §2(f) de NIS2.

Guides ANSSI – Hygiene informatique et mesure de la maturité

L'ANSSI a publié en 2025 sa plateforme MesServicesCyber, qui propose notamment un outil de diagnostic de maturité. Plus de 9 900 tests de maturité ont été réalisés et 5 500 organisations ont effectué leur diagnostic Cyberdépart. Ce diagnostic permet d'auto-évaluer la conformité face aux 40 règles d'hygiène informatique et de mesurer la progression dans le temps.

Les entités régulées NIS2 peuvent capitaliser sur ces outils ANSSI pour alimenter leur démarche d'évaluation de l'efficacité, en particulier pour les PME/ETI qui ne disposent pas encore de programmes de métrologie cybersécurité structurés.

Mise en œuvre opérationnelle — étapes concrètes pour une entité régulée

Mettre en œuvre l'évaluation de l'efficacité suppose de passer d'une logique de conformité formelle (« j'ai un pare-feu ») à une logique de mesure et d'amélioration continue (« mon pare-feu bloque-t-il réellement les tentatives d'intrusion ? »).

1. Définir les objectifs de sécurité et les KPI associés

Chaque mesure de l'article 21 (analyse de risques, gestion d'incidents, continuité, chaîne d'approvisionnement, développement sécurisé, etc.) doit être associée à au moins un KPI ou KRI (Key Performance Indicator / Key Risk Indicator). Exemples :

• Gestion d'incidents : MTTD (Mean Time to Detect), MTTR (Mean Time to Respond), taux de vrais positifs.
• Continuité d'activité : RTO/RPO atteints lors des tests semestriels, taux de succès de restauration de sauvegardes.
• Patch management : MTTP (Mean Time to Patch), % de systèmes critiques patchés dans les 48 h.
• Formation : taux de clic sur campagnes de phishing simulées, taux de complétion des formations cyber.

Le MTTD moyen dans l'industrie se situe autour de 207 jours ; le mesurer en heures pour les menaces critiques classe l'organisation dans le top tier. Pour les incidents critiques, un MTTR inférieur à une heure est attendu pour un SOC bien calibré.

2. Implémenter la collecte automatisée de métriques

Les plateformes SOAR et SIEM enregistrent automatiquement les timestamps pour les événements clés, permettant un calcul précis et automatisé des métriques temporelles comme MTTR et MTTD. L'automatisation garantit la cohérence et la reproductibilité, conformément à ISO 27001:2022.

Outils types :

• SIEM (Splunk, QRadar, Sentinel, Chronicle) : centralisation des logs, corrélation d'événements, calcul du MTTD, alertes sur déviations.
• EDR (CrowdStrike, SentinelOne, Microsoft Defender) : visibilité sur les endpoints, détection de comportements anormaux.
• GRC / ISMS (ServiceNow, Archer, ISMS.online) : suivi des contrôles, gestion des non-conformités, tableaux de bord de maturité.
• Vulnerability management (Tenable, Qualys, Rapid7) : calcul du MTTP, taux de couverture des patchs, scoring temporel des CVE.

3. Définir les seuils d'alerte et responsabilités

Chaque KPI doit disposer d'un seuil acceptable, d'un seuil d'alerte et d'un propriétaire responsable de l'action corrective. Exemple : si le MTTR dépasse 4 heures trois fois dans le mois, le RSSI doit déclencher une revue des procédures SOC.

Revues hebdomadaires avec l'équipe SOC pour ajuster en fonction des données ; revues mensuelles avec le top management pour montrer les tendances et justifier les demandes de ressources.

4. Tester régulièrement l'efficacité réelle — simulations et exercices

L'évaluation ne peut reposer uniquement sur des indicateurs techniques. Elle doit intégrer des tests en conditions réelles :

• Campagnes de phishing interne : mesure du taux de clic, du taux de signalement volontaire.
• Red team / Purple team : exercices contradictoires pour évaluer MTTD et capacités de réponse.
• Tests de continuité (plan de reprise d'activité, tests de restauration de sauvegarde) : mesure du RTO/RPO atteint versus l'objectif.
• Tests de segmentation réseau : tentatives de mouvement latéral pour vérifier l'isolation effective.

Ces exercices génèrent des données factuelles sur l'efficacité réelle (versus théorique) des mesures.

5. Revue de direction trimestrielle ou semestrielle

Les revues de management sont essentielles pour l'évaluation de la performance et les ajustements nécessaires (ISO 27001:2022 Clause 9.3). La direction doit approuver les mesures de gestion des risques cyber et recevoir une vision synthétique des KPI, des écarts et des actions correctives.

