{"version":"Directive NIS2 (UE 2022/2555) — référentiel pratique 2026","axes":[{"id":1,"label":"Gouvernance cyber et identification du risque"},{"id":2,"label":"Mesures techniques (art. 21)"},{"id":3,"label":"Réponse à incident et notification (art. 23)"},{"id":4,"label":"Chaîne d'approvisionnement"},{"id":5,"label":"Formation et sensibilisation"}],"indicators":[{"id":"N-1","axis":1,"title":"Désignation d'un responsable sécurité (RSSI)","blocking":true,"question":"Avez-vous désigné un responsable de la sécurité des systèmes d'information (interne ou externalisé) ?","evidenceLabel":"Lettre de mission RSSI + organigramme cyber.","expectedKeywords":["rssi","responsable","sécurité","désignation","mission"],"minMatch":0.5},{"id":"N-2","axis":1,"title":"Approbation de la direction et reporting régulier","blocking":true,"question":"La direction approuve-t-elle les mesures de cybersécurité et reçoit-elle un reporting régulier ?","evidenceLabel":"PV CODIR/COMEX mentionnant cyber + dashboard mensuel.","expectedKeywords":["direction","codir","approbation","reporting","dashboard"],"minMatch":0.4},{"id":"N-3","axis":1,"title":"Analyse de risque cyber documentée","blocking":true,"question":"Disposez-vous d'une cartographie des actifs sensibles et d'une analyse de risque actualisée (méthode EBIOS RM ou équivalent) ?","evidenceLabel":"Document analyse de risque + matrice probabilité/impact.","expectedKeywords":["risque","ebios","analyse","actif","menace"],"minMatch":0.4},{"id":"N-4","axis":1,"title":"Plan de continuité d'activité (PCA) et plan de reprise (PRA)","blocking":false,"question":"Avez-vous un PCA / PRA documenté et testé ?","evidenceLabel":"Plan + dernier test de bascule + RTO/RPO.","expectedKeywords":["pca","pra","continuité","reprise","rto"],"minMatch":0.4},{"id":"N-5","axis":1,"title":"Inventaire et classification des actifs SI","blocking":false,"question":"Maintenez-vous un inventaire des actifs SI (serveurs, postes, données, applications) ?","evidenceLabel":"CMDB / inventaire + classification.","expectedKeywords":["inventaire","actif","cmdb","classification"],"minMatch":0.4},{"id":"N-6","axis":2,"title":"Politique d'authentification forte (MFA)","blocking":true,"question":"Le MFA est-il imposé sur tous les accès distants et les comptes à privilèges ?","evidenceLabel":"Politique MFA + capture configuration (Okta, Azure AD…).","expectedKeywords":["mfa","authentification","double facteur","privilège","accès"],"minMatch":0.5},{"id":"N-7","axis":2,"title":"Chiffrement des données sensibles au repos et en transit","blocking":true,"question":"Les données sensibles sont-elles chiffrées (AES-256 au repos, TLS 1.2+ en transit) ?","evidenceLabel":"Politique de chiffrement + capture configuration.","expectedKeywords":["chiffrement","aes","tls","repos","transit"],"minMatch":0.5},{"id":"N-8","axis":2,"title":"Gestion des vulnérabilités (patch management)","blocking":true,"question":"Avez-vous une procédure de gestion des vulnérabilités (scan + correctifs) ?","evidenceLabel":"Procédure + rapports scan + délai SLA correctif.","expectedKeywords":["vulnérabilité","patch","scan","correctif","sla"],"minMatch":0.4},{"id":"N-9","axis":2,"title":"Segmentation réseau et zero trust","blocking":false,"question":"Le réseau est-il segmenté (VLAN, micro-segmentation) et zéro trust appliqué aux ressources critiques ?","evidenceLabel":"Schéma réseau + politique zéro trust.","expectedKeywords":["segmentation","vlan","zero trust","réseau","isolation"],"minMatch":0.3},{"id":"N-10","axis":2,"title":"Sauvegardes chiffrées et immuables","blocking":true,"question":"Vos sauvegardes sont-elles chiffrées, externalisées, testées et immuables (anti-ransomware) ?","evidenceLabel":"Politique de sauvegarde + dernier test de restauration.","expectedKeywords":["sauvegarde","backup","immuable","restauration","chiffré"],"minMatch":0.5},{"id":"N-11","axis":2,"title":"EDR / XDR sur les postes et serveurs","blocking":false,"question":"Avez-vous déployé une solution EDR/XDR ?","evidenceLabel":"Console EDR + liste machines couvertes.","expectedKeywords":["edr","xdr","endpoint","détection","antivirus"],"minMatch":0.3},{"id":"N-12","axis":2,"title":"Journalisation et SIEM","blocking":false,"question":"Centralisez-vous les logs et appliquez-vous des règles de détection (SIEM) ?","evidenceLabel":"Console SIEM + politique de rétention 6-12 mois.","expectedKeywords":["log","siem","journalisation","détection","alerte"],"minMatch":0.3},{"id":"N-13","axis":2,"title":"Gestion