{"id":1318,"date":"2026-03-25T17:01:28","date_gmt":"2026-03-25T16:01:28","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/nis2-audit-checklist-evidence-pack-for-compliance-officers-2\/"},"modified":"2026-03-26T00:15:59","modified_gmt":"2026-03-25T23:15:59","slug":"nis2-audit-checklist-evidence-pack-for-compliance-officers","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/audit-evidence\/nis2-audit-checklist-evidence-pack-for-compliance-officers\/","title":{"rendered":"Checklist d’audit NIS2 \u2014 Pack de preuves pour les responsables conformit\u00e9"},"content":{"rendered":"

Objectif : Votre guide de pr\u00e9paration d’audit NIS2 pr\u00eat \u00e0 l’emploi<\/h2>\n

Cette checklist est con\u00e7ue pour les responsables conformit\u00e9 pr\u00e9parant leur organisation \u00e0 un audit de conformit\u00e9 NIS2. Elle est structur\u00e9e autour des dix domaines d’exigences sp\u00e9cifi\u00e9s \u00e0 l’article 21(2)<\/strong> de la directive NIS2 et fournit, pour chaque domaine, les exigences de contr\u00f4le, les preuves \u00e0 rassembler, o\u00f9 trouver ces preuves et des crit\u00e8res clairs de r\u00e9ussite\/\u00e9chec.<\/p>\n

Utilisez ce document comme un outil de travail. Imprimez-le, partagez-le avec vos \u00e9quipes et utilisez-le pour suivre la progression de la collecte de preuves. Un auditeur \u00e9valuera si vos contr\u00f4les sont non seulement document\u00e9s mais mis en \u0153uvre, efficaces et document\u00e9s par des preuves<\/strong>.<\/p>\n

Article 21(2)(a) : Analyse des risques et politiques de s\u00e9curit\u00e9 des syst\u00e8mes d’information<\/h2>\n\n\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Politique de s\u00e9curit\u00e9 de l’information document\u00e9e et approuv\u00e9e par l’organe de direction<\/td>\nDocument de politique sign\u00e9 avec contr\u00f4le de version et enregistrement d’approbation<\/td>\nSyst\u00e8me de gestion documentaire ; proc\u00e8s-verbaux des r\u00e9unions du conseil\/de la direction<\/td>\nR\u00e9ussite :<\/strong> La politique existe, est \u00e0 jour (r\u00e9vis\u00e9e dans les 12 mois) et dispose d’une approbation document\u00e9e de la direction. \u00c9chec :<\/strong> Pas de politique, politique obsol\u00e8te ou pas de preuve d’approbation de la direction.<\/td>\n<\/tr>\n
M\u00e9thodologie d’\u00e9valuation des risques d\u00e9finie et appliqu\u00e9e<\/td>\nDocument de m\u00e9thodologie d’\u00e9valuation des risques ; \u00e9valuations des risques compl\u00e9t\u00e9es ; registre des risques<\/td>\nPlateforme GRC ou syst\u00e8me de gestion des risques ; dossiers de l’\u00e9quipe de s\u00e9curit\u00e9 de l’information<\/td>\nR\u00e9ussite :<\/strong> La m\u00e9thodologie est document\u00e9e, appliqu\u00e9e de mani\u00e8re coh\u00e9rente et le registre des risques est \u00e0 jour. \u00c9chec :<\/strong> Pas de m\u00e9thodologie, application incoh\u00e9rente ou registre des risques obsol\u00e8te.<\/td>\n<\/tr>\n
Plans de traitement des risques avec propri\u00e9taires d\u00e9sign\u00e9s<\/td>\nDocumentation du plan de traitement des risques ; preuves de mise en \u0153uvre des contr\u00f4les ; enregistrements d’acceptation du risque r\u00e9siduel<\/td>\nRegistre des risques ; outils de gestion de projet ; enregistrements d’approbation de la direction<\/td>\nR\u00e9ussite :<\/strong> Chaque risque au-dessus du seuil d’app\u00e9tit a un plan de traitement avec un propri\u00e9taire nomm\u00e9 et une date cible. \u00c9chec :<\/strong> Risques non trait\u00e9s, plans sans propri\u00e9taires ou pas de preuves de progression.