Comprendre l’audit ANSSI
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est l’autorité compétente en France pour la mise en œuvre de NIS2. L’audit de conformité vise à vérifier que votre organisation respecte les exigences de la directive sur les 20 objectifs du référentiel ReCyF.
Pour les Entités Essentielles (EE), l’audit peut être proactif (à l’initiative de l’ANSSI). Pour les Entités Importantes (EI), il survient généralement suite à un incident ou un signalement. Dans les deux cas, la préparation est déterminante.
Sanctions en cas de non-conformité
En cas de manquements constatés lors d’un audit, l’ANSSI peut mettre en demeure l’entité et, en l’absence de correction, prononcer des sanctions administratives (jusqu’à 10 M€ ou 2% du CA mondial pour une EE).
Cadrage et documentation
Posez les bases administratives et organisationnelles de l’audit.
Identifier et confirmer votre qualification (Entité Essentielle ou Importante)
Voir notre guide : Comment identifier si vous êtes EE ou EI
Désigner formellement un RSSI ou point de contact cybersécurité pour l’audit
Créer ou mettre à jour votre PSSI (Politique de Sécurité des Systèmes d’Information)
Document obligatoire — doit être signé par la direction
Constituer le dossier de conformité : inventaire des actifs, cartographie réseau, liste des administrateurs
S’enregistrer sur la plateforme MonEspaceCyber de l’ANSSI si ce n’est pas encore fait
Mandater un prestataire PRIS qualifié ANSSI si audit externe requis (EE)
Liste disponible sur le site de l’ANSSI
Collecte des preuves
Rassemblez les éléments de preuve pour chacun des 20 objectifs ReCyF.
Exporter le rapport de conformité Microsoft 365 (MFA, rôles Admin, logs d’audit)
Niveau Or via Microsoft Graph — le plus probant pour l’ANSSI
Documenter la politique de gestion des mots de passe et la complexité requise
Produire la liste de tous les comptes privilégiés (Global Admin, Exchange Admin, etc.)
Rassembler les preuves de chiffrement : certificats TLS, politique de chiffrement au repos
Vérifier et documenter la politique de sauvegarde avec les derniers résultats de test de restauration
Constituer le registre des incidents des 12 derniers mois (y compris les faux positifs)
Préparer les preuves de sensibilisation : attestations de formation, supports de e-learning
Documenter les accès tiers (prestataires, ESN) avec les dates d’expiration et révocations
Produire l’analyse de risques (EBIOS RM ou équivalent) mise à jour dans les 12 mois
Vérifier la conformité supply chain : clauses sécurité dans les contrats fournisseurs critiques
Vérification technique
Passez en revue l’état réel de vos systèmes avant que l’auditeur le fasse.
Lancer un scan de vulnérabilités sur les systèmes exposés et corriger les critiques
Ne laissez pas l’auditeur découvrir des CVE critiques non patchées
Vérifier que les logs d’audit sont bien activés sur tous les systèmes critiques
Tester la procédure de restauration des sauvegardes sur un environnement non-production
Contrôler que les règles firewall sont à jour et que les flux non utilisés sont bloqués
Vérifier que tous les comptes de collaborateurs partis sont bien désactivés
Contrôler la validité des certificats TLS (aucun certificat expiré en production)
S’assurer que les patches de sécurité des 30 derniers jours sont appliqués
Préparer l’équipe
Préparez les personnes qui seront interrogées pendant l’audit.
Briefer la direction sur les enjeux de l’audit et les questions susceptibles d’être posées
Préparer les équipes techniques (DSI, admins systèmes) avec un jeu de questions/réponses
Organiser un dossier numérique structuré avec toutes les preuves classées par objectif ReCyF
Confirmer la disponibilité de toutes les personnes clés pour le jour J
Préparer la salle de réunion / environnement Teams pour les sessions de travail avec l’auditeur
Vérifier les accès de démonstration (tableau de bord Sentinel NIS2, portail M365 Admin, etc.)
Conduite de l’audit
Conseils pratiques pour le déroulement de l’audit.
Accueillir l’auditeur avec le dossier de conformité complet prêt à remettre
Documenter toutes les demandes d’informations supplémentaires en temps réel
Ne jamais improviser une réponse : si vous ne savez pas, dites-le et promettez de revenir
L’honnêteté est valorisée — les réponses inexactes nuisent à la crédibilité
Prendre des notes sur les points soulevés par l’auditeur pour le plan d’action post-audit
Demander un récapitulatif des observations en fin de journée
Après l’audit
Un audit n’est pas une finalité mais un point de départ. Quel que soit votre résultat, les étapes post-audit sont cruciales pour maintenir et améliorer votre niveau de conformité.
- 01
Analyser le rapport d’audit
Lire attentivement chaque observation, distinguer les non-conformités majeures des recommandations.
- 02
Construire un plan d’action priorisé
Corriger d’abord les non-conformités à risque élevé. Associer un responsable et une date à chaque action.
- 03
Informer la direction
Le rapport d’audit doit remonter à la direction avec un plan d’action concret et des ressources allouées.
- 04
Planifier un prochain audit à blanc
Ne pas attendre le prochain audit ANSSI pour vérifier vos progrès. Faites un auto-audit tous les 6 mois.
Points clés à retenir
- Commencer la préparation 60 jours avant l’audit pour éviter le rush de dernière minute.
- Les preuves de niveau Or (API) sont préférées aux déclaratifs — investissez dans l’automatisation.
- La PSSI signée par la direction est systématiquement demandée en premier.
- Les comptes orphelins (collaborateurs partis) sont un point de contrôle récurrent.
- Sentinel NIS2 génère le rapport d’audit pré-rempli et maintient les preuves à jour en continu.