CloudSoul
Ressources · Blog · NIS2

La proportionnalité en pratique : dimensionner correctement vos mesures NIS2

Maîtrisez les exigences de proportionnalité de NIS2. Apprenez à évaluer, dimensionner et justifier les mesures de cybersécurité pour les entités essentielles et importantes.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 25 May 2026 · 9 min de lecture
NIS2
La proportionnalité en pratique : dimensionner correctement vos mesures NIS2

Qui devrait lire ceci : responsables de la conformité, responsables de la sécurité des systèmes d’information, professionnels de la gestion des risques.

L’un des défis les plus importants auxquels font face les organisations lors de la mise en œuvre de la directive NIS2 est de déterminer ce que signifie réellement « approprié et proportionné » en pratique. La directive insiste régulièrement sur la proportionnalité : à l’article 21(1), elle impose aux entités essentielles et importantes de prendre « des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées ». Ce langage semble simple jusqu’à ce que vous vous asseyiez avec votre conseil et tentiez d’expliquer pourquoi votre organisation dépense des millions sur certains contrôles mais pas sur d’autres. Comprendre la proportionnalité n’est pas un exercice théorique ; c’est le fondement juridique et pratique de votre programme de conformité.

Le principe de proportionnalité existe pour une bonne raison. La directive reconnaît explicitement, au considérant 81, qu’imposer des charges financières et administratives disproportionnées ne sert personne, ni les organisations elles-mêmes, ni la posture de sécurité des infrastructures critiques européennes. Pourtant, la proportionnalité n’est pas un laissez-passer pour faire le strict minimum. Il s’agit plutôt d’une exigence nuancée qui exige que vous compreniez vos risques, votre contexte opérationnel et les ressources dont vous disposez, puis que vous preniez des décisions défendables sur la manière d’investir votre budget de sécurité.

Comprendre le cadre de proportionnalité

L’article 21(1) de NIS2 énonce le principe central : les mesures doivent être proportionnées aux risques posés à vos réseaux et systèmes d’information. Lorsque vous évaluez cette proportionnalité, la directive vous oblige à tenir compte de plusieurs facteurs, qui doivent tous être documentés et examinés de manière systématique. Ces facteurs forment une matrice de proportionnalité que tout responsable de la conformité devrait avoir intégrée.

Le premier facteur est l’exposition de votre organisation aux risques. Il ne s’agit pas d’un risque générique ; c’est le paysage de menaces spécifique auquel est confronté votre secteur, et votre position particulière dans celui-ci. Un prestataire de soins de santé qui gère des dossiers patients fait face à des menaces différentes de celles d’un service de distribution d’eau, même si tous deux sont des entités essentielles. Votre évaluation d’exposition devrait prendre en compte les renseignements sectoriels sur les menaces dont vous disposez, la prévalence des attaques contre des organisations similaires, et les tactiques que les acteurs de la menace emploient typiquement dans votre secteur. Le groupe de coopération et l’ENISA publient des orientations sectorielles, et votre CSIRT national peut fournir des renseignements sur les menaces adaptés au contexte national.

Le deuxième facteur est la taille de votre organisation. Une petite entité essentielle de cinquante employés ne peut pas, de manière crédible, mettre en œuvre la même architecture technique qu’une grande multinationale. NIS2 reconnaît cette réalité. Lorsque vous évaluez la proportionnalité, la taille de votre organisation (mesurée en employés, en chiffre d’affaires ou en portée opérationnelle) est une variable légitime. Cependant, la taille n’est pas binaire ; elle s’inscrit sur un spectre. Une organisation de taille intermédiaire ne peut pas se cacher derrière des arguments de taille. La directive attend une réponse proportionnée qui reflète votre capacité opérationnelle réelle.

Le troisième facteur est la probabilité et la gravité des incidents susceptibles d’affecter vos opérations. C’est la probabilité multipliée par l’impact. Vous devez estimer non seulement si un incident pourrait survenir, mais aussi quelle est sa probabilité compte tenu de votre paysage de menaces, et quelles seraient les conséquences s’il survenait. Les conséquences incluent la perturbation opérationnelle, la perte financière et, surtout, l’impact sociétal et économique. Si votre organisation fournit des services d’énergie, d’eau ou de santé, un incident peut nuire au bien-être public. La dimension sociétale traverse l’ensemble de NIS2 et est essentielle aux évaluations de proportionnalité pour les entités essentielles.

