Sommes-nous seulement concernés ?

La première étape est une vérification pratique de périmètre et d’applicabilité au regard des critères de secteur et de taille de la directive — nous vous indiquons si vous êtes probablement une entité essentielle ou importante, ou un fournisseur visé par l’une d’elles. C’est une étape de planification, pas un avis juridique ; là où l’interprétation est réellement contestée, c’est une question pour votre conseil juridique.

Qu’exige réellement NIS 2 de notre part ?

Des mesures de gestion du risque, le signalement des incidents selon une horloge définie, la supervision de la chaîne d’approvisionnement, et une responsabilité de gouvernance qui incombe à l’organe de direction. L’évaluation des écarts relie chacun de ces points à votre état actuel.

Cela couvre-t-il nos fournisseurs ?

Oui — la directive vous rend responsable de la sécurité de la chaîne d’approvisionnement ; nous cartographions donc vos prestataires critiques et le risque que chacun introduit dans votre environnement, avec les démarches contractuelles et techniques qui le réduisent.

S’agit-il de conseil juridique ?

Non. Nous fournissons une préparation concrète en cybersécurité et en gouvernance, et nous ne donnons pas d’avis juridiques sur la manière d’interpréter la directive. Lorsque vous en avez besoin, nous travaillons aux côtés de votre conseil juridique.

Pouvez-vous aussi tester que nos contrôles fonctionnent réellement ?

Oui. La préparation vous dit où sont les écarts ; un test d’intrusion ou un exercice sur table de réponse à incident vous donne la preuve que les contrôles tiennent. Beaucoup d’entités associent les deux pour que le programme soit démontrable, et pas seulement documenté.

Comment la mission est-elle cadrée et tarifée ?

Au forfait, par fourchette selon votre taille et le périmètre de l’évaluation, avec la fourchette communiquée lors du cadrage avant tout engagement. Nous ne proposons pas de taux journaliers.

NIS 2 a placé le risque cyber à l’ordre du jour personnel du conseil.

Préparation, évaluation des écarts et cartographie de la chaîne d’approvisionnement pour les entités essentielles et importantes — traduites dans la vision de gouvernance qu’attendent votre conseil et votre superviseur.

Demander un échange de cadrage Voir notre méthode

Praticiens seniors uniquement.
Aucun outil vendu.
Reporting fondé sur des preuves.

NIS 2 a changé qui est responsable du risque cyber. La directive fait peser la responsabilité de la gestion du risque de sécurité sur l’organe de direction lui-même, fixe des attentes en matière de signalement des incidents importants dans des délais serrés, et vous rend responsable de la sécurité de votre chaîne d’approvisionnement. « Nous avons une politique informatique » n’est plus la réponse qu’elle était — un superviseur peut demander comment le conseil supervise le risque, si vous pourriez signaler un incident important à temps, et comment vous obtenez l’assurance des prestataires dont vous dépendez.

La préparation NIS 2 de HackingByte amène les entités essentielles et importantes — et les fournisseurs entraînés par elles — à une position opérationnelle défendable. Nous examinons où la directive s’applique à vous, évaluons votre gouvernance, vos mesures de gestion du risque, votre préparation aux incidents et votre supervision de la chaîne d’approvisionnement au regard de ce qu’attend NIS 2, et traduisons les écarts en un plan sur lequel votre conseil et vos responsables techniques peuvent agir. Pour être clair sur le périmètre : il s’agit d’une préparation concrète en cybersécurité et en gouvernance, et non d’un conseil juridique — là où la directive soulève une question d’interprétation juridique, nous travaillons aux côtés de votre conseil juridique plutôt que de prétendre le remplacer.

Ce que nous faisons.

Une préparation NIS 2 pour les entités essentielles et importantes — et leurs fournisseurs.

