Hokhori Consulting
Retour au blog
NIS2 cybersécurité conformité mesures techniques Belgique

NIS2 : les 10 mesures techniques minimales avant fin 2026

La directive NIS2 exige des mesures techniques concrètes avant la fin 2026. Découvrez les 10 actions prioritaires pour mettre votre organisation en conformité rapidement et efficacement.

Par Hokho

L'heure des décisions techniques

Depuis que la directive NIS2 est transposée en droit belge (loi du 26 avril 2024), les discussions stratégiques ont largement occupé les conseils d'administration. Gouvernance, responsabilité des dirigeants, enregistrement auprès du Centre pour la Cybersécurité Belgique (CCB) : ces sujets ont légitimement mobilisé les équipes dirigeantes.

Mais 2026, c'est aussi l'année où les équipes techniques doivent livrer. Les contrôles du CCB portent désormais sur des réalités concrètes : vos systèmes sont-ils patchés ? Vos sauvegardes sont-elles chiffrées ? Vos administrateurs utilisent-ils le MFA ?

Voici les 10 mesures techniques que vous devez avoir mises en place avant la fin de l'année. Pour chacune, nous précisons ce que NIS2 exige, pourquoi cela compte, et comment l'implémenter sans délai.

1. Authentification multi-facteurs (MFA) pour tous les accès distants

Ce que NIS2 exige : L'article 21 de la directive impose des politiques de contrôle d'accès incluant l'authentification à plusieurs facteurs pour les accès aux systèmes d'information, en particulier pour les accès distants.

Pourquoi cela compte : 80 % des compromissions impliquent des identifiants volés ou faibles. Le MFA bloque la majorité des attaques par credential stuffing et par phishing.

Comment l'implémenter rapidement :

  • Activez le MFA sur votre Microsoft 365, Google Workspace ou suite collaborative via les paramètres de sécurité natifs (gratuit dans les licences standard)
  • Déployez une solution TOTP (Google Authenticator, Authy) ou une clé physique FIDO2 pour les accès VPN et les connexions SSH
  • Priorité absolue : comptes d'administration, accès aux données RH et financières, accès aux sauvegardes

Délai réaliste : 1 à 2 semaines pour les outils SaaS, 2 à 4 semaines pour les accès VPN.

2. MFA renforcé pour les comptes d'administration

Ce que NIS2 exige : Les comptes à privilèges élevés (administrateurs système, administrateurs réseau, accès root) doivent faire l'objet de mesures d'authentification plus strictes encore.

Pourquoi cela compte : Un compte administrateur compromis peut effacer l'ensemble de votre infrastructure en quelques minutes. C'est la cible privilégiée des ransomwares.

Comment l'implémenter rapidement :

  • Appliquez le principe du moindre privilège : chaque administrateur dispose d'un compte standard pour le travail quotidien et d'un compte admin distinct pour les tâches d'administration
  • Exigez des clés physiques FIDO2 (YubiKey, clé FIDO2 de la marque de votre choix) pour tous les comptes admin — ne vous contentez pas d'une application TOTP
  • Activez la journalisation complète de toutes les actions réalisées avec les comptes d'administration
  • Révisez trimestriellement la liste des comptes admin actifs

Délai réaliste : 2 à 3 semaines.

3. Gestion des correctifs et des mises à jour

Ce que NIS2 exige : La directive impose une gestion rigoureuse des vulnérabilités, incluant l'application de correctifs dans des délais maîtrisés.

Pourquoi cela compte : La majorité des cyberattaques exploitent des vulnérabilités connues pour lesquelles un correctif existe. Ne pas patcher, c'est laisser une porte ouverte dont les attaquants connaissent l'emplacement exact.

Comment l'implémenter rapidement :

  • Établissez une politique de patch management documentée avec des délais clairs : critique (CVSS ≥ 9) → 24 à 48 heures, haute (CVSS 7-9) → 7 jours, moyenne → 30 jours
  • Déployez un outil de gestion des correctifs (Windows Server Update Services, Ansible, Intune, ManageEngine) si vous n'en avez pas encore
  • Incluez les équipements réseaux (routeurs, switches, firewalls) dans votre périmètre de patch — ils sont souvent oubliés
  • Documentez chaque cycle de patch et conservez les journaux pendant au moins un an

Délai réaliste : La politique : 1 semaine. L'outillage : 2 à 6 semaines selon la complexité de votre infrastructure.

