Comment réaliser une analyse d'écart NIS2 (gap analysis)
L'analyse d'écart est la deuxieme étape de votre mise en conformité NIS2. Elle compare votre posture cyber actuelle aux exigences du ReCyF et de l'article 21. Voici la méthodologie.
Objectif de la gap analysis
Identifier les écarts entre votre niveau de sécurité actuel et les exigences NIS2, les prioriser par le risque, et alimenter votre plan de remediation. Le résultat est un rapport d'écart avec pour chaque mesure : niveau actuel, niveau cible, écart, priorite, plan d'action.
Méthodologie en 5 étapes
1. Définir le périmètre
Quels systèmes, quels processus, quelles entités juridiques. Utilisez votre cartographie des actifs critiques. Si vous avez plusieurs filiales, définissez le périmètre entité par entité.
2. Construire la grille d'évaluation
Utilisez le ReCyF comme grille de référence. Pour chaque mesure des 4 piliers, evaluez votre niveau de maturite sur une echelle :
- 0 - Inexistant : aucune mesure en place
- 1 - Initial : mesure ad hoc, non formalisee
- 2 - Défini : procédure documentee mais application partielle
- 3 - Gere : mesure déployée, mesuree, revue régulièrement
- 4 - Optimise : amelioration continue, benchmarking
NIS2 exige un niveau minimum de 2-3 selon la criticite.
3. Collecter les preuves
Pour chaque mesure, documentez les preuves : politique existante, configuration technique, logs, comptes-rendus de revue, rapports d'audit.
4. Identifier les écarts et prioriser
Classez les écarts par impact : les mesures a écart critique (score 0-1 sur une mesure essentielle) passent en priorite 1.
5. Construire le plan de remediation
Pour chaque écart : action corrective, responsable, budget, délai. Alimentez votre plan de conformité en 5 étapes.
Consultez les obligations de l'article 21 et le guide complet pour le detail des exigences.
Sources
- ANSSI, ReCyF, mars 2026
- ISO 27001:2022, clause 6.1.2 (appreciation des risques)