Périmètre et applicabilité

Nous examinons avec vous les critères de secteur et de taille de la directive pour établir si vous êtes probablement une entité essentielle ou importante, ou un fournisseur entraîné par l’une d’elles. C’est une étape de cadrage pratique plutôt qu’un avis juridique, mais elle vous indique quelles obligations anticiper avant d’investir dans des contrôles.
Évaluation des écarts au regard des obligations NIS 2

Nous mesurons votre état actuel par rapport aux mesures de gestion du risque de la directive — traitement des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, chiffrement et contrôle d’accès, entre autres — et renvoyons un plan priorisé. Chaque écart est relié à l’obligation qu’il concerne et à un responsable capable de le refermer.
Cartographie du risque de la chaîne d’approvisionnement

NIS 2 vous rend responsable de la sécurité de vos fournisseurs ; nous cartographions donc vos prestataires critiques et le risque que chacun introduit dans votre environnement. Vous obtenez une vision défendable de l’exposition aux tiers et les démarches contractuelles et techniques qui la réduisent.
Revue de la préparation aux incidents

Nous vérifions si vous pourriez réellement respecter les délais de signalement serrés de la directive — alerte précoce, notification et rapport final — face à un scénario réaliste. La revue contrôle la détection, la prise de décision et le canal de signalement, car l’horloge se déclenche que vous soyez prêts ou non.

Nous cadrons selon votre situation — une entité essentielle ou importante qui établit un programme, ou un fournisseur à qui un client concerné demande de prouver sa sécurité — et non un forfait de conformité générique.

Prêt pour le conseil.

NIS 2 a fait passer le risque cyber d’une préoccupation informatique à une responsabilité du conseil, et la plupart des travaux de préparation n’ont pas suivi — ils produisent des constats techniques sur lesquels l’organe de direction ne peut pas agir et une traçabilité des preuves qu’un superviseur n’accepterait pas. Nous travaillons dans l’autre sens : de la réalité opérationnelle de votre manière de mener la sécurité vers la gouvernance et la responsabilité que la directive exige désormais, et nous traduisons chaque écart technique dans le langage du risque qu’attendent votre conseil et votre superviseur. Parce que HackingByte est d’abord un cabinet de sécurité, nous lisons chaque mesure au prisme de l’opérationnel — non pas si une politique existe, mais si votre détection, votre réponse et votre supervision des fournisseurs tiendraient réellement lorsque quelque chose survient et que l’horloge de signalement se déclenche.

Responsabilité opérationnelle, pas paperasse.

NIS 2 demande si votre sécurité tiendrait — et si vous pouvez le prouver.

NIS 2 est une directive sur la résilience opérationnelle, et elle est écrite pour être inspectée. Elle attend que l’organe de direction assume le risque cyber, un ensemble de mesures de gestion du risque réellement en place, un traitement des incidents qui respecte une horloge de signalement définie, une supervision des fournisseurs dont vous dépendez, et la preuve que tout cela est réel. L’écart entre « nous avons une mesure » et « la mesure fonctionne, quelqu’un en est responsable et nous pourrions le démontrer à un superviseur » est l’endroit où vit la préparation.

Cette responsabilité est personnelle d’une manière que les régimes antérieurs n’imposaient pas : elle incombe à l’organe de direction, sans pouvoir être déléguée à l’informatique. La préparation doit donc produire deux choses à la fois — des contrôles et des processus qui survivraient à un incident réel, et un enregistrement de gouvernance qui montre que le conseil les supervise. Nous construisons pour les deux, car un programme qui satisfait l’un et pas l’autre échoue au test que la directive pose réellement.

Ce que nous aidons à évaluer.

Sur la gouvernance, le risque, les incidents et la chaîne d’approvisionnement.