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(b) : Gestion des incidents<\/h2>\n\n\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Plan de r\u00e9ponse aux incidents couvrant la d\u00e9tection, l’analyse, le confinement, l’\u00e9radication et la r\u00e9cup\u00e9ration<\/td>\nDocument du plan de r\u00e9ponse aux incidents ; r\u00f4les d\u00e9finis et chemins d’escalade ; proc\u00e9dures de communication<\/td>\nDocumentation des op\u00e9rations de s\u00e9curit\u00e9 ; plateforme de gestion des incidents<\/td>\nR\u00e9ussite :<\/strong> Un plan complet existe, est \u00e0 jour et couvre toutes les phases. \u00c9chec :<\/strong> Pas de plan, couverture incompl\u00e8te ou plan non mis \u00e0 jour apr\u00e8s des changements organisationnels.<\/td>\n<\/tr>\n
Proc\u00e9dures de classification et de signalement des incidents align\u00e9es sur les d\u00e9lais NIS2<\/td>\nDocument de crit\u00e8res de classification ; proc\u00e9dure de signalement avec workflows d’alerte pr\u00e9coce de 24 heures et de notification de 72 heures<\/td>\nProc\u00e9dures de gestion des incidents ; dossiers de contact CSIRT<\/td>\nR\u00e9ussite :<\/strong> Des crit\u00e8res de classification clairs existent ; les d\u00e9lais de signalement correspondent aux exigences NIS2 ; les coordonn\u00e9es du CSIRT sont \u00e0 jour. \u00c9chec :<\/strong> Pas de sch\u00e9ma de classification, d\u00e9lais incorrects ou canaux de signalement inconnus.<\/td>\n<\/tr>\n
Preuves de tests de r\u00e9ponse aux incidents<\/td>\nEnregistrements d’exercices sur table ; r\u00e9sultats de simulations ; documentation des le\u00e7ons apprises ; actions d’am\u00e9lioration<\/td>\nDossiers de l’\u00e9quipe de s\u00e9curit\u00e9 ; enregistrements de formation ; rapports post-exercice<\/td>\nR\u00e9ussite :<\/strong> Au moins un exercice r\u00e9alis\u00e9 dans les 12 mois avec des r\u00e9sultats document\u00e9s et des actions d’am\u00e9lioration. \u00c9chec :<\/strong> Pas de preuves de test ou tests sans am\u00e9liorations document\u00e9es.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(c) : Continuit\u00e9 d’activit\u00e9 et gestion de crise<\/h2>\n\n\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Plan de continuit\u00e9 d’activit\u00e9 couvrant la gestion des sauvegardes et la reprise apr\u00e8s sinistre<\/td>\nDocuments PCA et PRS ; RTO et RPO d\u00e9finis ; proc\u00e9dures de r\u00e9cup\u00e9ration<\/td>\nDocumentation de l’\u00e9quipe de continuit\u00e9 d’activit\u00e9 ; dossiers des op\u00e9rations IT<\/td>\nR\u00e9ussite :<\/strong> Les plans existent pour les services critiques avec des RTO\/RPO d\u00e9finis et test\u00e9s. \u00c9chec :<\/strong> Pas de plans, plans non test\u00e9s ou objectifs de r\u00e9cup\u00e9ration non d\u00e9finis.<\/td>\n<\/tr>\n
Gestion des sauvegardes avec tests r\u00e9guliers<\/td>\nPolitiques de sauvegarde ; calendriers et journaux de sauvegarde ; r\u00e9sultats des tests de restauration<\/td>\nSyst\u00e8me de gestion des sauvegardes ; journaux des op\u00e9rations IT<\/td>\nR\u00e9ussite :<\/strong> Sauvegardes r\u00e9guli\u00e8res avec des tests de restauration document\u00e9s et r\u00e9ussis. \u00c9chec :<\/strong> Pas de politique de sauvegarde, pas de test de restauration ou \u00e9checs de tests sans rem\u00e9diation.<\/td>\n<\/tr>\n
