Audit de conformité NIS2 & plan de mise en conformité — Groupe VESTA
Audit de conformité à la directive NIS2 d'une filiale industrielle du groupe VESTA, de l'analyse d'applicabilité à l'échelle du groupe jusqu'au plan de remédiation chiffré. Diagnostic de 10 exigences de l'article 21, niveau de conformité global faible, feuille de route de 145 à 260 K€ sur 12 à 18 mois ramenant l'entité à un niveau globalement conforme.
Contexte
Le groupe VESTA est un conglomérat diversifié réunissant plusieurs entités aux activités très différentes : production d’énergie, services financiers en cryptoactifs, agroalimentaire, services numériques et une filiale industrielle. L’entrée en application de la directive NIS2 (Network and Information Security 2) impose à un grand nombre d’organisations de relever significativement leur niveau de cybersécurité, sous peine de sanctions.
La mission : conduire un audit de conformité NIS2 sur la filiale industrielle VESTA Corporate (climatiseurs — 60 M€ de CA, 260 personnes), puis livrer un plan de mise en conformité chiffré et priorisé. Le travail s’inscrit dans une posture de consultant GRC : mesurer l’écart à l’exigence, le hiérarchiser par le risque, et le traduire en feuille de route actionnable pour la direction.
Réalisé en posture de consultant. J’ai mené l’ensemble de la démarche : analyse d’applicabilité à l’échelle du groupe, diagnostic de conformité exigence par exigence, puis construction du plan de remédiation chiffré et de sa trajectoire.
Analyse d’applicabilité à l’échelle du groupe
Première étape, souvent sous-estimée : NIS2 ne s’applique pas uniformément. Chaque entité doit être qualifiée selon son secteur (annexes I et II de la directive) et sa taille, pour déterminer si elle relève des entités essentielles (EE), des entités importantes (EI), ou si elle est hors champ. Cette qualification commande le niveau d’obligations et de contrôle.

La cartographie fait apparaître des situations contrastées au sein d’un même groupe :
| Entité | Activité | Annexe | Qualification |
|---|---|---|---|
| VESTA Holding | Société faîtière (holding) | — | Non applicable |
| VESTA Power | Production d’énergie | Annexe I | Entité essentielle |
| VESTA Invest | Plateforme SaaS cryptoactifs | Annexe II | Entité importante |
| VESTA Foods | Agroalimentaire | Annexe II | Entité importante |
| VESTA Digital | Services numériques (sous les seuils) | Annexe I/II | Désignation possible |
| Cible M&A | Climatisation (industrie manufacturière) | Annexe II | Entité importante |
Cette analyse a un double intérêt : elle délimite le périmètre réglementaire et elle éclaire la direction sur les obligations attachées à chaque filiale — y compris la cible d’une opération de croissance externe (M&A), dont la non-conformité constituerait un risque à intégrer dès la due diligence.
Diagnostic de conformité (article 21)
Le cœur de l’audit confronte les pratiques réelles de l’entité aux mesures de gestion des risques de l’article 21 de NIS2. Chaque exigence est notée conforme / partiellement conforme / non conforme, en s’appuyant sur les bonnes pratiques ANSSI et la logique ISO/IEC 27001.
| Exigence (Art. 21) | Domaine | Niveau initial |
|---|---|---|
| 21.1.a | Politique de gestion des risques | Non conforme |
| 21.1 | Gouvernance & responsabilités SSI | Partiel |
| 21.1.b / 23 | Gestion & notification des incidents | Non conforme |
| 21.1.c | Continuité d’activité & sauvegardes | Conforme |
| 21.1.d | Sécurité de la chaîne d’approvisionnement | Non conforme |
| 21.1.f | Gestion des accès | Non conforme |
| 21.2 | Authentification multifacteur | Partiel |
| 21.1.e | Sécurité des réseaux & SI | Partiel |
| 21.1.g | Journalisation & détection | Partiel |
| 21.2 | Sensibilisation & hygiène | Partiel |
Le verdict est sans appel : 1 exigence conforme, 5 partiellement conformes, 4 non conformes — soit un niveau de conformité global faible. Les manques les plus structurants concernent l’absence de politique formelle de gestion des risques, un processus de gestion d’incidents inexistant (incompatible avec les délais de notification NIS2), une gestion des accès défaillante et une chaîne d’approvisionnement non maîtrisée. À l’inverse, la continuité d’activité et les sauvegardes constituent un point d’appui déjà solide.
Plan de mise en conformité
Chaque écart est transformé en chantier de remédiation, priorisé par le risque et le caractère bloquant au regard de NIS2, puis chiffré et inscrit dans une trajectoire. La logique : traiter d’abord ce qui est non conforme et critique (gouvernance, incidents, accès), puis consolider les domaines partiels.
| Axe de remédiation | Coût estimé | Priorité |
|---|---|---|
| Gouvernance & politique de sécurité | 30 – 50 K€ | Haute |
| Analyse de risques & gestion des accès (IAM) | 20 – 40 K€ | Haute |
| Gestion des incidents & SIEM | 40 – 70 K€ | Haute |
| Contrôle des accès & cloisonnement réseau | 20 – 35 K€ | Moyenne |
| Sécurité réseau & postes de travail | 15 – 25 K€ | Moyenne |
| Supervision & sécurité de la supply chain | 10 – 20 K€ | Moyenne |
| Sensibilisation & hygiène | 5 – 10 K€ | Moyenne |
| Continuité d’activité & PRA | 5 – 10 K€ | Basse |
L’enveloppe globale est estimée entre 145 K€ et 260 K€, déployée sur 12 à 18 mois. La trajectoire est pensée pour produire des effets rapides sur les exigences bloquantes tout en lissant l’investissement dans le temps.
À l’issue du plan, l’ensemble des exigences de l’article 21 est ramené à un état conforme ou globalement conforme : l’entité passe d’un niveau global faible à un niveau de maîtrise compatible avec les attentes de la directive.
Documents du projet
Ce que ce projet m’a appris
Cet audit m’a fait travailler la cybersécurité sous l’angle réglementaire et stratégique : non plus seulement « le SI est-il sûr ? », mais « l’organisation est-elle conforme, et comment le démontrer à un régulateur ? ». J’y ai compris que l’analyse d’applicabilité est une étape à part entière — particulièrement dans un groupe aux entités hétérogènes — et que la valeur d’un audit tient à sa traduction en décisions : un écart n’a de sens pour une direction que chiffré, priorisé et inscrit dans une trajectoire. C’est ce pont entre exigence réglementaire, risque et budget qui fait, à mon sens, le métier de consultant GRC.
Projet pédagogique. Le groupe VESTA et les entités décrites sont fictifs.