Votre formation annuelle ne suffit pas pour satisfaire NIS2 – voici ce que les auditeurs exigent vraiment !

Réussir un audit NIS2 va bien au-delà de la production de certificats de formation annuels : il faut apporter une preuve vérifiable de la résilience cyber effective de votre organisation. Pour satisfaire à l’article 21 de NIS2, les organisations doivent fournir sept dossiers de preuves spécifiques démontrant la gouvernance du management, la compétence des collaborateurs et une réduction mesurable des risques – et non pas simplement l’achèvement de cours.

Beaucoup d’organisations s’appuient encore sur un dossier de certificats de formation annuels et peinent à constituer rapidement ces paquets de preuves.

Combien? En 2024, l’enquête Eurostat sur l’utilisation des TIC et le commerce électronique dans les entreprises recensait au total 1,54 million d’entreprises européennes de plus de 10 collaborateurs. Environ 60 % de ces entreprises – soit 924 000 entités – avaient informé leurs collaborateurs de leurs obligations en matière de sécurité des TIC en 2024.

La bonne nouvelle, c’est que cet écart peut être comblé dès lors qu’il est rendu visible – nous vous proposons une approche concrète pour y parvenir.

Vous découvrirez les sept dossiers de preuves que les auditeurs demandent généralement, pourquoi les seuls certificats d’achèvement ne répondent pas à l’exigence d’efficacité de la Directive, et comment mener un test de 48 heures pour vérifier si votre programme est prêt pour un audit avant votre prochaine revue.

Pourquoi c’est urgent : NIS2 est un enjeu de 2026, pas un « un jour »

NIS2 est la directive européenne révisée en matière de cybersécurité, conçue pour élever le niveau de base de la résilience cyber dans 18 secteurs et organisations critiques – des infrastructures critiques et de la santé aux prestataires numériques, à l’industrie manufacturière et à de nombreux services réglementés.

Son importance tient au fait qu’elle repositionne la cybersécurité comme une question de gouvernance et de risque opérationnel, et non comme une bonne pratique informatique.

L’article 21 est particulièrement structurant : il exige des politiques et procédures permettant d’évaluer l’efficacité des mesures de gestion des risques. L’achèvement devient un point de départ ; la preuve de l’impact devient la norme.

La date limite de transposition était le 17 octobre 2024.

Environ 160 000 entités au sein de l’Union européenne entrent dans le champ d’application de la Directive NIS2 – et la Commission européenne qualifiait ce chiffre d’estimation prudente, sur la base des notifications des États membres jusqu’en septembre 2025.

La Commission européenne a rendu ce basculement visible en engageant des procédures d’infraction, avec des lettres de mise en demeure formelle adressées à 23 États membres pour transposition incomplète, puis en adressant des avis motivés à 19 États membres. Cela signale que la mécanique de la mise en application est activée au niveau européen – et la supervision nationale tend à s’accélérer dès lors que cette couverture politique existe.

Les plafonds de sanctions sont déjà définis : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles (NIS2), et au moins 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes (NIS2). Les amendes NIS2 rendues publiques restent limitées pour l’heure, principalement parce que la mise en application est nationale et que les calendriers de mise en œuvre sont inégaux selon les États membres. La direction est néanmoins claire : les autorités de contrôle peuvent poser des questions plus exigeantes et attendre de meilleures preuves, plus rapidement.

Ce changement modifie ce qui vaut comme preuve. Vous devrez démontrer l’efficacité de vos mesures de contrôle – et pas seulement leur réalisation.

This shift changes what counts as proof. You will demonstrate control effectiveness, not just completion.

Les 7 dossiers de preuves : ce que les auditeurs NIS2 exigent réellement

NIS2 exige de la formation, une évaluation de son efficacité et de la gouvernance.

En pratique, les auditeurs recourent à sept dossiers de preuves parce qu’ils permettent de vérifier rapidement si votre formation fonctionne comme un véritable dispositif de contrôle plutôt que comme un exercice de conformité formel.