Proc\u00e9dures de gestion de crise<\/td>\nPlan de gestion de crise ; arbres de communication ; proc\u00e9dures de notification des parties prenantes ; enregistrements d’exercices de crise<\/td>\nDocumentation de gestion de crise de l’entreprise ; dossiers de l’\u00e9quipe de communication<\/td>\nR\u00e9ussite :<\/strong> Le plan existe avec des chemins d’escalade clairs et a \u00e9t\u00e9 exerc\u00e9. \u00c9chec :<\/strong> Pas de plan de crise ou pas de preuve d’exercice.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(d) : S\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/h2>\n\n\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Exigences de s\u00e9curit\u00e9 dans les contrats fournisseurs<\/td>\nClauses contractuelles standard de s\u00e9curit\u00e9 ; contrats sign\u00e9s avec provisions de s\u00e9curit\u00e9 ; enregistrements d’\u00e9valuation de s\u00e9curit\u00e9 des fournisseurs<\/td>\nDossiers achats\/juridiques ; plateforme de gestion des fournisseurs<\/td>\nR\u00e9ussite :<\/strong> Les fournisseurs critiques ont des exigences contractuelles de s\u00e9curit\u00e9 ; les \u00e9valuations sont document\u00e9es. \u00c9chec :<\/strong> Pas de clauses de s\u00e9curit\u00e9 dans les contrats ou pas de programme d’\u00e9valuation des fournisseurs.<\/td>\n<\/tr>\n
Programme d’\u00e9valuation des risques fournisseurs<\/td>\nM\u00e9thodologie d’\u00e9valuation des risques fournisseurs ; \u00e9valuations compl\u00e9t\u00e9es pour les fournisseurs critiques ; registre des risques fournisseurs<\/td>\nPlateforme de gestion des fournisseurs ; dossiers achats ; syst\u00e8me de gestion des risques<\/td>\nR\u00e9ussite :<\/strong> Les fournisseurs critiques et importants sont \u00e9valu\u00e9s avec des r\u00e9sultats document\u00e9s et des notations de risque. \u00c9chec :<\/strong> Pas d’\u00e9valuation des risques fournisseurs ou couverture incompl\u00e8te des fournisseurs critiques.<\/td>\n<\/tr>\n
Contr\u00f4les de la cha\u00eene d’approvisionnement logicielle (SBOM, gestion des d\u00e9pendances)<\/td>\nEnregistrements de g\u00e9n\u00e9ration SBOM ; r\u00e9sultats d’analyse des d\u00e9pendances ; listes de composants approuv\u00e9s ; politiques de composants tiers<\/td>\nSorties du pipeline CI\/CD ; syst\u00e8mes de gestion des artefacts ; outils d’analyse de s\u00e9curit\u00e9<\/td>\nR\u00e9ussite :<\/strong> Les SBOM sont g\u00e9n\u00e9r\u00e9s pour les logiciels livr\u00e9s ; les d\u00e9pendances sont analys\u00e9es et g\u00e9r\u00e9es. \u00c9chec :<\/strong> Pas de visibilit\u00e9 sur la composition logicielle ou d\u00e9pendances non g\u00e9r\u00e9es.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(e) : S\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d’information<\/h2>\n\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Contr\u00f4les de s\u00e9curit\u00e9 r\u00e9seau (segmentation, surveillance, contr\u00f4les d’acc\u00e8s)<\/td>\nDocumentation de l’architecture r\u00e9seau ; politiques de segmentation ; r\u00e8gles de pare-feu ; configuration de surveillance r\u00e9seau<\/td>\nSyst\u00e8mes de gestion r\u00e9seau ; documentation d’infrastructure ; plateforme SIEM<\/td>\nR\u00e9ussite :<\/strong> Le r\u00e9seau est segment\u00e9 de mani\u00e8re appropri\u00e9e ; la surveillance est active ; les contr\u00f4les sont document\u00e9s. \u00c9chec :<\/strong> R\u00e9seau plat, pas de surveillance ou architecture r\u00e9seau non document\u00e9e.<\/td>\n<\/tr>\n
Surveillance de s\u00e9curit\u00e9 et journalisation<\/td>\nPolitique de journalisation ; configuration de r\u00e9tention des journaux ; r\u00e8gles de surveillance et alertes ; tableaux de bord SIEM<\/td>\nPlateforme SIEM ; infrastructure de journalisation ; dossiers du centre d’op\u00e9rations de s\u00e9curit\u00e9<\/td>\nR\u00e9ussite :<\/strong> Les syst\u00e8mes critiques sont journalis\u00e9s ; les journaux sont conserv\u00e9s selon la politique ; surveillance active avec des r\u00e8gles d’alerte d\u00e9finies. \u00c9chec :<\/strong> Lacunes dans la couverture de journalisation, r\u00e9tention insuffisante ou pas de surveillance active.