Le compte-rendu de revue doit être documenté (traçabilité audit), avec décisions actées : nouvelles ressources, changement de priorités, investissement dans un outil, etc.

6. Amélioration continue — cycle PDCA

L'évaluation de l'efficacité n'est pas un exercice ponctuel mais un cycle itératif (Plan-Do-Check-Act). Chaque revue doit déboucher sur des actions correctives traçables et mesurables. Si le taux de faux positifs du SIEM atteint 85 %, il faut ajuster les règles de corrélation, documenter l'action et mesurer l'impact à T+30 jours.

Prestataires ANSSI à mobiliser pour cette mesure

L'évaluation de l'efficacité ne peut être menée en vase clos. Elle requiert des regards extérieurs et des compétences spécialisées.

PASSI – Prestataire d'Audit de la Sécurité des Systèmes d'Information

Le PASSI (et PASSI-LPM pour les OIV) est le prestataire clé pour cette mesure. Il réalise des audits techniques (tests d'intrusion, revue d'architecture) et des audits organisationnels (conformité ISO 27001, RGPD, NIS2). L'audit PASSI fournit une photographie objective de l'écart entre les mesures déclarées et la réalité technique.

Un PASSI peut être mobilisé :

• Annuellement pour un audit complet de conformité NIS2.
• Ponctuellement après un incident significatif, pour évaluer la réponse et identifier les failles non détectées.
• En amont d'un exercice de certification (ISO 27001, HDS, SecNumCloud).

Le rapport PASSI alimente directement la revue d'efficacité : il objective les lacunes, hiérarchise les vulnérabilités et recommande des correctifs mesurables.

PRIS – Prestataire de Réponse aux Incidents de Sécurité

Le PRIS intervient lors d'incidents de sécurité. Mais son rôle ne s'arrête pas à la remédiation : il produit un retour d'expérience post-incident (REX) qui mesure la performance réelle du dispositif de détection, la qualité des runbooks, le respect du PRA, etc.

Ces REX sont des matériaux d'évaluation précieux. Ils permettent d'ajuster les seuils MTTD/MTTR, d'identifier les failles de process et de tester l'efficacité des mesures de confinement.

PDIS – Prestataire de Détection des Incidents de Sécurité

Le PDIS (SOC managé) opère la surveillance continue. Dans ce cadre, il génère en continu les KPI de détection (nombre d'alertes, vrais positifs, faux positifs, MTTD). Un PDIS qualifié ANSSI garantit la traçabilité et la fiabilité de ces métriques, indispensables à l'évaluation d'efficacité.

Un contrat PDIS bien rédigé inclut :

• Des SLA sur MTTD et MTTR.
• Un tableau de bord mensuel des indicateurs.
• Une revue trimestrielle de la qualité des alertes.

PACS – Prestataire d'Accompagnement et de Conseil en Sécurité

Le PACS accompagne la mise en place du programme d'évaluation lui-même : définition des KPI pertinents pour l'entité, sélection des outils de mesure, construction du tableau de bord de pilotage, formation des équipes au cycle PDCA, assistance aux revues de direction.

Le PACS intervient souvent en amont, pour structurer la démarche, puis en amélioration continue pour faire évoluer le référentiel de métriques à mesure que la maturité de l'entité augmente.

SecNumCloud – pour les données sensibles hébergées en cloud

Si une partie du SI est hébergée chez un prestataire cloud, les entités destinées à se mettre en conformité avec NIS 2 devront nécessairement faire appel à des solutions de cybersécurité de confiance. Un hébergeur qualifié SecNumCloud produit des métriques contractuelles (disponibilité, RPO/RTO, taux de succès de sauvegarde, tests de PRA) qui alimentent directement l'évaluation d'efficacité de la mesure de continuité.

Outils techniques recommandés pour mesurer l'efficacité

L'évaluation d'efficacité repose sur des outils de métrologie cyber. Voici les catégories fonctionnelles à considérer :

SIEM – Security Information and Event Management

Centralise les logs, corrèle les événements, génère les alertes. Les KPI clés :

• MTTD : délai entre intrusion et détection.
• Taux de vrais positifs : un taux en dessous de 10 % indique un problème de tuning ; les SOC performants visent 15–25 % de conversion alerte → incident réel.
• Couverture de logs : % de SI couvert par la collecte.