4. Segmentation du réseau

Ce que NIS2 exige : La sécurité des réseaux et des systèmes d'information, incluant des mesures pour limiter la propagation d'une attaque.

Pourquoi cela compte : Sans segmentation, un poste compromis peut librement communiquer avec l'ensemble de votre réseau. Les ransomwares exploitent cette absence de barrières pour se propager en quelques minutes à tous vos systèmes.

Comment l'implémenter rapidement :

  • Séparez a minima en trois zones : réseau utilisateurs, réseau serveurs/production, réseau invités/IoT
  • Configurez des règles de pare-feu strictes entre ces zones (blocage par défaut, autorisation explicite)
  • Isolez vos systèmes de sauvegarde sur un segment réseau distinct, inaccessible depuis le réseau utilisateurs
  • Pour les environnements plus complexes : envisagez une approche micro-segmentation ou Zero Trust Network Access (ZTNA)

Délai réaliste : Segmentation de base avec du matériel existant : 2 à 4 semaines.

5. Sauvegardes chiffrées et testées

Ce que NIS2 exige : Continuité des activités, gestion des sauvegardes, et reprise après incident.

Pourquoi cela compte : Une sauvegarde non testée est une sauvegarde inexistante. En 2025, plusieurs entreprises belges ont découvert que leurs sauvegardes étaient corrompues ou insuffisantes au moment précis où elles en avaient besoin.

Comment l'implémenter rapidement :

  • Appliquez la règle 3-2-1-1 : 3 copies, sur 2 supports différents, dont 1 hors site, dont 1 hors ligne (air-gapped)
  • Chiffrez toutes vos sauvegardes avec un algorithme moderne (AES-256) — si votre solution de sauvegarde ne le propose pas nativement, changez de solution
  • Testez la restauration d'au moins un jeu de données critique chaque mois — documentez le résultat
  • Stockez les clés de chiffrement séparément des sauvegardes elles-mêmes

Délai réaliste : 2 à 4 semaines pour reconfigurer une solution existante, 4 à 8 semaines pour déployer une nouvelle solution.

6. Scan de vulnérabilités régulier

Ce que NIS2 exige : Gestion des vulnérabilités et traitement des risques techniques.

Pourquoi cela compte : Vous ne pouvez pas corriger ce que vous ne voyez pas. Un scan régulier vous donne une vision en temps réel de votre surface d'attaque.

Comment l'implémenter rapidement :

  • Déployez un scanner de vulnérabilités open source (OpenVAS/Greenbone) ou commercial (Tenable Nessus Essentials gratuit pour les petites structures, Qualys pour les plus grandes)
  • Planifiez un scan automatique hebdomadaire sur tous vos systèmes accessibles depuis Internet, et mensuel sur l'ensemble du réseau interne
  • Créez un processus de traitement des vulnérabilités identifiées : chaque vulnérabilité critique doit être assignée à un responsable avec une date de résolution
  • Conservez l'historique des scans pour démontrer votre diligence aux auditeurs

Délai réaliste : 1 à 2 semaines.

7. Journalisation des événements de sécurité

Ce que NIS2 exige : Capacité de détection des incidents et de réponse, incluant des mécanismes de journalisation.

Pourquoi cela compte : Sans journaux, vous ne pouvez pas détecter une intrusion en cours, ni reconstituer ce qui s'est passé après un incident. La CCB peut demander ces journaux lors d'un contrôle.

Comment l'implémenter rapidement :

  • Centralisez vos journaux dans une solution SIEM (Security Information and Event Management) — Elastic SIEM (gratuit en open source), Wazuh (gratuit), ou une solution managée comme Microsoft Sentinel
  • Journalisez a minima : connexions réussies et échouées, modifications de comptes d'administration, accès aux données sensibles, modifications de configuration réseau
  • Configurez une rétention minimale de 12 mois pour les journaux de sécurité (recommandation CCB)
  • Mettez en place des alertes automatiques sur les événements critiques (tentatives de connexion répétées, modifications de comptes privilégiés)

Délai réaliste : 2 à 4 semaines pour un déploiement basique, plus pour la tuning des alertes.

8. Contrats de sécurité avec les fournisseurs IT

Ce que NIS2 exige : Sécurité de la chaîne d'approvisionnement — les entités couvertes doivent contractualiser des exigences de sécurité avec leurs fournisseurs et prestataires IT.

