{"id":1477,"date":"2026-02-24T14:01:23","date_gmt":"2026-02-24T13:01:23","guid":{"rendered":"https:\/\/regulated-devsecops.com\/nis2\/"},"modified":"2026-03-26T07:07:36","modified_gmt":"2026-03-26T06:07:36","slug":"nis2","status":"publish","type":"page","link":"https:\/\/regulated-devsecops.com\/fr\/compliance\/nis2\/","title":{"rendered":"NIS2"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\"><strong>Comprendre NIS2 dans la livraison logicielle moderne<\/strong><\/h2>\n\n\n\n<p>La directive NIS2 renforce les exigences en mati\u00e8re de cybers\u00e9curit\u00e9 et de r\u00e9silience dans l&rsquo;ensemble de l&rsquo;Union europ\u00e9enne.<\/p>\n\n\n\n<p>Elle s&rsquo;applique aux :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Op\u00e9rateurs d&rsquo;infrastructures critiques<\/li>\n\n\n\n<li>Fournisseurs d&rsquo;\u00e9nergie<\/li>\n\n\n\n<li>Organisations de transport<\/li>\n\n\n\n<li>\u00c9tablissements de sant\u00e9<\/li>\n\n\n\n<li>Fournisseurs de services num\u00e9riques<\/li>\n\n\n\n<li>Organismes d&rsquo;administration publique<\/li>\n\n\n\n<li>Grandes et moyennes entreprises dans les secteurs essentiels<\/li>\n<\/ul>\n\n\n\n<p>Contrairement aux normes volontaires, NIS2 est une directive r\u00e9glementaire.<br>Les \u00c9tats membres doivent la transposer en droit national.<\/p>\n\n\n\n<p>Pour les organisations qui d\u00e9veloppent et d\u00e9ploient des logiciels, NIS2 a un impact direct sur :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement<\/li>\n\n\n\n<li>La gestion des risques tiers<\/li>\n\n\n\n<li>Le signalement des incidents<\/li>\n\n\n\n<li>La responsabilit\u00e9 de gouvernance<\/li>\n\n\n\n<li>La r\u00e9silience op\u00e9rationnelle<\/li>\n<\/ul>\n\n\n\n<p>Les pipelines CI\/CD ne sont plus des outils internes \u2014 ils font partie de la cha\u00eene d&rsquo;approvisionnement num\u00e9rique r\u00e9glement\u00e9e.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pourquoi NIS2 est important pour les pipelines CI\/CD<\/strong><\/h2>\n\n\n\n<p>La livraison logicielle moderne repose sur :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les plateformes d&rsquo;h\u00e9bergement Git<\/li>\n\n\n\n<li>Les services SaaS de CI\/CD<\/li>\n\n\n\n<li>Les d\u00e9p\u00f4ts d&rsquo;artefacts<\/li>\n\n\n\n<li>Les d\u00e9pendances open source<\/li>\n\n\n\n<li>Les registres de conteneurs<\/li>\n\n\n\n<li>Les fournisseurs cloud<\/li>\n\n\n\n<li>Les plugins de marketplace<\/li>\n<\/ul>\n\n\n\n<p>Chacun de ces \u00e9l\u00e9ments introduit une exposition au risque de la cha\u00eene d&rsquo;approvisionnement.<\/p>\n\n\n\n<p>NIS2 exige explicitement des organisations qu&rsquo;elles g\u00e8rent les risques de cybers\u00e9curit\u00e9 provenant de :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Fournisseurs directs<\/li>\n\n\n\n<li>Prestataires de services<\/li>\n\n\n\n<li>D\u00e9pendances de la cha\u00eene d&rsquo;approvisionnement num\u00e9rique<\/li>\n<\/ul>\n\n\n\n<p>Si votre pipeline CI\/CD d\u00e9pend d&rsquo;une infrastructure externe ou de composants open source, NIS2 s&rsquo;applique.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Exigences cl\u00e9s de NIS2 pertinentes pour le CI\/CD<\/strong><\/h2>\n\n\n\n<p>L&rsquo;article 21 de NIS2 d\u00e9finit les mesures de gestion des risques de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n<p>Pour le CI\/CD et la livraison logicielle, cela se traduit en cinq domaines cl\u00e9s.