SaaSFort
nis2 article-21 preuves-audit securite-saas controles-techniques conformite

Ce que les auditeurs demandent vraiment sous NIS2 Article 21

L'article 21 de NIS2 liste dix mesures de gestion des risques. Les auditeurs ne veulent pas la politique. Ils veulent les preuves. Voici ce que montrer pour TLS, les correctifs, le contrôle d'accès et la journalisation des incidents.

ST
SaaSFort Team
· 6 min de lecture

L’article 21(2) de NIS2 liste dix mesures de gestion des risques. La plupart des équipes lisent la liste, rédigent une politique pour chaque point, et la classent. Puis un auditeur ou le responsable de la revue de sécurité d’un client enterprise pose une seule question : “Montrez-moi.” Une politique qui dit que vous utilisez un chiffrement fort n’est pas une preuve. Un scan qui montre TLS 1.3 sur chaque endpoint, si.

C’est là que les contrats se perdent. La mesure est écrite. La preuve est absente.

Ci-dessous, quatre des mesures de l’Article 21 qui correspondent directement à votre posture externe, ce que l’auditeur demande concrètement pour chacune, et l’artifact précis qui répond.

Le schéma : politique contre preuve

L’Article 21 est basé sur des principes. Il dit que vous devez prendre des “mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées.” Il ne liste pas un seul produit ni un seul paramètre. Ce flou est délibéré, et c’est aussi pourquoi les audits s’éternisent.

Un examinateur ne peut pas noter un principe. Il convertit donc chaque mesure en un contrôle qu’il peut passer ou échouer. Son modèle mental est simple :

  1. La mesure existe-t-elle sur le papier ?
  2. Est-elle réellement active sur vos systèmes en ce moment ?
  3. Pouvez-vous me le montrer sans deux semaines de préparation ?

La question 1, c’est votre document de politique. Les questions 2 et 3, ce sont les preuves techniques. Le reste de cet article porte sur les questions 2 et 3.

TLS et chiffrement en transit (Art. 21(2)(h))

L’Article 21(2)(h) couvre “l’utilisation de la cryptographie et, le cas échéant, du chiffrement.” Pour un SaaS, la première chose qu’un examinateur vérifie, c’est ce qu’un tiers voit sur vos endpoints publics.

Ce qu’il demande :

  • Quelles versions TLS votre domaine accepte-t-il ? TLS 1.0 et 1.1 sont un échec en 2026.
  • Les suites de chiffrement faibles sont-elles désactivées ?
  • HSTS est-il configuré, et la chaîne de certificats est-elle complète et valide ?

Ce qui le prouve : un scan en direct de votre domaine montrant TLS 1.2 et 1.3 uniquement, sans chiffrement déprécié, HSTS présent, et une chaîne de certificats valide. Une capture d’écran de votre fichier de configuration est plus faible, parce qu’elle montre l’intention, pas l’état opérationnel. L’examinateur fait confiance à ce qui est observable de l’extérieur.

Cadence des correctifs et gestion des vulnérabilités (Art. 21(2)(e))

L’Article 21(2)(e) couvre “la sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités.” Traduction : vous appliquez les correctifs, et vous pouvez prouver que la fenêtre est courte.

Ce qu’il demande :

  • Quelle est votre vitesse de correction d’une CVE critique ? Une réponse défendable : 14 jours ou moins pour les critiques, 30 pour les élevées.
  • Utilisez-vous des librairies JavaScript obsolètes avec des CVE connus sur votre application publique ?
  • Une version de logiciel serveur est-elle exposée dans les headers et est-elle à jour ?

Ce qui le prouve : un scan externe qui signale les librairies JS obsolètes, les versions logicielles exposées, et les composants vulnérables connus, accompagné d’une courte note sur votre SLA de correctifs. L’auditeur veut voir que le scan est récent. Un rapport d’il y a six mois ne lui dit rien sur aujourd’hui. Un scan daté de cette semaine lui indique que le contrôle est actif.

Contrôle d’accès et exposition (Art. 21(2)(i) et (j))

L’Article 21(2)(i) couvre la sécurité des ressources humaines et les politiques de contrôle d’accès. L’Article 21(2)(j) ajoute l’authentification multifacteur et les communications sécurisées. Pour la posture externe, l’examinateur vérifie ce que vous avez laissé ouvert sur internet.

Ce qu’il demande :

  • Des panneaux d’administration, des environnements de staging, ou des dashboards sont-ils accessibles depuis l’internet public ?
  • Y a-t-il des source maps exposés ou des endpoints de debug qui révèlent la structure interne ?
  • Le MFA est-il imposé sur les systèmes que vous contrôlez ?

Ce qui le prouve : un scan qui cartographie votre surface d’attaque externe et signale les panneaux d’administration exposés, les répertoires ouverts et les fuites de source maps. La politique de contrôle d’accès réside dans votre IdP, mais le premier réflexe de l’auditeur est de chercher ce qui ne devrait pas être accessible et l’est quand même. Un seul login d’administration exposé fait plus de dégâts à votre audit qu’une ligne de politique manquante.