Une évaluation de préparation lit l’ensemble des domaines qui importent à la directive, cadrée sur votre situation réelle :

Applicabilité et périmètre — si vous êtes probablement une entité essentielle ou importante, ou un fournisseur entraîné par l’une d’elles, examiné selon les critères de secteur et de taille de la directive. C’est une étape de cadrage pratique, pas un avis juridique — là où l’interprétation est réellement contestée, c’est une question pour votre conseil juridique.
Gouvernance et responsabilité de la direction — comment l’organe de direction supervise le risque cyber : les lignes de reporting, la cadence et l’enregistrement qui montre que le conseil est engagé, comme la directive l’exige désormais.
Mesures de gestion du risque — les mesures techniques et organisationnelles que nomme NIS 2, parmi lesquelles le traitement des incidents, la continuité d’activité, le chiffrement et le contrôle d’accès, évaluées au regard de votre environnement réel plutôt que d’une liste de cases.
Préparation au signalement des incidents — si vous pourriez réellement respecter les délais d’alerte précoce, de notification et de rapport final de la directive face à un scénario réaliste, de bout en bout, de la détection au rapport.
Risque de la chaîne d’approvisionnement — la sécurité des prestataires dont vous dépendez, et la supervision contractuelle et technique que vous exercez sur eux, car la directive fait de cette exposition la vôtre.
Preuves et documentation — si la preuve qu’un superviseur demanderait existe et est tenue à jour, plutôt que reconstituée à l’arrivée de la demande.
Maturité des opérations de sécurité — la capacité de détection, de supervision et de réponse sous-jacente à tout cela, car les obligations de signalement et de continuité ne tiennent que si les opérations peuvent les soutenir.

Comment nous travaillons.

Cartographier, prioriser par le risque opérationnel, préparer les responsables.

Chaque mission se déroule de la même manière, calibrée sur votre situation actuelle :

Cartographier les contrôles et processus actuels. Nous évaluons ce que vous avez réellement — gouvernance, mesures, traitement des incidents, supervision des fournisseurs et les preuves sous-jacentes — et renvoyons une image honnête au regard des attentes alignées sur NIS 2.

Identifier les écarts. Nous repérons où vous restez en deçà de ce qu’attend la directive, en reliant chaque écart à l’obligation précise qu’il concerne.

Prioriser par le risque opérationnel. Nous classons les écarts selon ce qu’ils vous coûteraient réellement sur le plan opérationnel et selon l’exposition au superviseur, pour qu’un calendrier contraint referme d’abord ce qui compte.

Construire le plan d’action et le modèle de preuve. Nous mettons en place la manière dont la preuve est produite et tenue à jour, et transformons les écarts en un plan avec un responsable désigné plutôt qu’en une liste de constats.

Préparer la direction et les responsables techniques. Nous préparons l’organe de direction aux échanges de gouvernance et les responsables techniques aux échanges opérationnels, pour que la responsabilité atterrisse là où la directive la place.

Ceci s’inscrit dans notre pratique plus large de conseil GRC, pour que là où NIS 2 recoupe vos travaux ISO 27001 ou DORA, les preuves soient réutilisées plutôt que reconstruites. Vous pouvez lire le cycle complet sur notre page méthodologie.

Voir notre méthode

Ce que vous recevez.

Des preuves utilisables à la fois par votre conseil et par un superviseur.

Chaque mission se conclut par des livrables concrets, utilisables et présentables, et non par un résumé verbal :

Vue des écarts de préparation — votre situation face aux obligations de NIS 2, avec la distance jusqu’au défendable énoncée clairement.
Cartographie de la gouvernance et des contrôles — chaque mesure rattachée à son responsable, à son processus et à la preuve qui atteste son fonctionnement.
Constats de préparation aux incidents — là où votre détection, votre prise de décision et votre canal de signalement tiendraient ou céderaient face à l’horloge de la directive.
Vue du risque de la chaîne d’approvisionnement — vos prestataires critiques et l’exposition que chacun porte, avec les démarches qui la réduisent.
Plan d’action priorisé — avec un responsable désigné et classé par risque opérationnel et exposition au superviseur, calibré sur ce que votre équipe peut réellement réaliser.
Synthèse exécutive des risques — l’image de préparation dans le langage de gouvernance qu’attendent l’organe de direction et un superviseur.