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>1. Gestion des risques et gouvernance<\/strong><\/h3>\n\n\n\n<p>Les organisations doivent mettre en \u0153uvre :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des processus document\u00e9s de gestion des risques<\/li>\n\n\n\n<li>Une responsabilit\u00e9 claire au niveau de la direction<\/li>\n\n\n\n<li>Des politiques de d\u00e9veloppement s\u00e9curis\u00e9<\/li>\n\n\n\n<li>Une gestion contr\u00f4l\u00e9e des changements<\/li>\n<\/ul>\n\n\n\n<p>Pour le CI\/CD, cela signifie :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des workflows d&rsquo;approbation formels<\/li>\n\n\n\n<li>La s\u00e9paration des responsabilit\u00e9s<\/li>\n\n\n\n<li>La gestion des exceptions bas\u00e9e sur le risque<\/li>\n\n\n\n<li>Des d\u00e9ploiements en production contr\u00f4l\u00e9s<\/li>\n<\/ul>\n\n\n\n<p>La gouvernance doit \u00eatre d\u00e9montrable \u2014 pas informelle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>2. S\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement<\/strong><\/h3>\n\n\n\n<p>NIS2 exige explicitement l&rsquo;\u00e9valuation de :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La posture de s\u00e9curit\u00e9 des fournisseurs<\/li>\n\n\n\n<li>Les risques li\u00e9s aux d\u00e9pendances<\/li>\n\n\n\n<li>Les fournisseurs de services cloud<\/li>\n\n\n\n<li>L&rsquo;int\u00e9grit\u00e9 de la cha\u00eene d&rsquo;approvisionnement logicielle<\/li>\n<\/ul>\n\n\n\n<p>Cela affecte :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les fournisseurs SaaS de CI\/CD<\/li>\n\n\n\n<li>Les plateformes Git<\/li>\n\n\n\n<li>Les registres d&rsquo;artefacts<\/li>\n\n\n\n<li>Les plugins de marketplace<\/li>\n\n\n\n<li>Les miroirs de d\u00e9pendances<\/li>\n<\/ul>\n\n\n\n<p>Les organisations doivent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Classifier les fournisseurs par niveau de risque<\/li>\n\n\n\n<li>D\u00e9finir des exigences contractuelles de s\u00e9curit\u00e9<\/li>\n\n\n\n<li>Conserver des droits d&rsquo;audit<\/li>\n\n\n\n<li>Planifier des strat\u00e9gies de sortie<\/li>\n\n\n\n<li>Surveiller les incidents fournisseurs<\/li>\n<\/ul>\n\n\n\n<p>Le risque li\u00e9 \u00e0 la cha\u00eene d&rsquo;approvisionnement est une pr\u00e9occupation r\u00e9glementaire de premier plan sous NIS2.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>3. D\u00e9veloppement s\u00e9curis\u00e9 et gestion des vuln\u00e9rabilit\u00e9s<\/strong><\/h3>\n\n\n\n<p>NIS2 attend :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des processus de cycle de d\u00e9veloppement s\u00e9curis\u00e9<\/li>\n\n\n\n<li>Une rem\u00e9diation rapide des vuln\u00e9rabilit\u00e9s<\/li>\n\n\n\n<li>Une divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s<\/li>\n\n\n\n<li>Une gestion s\u00e9curis\u00e9e des configurations<\/li>\n<\/ul>\n\n\n\n<p>Pour le CI\/CD, cela inclut :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&rsquo;int\u00e9gration SAST<\/li>\n\n\n\n<li>L&rsquo;analyse des d\u00e9pendances (SCA)<\/li>\n\n\n\n<li>La g\u00e9n\u00e9ration de SBOM<\/li>\n\n\n\n<li>Les artefacts sign\u00e9s<\/li>\n\n\n\n<li>Les portes de politique automatis\u00e9es<\/li>\n<\/ul>\n\n\n\n<p>Les contr\u00f4les de s\u00e9curit\u00e9 doivent \u00eatre int\u00e9gr\u00e9s au processus de livraison.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>4. D\u00e9tection et signalement des incidents<\/strong><\/h3>\n\n\n\n<p>NIS2 introduit des d\u00e9lais stricts de signalement des incidents :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Alerte pr\u00e9coce dans les 24 heures<\/li>\n\n\n\n<li>Notification d&rsquo;incident dans les 72 heures<\/li>\n\n\n\n<li>Rapport final dans un d\u00e9lai d&rsquo;un mois<\/li>\n<\/ul>\n\n\n\n<p>Cela n\u00e9cessite :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Une surveillance fiable<\/li>\n\n\n\n<li>Une journalisation centralis\u00e9e<\/li>\n\n\n\n<li>La tra\u00e7abilit\u00e9 des d\u00e9ploiements<\/li>\n\n\n\n<li>Une capacit\u00e9 d&rsquo;investigation rapide<\/li>\n<\/ul>\n\n\n\n<p>Les logs CI\/CD et la provenance des artefacts sont essentiels lors d&rsquo;une investigation d&rsquo;incident.