Skip to main content
GenioCT

NIS2 sur Azure

Conformité Azure NIS2, cartographiée à l'Article 21 avec des preuves d'audit à la demande

Microsoft vous montre ce qui est mal configuré. NIS2 vous demande ce que cela implique pour l'Article 21, qui en est responsable et quelles preuves vous pouvez présenter à un auditeur. Governator s'intercale entre les deux.

Ce que NIS2 exige réellement de votre environnement Azure

La directive NIS2 (UE 2022/2555) est entrée en application en Belgique le 18 octobre 2024. Pour les organisations qui exploitent une infrastructure cloud, le texte qui compte au quotidien est l'Article 21, qui énumère dix mesures techniques et organisationnelles que toute entité essentielle ou importante doit mettre en œuvre et documenter. Il n'y a pas d'annexe avec une checklist : les mesures sont formulées en termes de résultats à atteindre, et la charge de la preuve repose sur vous.

Sur Microsoft Azure, les contrôles sous-jacents existent généralement quelque part : Defender for Cloud, Azure Policy, Conditional Access, Key Vault, Sentinel, Azure Backup. Ce qui n'existe pas par défaut, c'est la couche qui relie ces contrôles techniques aux mesures de l'Article 21, la traçabilité des responsabilités et le dossier d'audit qu'un régulateur peut parcourir en cinq minutes.

Governator est précisément conçu pour combler cet écart. Il collecte les constats issus de votre environnement Azure, les rattache à la mesure de l'Article 21 concernée, désigne un responsable pour chacun, suit la remédiation et génère à la demande un dossier de preuves prêt pour l'audit.

Comment Governator relie Azure à l'Article 21 de NIS2

À chaque mesure de l'Article 21 correspond un modèle de preuve Azure. Le tableau ci-dessous résume la cartographie que Governator exécute en continu sur l'ensemble de vos abonnements.

Référence Mesure Preuves Azure collectées par Governator
Article 21(2)(a) Analyse des risques et politiques de sécurité des systèmes d'information Affectations Azure Policy, tableau de bord regulatory compliance de Defender for Cloud, registre d'exemptions avec justification métier.
Article 21(2)(b) Gestion des incidents Incidents Sentinel, workflow d'alertes Defender, attestations de runbooks, preuves de revues post-incident.
Article 21(2)(c) Continuité d'activité et gestion de crise Politiques de coffres Azure Backup, configuration Azure Site Recovery, stockage géo-redondant, attestation de runbook DR testé.
Article 21(2)(d) Sécurité de la chaîne d'approvisionnement Inventaire des service principals, affectations RBAC tierces, audit d'identités fédérées, revue de délégations Lighthouse.
Article 21(2)(e) Sécurité de l'acquisition, du développement et de la maintenance Versions de modules AVM, scanning de secrets dans les pipelines, constats Defender for DevOps, preuves de revue IaC.
Article 21(2)(f) Efficacité des mesures de gestion des risques cyber Tendance du Secure Score, métriques d'efficacité des contrôles, taux de décrochage des exemptions, MTTR par catégorie de constat.
Article 21(2)(g) Hygiène cyber et formation Posture Conditional Access, couverture MFA, activations Privileged Identity Management, registre d'attestations de formation.
Article 21(2)(h) Cryptographie Inventaire Key Vault, politique de version TLS minimale, couverture des clés gérées par le client (CMK), monitoring d'expiration des certificats.
Article 21(2)(i) Ressources humaines, contrôle d'accès, gestion des actifs Affectations RBAC, preuves du processus joiner-mover-leaver, cycle de vie des service principals, journaux d'accès just-in-time.
Article 21(2)(j) Authentification multifacteur et communications sécurisées Rapports Entra Conditional Access, couverture d'inscription MFA, inventaire Private Link & private endpoints, analyse d'exposition publique.

Le calendrier NIS2 belge

La Belgique a transposé NIS2 par la loi du 26 avril 2024, le CCB (Centre pour la Cybersécurité Belgique) jouant le rôle d'autorité de supervision. Le CCB a aligné l'application de NIS2 sur le framework CyberFundamentals : une organisation démontre sa conformité à l'Article 21 en atteignant le niveau d'assurance CyFun adapté à son profil (Basic, Important ou Essential).

  • Échéance d'enregistrement : 18 mars 2025 (passée). Toutes les entités concernées doivent être enregistrées auprès du CCB.
  • Auto-évaluation CyFun à rendre : 18 avril 2026. La plupart des entités "importantes" travaillent vers CyFun Important ; les entités "essentielles" ont besoin de CyFun Essential.
  • Reclassification : les entités critiques deviennent des entités essentielles le 17 juillet 2026.
  • Rapport d'avancement à rendre : 18 avril 2027.

Si vous fonctionnez sur Azure et que votre auto-évaluation CyFun est inscrite au calendrier, le travail d'alignement entre les constats Defender, la conformité aux policies, l'inventaire RBAC et le référentiel CyFun est précisément ce que Governator est fait pour absorber. La page dédiée CyFun sur Azure détaille la cartographie par niveau d'assurance.

Ce que Microsoft fournit, et ce qu'il ne fournit pas

Ce que Microsoft fournit

  • Le tableau de bord regulatory compliance de Defender for Cloud avec initiative NIS2
  • Le Secure Score et le moteur de recommandations
  • L'état de conformité Azure Policy par affectation
  • Sentinel pour le logging d'incidents et la détection
  • L'Activity Log avec une rétention de 90 jours par ressource

Ce que Microsoft ne fournit pas

  • Le rattachement de chaque constat aux mesures de l'Article 21 (a)–(j)
  • L'attribution d'un responsable et le suivi des SLA de remédiation
  • Un coffre de preuves avec attestations, snapshots et exemptions
  • Un export par niveau d'assurance CyFun avec matrice de preuves
  • Un indicateur d'audit-readiness et ses tendances pour la direction
  • L'intégration cross-cloud et des preuves externes

La vue NIS2 de Defender vous dit quels contrôles Azure sont techniquement configurés. Ce qu'elle ne vous dit pas : ce que l'écart implique pour votre obligation Article 21, qui doit prendre en charge la remédiation, ni ce que votre auditeur acceptera comme preuve. C'est précisément cette couche opérationnelle que Governator apporte.

Par où commencer

Pour la plupart des organisations qui visent l'auto-évaluation CyFun d'avril 2026, le point de départ est une évaluation d'audit-readiness NIS2 : une mission ponctuelle dans laquelle Governator établit une image de conformité à un instant T, accompagnée d'une interprétation experte, d'une liste d'écarts hiérarchisés par risque et d'une roadmap de remédiation cadrée. Une fois cette évaluation derrière vous, le passage à l'assurance continue est naturel : Governator tourne alors en managed service sur vos abonnements Azure.

Lancer une évaluation d'audit-readiness NIS2 Voir la plateforme Governator dans son ensemble

Connexe

→ CyberFundamentals (CyFun) sur Azure : niveaux d'assurance et audit-readiness → Defender for Cloud vs Governator : où Microsoft s'arrête sur la conformité NIS2 → Your Board Is Asking About NIS2. Here Is What You Actually Need to Do (EN)

Commencez par un Azure Health Check piloté par Governator

Pas sûr par où commencer ? Une revue rapide d'architecture vous donne une image claire. Sans engagement.

  • Scorecard des risques : identité, réseau, gouvernance et sécurité
  • Top 10 des problèmes classés par impact et effort
  • Feuille de route 30-60-90 jours avec quick wins
Réservez une Conversation