Où se situe la limite.

Préparation concrète — pas conseil juridique.

Nous livrons une préparation concrète en cybersécurité et en gouvernance — évaluer les mesures, cartographier le risque fournisseur, tester le signalement des incidents, et construire les preuves et le plan. Nous ne donnons pas de conseil juridique. Là où NIS 2 soulève une question juridique — comment une obligation doit être interprétée pour votre situation exacte, ce qu’un contrat fournisseur doit stipuler, ce qui constitue un incident important dans un cas contesté — c’est le travail de votre conseil juridique, et nous l’appuyons plutôt que de prétendre le remplacer.

La vérification d’applicabilité que nous menons est une étape de cadrage pratique destinée à vous indiquer quelles obligations anticiper ; ce n’est pas une détermination juridique, et nous le dirons clairement. Là où une interprétation juridique est requise, nous travaillons aux côtés de vos juristes — ils détiennent la position juridique, et nous rendons opérationnelles la sécurité et la gouvernance qui la sous-tendent.

Quand les équipes nous appellent.

Les moments les plus fréquents où les entités essentielles et importantes nous sollicitent pour NIS 2 :

Une échéance de transposition dans votre juridiction, avec un programme pas encore défendable.
Un premier programme NIS 2 à mettre en place, avec une responsabilité qui pèse désormais sur le conseil.
Un client concerné qui exige la preuve de votre sécurité en tant que fournisseur.
Une enquête ou une inspection de supervision annoncée ou en cours.
Un incident qui a révélé des lacunes dans le chemin de la détection au signalement.
Un conseil qui demande, sans détour, si l’organisation pourrait respecter aujourd’hui les obligations de la directive.

Questions fréquentes

Sommes-nous seulement concernés ?: La première étape est une vérification pratique de périmètre et d’applicabilité au regard des critères de secteur et de taille de la directive — nous vous indiquons si vous êtes probablement une entité essentielle ou importante, ou un fournisseur visé par l’une d’elles. C’est une étape de planification, pas un avis juridique ; là où l’interprétation est réellement contestée, c’est une question pour votre conseil juridique.
Qu’exige réellement NIS 2 de notre part ?: Des mesures de gestion du risque, le signalement des incidents selon une horloge définie, la supervision de la chaîne d’approvisionnement, et une responsabilité de gouvernance qui incombe à l’organe de direction. L’évaluation des écarts relie chacun de ces points à votre état actuel.
Cela couvre-t-il nos fournisseurs ?: Oui — la directive vous rend responsable de la sécurité de la chaîne d’approvisionnement ; nous cartographions donc vos prestataires critiques et le risque que chacun introduit dans votre environnement, avec les démarches contractuelles et techniques qui le réduisent.
S’agit-il de conseil juridique ?: Non. Nous fournissons une préparation concrète en cybersécurité et en gouvernance, et nous ne donnons pas d’avis juridiques sur la manière d’interpréter la directive. Lorsque vous en avez besoin, nous travaillons aux côtés de votre conseil juridique.
Pouvez-vous aussi tester que nos contrôles fonctionnent réellement ?: Oui. La préparation vous dit où sont les écarts ; un test d’intrusion ou un exercice sur table de réponse à incident vous donne la preuve que les contrôles tiennent. Beaucoup d’entités associent les deux pour que le programme soit démontrable, et pas seulement documenté.
Comment la mission est-elle cadrée et tarifée ?: Au forfait, par fourchette selon votre taille et le périmètre de l’évaluation, avec la fourchette communiquée lors du cadrage avant tout engagement. Nous ne proposons pas de taux journaliers.

Services associés

La plupart des missions se combinent avec l'un des parcours ci-dessous — chacun mené par des seniors, à périmètre fixe et fondé sur les preuves, selon le même modèle de reporting.

Vous ne savez pas si NIS 2 s’applique à vous ou ce qu’il manque encore ? Un échange de cadrage vous apporte une réponse claire.

Demander un échange de cadrage