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>5. Continuit\u00e9 d&rsquo;activit\u00e9 et r\u00e9silience<\/strong><\/h3>\n\n\n\n<p>Les organisations doivent assurer :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des proc\u00e9dures de sauvegarde<\/li>\n\n\n\n<li>Des capacit\u00e9s de reprise apr\u00e8s sinistre<\/li>\n\n\n\n<li>Des plans de gestion de crise<\/li>\n\n\n\n<li>Des tests de r\u00e9silience op\u00e9rationnelle<\/li>\n<\/ul>\n\n\n\n<p>Pour le CI\/CD, cela inclut :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La sauvegarde des configurations de pipeline<\/li>\n\n\n\n<li>Des environnements d&rsquo;ex\u00e9cution alternatifs<\/li>\n\n\n\n<li>La redondance des fournisseurs cloud<\/li>\n\n\n\n<li>La capacit\u00e9 de sortie des fournisseurs SaaS<\/li>\n<\/ul>\n\n\n\n<p>La r\u00e9silience n&rsquo;est pas optionnelle.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>NIS2 vs DORA \u2014 Diff\u00e9rences cl\u00e9s<\/strong><\/h2>\n\n\n\n<p>Bien que les deux traitent de la r\u00e9silience et du risque li\u00e9 \u00e0 la cha\u00eene d&rsquo;approvisionnement, leur p\u00e9rim\u00e8tre diff\u00e8re.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>NIS2<\/strong><\/th><th><strong>DORA<\/strong><\/th><\/tr><\/thead><tbody><tr><td>S&rsquo;applique aux entit\u00e9s essentielles et importantes<\/td><td>S&rsquo;applique aux entit\u00e9s financi\u00e8res<\/td><\/tr><tr><td>Directive de cybers\u00e9curit\u00e9 large<\/td><td>R\u00e9glementation sectorielle<\/td><\/tr><tr><td>Fort accent sur la cha\u00eene d&rsquo;approvisionnement<\/td><td>Forte gouvernance des tiers ICT<\/td><\/tr><tr><td>Accent sur le signalement des incidents<\/td><td>Cadre de gestion du risque ICT<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Les organisations du secteur financier peuvent \u00eatre soumises aux deux.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Implications architecturales pour le CI\/CD<\/strong><\/h2>\n\n\n\n<p>Une architecture CI\/CD align\u00e9e sur NIS2 devrait :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Imposer des workflows d&rsquo;approbation<\/li>\n\n\n\n<li>Bloquer les builds \u00e0 haut risque<\/li>\n\n\n\n<li>G\u00e9n\u00e9rer automatiquement des SBOM<\/li>\n\n\n\n<li>Signer les artefacts<\/li>\n\n\n\n<li>Conserver des logs inviolables<\/li>\n\n\n\n<li>Restreindre les acc\u00e8s privil\u00e9gi\u00e9s<\/li>\n\n\n\n<li>Surveiller les anomalies en production<\/li>\n\n\n\n<li>Documenter les d\u00e9pendances tierces<\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;architecture doit r\u00e9duire le risque syst\u00e9mique de la cha\u00eene d&rsquo;approvisionnement.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Faiblesses courantes de la cha\u00eene d&rsquo;approvisionnement NIS2<\/strong><\/h2>\n\n\n\n<p>Les probl\u00e8mes fr\u00e9quents incluent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des GitHub Actions tierces non surveill\u00e9es<\/li>\n\n\n\n<li>Des runners CI partag\u00e9s entre les environnements<\/li>\n\n\n\n<li>Aucun inventaire des outils SaaS<\/li>\n\n\n\n<li>Aucune g\u00e9n\u00e9ration de SBOM<\/li>\n\n\n\n<li>Aucune clause d&rsquo;audit contractuelle<\/li>\n\n\n\n<li>Aucune strat\u00e9gie de sortie document\u00e9e<\/li>\n<\/ul>\n\n\n\n<p>Ces faiblesses deviennent une exposition r\u00e9glementaire sous NIS2.