EDR – Endpoint Detection and Response

Surveille les endpoints (postes, serveurs, mobiles). Indicateurs :

• Taux de couverture EDR : les endpoints non intégrés dans l'EDR sont des angles morts ; viser une couverture proche de 100 % garantit une détection cohérente.
• Taux de blocage automatique : % de menaces stoppées sans intervention humaine.

GRC / ISMS platforms

Outils de gouvernance et gestion des contrôles (ex. : ServiceNow GRC, Archer, Tugboat Logic, ISMS.online). Ils centralisent :

• Conformité aux contrôles NIS2/ISO 27001.
• Statut des actions correctives (PDCA).
• Historique des audits internes et externes.

Vulnerability scanners et patch management

Tenable.io, Qualys VMDR, Rapid7 InsightVM. KPI :

• MTTP (Mean Time to Patch) : délai moyen entre publication d'un patch critique et son déploiement.
• Taux de couverture de scan : % d'actifs scannés mensuellement.
• CVE critique non corrigées : nombre de vulnérabilités critiques ouvertes depuis > 30 jours.

Dashboards et reporting – BI / SOAR

Des solutions comme Power BI, Tableau ou Grafana peuvent agréger les données de plusieurs sources (SIEM, EDR, GRC) pour construire un tableau de bord unique d'évaluation. Les outils d'automatisation consolident les données de multiples plateformes de sécurité dans une vue centralisée, garantissant une collecte cohérente pour des tendances et analyses efficaces.

Plateformes de simulation (phishing, BAS)

• Phishing simulé : KnowBe4, Cofense, Proofpoint. Mesure du taux de clic, taux de signalement volontaire.
• Breach & Attack Simulation (BAS) : SafeBreach, Cymulate, AttackIQ. Simule automatiquement des attaques pour mesurer MTTD/MTTR en conditions contrôlées.

Cas d'incidents documentés — où l'absence/défaillance de cette mesure a aggravé l'impact

L'absence de mesure de l'efficacité a conduit à de nombreux incidents majeurs ces dernières années. Voici des exemples concrets, issus de 2023 à 2026.

Change Healthcare (février 2024) – manque de MFA et absence de mesure de l'efficacité

Change Healthcare a subi une attaque où le groupe ALPHV/BlackCat a exploité une vulnérabilité dans un portail d'accès distant Citrix dépourvu de MFA. Une fois à l'intérieur, les attaquants ont circulé librement, exfiltré des données sensibles et verrouillé les systèmes avec un ransomware.

Lien avec l'évaluation d'efficacité : l'organisation disposait de politiques de contrôle d'accès sur le papier, mais aucun KPI ne mesurait le taux de couverture MFA sur les accès critiques. Si un tableau de bord avait montré « 0 % de MFA sur portail Citrix », l'incident aurait été évitable. L'absence de métrologie a permis à une faille organisationnelle de persister.

National Public Data (avril 2024) – centralisation sans indicateurs de sécurité

Le groupe cybercriminel USDoD a exploité un système centralisé sans garde-fous suffisants chez National Public Data. L'accès non autorisé a commencé fin 2023 et est passé inaperçu pendant plusieurs mois. En avril 2024, la base volée contenant les données de 2,9 milliards d'individus a été mise en vente sur le dark web.

Lien avec l'évaluation d'efficacité : aucun système de détection d'anomalies ni de mesure de MTTD n'a permis d'identifier l'intrusion pendant des mois. En 2025, le nombre d'incidents confirmés par l'ANSSI est resté stable à 1 366, contre 1 361 en 2024, et le nombre d'incidents liés aux exfiltrations de données a bondi de 130 à 196 cas. L'absence de KPI sur les accès anormaux aux bases sensibles a transformé une simple compromission en désastre géant.

Attaque Collins Aerospace (octobre 2025) – défaillance de surveillance continue

L'attaque revendiquée par le groupe Everest contre Collins Aerospace a perturbé plusieurs aéroports européens pendant plusieurs jours. Bien que les détails techniques complets ne soient pas publics, cette attaque illustre un cas où la surveillance continue (fonction Detect de NIST CSF) a échoué à détecter l'intrusion à un stade précoce, permettant aux attaquants de s'installer et de déployer leur charge finale.

Lien avec l'évaluation d'efficacité : si Collins Aerospace avait mesuré régulièrement son MTTD pour les tentatives de mouvement latéral et sa couverture de logs sur les environnements critiques, l'attaque aurait pu être contenue avant d'atteindre les systèmes opérationnels aéroportuaires.

