Version 2026.1
Référentiel d’hygiène cyber
Le référentiel versionné qui fonde chaque score et chaque attestation CyberKit — inspiré du guide d’hygiène de l’ANSSI et mappé à la directive NIS2.
Chaque contrôle est pondéré selon son importance pour la posture de sécurité. Une attestation conserve la version du référentiel sous laquelle elle a été émise.
Échelle de note
Le score 0–100 se lit aussi d’un coup d’œil, de A à F.
A
≥ 90/100
B
≥ 75/100
C
≥ 60/100
D
≥ 45/100
E
≥ 25/100
F
≥ 0/100
Contrôles par domaine
Authentification & mots de passe
| Contrôle | Poids | NIS2 |
|---|---|---|
| La double authentification (MFA) est-elle activée sur vos e-mails et outils cloud ? | ●●●3/3 | j g |
| La MFA protège-t-elle vos accès distants et administrateurs (VPN, RDP, comptes admin) ? | ●●●3/3 | j i |
| Utilisez-vous un gestionnaire de mots de passe (et des mots de passe uniques) ? | ●1/3 | i g |
Sauvegardes
| Contrôle | Poids | NIS2 |
|---|---|---|
| Vos données critiques sont-elles sauvegardées régulièrement et automatiquement ? | ●●2/3 | c |
| Une copie de sauvegarde est-elle hors-ligne ou immuable (déconnectée du réseau) ? | ●●●3/3 | c |
| Avez-vous déjà testé une restauration de sauvegarde ? | ●●2/3 | c |
Postes & mises à jour
| Contrôle | Poids | NIS2 |
|---|---|---|
| Les mises à jour de sécurité sont-elles installées rapidement (idéalement automatiquement) ? | ●●2/3 | e g |
| Un antivirus / EDR est-il actif sur tous les postes et serveurs ? | ●●2/3 | g e |
| Êtes-vous certain de n’utiliser aucun logiciel ou système en fin de vie (non maintenu) ? | ●●2/3 | e |
E-mail & hameçonnage
| Contrôle | Poids | NIS2 |
|---|---|---|
| Votre domaine est-il protégé contre l’usurpation d’e-mails (SPF, DKIM, DMARC) ? | ●●2/3 | g |
| Vos équipes sont-elles sensibilisées à l’hameçonnage (phishing) ? | ●1/3 | g |
Accès & exposition
| Contrôle | Poids | NIS2 |
|---|---|---|
| Êtes-vous sûr qu’aucun bureau à distance (RDP) n’est exposé directement sur Internet ? | ●●●3/3 | i e |
| Les droits d’administration sont-ils limités au strict nécessaire ? | ●1/3 | i |
| Les accès sont-ils retirés immédiatement au départ d’un collaborateur ? | ●1/3 | i |
Gouvernance & réaction
| Contrôle | Poids | NIS2 |
|---|---|---|
| Tenez-vous un inventaire à jour de vos matériels et logiciels ? | ●1/3 | i a |
| Savez-vous qui appeler et quoi faire en cas d’incident (et déposer plainte sous 72h) ? | ●●2/3 | b |
| Disposez-vous d’une assurance cyber en vigueur ? | ●1/3 | a |
Correspondance NIS2 (article 21.2)
Les mesures de gestion des risques de la directive (UE) 2022/2555 couvertes par le référentiel.
- a
- Politiques d'analyse des risques et de sécurité des systèmes d'information
- b
- Gestion des incidents
- c
- Continuité de l'activité (sauvegardes, reprise après sinistre, gestion de crise)
- d
- Sécurité de la chaîne d'approvisionnement
- e
- Sécurité de l'acquisition, du développement et de la maintenance (gestion et divulgation des vulnérabilités)
- f
- Procédures d'évaluation de l'efficacité des mesures
- g
- Pratiques d'hygiène informatique de base et formation
- h
- Cryptographie et, le cas échéant, chiffrement
- i
- Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
- j
- Authentification multifacteur (ou continue) et communications sécurisées
Référentiel inspiré du Guide d’hygiène informatique de l’ANSSI ; mapping réglementaire opposable établi sur l’article 21.2 de la directive NIS2.