Le considérant 82 apporte des clarifications supplémentaires : la proportionnalité doit refléter la criticité de votre entité, les risques auxquels elle est exposée (y compris les risques sociétaux), votre taille, et la probabilité et la gravité des incidents, y compris leur impact sociétal et économique. Notez la répétition délibérée de l’impact sociétal. La directive signale que pour les entités essentielles, l’impact sociétal n’est pas périphérique ; il est central pour déterminer les mesures appropriées.

Le rôle des normes et de l’état de l’art

L’article 21(1) exige que vous considériez « l’état de l’art et, le cas échéant, les normes européennes et internationales pertinentes, ainsi que le coût de la mise en œuvre » lorsque vous déterminez des mesures proportionnées. C’est un langage essentiel. On n’attend pas de vous que vous mettiez en œuvre toutes les technologies de pointe ou tous les contrôles publiés dans la dernière révision du cadre NIST. On attend de vous que vous mettiez en œuvre des mesures qui sont à jour et acceptées dans votre secteur.

L’expression « état de l’art » est une cible mobile. Elle désigne les meilleures pratiques actuelles, largement acceptées dans votre secteur. Si vos concurrents dans la distribution d’eau mettent en œuvre le durcissement des systèmes de contrôle industriel selon IEC 62443, alors l’état de l’art pour les distributeurs d’eau inclut cette norme. Si les hôpitaux déploient des réseaux de segmentation pour les dispositifs médicaux, cela devient pertinent pour les évaluations de proportionnalité d’autres hôpitaux.

Les normes européennes et internationales (ISO 27001, ISO 27005, IEC 62443, NIST Cybersecurity Framework, et d’autres) servent de points de référence. Elles ne sont pas obligatoires par leur nom, mais elles constituent les références par rapport auxquelles les régulateurs évalueront le caractère raisonnable de votre approche. Notamment, la directive ne vous oblige pas à être certifié ISO 27001. Elle ne mandate pas de cadres de contrôle spécifiques. Elle demande que vous les preniez au sérieux comme points de référence et que vous justifiez les écarts par rapport à ceux-ci.

Le coût de la mise en œuvre fait explicitement partie de l’évaluation de proportionnalité. Si un contrôle particulier coûte plus que le bénéfice qu’il apporte, vous avez des motifs légitimes de remettre en question son caractère proportionné. Cependant, cela doit être compris avec soin. Vous ne pouvez pas soutenir qu’un contrôle critique est disproportionné parce qu’il est coûteux si l’alternative est un risque inacceptable pour votre organisation ou pour les services publics. Évaluez plutôt le rapport coût-bénéfice à la marge : les contrôles qui apportent une réduction de risque modeste à un coût énorme peuvent raisonnablement être déprioritisés au profit de contrôles qui apportent une réduction substantielle à un coût modéré.

Documenter votre analyse de proportionnalité

En pratique, la proportionnalité doit pouvoir être démontrée. Vos responsables de la conformité, votre conseil, et finalement votre régulateur ont besoin de voir que vous avez appliqué une méthodologie structurée à votre évaluation de proportionnalité. Il ne s’agit pas de produire une documentation élaborée pour le simple plaisir de le faire. Il s’agit de créer une piste d’audit qui montre votre raisonnement.

Commencez par cartographier vos actifs et services critiques. Quels sont les services essentiels que votre organisation fournit ? Quels réseaux et systèmes d’information sont essentiels à la fourniture de ces services ? Pour les entités essentielles, cela inclut typiquement les systèmes soutenant l’approvisionnement en énergie, la distribution d’eau, les réseaux de transport, les services de santé ou l’infrastructure numérique. Pour les entités importantes, l’évaluation est plus restreinte mais suit la même logique.

Ensuite, menez une évaluation des risques qui traite les facteurs spécifiques mentionnés à l’article 21(1). Documentez votre exposition aux risques : quels acteurs de la menace ciblent votre secteur, quelles techniques emploient-ils, quelle est la fréquence typique des attaques, et quelle est la gravité des incidents lorsqu’ils surviennent ? Évaluez votre taille et votre capacité opérationnelle : combien de professionnels de la sécurité avez-vous, quel est votre budget, quelle est votre empreinte géographique, et quel est votre niveau de maturité technique ? Évaluez la probabilité et la gravité des incidents susceptibles d’affecter spécifiquement votre organisation, en vous appuyant sur les renseignements sectoriels sur les menaces et vos propres données historiques d’incidents.

