Qu'est-ce que NIS2 et est-ce que cela s'applique à mon organisation ?

NIS2 (Directive européenne 2022/2555) a été transposée en droit français par la Loi de Résilience, adoptée par le Sénat le 12 mars 2025. Elle impose aux organisations de certains secteurs de mettre en œuvre des mesures de cybersécurité et de signaler les incidents significatifs. NIS2 s'applique à votre organisation si vous fournissez un service listé dans l'Annexe I ou II de la loi et êtes qualifié comme entreprise moyenne ou grande (50+ salariés ou 10M€+ CA).

Qu'est-ce que le référentiel ReCyF ?

Le ReCyF (Référentiel Cyber Français) v2.5 est un référentiel de cybersécurité développé par Asphalia Consulting pour opérationnaliser les exigences du Règlement d'exécution (UE) 2024/2690 dans le contexte français. Il définit 152 moyens répartis en 20 objectifs et 4 piliers (Gouvernance, Protection, Défense, Résilience). Le ReCyF est croisé avec ISO 27001/27002, CIS Controls v8, IEC 62443, NIST CSF 2.0 et la Loi de Résilience.

Quelle est la différence entre Entité Essentielle (EE) et Entité Importante (EI) ?

Les Entités Importantes (EI) sont soumises aux objectifs 1-15 (~120 moyens), tandis que les Entités Essentielles (EE, secteurs Annexe I, grandes entreprises) couvrent les objectifs 1-20 (152 moyens), incluant des exigences renforcées en matière de gouvernance, de tests d'intrusion et de gestion de crise.

Que signifient les scores 1 à 5 ?

1 = Non conforme (rien en place), 2 = Insuffisant (pratiques informelles), 3 = Partiellement conforme (processus formels appliqués), 4 = Conforme (mesuré avec métriques), 5 = Optimisé (amélioration continue pilotée par les données).

Où sont stockées mes données ? Sont-elles privées ?

Toutes vos données sont stockées exclusivement dans le stockage local de votre navigateur. Rien n'est jamais envoyé à un serveur. L'outil est entièrement hors ligne : une fois chargé, il fonctionne sans connexion internet. Pas de compte, pas de connexion, pas de suivi. Conforme RGPD par conception.

Comment sauvegarder mon évaluation ?

Utilisez Export / Import → Sauvegarde JSON pour enregistrer une copie complète de toutes vos données dans un fichier .json. Pour restaurer, utilisez Export / Import → Import et sélectionnez le fichier .json. Exportez régulièrement, surtout avant de vider les données du navigateur ou de changer d'ordinateur.

Puis-je gérer plusieurs organisations ?

Oui. Le plan gratuit permet de gérer jusqu'à 2 organisations. Chacune a son propre profil, ses scores d'évaluation, son tableau de bord et sa feuille de route. Le plan Pro supprime cette limite.

AIDE & GUIDE UTILISATEUR

Tout ce qu'il faut pour utiliser l'outil ReCyF

Q: Quels sont les 4 piliers du ReCyF ?

Les 4 piliers sont : GOV (Gouvernance) — stratégie de gestion des risques, politiques, rôles et responsabilités ; PROT (Protection) — contrôle d'accès, chiffrement, sauvegardes, sécurité des plateformes ; DEF (Défense) — surveillance, détection d'anomalies, réponse aux incidents ; RES (Résilience) — continuité d'activité, plan de reprise, restauration.

Q: Cet outil est-il officiellement reconnu par l'ANSSI ?

Non. Cet outil est développé et maintenu par Asphalia Consulting SRL et n'est pas affilié ni reconnu par l'ANSSI. Il est basé sur le Règlement d'exécution (UE) 2024/2690 et les publications officielles de l'ANSSI.

Q: Quelles sont les sanctions NIS2 en cas de non-conformité ?

En vertu de la Loi de Résilience, l'ANSSI peut imposer des amendes administratives : jusqu'à 10 millions d'euros ou 2% du CA mondial pour les Entités Essentielles, et jusqu'à 7 millions d'euros ou 1,4% du CA mondial pour les Entités Importantes. Des mesures supplémentaires peuvent inclure la suspension temporaire de services ou des interdictions pour les dirigeants.

De zero connaissance de NIS2 a votre premiere evaluation completee — aucune experience prealable requise.

Guide pas a pas ↓ FAQ ↓

PRISE EN MAIN

Comment utiliser l'outil

Lisez ce guide de haut en bas — cela prend environ 10 minutes et ne suppose aucune connaissance prealable de NIS2, du ReCyF ou des referentiels de cybersecurite.

INTRO

La Loi de Resilience francaise (transposant la directive europeenne NIS2 2022/2555, adoptee par le Senat le 12 mars 2025) impose aux organisations des secteurs critiques de mettre en oeuvre des mesures de cybersecurite adequates. Le referentiel de reference pour demontrer la conformite est le Reglement d'execution (UE) 2024/2690, que le ReCyF (Referentiel Cyber Francais) v2.5 operationnalise en 152 moyens evalues individuellement.

