En bref : L’article 21 de la directive NIS2 impose aux entités essentielles et importantes des mesures de gestion des risques incluant explicitement le durcissement des systèmes d’information. Avec la transposition française attendue pour juillet 2026, les PME et ETI concernées doivent dès maintenant traduire ces obligations en actions concrètes sur leurs endpoints Windows — sous peine de sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Qu’est-ce que l’article 21 de NIS2 impose réellement en matière de sécurité des endpoints ?

L’article 21 de la directive NIS2 (UE 2022/2555) est le cœur opérationnel de la réglementation : il définit les mesures de gestion des risques de cybersécurité que toutes les entités concernées doivent mettre en œuvre. Contrairement à NIS1 qui restait très général, NIS2 liste dix catégories de mesures obligatoires, parmi lesquelles figurent explicitement :

  • Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information (art. 21.2.a)
  • La sécurité dans l’acquisition, le développement et la maintenance des réseaux et systèmes (art. 21.2.e)
  • Les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité (art. 21.2.g)
  • La gestion des vulnérabilités et la divulgation coordonnée (art. 21.2.h via les actes d’exécution)

En pratique, pour un RSSI de PME ou d’ETI, ces obligations se traduisent directement par une question concrète : l’état de configuration de sécurité de vos endpoints Windows est-il documenté, contrôlé et conforme à un référentiel reconnu ? Si la réponse n’est pas immédiatement « oui », votre organisation est exposée.

La transposition française de NIS2 est attendue pour juillet 2026. Les premières mises en demeure de l’ANSSI pourraient intervenir dès l’automne 2026. Le temps de la préparation se compte désormais en semaines, non en mois.

Quelles mesures de durcissement les référentiels associés à NIS2 recommandent-ils ?

NIS2 ne prescrit pas de référentiel technique unique — elle renvoie aux bonnes pratiques sectorielles et aux normes reconnues. En France, l’ANSSI fait autorité sur ce sujet. Pour les endpoints Windows, deux référentiels sont incontournables.

Les CIS Benchmarks for Windows : le socle technique de référence

Les CIS Benchmarks for Windows Server 2022 et Windows 11 définissent plusieurs centaines de contrôles de configuration organisés en deux niveaux :

  • Niveau 1 : mesures fondamentales applicables à l’ensemble du parc sans impact significatif sur la productivité. Elles couvrent les politiques de mots de passe, la désactivation des services inutiles, la configuration du pare-feu local, et le contrôle de l’exécution de code.
  • Niveau 2 : mesures renforcées pour les environnements traitant des données sensibles ou soumis à des exigences réglementaires élevées (santé, finance, OIV/OSE). Elles incluent la restriction granulaire des droits d’accès, le chiffrement de disque obligatoire, et la politique d’audit avancée.

Dans le cadre de NIS2, le niveau 1 constitue le plancher attendu pour toute entité importante. Les entités essentielles devront démontrer une posture de niveau 2 sur leurs systèmes critiques.

Les guides de l’ANSSI : l’interprétation française des obligations NIS2

L’ANSSI publie des guides de configuration sécurisée spécifiques aux environnements Windows, alignés avec les exigences de NIS2. Ces guides couvrent notamment la gestion des comptes à privilèges (LAPS), la configuration du pare-feu Windows, la politique AppLocker ou WDAC (Windows Defender Application Control), et la configuration des journaux d’audit Windows — obligation directe de NIS2 en matière de détection et notification des incidents.

Selon l’ANSSI, l’application de ces mesures réduit d’environ 85 % la surface d’attaque exploitable par les techniques référencées dans le framework MITRE ATT&CK.

Les 5 obligations NIS2 article 21 qui s’appliquent directement à vos endpoints

1. Inventaire et classification des actifs (art. 21.2.a)

Vous devez être en mesure de lister l’ensemble de vos endpoints, leur version de système d’exploitation, leur niveau de mise à jour, et leur appartenance à un segment réseau. Sans inventaire précis, aucune analyse de risque crédible n’est possible.