Dans l’ensemble de l’Union européenne, seuls 24,51 % des entreprises ont eu recours à des formations obligatoires ou à des supports obligatoires dans le cadre de leurs activités de sensibilisation. C’est ici que vous constaterez si votre programme est prêt pour l’audit : les auditeurs vérifieront si les collaborateurs ont compris les sujets critiques et si un défaut de compréhension a déclenché une remédiation.

Recommandation : Fournissez un export daté de votre plateforme d’apprentissage indiquant qui a complété chaque module, le score obtenu par chaque personne au quiz, le seuil de réussite, et la liste des personnes auxquelles une remédiation a été automatiquement réassignée dans les 7 jours suivant un échec.

Les auditeurs recherchent des indicateurs montrant que les comportements à risque sont en baisse. En 2024, 3,43 % des entreprises européennes auraient subi une cyberattaque externe ayant provoqué une indisponibilité de service. C’est précisément pourquoi vous aurez besoin de preuves allant au-delà des certificats : signaux comportementaux, tendances, et interventions documentées réduisant les erreurs récurrentes.

Recommandation : Présentez une tendance sur trois mois des résultats de phishing simulé par département (taux de signalement, taux de clic, taux de saisie d’identifiants), ainsi que l’action corrective précise menée pour l’équipe la moins performante et l’amélioration mesurable le mois suivant.

NIS2 attend que les mesures de sécurité soient gérées, évaluées et améliorées. En 2024, seulement 35,50 % des entreprises européennes disposaient d’une documentation relative aux mesures, pratiques ou procédures de sécurité des TIC. Les auditeurs vérifieront si les améliorations sont consignées, attribuées à des responsables et reproductibles – et non informelles et ponctuelles.

Recommandation : Joignez vos deux derniers comptes rendus trimestriels de revue de sensibilisation à la sécurité, avec les responsables désignés, les actions approuvées, les dates cibles, et une capture d’écran ou un identifiant de ticket attestant de la mise en œuvre de chaque action (par exemple, une nouvelle étape de vérification dans le workflow de réinitialisation du service desk).

Cela figure explicitement dans les exigences de gouvernance de NIS2 : les membres des organes de direction sont tenus de suivre des formations, et les entités sont encouragées à proposer régulièrement des formations similaires à leurs collaborateurs.

Recommandation : Incluez le registre de formation de l’organe de direction avec la date de réunion, la liste de présence, le titre du module, et une brève mention de la décision prise en conséquence (par exemple, l’approbation d’une politique révisée de gouvernance des accès ou l’allocation d’un budget pour des contrôles de vérification d’identité).

NIS2 fixe un délai de 24 heures pour une alerte précoce après la prise de connaissance d’un incident significatif, ce qui fait de la reconnaissance et de l’escalade par les collaborateurs une exigence de contrôle. Les équipes financières doivent bloquer les paiements suspects, les Ressources humaines doivent valider les modifications d’identité, et les services desk ont besoin d’étapes de vérification claires avant de réinitialiser les accès.

Recommandation : Fournissez le rapport le plus récent d’un incident réel ou d’un exercice sur table, indiquant le délai de détection, le délai d’escalade, les personnes ayant escaladé, le playbook activé, et la preuve que les collaborateurs ont suivi les étapes de vérification et de notification plutôt que d’improviser.

Les auditeurs vérifient de plus en plus si vous comprenez où le risque humain se concentre. La question pratique est la suivante : quelles équipes sont les plus exposées, et qu’avez-vous fait différemment pour elles ?

Recommandation : Produisez une cartographie des risques classant les équipes par exposition (Finance, Achats, RH, service desk, par exemple) en utilisant vos propres données – susceptibilité au phishing, niveaux d’accès privilégiés et volume de transactions à haut risque – puis montrez le plan de formation ciblé qui a été adapté pour les deux équipes les plus exposées.