Ensuite, pour chacune des mesures obligatoires de gestion des risques énoncées à l’article 21(2), qui comprennent les politiques d’analyse des risques, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, les pratiques de développement, l’évaluation de l’efficacité, la formation, les politiques cryptographiques, la sécurité des ressources humaines et l’authentification multifacteur, évaluez quels contrôles spécifiques sont proportionnés à votre profil de risque. Vous pouvez mettre en œuvre ces mesures par différents mécanismes : certaines organisations construisent les contrôles en interne, d’autres les externalisent à des fournisseurs de services de sécurité gérés, et certaines s’appuient sur les capacités intégrées des fournisseurs cloud. La directive se soucie du résultat, c’est-à-dire que les mesures soient en place et efficaces, et non du mécanisme de livraison.

Documentez vos décisions et votre raisonnement. Si vous avez décidé de ne pas mettre en œuvre un contrôle particulier, expliquez pourquoi il n’est pas proportionné. Si vous avez mis en œuvre un contrôle sous une forme modifiée plutôt que selon l’approche standard du secteur, expliquez la justification fondée sur les risques. Cette documentation n’est pas une simple formalité bureaucratique ; c’est votre première ligne de défense si votre régulateur conteste votre évaluation de proportionnalité.

La proportionnalité dans l’application

Il convient de noter que la proportionnalité n’est pas seulement un principe de conception ; c’est aussi un principe d’application. L’article 21(4) exige que les organisations qui découvrent une non-conformité prennent « toutes les mesures correctives nécessaires, appropriées et proportionnées » sans retard injustifié. Cela signifie que si vous identifiez une lacune, votre plan de remédiation devrait être proportionné au risque posé par cette lacune. Un retard dans le déploiement de l’authentification multifacteur sur un système non critique peut justifier un délai de remédiation plus court qu’un retard dans les capacités de détection d’incidents sur un système critique.

De plus, la proportionnalité est intégrée au régime des amendes administratives. L’article 32 fixe des amendes maximales de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour les entités essentielles, et de 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entités importantes. Ce sont des maximums, pas des garanties. Lorsque les régulateurs évaluent les amendes, ils considéreront la gravité de l’infraction, la taille de l’organisation et l’adéquation des mesures de remédiation. Une organisation qui peut démontrer une évaluation de proportionnalité de bonne foi et une remédiation rapide après la découverte d’une lacune sera traitée plus clémentement qu’une organisation qui ignore ses obligations.

Points clés à retenir

  • La proportionnalité est une exigence légale, pas une excuse pour une conformité minimale. L’article 21(1) et les considérants 81-82 vous obligent à documenter comment vos mesures de gestion des risques correspondent à votre exposition aux risques, votre taille et votre contexte opérationnel.

  • Votre évaluation de proportionnalité devrait traiter explicitement l’exposition aux menaces, la taille organisationnelle, la probabilité et la gravité des incidents, et l’impact sociétal pour les entités essentielles. Chaque facteur devrait être documenté avec des preuves et un raisonnement.

  • Les normes et pratiques de l’état de l’art dans votre secteur servent de points de référence. Utilisez ISO, NIST, IEC et les cadres sectoriels pour comparer votre approche, et documentez tout écart justifié.

  • La proportionnalité n’est pas statique. À mesure que les menaces évoluent, que votre organisation grandit, ou que vos services critiques changent, revisitez votre évaluation de proportionnalité et ajustez vos mesures en conséquence.

  • Une documentation claire de votre méthodologie de proportionnalité est votre meilleure défense. Elle démontre une conformité de bonne foi, soutient la gouvernance du conseil et fournit la preuve d’une prise de décision raisonnable dans les conversations avec les régulateurs.

Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.

À lire aussi

Encore plus depuis le blog.

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne
NIS2 · 31 May 2026

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne

Le Luxembourg a transposé NIS2 par la loi du 5 mai 2026, désignant l'ILR, le HCPN et CIRCL comme piliers institutionnels. Ce que toute entité essentielle ou importante doit savoir.
Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs
NIS2 · 29 May 2026

Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs

Comprendre le cadre de divulgation coordonnée des vulnérabilités de l'article 12 de NIS2. Comment chercheurs, fournisseurs et CSIRT interagissent dans le nouveau processus CVD européen.
NIS2 pour l'industrie manufacturière : automobile, électronique et machines
NIS2 · 27 May 2026

NIS2 pour l'industrie manufacturière : automobile, électronique et machines

Comprendre les exigences NIS2 pour les fabricants de véhicules, d'électronique et de machines. Ce que les « entités importantes » doivent mettre en œuvre au titre de l'annexe II.