SonicWall / Marquis (janvier 2026) – faille dans un partenaire de cybersécurité

Le partenaire de cybersécurité de Marquis, SonicWall, a été à l'origine de la brèche. L'investigation de Marquis a révélé que l'attaquant avait exploité des données de configuration extraites de l'infrastructure de sauvegarde cloud de SonicWall liée à un changement de code API. Marquis a déclaré que son pare-feu était à jour et disposait de MFA.

Lien avec l'évaluation d'efficacité : Marquis avait déployé des contrôles (pare-feu à jour, MFA), mais n'a pas mesuré la sécurité de la chaîne d'approvisionnement (contrôles chez SonicWall). L'article 21 §2(d) NIS2 impose d'évaluer la sécurité de la supply chain : un audit PASSI chez le tiers ou un questionnaire d'évaluation mensuel aurait pu détecter la faiblesse de configuration avant l'exploitation.

Incidents cumulés ANSSI 2025 – persistance de la menace malgré des investissements

Le bilan cyber 2025 de l'ANSSI tient en trois chiffres et une tendance qui inquiète : 1 366 incidents confirmés, des vols de données en hausse de 51 %, et des hackers d'État qui empruntent désormais les méthodes des criminels. L'attaque invisible n'est pas qu'une affaire de furtivité technique, c'est un problème de gouvernance du SI réel : celui des outils tolérés, des dépendances contractuelles, des accès distants, des environnements cloud et de la capacité de l'organisation à faire sens rapidement dans un brouillard devenu permanent.

Lien avec l'évaluation d'efficacité : malgré des budgets croissants, la menace ne recule pas. Cela signifie que beaucoup d'entités déploient des mesures sans en mesurer l'efficacité réelle. L'article 21 §2(f) vise précisément à corriger ce biais : investir dans la sécurité ne suffit pas, il faut prouver que les mesures fonctionnent.

Sanctions et risques en cas de non-conformité

L'absence de politiques et procédures d'évaluation de l'efficacité expose l'entité à plusieurs niveaux de risque.

Sanctions administratives NIS2

NIS2 introduit des pénalités financières échelonnées : pour les entités essentielles, amende maximale de 10 M€ ou 2 % du chiffre d'affaires mondial annuel ; pour les entités importantes, 7 M€ ou 1,4 % du chiffre d'affaires. Ces sanctions s'appliquent notamment en cas de défaut de mise en œuvre des mesures de sécurité, de retard dans la notification d'incidents ou de négligence des responsabilités de gestion.

L'article 21 §2(f) est une obligation formelle. Lors d'un contrôle, l'autorité nationale (ANSSI en France) demandera :

• La liste des KPI suivis.
• Les comptes-rendus de revue de direction.
• Les preuves d'actions correctives suite aux écarts constatés.
• Les rapports d'audit interne ou externe (PASSI).

Absence de documentation = non-conformité = sanction financière potentielle.

Interdictions de gestion pour la direction

NIS2 permet aux autorités compétentes d'interdire temporairement ou définitivement aux dirigeants d'exercer des fonctions de management en cas de négligence grave ou répétée des obligations de cybersécurité. Elles peuvent également ordonner la publication de déclarations identifiant les responsables de l'incident.

Si un incident majeur révèle qu'aucune évaluation d'efficacité n'était en place, les dirigeants peuvent être personnellement sanctionnés. La responsabilité pénale de la gouvernance cyber est désormais actée.

Surcoût opérationnel et perte de confiance

Au-delà des sanctions, le coût réel se mesure en perturbation d'activité et en perte de réputation. Dans le secteur industriel, le coût moyen total d'une brèche de données a atteint 5,56 millions USD en 2024, soit une hausse de 18 % par rapport à 2023. Sans évaluation d'efficacité, les incidents se multiplient, les temps de réponse s'allongent, et l'entité devient une cible facile.

Impact sur les assurances cyber

Les assureurs cyber exigent de plus en plus de preuves de maturité cyber mesurée. Un dossier de souscription sans KPI ni audits tiers sera refusé ou tarifé à des niveaux prohibitifs. L'évaluation de l'efficacité devient un prérequis contractuel pour couvrir les risques cyber.

---

Pour aller plus loin : explorez les autres mesures de l'article 21 NIS2 sur, consultez l'annuaire des prestataires ANSSI qualifiés sur annuaire des prestataires, ou identifiez si votre organisation est concernée sur êtes-vous concerné.