NIS2 impose une notification d’incident significatif plus complète dans un délai de 72 heures. C’est pourquoi les auditeurs s’intéressent à la compétence sous pression – et non à la simple participation lors des périodes calmes.

Recommandation : Documentez un exercice chronométré au cours duquel les collaborateurs devaient classer un scénario et prendre la première action correcte en moins de 10 minutes (par exemple, signaler une compromission suspectée, bloquer un paiement ou refuser une réinitialisation sans vérification), avec les résultats réussi/échoué et les comptes rendus de coaching de suivi.

Le défi des 48 heures : testez votre niveau de préparation à l’audit dès aujourd’hui

Posez-vous la question dès maintenant : seriez-vous en mesure de constituer les sept dossiers de preuves en 48 heures, dans un format clair, avec les responsables, les dates et les contrôles associés ?

C’est le moyen le plus simple de transformer un sentiment vague de préparation en une réponse concrète. Beaucoup de programmes génèrent un pic d’activité en janvier et onze mois de silence – le test des 48 heures rend ce schéma visible.

Une enquête menée en juin 2024 auprès de professionnels des technologies de l’information par Hornet Security a révélé que 22,4 % des organisations ne dispensent des formations de sensibilisation à la sécurité aux utilisateurs finaux qu’une seule fois par an. Pendant ce temps, les attaquants adaptent leurs techniques de manière continue, ce qui élève constamment le niveau exigé pour une formation « efficace ».

A June 2024 survey of information technology professionals by Hornet security found that 22.4% of organizations run end-user security awareness training only once a year. Meanwhile attackers scale persuasion continuously, which raises the bar for what “effective training” needs to achieve.

Microsoft a rapporté que les e-mails de phishing automatisés par l’intelligence artificielle ont atteint un taux de clics de 54 % dans des contextes mesurés – illustrant la rapidité avec laquelle les contenus d’attaque progressent par rapport à des modules ponctuels et annuels.

Les vecteurs d’attaque évoluent également. Au troisième trimestre 2025, un jeu de données fait état de 716 306 codes QR malveillants uniques détectés dans des activités de phishing. Concrètement, cela peut se traduire par un responsable d’entrepôt scannant un avis de « problème d’expédition », amorçant une compromission au cœur d’une activité routinière.

La preuve, pas la formation : le nouveau standard du « continu »

La « formation continue » est souvent présentée comme une meilleure expérience d’apprentissage, mais sous NIS2, elle remplit un objectif plus stratégique : elle génère un flux constant de preuves comportementales.

Le frein n’est que rarement un manque d’outils. 70 % des organisations déclarent utiliser plus de 10 solutions de sécurité distinctes. Un pattern souvent cité dans le secteur : les environnements font tourner simultanément de nombreuses solutions ponctuelles, et le fossé restant porte sur les preuves de risque humain – la démonstration que les décisions et les comportements sont devenus plus sûrs au fil du temps.

Un exemple concret que les auditeurs apprécient : des micro-scénarios mensuels liés aux processus critiques – tels que les modifications de factures, la récupération de comptes ou l’onboarding de fournisseurs – associés à des réponses documentées aux quasi-incidents et à des améliorations mesurées.

Vous générerez automatiquement l’ensemble des dossiers de preuves – formation continue, métriques comportementales, tendances et documentation prête pour l’audit – sans transformer votre équipe sécurité en une usine à rapports. C’est précisément l’objet de Prime Security Awareness.

Prochaines étapes : combler l’écart

Effectuez le test des 48 heures cette semaine. Tentez de constituer les sept dossiers de preuves et documentez précisément là où le processus se bloque. Cet écart est votre véritable priorité en matière de conformité.

Les prochains articles de cette série montreront comment construire votre pare-feu humain et comment des entreprises parviennent à automatiser leur formation de sensibilisation à la sécurité pour réduire efficacement le risque de phishing.