Journalisation des incidents et détection (Art. 21(2)(b) et (g))

L’Article 21(2)(b) couvre la gestion des incidents. L’Article 21(2)(g) couvre l’hygiène cyber de base et la surveillance de la sécurité. L’examinateur veut savoir que vous détecteriez un incident, et que vous journalisez suffisamment pour en notifier un dans la fenêtre de 24 heures imposée par NIS2.

Ce qu’il demande :

  • Avez-vous des security headers qui réduisent la surface d’attaque et facilitent la détection ?
  • Journalisez-vous les accès et les modifications de façon à pouvoir les remettre à un régulateur ?
  • Y a-t-il un chemin documenté de la détection à la notification en 24 heures ?

Ce qui le prouve : des security headers présents et corrects sur chaque réponse, plus un runbook de journalisation et de notification. Le scan couvre la moitié hygiène externe. Le runbook couvre la moitié processus.

Comment les auditeurs vous notent en pratique

Pour toutes ces mesures, l’examinateur fait la même chose : convertir un principe écrit en un contrôle observable, puis vous demander de montrer l’état opérationnel. Les équipes qui réussissent ne sont pas celles qui ont le classeur de politiques le plus épais. Ce sont celles qui peuvent produire un rapport actuel et mappé pendant la réunion.

C’est aussi pourquoi un formulaire d’auto-attestation ferme rarement la question. L’auditeur en a lu. Ce qui fait avancer l’appel, c’est un artifact lisible par un tiers, lié à votre domaine en direct. Pour le playbook complet de l’appel en direct, lisez comment prouver votre posture de sécurité lors d’un appel d’audit NIS2 avec un fournisseur.

Le raccourci : un PDF de preuves mappé

Voici ce que fait SaaSFort. Nous scannons votre domaine sur 60 contrôles externes. Nous mappons ensuite chaque constat à la mesure de l’Article 21 à laquelle il répond : TLS vers 21(2)(h), bibliothèques obsolètes vers 21(2)(e), panneaux exposés vers 21(2)(i), security headers vers 21(2)(g). Le résultat est un PDF noté de A à F que vous remettez à l’auditeur ou joignez à la revue de sécurité.

Cela coûte 39 EUR pour le pack d’audit ponctuel. Sans abonnement, sans carte sur le premier scan. Vous voyez l’exemple avant de décider : rapport d’audit NIS2 exemple SaaSFort.

L’objectif n’est pas que le PDF remplace vos politiques. Il ne le fait pas. L’objectif est qu’il réponde aux questions 2 et 3 de l’introduction en 60 secondes, de façon que l’appel d’audit cesse d’être une course contre la montre et devienne un partage d’écran.

Obtenir votre pack de preuves Article 21 pour 39 EUR

FAQ

Un scan SaaSFort me rend-il conforme à NIS2 ? Non. La conformité NIS2 est plus large que la posture externe. Le scan produit des preuves pour les mesures techniques qu’un auditeur peut observer de l’extérieur : chiffrement, exposition aux vulnérabilités, exposition des accès, et en-têtes d’hygiène. Il ne couvre pas la gouvernance interne, la formation, ni les contrats avec les prestataires.

Quelles mesures de l’Article 21 le rapport couvre-t-il ? Les contrôles externes sont mappés à 21(2)(b) hygiène de gestion des incidents, 21(2)(e) gestion des vulnérabilités, 21(2)(g) hygiène cyber et surveillance, 21(2)(h) cryptographie, et 21(2)(i) et (j) contrôle d’accès et exposition MFA. Le PDF indique pour chaque constat la mesure correspondante.

Quelle doit être la fraîcheur des preuves ? Traitez les preuves externes comme un produit périssable. Un examinateur fait davantage confiance à un scan de cette semaine qu’à celui du trimestre dernier, parce que la posture évolue au fil des déploiements. Re-scannez avant tout appel d’audit.

39 EUR, c’est un abonnement ? Non. Le pack d’audit est un rapport ponctuel. Lancez d’abord le scan gratuit, voyez votre note, puis achetez le PDF mappé uniquement si vous avez besoin du document.

Partager cet article
LinkedIn Post

Passez de la lecture à l'action

Scannez votre domaine gratuitement. Premiers résultats en moins de 10 secondes — sans inscription.

Scanner gratuitement

Continuer la lecture

nis2article-21

How a B2B SaaS Passed Its First Enterprise Security Audit in a Day

A six-person SaaS got a NIS2 security questionnaire from its biggest prospect. No security team, no budget. Here is how they answered it in one day for 39 EUR.

Lire l'article
nis2article-21

What Auditors Actually Ask For Under NIS2 Article 21

NIS2 Article 21 lists ten risk-management measures. Auditors don't want the policy. They want the evidence. Here is what to show for TLS, patching, access control, and incident logging.

Lire l'article
nis2article-21

Comment remplir l'auto-audit NIS2 Article 21 (modèle Excel gratuit)

Guide champ par champ pour un auto-audit NIS2 Article 21 défendable. 10 mesures obligatoires, exemples remplis, plus un modèle Excel gratuit.

Lire l'article
Retour aux articles