Pourquoi cela compte : Une part significative des cyberattaques passe aujourd'hui par des fournisseurs tiers (l'attaque SolarWinds en est l'exemple le plus marquant). Votre niveau de sécurité est celui de votre maillon le plus faible.

Comment l'implémenter rapidement :

  • Inventoriez tous vos fournisseurs et prestataires IT qui ont accès à vos systèmes ou données
  • Ajoutez des clauses de sécurité dans vos contrats ou avenants : obligation de notifier les incidents dans les 24 heures, droit d'audit, exigences de certification (ISO 27001 ou équivalent), conditions de sous-traitance
  • Envoyez un questionnaire de sécurité annuel à vos fournisseurs critiques
  • Pour les fournisseurs existants sans clause de sécurité : priorisez les plus critiques et négociez un avenant

Délai réaliste : 4 à 8 semaines pour les nouveaux contrats, plus long pour les avenants sur contrats existants.

9. Formation à la cybersécurité pour tous les collaborateurs

Ce que NIS2 exige : Les entités couvertes doivent mettre en place des formations de sensibilisation à la cybersécurité pour l'ensemble du personnel.

Pourquoi cela compte : 95 % des incidents de cybersécurité impliquent une erreur humaine. Un collaborateur formé qui reconnaît un email de phishing est votre meilleure défense contre les attaques les plus sophistiquées.

Comment l'implémenter rapidement :

  • Déployez une plateforme de sensibilisation en ligne (KnowBe4, Proofpoint Security Awareness, ou des solutions open source comme Gophish pour simuler des campagnes de phishing)
  • Programme minimum : module de formation à l'embauche, rappel annuel, simulation de phishing trimestrielle
  • Contenu prioritaire : reconnaissance du phishing, gestion des mots de passe, signalement des incidents, utilisation sûre des appareils mobiles
  • Documentez les participations — c'est ce que les auditeurs vérifieront

Délai réaliste : 2 à 4 semaines pour lancer un premier programme.

10. Plan de réponse aux incidents documenté et testé

Ce que NIS2 exige : Un processus formalisé de gestion des incidents de sécurité, avec des procédures de notification aux autorités (CCB) dans les délais imposés : alerte précoce 24 heures, notification complète 72 heures, rapport final 1 mois.

Pourquoi cela compte : En situation de crise, personne ne cherche dans sa mémoire ce qu'il faut faire. Un plan documenté réduit le temps de réponse et évite les erreurs coûteuses. Il est aussi indispensable pour respecter les délais stricts de notification imposés par NIS2.

Comment l'implémenter rapidement :

  • Rédigez un plan de réponse aux incidents couvrant les 5 phases : préparation, détection, confinement, éradication, reprise
  • Désignez un responsable incidents (CISO, responsable IT ou prestataire externe) avec un numéro de contact disponible 24/7
  • Intégrez les coordonnées du CCB : cert.be pour les notifications d'incidents
  • Testez le plan via un exercice sur table (tabletop exercise) au moins une fois par an — simulez un scénario de ransomware ou de fuite de données
  • Conservez le plan dans un emplacement accessible hors ligne (il doit être disponible même si votre réseau est compromis)

Délai réaliste : 2 à 3 semaines pour rédiger un plan de base, plus pour le test.

Par où commencer si tout reste à faire ?

Si vous partez de zéro, ne cherchez pas à tout faire simultanément. Voici une séquence pragmatique :

Semaines 1 à 2 — Quick wins à fort impact :

  • MFA sur tous les comptes (mesures 1 et 2)
  • Lancement du scanner de vulnérabilités (mesure 6)
  • Formation phishing d'urgence (mesure 9)

Semaines 3 à 6 — Infrastructure :

  • Politique de patch management et premier cycle (mesure 3)
  • Segmentation réseau de base (mesure 4)
  • Centralisation des journaux (mesure 7)

Semaines 7 à 12 — Processus et gouvernance :

  • Audit et mise à niveau des sauvegardes (mesure 5)
  • Revue des contrats fournisseurs (mesure 8)
  • Plan de réponse aux incidents (mesure 10)

Évaluez votre niveau de conformité NIS2

Vous souhaitez savoir où votre organisation en est réellement face à ces 10 mesures ? Notre diagnostic Sovereign Score intègre une évaluation de votre posture NIS2 et vous fournit une feuille de route priorisée adaptée à votre contexte.

Évaluez votre Sovereign Score | Contactez-nous pour un audit NIS2