des identités et des accès (IAM)","blocking":false,"question":"Disposez-vous d'une IAM avec joiner/mover/leaver, revue d'accès et JIT pour les privilèges ?","evidenceLabel":"Politique IAM + revue d'accès trimestrielle.","expectedKeywords":["iam","identité","accès","revue","privilège"],"minMatch":0.4},{"id":"N-14","axis":3,"title":"Procédure de gestion d'incident","blocking":true,"question":"Avez-vous une procédure documentée de réponse à incident (rôles, escalade, communication) ?","evidenceLabel":"Playbook IR + tableau d'escalade.","expectedKeywords":["incident","playbook","escalade","réponse","communication"],"minMatch":0.5},{"id":"N-15","axis":3,"title":"Notification autorité (ANSSI) sous 24h / 72h","blocking":true,"question":"Connaissez-vous le délai NIS2 (24h notification initiale, 72h notification détaillée, 1 mois rapport final) ?","evidenceLabel":"Procédure interne avec délais + canaux ANSSI / CERT.","expectedKeywords":["notification","24h","72h","anssi","cert"],"minMatch":0.4},{"id":"N-16","axis":3,"title":"Information des bénéficiaires d'un service","blocking":false,"question":"Si un incident affecte un service, comment informez-vous les utilisateurs ?","evidenceLabel":"Modèle de communication clients + canaux (status page, email).","expectedKeywords":["communication","client","status","utilisateur","transparence"],"minMatch":0.3},{"id":"N-17","axis":3,"title":"Exercices de crise cyber","blocking":false,"question":"Réalisez-vous des exercices cyber (table-top, simulation ransomware) au moins 1×/an ?","evidenceLabel":"Compte-rendu dernier exercice + plan d'amélioration.","expectedKeywords":["exercice","crise","simulation","ransomware","table"],"minMatch":0.3},{"id":"N-18","axis":3,"title":"Capacité forensique","blocking":false,"question":"Disposez-vous d'une capacité forensique interne ou contractuelle (prestataire CERT) ?","evidenceLabel":"Contrat prestataire forensique + scope.","expectedKeywords":["forensique","cert","investigation","prestataire"],"minMatch":0.3},{"id":"N-19","axis":4,"title":"Évaluation cyber des fournisseurs critiques","blocking":true,"question":"Évaluez-vous le niveau de sécurité de vos fournisseurs critiques (cloud, infogérance, SaaS) ?","evidenceLabel":"Questionnaire fournisseur + scoring + revue annuelle.","expectedKeywords":["fournisseur","questionnaire","évaluation","scoring","annuel"],"minMatch":0.4},{"id":"N-20","axis":4,"title":"Clauses contractuelles sécurité (chaîne d'appro)","blocking":false,"question":"Vos contrats fournisseurs incluent-ils des clauses sécurité (notification incident, audit, SLA) ?","evidenceLabel":"Clauses-type cyber + DPA / Annexe sécurité.","expectedKeywords":["contrat","clause","sla","audit","notification"],"minMatch":0.3},{"id":"N-21","axis":4,"title":"Visibilité sur la chaîne logicielle (SBOM)","blocking":false,"question":"Connaissez-vous les composants tiers de vos logiciels (SBOM, dépendances) ?","evidenceLabel":"SBOM exporté + outil SCA (Snyk, Dependabot).","expectedKeywords":["sbom","dépendance","composant","supply chain","sca"],"minMatch":0.3},{"id":"N-22","axis":5,"title":"Formation cyber régulière des collaborateurs","blocking":true,"question":"Vos collaborateurs sont-ils formés régulièrement à la cybersécurité (phishing, mots de passe, social engineering) ?","evidenceLabel":"Plan de formation + taux de complétion + simulations phishing.","expectedKeywords":["formation","phishing","sensibilisation","collaborateur","simulation"],"minMatch":0.4},{"id":"N-23","axis":5,"title":"Sensibilisation des dirigeants","blocking":false,"question":"Les dirigeants ont-ils suivi une formation cyber spécifique (NIS2 art. 20) ?","evidenceLabel":"Attestation de formation des dirigeants.","expectedKeywords":["dirigeant","direction","formation","attestation"],"minMatch":0.3},{"id":"N-24","axis":5,"title":"Politique mots de passe et secrets","blocking":false,"question":"Avez-vous une politique mots de passe forte et un gestionnaire de secrets (Bitwarden, Vault) ?","evidenceLabel":"Politique + déploiement gestionnaire.","expectedKeywords":["mot de passe","gestionnaire","vault","bitwarden","secret"],"minMatch":0.3},{"id":"N-25","axis":5,"title":"Charte cybersécurité signée par tous les employés","blocking":false,"question":"Avez-vous une charte informatique signée par chaque collaborateur ?","evidenceLabel":"Charte signée + registre des signatures.","expectedKeywords":["charte","signé","collaborateur","informatique"],"minMatch":0.3}]}