2. Gestion des vulnérabilités et patch management (art. 21.2.h)

NIS2 impose un processus formalisé d’identification et de traitement des vulnérabilités avec des délais de remédiation définis selon la criticité (correctifs critiques sous 72 h, importants sous 30 jours).

3. Contrôle d’accès et principe du moindre privilège (art. 21.2.e)

Supprimer les droits administrateurs locaux permanents, déployer LAPS, et documenter les comptes à privilèges ne sont plus des bonnes pratiques optionnelles : ce sont des exigences documentées par l’ANSSI dans le contexte NIS2.

4. Sécurisation de la chaîne d’approvisionnement logicielle (art. 21.2.d)

NIS2 impose de contrôler la sécurité des logiciels déployés sur vos systèmes. Sur les endpoints Windows, cela passe par des politiques de liste blanche applicative (AppLocker, WDAC) qui n’autorisent que les binaires signés et approuvés.

5. Journalisation et détection des incidents (art. 21.2.b)

NIS2 impose une alerte précoce à l’ANSSI dans les 24 heures suivant la détection d’un incident significatif. Ces délais ne sont tenables que si les journaux d’audit Windows sont correctement configurés et centralisés.

Comment industrialiser la conformité NIS2 sur votre parc Windows sans bloquer les opérations ?

La principale difficulté tient à la tension entre la rigueur de la mise en conformité et la continuité opérationnelle. Trois approches permettent de la lever : simuler avant de déployer (tester l’impact de chaque contrôle sur les applications métier avant mise en production), prioriser par risque (traiter les 20 % de contrôles qui éliminent 80 % du risque en priorité selon MITRE ATT&CK), et contrôler la conformité en continu (un endpoint durci peut dériver dans le temps — sans contrôle automatisé, votre score de conformité NIS2 est une photographie périmée).

Cyberlib répond précisément à ces trois enjeux avec une plateforme SaaS agentless : déploiement sans modification des endpoints, simulation d’impact avant application des baselines, et scoring de conformité continu aligné sur CIS, ANSSI et MITRE ATT&CK.

→ Évaluer la conformité NIS2 de votre parc Windows avec Cyberlib

FAQ

Mon entreprise est-elle concernée par NIS2 article 21 ?

NIS2 s’applique aux entités essentielles (grandes entreprises dans les secteurs critiques) et aux entités importantes (plus de 50 salariés ou 10 M€ de CA dans 18 secteurs élargis). En France, la transposition est attendue pour juillet 2026. L’ANSSI met à disposition un outil d’auto-évaluation sur son site.

Quels référentiels de durcissement sont reconnus par l’ANSSI dans le cadre de NIS2 ?

L’ANSSI reconnaît principalement les CIS Benchmarks for Windows (niveaux 1 et 2), ses propres guides de configuration sécurisée, et le framework MITRE ATT&CK pour la priorisation des mesures. Les contrôles ISO 27001 (Annexe A) sont également acceptés comme cadre de gouvernance complémentaire.

Quels sont les délais de notification d’incident imposés par NIS2 ?

NIS2 impose une alerte précoce dans les 24 heures suivant la détection d’un incident significatif, une notification complète dans les 72 heures avec évaluation initiale, et un rapport final dans le mois suivant la résolution.

Quelles sanctions en cas de non-conformité à NIS2 article 21 ?

Jusqu’à 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles ; 7 millions d’euros ou 1,4 % du CA mondial pour les entités importantes.

Le durcissement des endpoints suffit-il pour être conforme à NIS2 ?

Non. NIS2 article 21 comporte dix catégories de mesures. Le durcissement des endpoints est cependant le levier le plus opérationnel et le plus immédiatement vérifiable par l’ANSSI lors d’un contrôle.

Comment démontrer sa conformité NIS2 à l’ANSSI ?

La démonstration repose sur trois éléments : documentation des mesures mises en œuvre, preuves de contrôle effectif (rapports d’audit, logs), et processus de revue périodique documenté.

Sources