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(f) : Gestion et divulgation des vuln\u00e9rabilit\u00e9s<\/h2>\n\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Programme de gestion des vuln\u00e9rabilit\u00e9s<\/td>\nPolitique de gestion des vuln\u00e9rabilit\u00e9s ; calendriers et r\u00e9sultats d’analyse ; SLA de rem\u00e9diation et suivi ; processus d’exception<\/td>\nOutils d’analyse des vuln\u00e9rabilit\u00e9s ; syst\u00e8me de gestion des correctifs ; plateforme GRC<\/td>\nR\u00e9ussite :<\/strong> Analyse r\u00e9guli\u00e8re avec des SLA de rem\u00e9diation d\u00e9finis ; vuln\u00e9rabilit\u00e9s critiques trait\u00e9es dans les SLA. \u00c9chec :<\/strong> Pas de programme d’analyse, pas de SLA ou violations chroniques des SLA sans escalade.<\/td>\n<\/tr>\n
Processus de divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s<\/td>\nPolitique de divulgation des vuln\u00e9rabilit\u00e9s (publi\u00e9e) ; canal de contact pour les chercheurs ; proc\u00e9dure de traitement de la divulgation<\/td>\nSite web public ; proc\u00e9dures de l’\u00e9quipe de s\u00e9curit\u00e9<\/td>\nR\u00e9ussite :<\/strong> Politique de divulgation publi\u00e9e avec un processus clair et des d\u00e9lais de r\u00e9ponse. \u00c9chec :<\/strong> Pas de politique de divulgation ou pas de m\u00e9canisme pour les signalements externes de vuln\u00e9rabilit\u00e9s.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(g) : Politiques et proc\u00e9dures d’\u00e9valuation de l’efficacit\u00e9<\/h2>\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
\u00c9valuation r\u00e9guli\u00e8re de l’efficacit\u00e9 des mesures de cybers\u00e9curit\u00e9<\/td>\nRapports d’audit interne ; r\u00e9sultats de tests de p\u00e9n\u00e9tration ; m\u00e9triques et KPI de s\u00e9curit\u00e9 ; enregistrements de revue de direction<\/td>\nDossiers de l’\u00e9quipe d’audit interne ; rapports de tests de s\u00e9curit\u00e9 ; tableaux de bord de direction<\/td>\nR\u00e9ussite :<\/strong> \u00c9valuations r\u00e9guli\u00e8res r\u00e9alis\u00e9es (au moins annuellement) avec des conclusions document\u00e9es et des actions d’am\u00e9lioration. \u00c9chec :<\/strong> Pas d’\u00e9valuations d’efficacit\u00e9 ou \u00e9valuations sans actions de suivi.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(h) : Cryptographie et chiffrement<\/h2>\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Politique de cryptographie couvrant les donn\u00e9es en transit et au repos<\/td>\nDocument de politique de cryptographie ; standards d’algorithmes et longueurs de cl\u00e9 approuv\u00e9s ; proc\u00e9dures de gestion des certificats ; documentation du cycle de vie de gestion des cl\u00e9s<\/td>\nBiblioth\u00e8que de politiques de s\u00e9curit\u00e9 de l’information ; syst\u00e8me de gestion PKI\/certificats ; syst\u00e8me de gestion des cl\u00e9s<\/td>\nR\u00e9ussite :<\/strong> La politique existe avec des algorithmes approuv\u00e9s ; les donn\u00e9es en transit et au repos sont chiffr\u00e9es selon la politique ; le cycle de vie de gestion des cl\u00e9s est document\u00e9. \u00c9chec :<\/strong> Pas de politique de cryptographie, utilisation d’algorithmes obsol\u00e8tes ou cl\u00e9s cryptographiques non g\u00e9r\u00e9es.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(i) : Contr\u00f4le d’acc\u00e8s<\/h2>\n\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Politique de contr\u00f4le d’acc\u00e8s bas\u00e9e sur le moindre privil\u00e8ge et le besoin d’en conna\u00eetre<\/td>\nPolitique de contr\u00f4le d’acc\u00e8s ; d\u00e9finitions d’acc\u00e8s bas\u00e9es sur les r\u00f4les ; proc\u00e9dures de provisionnement et de d\u00e9provisionnement<\/td>\nPlateforme IAM ; dossiers RH d’int\u00e9gration\/d\u00e9part ; documentation de contr\u00f4le d’acc\u00e8s<\/td>\nR\u00e9ussite :<\/strong> La politique existe ; l’acc\u00e8s est bas\u00e9 sur les r\u00f4les ; le provisionnement\/d\u00e9provisionnement est document\u00e9 et rapide. \u00c9chec :<\/strong> Pas de politique de contr\u00f4le d’acc\u00e8s, privil\u00e8ges excessifs ou d\u00e9provisionnement tardif des d\u00e9parts.<\/td>\n<\/tr>\n