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Mod\u00e8le de maturit\u00e9 NIS2 pour la livraison logicielle<\/strong><\/h2>\n\n\n\n<p><strong>Niveau 1 \u2014 Contr\u00f4les de s\u00e9curit\u00e9 basiques<\/strong><\/p>\n\n\n\n<p>Gestion des risques ad hoc, journalisation limit\u00e9e.<\/p>\n\n\n\n<p><strong>Niveau 2 \u2014 S\u00e9curit\u00e9 bas\u00e9e sur les outils<\/strong><\/p>\n\n\n\n<p>Outils de s\u00e9curit\u00e9 int\u00e9gr\u00e9s mais pas pleinement appliqu\u00e9s.<\/p>\n\n\n\n<p><strong>Niveau 3 \u2014 Contr\u00f4les CI\/CD appliqu\u00e9s<\/strong><\/p>\n\n\n\n<p>Portes de politique bloquantes, approbations structur\u00e9es.<\/p>\n\n\n\n<p><strong>Niveau 4 \u2014 Gouvernance r\u00e9glement\u00e9e de la cha\u00eene d&rsquo;approvisionnement<\/strong><\/p>\n\n\n\n<p>Inventaire complet des fournisseurs, surveillance, planification de sortie, conservation des preuves.<\/p>\n\n\n\n<p>Les op\u00e9rateurs d&rsquo;infrastructures critiques devraient op\u00e9rer au niveau 3 ou sup\u00e9rieur.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Guides pratiques NIS2<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/nis2-supply-chain-security-deep-dive-what-it-really-means-for-ci-cd-and-vendors\/\" data-type=\"post\" data-id=\"281\">Analyse approfondie de la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement NIS2<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/nis2-supply-chain-auditor-checklist\/\" data-type=\"post\" data-id=\"292\">Checklist d&rsquo;audit de la cha\u00eene d&rsquo;approvisionnement NIS2<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/nis2-supply-chain-evidence-pack\/\" data-type=\"post\" data-id=\"284\">Dossier de preuves de la cha\u00eene d&rsquo;approvisionnement NIS2<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/nis2-vs-dora-architecture-comparison\/\" data-type=\"post\" data-id=\"294\">Comparaison d&rsquo;architecture NIS2 vs DORA<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Principe final<\/strong><\/h2>\n\n\n\n<p>NIS2 ne r\u00e9glemente pas les outils.<br>Il r\u00e9glemente le risque.<\/p>\n\n\n\n<p>Si votre architecture CI\/CD applique les contr\u00f4les de la cha\u00eene d&rsquo;approvisionnement et g\u00e9n\u00e8re des preuves d\u00e8s la conception, la conformit\u00e9 NIS2 devient structurelle.<br>Si le risque fournisseur est informel ou non document\u00e9, NIS2 devient un passif op\u00e9rationnel.<\/p>\n\n\n\n<p>La livraison s\u00e9curis\u00e9e est d\u00e9sormais une exigence r\u00e9glementaire.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Comprendre NIS2 dans la livraison logicielle moderne La directive NIS2 renforce les exigences en mati\u00e8re de cybers\u00e9curit\u00e9 et de r\u00e9silience dans l&rsquo;ensemble de l&rsquo;Union europ\u00e9enne. Elle s&rsquo;applique aux : Contrairement aux normes volontaires, NIS2 est une directive r\u00e9glementaire.Les \u00c9tats membres doivent la transposer en droit national. Pour les organisations qui d\u00e9veloppent et d\u00e9ploient des logiciels, &#8230; <a title=\"NIS2\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/nis2\/\" aria-label=\"En savoir plus sur NIS2\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"parent":1460,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1477","page","type-page","status-publish"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1477"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1477\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1460"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}