Retour aux projets
GRC École Terminé

Audit de conformité NIS2 & plan de mise en conformité — Groupe VESTA

Audit de conformité à la directive NIS2 d'une filiale industrielle du groupe VESTA, de l'analyse d'applicabilité à l'échelle du groupe jusqu'au plan de remédiation chiffré. Diagnostic de 10 exigences de l'article 21, niveau de conformité global faible, feuille de route de 145 à 260 K€ sur 12 à 18 mois ramenant l'entité à un niveau globalement conforme.

Outils utilisés :
Directive NIS2Article 21 NIS2Référentiel ANSSIISO/IEC 27001Excel

Contexte

Le groupe VESTA est un conglomérat diversifié réunissant plusieurs entités aux activités très différentes : production d’énergie, services financiers en cryptoactifs, agroalimentaire, services numériques et une filiale industrielle. L’entrée en application de la directive NIS2 (Network and Information Security 2) impose à un grand nombre d’organisations de relever significativement leur niveau de cybersécurité, sous peine de sanctions.

La mission : conduire un audit de conformité NIS2 sur la filiale industrielle VESTA Corporate (climatiseurs — 60 M€ de CA, 260 personnes), puis livrer un plan de mise en conformité chiffré et priorisé. Le travail s’inscrit dans une posture de consultant GRC : mesurer l’écart à l’exigence, le hiérarchiser par le risque, et le traduire en feuille de route actionnable pour la direction.

Réalisé en posture de consultant. J’ai mené l’ensemble de la démarche : analyse d’applicabilité à l’échelle du groupe, diagnostic de conformité exigence par exigence, puis construction du plan de remédiation chiffré et de sa trajectoire.


Analyse d’applicabilité à l’échelle du groupe

Première étape, souvent sous-estimée : NIS2 ne s’applique pas uniformément. Chaque entité doit être qualifiée selon son secteur (annexes I et II de la directive) et sa taille, pour déterminer si elle relève des entités essentielles (EE), des entités importantes (EI), ou si elle est hors champ. Cette qualification commande le niveau d’obligations et de contrôle.

Matrice d'applicabilité NIS2 par entité du groupe VESTA

La cartographie fait apparaître des situations contrastées au sein d’un même groupe :

EntitéActivitéAnnexeQualification
VESTA HoldingSociété faîtière (holding)Non applicable
VESTA PowerProduction d’énergieAnnexe IEntité essentielle
VESTA InvestPlateforme SaaS cryptoactifsAnnexe IIEntité importante
VESTA FoodsAgroalimentaireAnnexe IIEntité importante
VESTA DigitalServices numériques (sous les seuils)Annexe I/IIDésignation possible
Cible M&AClimatisation (industrie manufacturière)Annexe IIEntité importante

Cette analyse a un double intérêt : elle délimite le périmètre réglementaire et elle éclaire la direction sur les obligations attachées à chaque filiale — y compris la cible d’une opération de croissance externe (M&A), dont la non-conformité constituerait un risque à intégrer dès la due diligence.


Diagnostic de conformité (article 21)

Le cœur de l’audit confronte les pratiques réelles de l’entité aux mesures de gestion des risques de l’article 21 de NIS2. Chaque exigence est notée conforme / partiellement conforme / non conforme, en s’appuyant sur les bonnes pratiques ANSSI et la logique ISO/IEC 27001.

Exigence (Art. 21)DomaineNiveau initial
21.1.aPolitique de gestion des risquesNon conforme
21.1Gouvernance & responsabilités SSIPartiel
21.1.b / 23Gestion & notification des incidentsNon conforme
21.1.cContinuité d’activité & sauvegardesConforme
21.1.dSécurité de la chaîne d’approvisionnementNon conforme
21.1.fGestion des accèsNon conforme
21.2Authentification multifacteurPartiel
21.1.eSécurité des réseaux & SIPartiel
21.1.gJournalisation & détectionPartiel
21.2Sensibilisation & hygiènePartiel

Le verdict est sans appel : 1 exigence conforme, 5 partiellement conformes, 4 non conformes — soit un niveau de conformité global faible. Les manques les plus structurants concernent l’absence de politique formelle de gestion des risques, un processus de gestion d’incidents inexistant (incompatible avec les délais de notification NIS2), une gestion des accès défaillante et une chaîne d’approvisionnement non maîtrisée. À l’inverse, la continuité d’activité et les sauvegardes constituent un point d’appui déjà solide.


Plan de mise en conformité

Chaque écart est transformé en chantier de remédiation, priorisé par le risque et le caractère bloquant au regard de NIS2, puis chiffré et inscrit dans une trajectoire. La logique : traiter d’abord ce qui est non conforme et critique (gouvernance, incidents, accès), puis consolider les domaines partiels.

Axe de remédiationCoût estiméPriorité
Gouvernance & politique de sécurité30 – 50 K€Haute
Analyse de risques & gestion des accès (IAM)20 – 40 K€Haute
Gestion des incidents & SIEM40 – 70 K€Haute
Contrôle des accès & cloisonnement réseau20 – 35 K€Moyenne
Sécurité réseau & postes de travail15 – 25 K€Moyenne
Supervision & sécurité de la supply chain10 – 20 K€Moyenne
Sensibilisation & hygiène5 – 10 K€Moyenne
Continuité d’activité & PRA5 – 10 K€Basse

L’enveloppe globale est estimée entre 145 K€ et 260 K€, déployée sur 12 à 18 mois. La trajectoire est pensée pour produire des effets rapides sur les exigences bloquantes tout en lissant l’investissement dans le temps.

À l’issue du plan, l’ensemble des exigences de l’article 21 est ramené à un état conforme ou globalement conforme : l’entité passe d’un niveau global faible à un niveau de maîtrise compatible avec les attentes de la directive.


Documents du projet

Rapport d'audit NIS2 Applicabilité, diagnostic & plan de remédiation — PDF Classeur d'audit Grille de conformité & chiffrage détaillé — Excel

Ce que ce projet m’a appris

Cet audit m’a fait travailler la cybersécurité sous l’angle réglementaire et stratégique : non plus seulement « le SI est-il sûr ? », mais « l’organisation est-elle conforme, et comment le démontrer à un régulateur ? ». J’y ai compris que l’analyse d’applicabilité est une étape à part entière — particulièrement dans un groupe aux entités hétérogènes — et que la valeur d’un audit tient à sa traduction en décisions : un écart n’a de sens pour une direction que chiffré, priorisé et inscrit dans une trajectoire. C’est ce pont entre exigence réglementaire, risque et budget qui fait, à mon sens, le métier de consultant GRC.


Projet pédagogique. Le groupe VESTA et les entités décrites sont fictifs.

Tags : #nis2#conformite#gestion-des-risques#anssi#gouvernance#iam#siem#supply-chain#grc#audit#plan-de-remediation#iso-27001