Revues d’acc\u00e8s r\u00e9guli\u00e8res<\/td>\nCalendriers de revue d’acc\u00e8s ; enregistrements de revues compl\u00e9t\u00e9es ; actions de rem\u00e9diation issues des revues<\/td>\nPlateforme IAM ; outil de revue d’acc\u00e8s ; dossiers de conformit\u00e9<\/td>\nR\u00e9ussite :<\/strong> Revues d’acc\u00e8s r\u00e9alis\u00e9es au moins trimestriellement pour les acc\u00e8s privil\u00e9gi\u00e9s et annuellement pour les acc\u00e8s standards ; la rem\u00e9diation est suivie. \u00c9chec :<\/strong> Pas de revues d’acc\u00e8s ou revues sans suivi de rem\u00e9diation.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(i) : Gestion des actifs<\/h2>\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
Inventaire des actifs couvrant tous les r\u00e9seaux et syst\u00e8mes d’information<\/td>\nInventaire des actifs\/CMDB ; sch\u00e9ma de classification des actifs ; attribution de propri\u00e9t\u00e9 des actifs<\/td>\nSyst\u00e8me de gestion des actifs\/CMDB ; plateforme de gestion des services IT<\/td>\nR\u00e9ussite :<\/strong> Un inventaire complet existe avec classification et propri\u00e9taires assign\u00e9s ; l’inventaire est r\u00e9guli\u00e8rement mis \u00e0 jour. \u00c9chec :<\/strong> Inventaire incomplet, pas de classification ou propri\u00e9t\u00e9 non assign\u00e9e.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Article 21(2)(j) : Authentification multifacteur et authentification continue<\/h2>\n\n\n\n\n\n\n
Exigence de contr\u00f4le<\/th>\nPreuves n\u00e9cessaires<\/th>\nO\u00f9 les trouver<\/th>\nCrit\u00e8res de r\u00e9ussite\/\u00e9chec<\/th>\n<\/tr>\n<\/thead>\n
MFA d\u00e9ploy\u00e9 pour les acc\u00e8s privil\u00e9gi\u00e9s et les acc\u00e8s distants<\/td>\nPolitique MFA ; enregistrements d’inscription MFA ; preuves de configuration d’application du MFA<\/td>\nConfiguration de la plateforme IAM\/MFA ; documentation de la politique d’acc\u00e8s<\/td>\nR\u00e9ussite :<\/strong> Le MFA est appliqu\u00e9 pour tous les acc\u00e8s privil\u00e9gi\u00e9s et distants ; l’inscription est suivie ; les exceptions sont document\u00e9es et limit\u00e9es dans le temps. \u00c9chec :<\/strong> MFA non appliqu\u00e9 pour les acc\u00e8s privil\u00e9gi\u00e9s, utilisateurs non inscrits significatifs ou exceptions permanentes sans justification.<\/td>\n<\/tr>\n
Canaux d’authentification et de communication s\u00e9curis\u00e9s<\/td>\nConfiguration du syst\u00e8me d’authentification ; preuves de canaux de communication chiffr\u00e9s ; politiques de gestion des sessions<\/td>\nPlateforme IAM ; configuration r\u00e9seau ; documentation d’architecture de s\u00e9curit\u00e9<\/td>\nR\u00e9ussite :<\/strong> Le trafic d’authentification est chiffr\u00e9 ; les contr\u00f4les de gestion des sessions sont en place ; les protocoles s\u00e9curis\u00e9s sont appliqu\u00e9s. \u00c9chec :<\/strong> Flux d’authentification non chiffr\u00e9s ou gestion des sessions faible.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Signaux d’alerte indiquant la non-conformit\u00e9<\/h2>\n

Lors de la pr\u00e9paration de l’audit, les responsables conformit\u00e9 doivent activement rechercher les signaux d’alerte suivants et les traiter avant l’arriv\u00e9e de l’auditeur :<\/p>\n