Le ReCyF est structure en 4 piliers (Gouvernance, Protection, Defense, Resilience) avec 20 objectifs et 152 moyens. Les organisations doivent evaluer leur maturite sur chacun de ces moyens, puis preparer les preuves necessaires en vue d'un controle de l'ANSSI.

Cet outil vous aide a conduire et gerer cette auto-evaluation gratuitement, entierement dans votre navigateur. Aucune donnee n'est jamais envoyee a un serveur.

Ce que cet outil fait et ne fait pas :

Il fait : vous guide a travers les 152 moyens, evalue votre maturite actuelle, identifie les ecarts et construit une feuille de route priorisee.
Il ne fait pas : remplacer un controle formel de l'ANSSI, fournir une certification de conformite legale, ni donner des conseils juridiques specifiques a votre organisation.

Processus type de bout en bout :

Etapes 1-4 (cet outil) : Determiner votre type d'entite → evaluer tous les moyens → analyser les ecarts.
Etape 5 : Utiliser la feuille de route pour combler les ecarts et rassembler les preuves.
Etape 6 : Exporter vos scores → preparer le dossier de conformite pour l'ANSSI.
Etape 7 : S'enregistrer aupres de l'ANSSI conformement aux obligations de la Loi de Resilience.

NIS2 classe les organisations en deux groupes, chacun determinant le perimetre d'exigences ReCyF :

Entite Essentielle (EE) : secteurs de l'Annexe I, grande entreprise (≥250 salaries ou ≥50M€ CA). S'appliquent : les 20 objectifs (152 moyens). EE
Entite Importante (EI) : secteurs Annexe I (taille moyenne), ou secteurs Annexe II qualifiants. S'appliquent : les objectifs 1-15 (les moyens des objectifs 16-20 sont exclus). EI

Exemples de secteurs Annexe I (EE ou EI selon taille) : energie, transports, banques, infrastructures des marches financiers, sante, eau potable, eaux usees, infrastructure numerique, gestion des services TIC, administration publique, espace.

Exemples de secteurs Annexe II (toujours EI si qualifiant) : services postaux et de courrier, gestion des dechets, chimie, agroalimentaire, industrie manufacturiere, fournisseurs numeriques (places de marche, moteurs de recherche, reseaux sociaux), organismes de recherche.

Seuils de taille :

Categorie	Salaries	CA annuel ou bilan
Micro / Petite	< 50	< 10M€
Moyenne	50-249	10M€-50M€
Grande	≥ 250	≥ 50M€ (ou ≥ 43M€ bilan)

Note : Certaines entites sont dans le perimetre quelle que soit leur taille — prestataires de services de confiance, registres de TLD, operateurs DNS, et certaines administrations publiques.

Astuce Pas sur de votre type d'entite ? L'outil inclut un assistant de perimetre NIS2 dans Profil → Perimetre NIS2. Il vous guide a travers les criteres cles etape par etape.

Ouvrir l'outil pour verifier votre type d'entite →

Ouvrez l'outil. Vous arrivez sur l'ecran d'accueil Organisations.

Cliquez sur « + Nouvelle organisation »
Entrez le nom de votre organisation (visible uniquement par vous, stocke localement)
Selectionnez votre secteur (utilise pour le contexte et certains filtres dans la section Reference)
Selectionnez votre taille (Micro/Petite, Moyenne, ou Grande)
Selectionnez votre type d'entite (EI ou EE) — cela determine quels objectifs et moyens apparaissent dans l'evaluation
Cliquez sur Creer

Votre profil est sauvegarde localement dans votre navigateur — rien n'est envoye a un serveur. Vous pouvez creer plusieurs organisations (filiales, clients, ou profils de test).

Modifier votre organisation plus tard : Ouvrez votre organisation → cliquez sur l'onglet Profil dans la barre laterale → modifiez n'importe quel champ. Changer le type d'entite ajuste les moyens affiches mais ne supprime pas les scores existants.

Astuce Vous pouvez changer le type d'entite a tout moment depuis la section Profil sans perdre vos scores.

Creer votre premiere organisation →

Le ReCyF est organise en une hierarchie a 3 niveaux : Pilier → Objectif → Moyen.

Niveau	Exemple	Nombre
Pilier (4)	GOV (Gouvernance), PROT (Protection), DEF (Defense), RES (Resilience)	4
Objectif	GOV-1 — Gouvernance de la cybersecurite	20
Moyen	GOV-1.1 — Les roles et responsabilites...	152 au total

Les 4 piliers et leurs domaines :

GOV – GOUVERNANCE : Gouvernance, strategie de gestion des risques, politiques, roles et responsabilites, conformite reglementaire
PROT – PROTECTION : Controle d'acces, sensibilisation, securite des donnees, securite des plateformes, resilience technologique
DEF – DEFENSE : Surveillance continue, detection d'anomalies, gestion des incidents, analyse et attenuation
RES – RESILIENCE : Plan de reprise, restauration, communication pendant la reprise, retours d'experience

Objectifs 16-20 (EE uniquement) : Les objectifs 16 a 20 ne s'appliquent qu'aux Entites Essentielles (EE). Ils sont marques d'un badge EE uniquement dans l'outil. Les objectifs 1-15 s'appliquent a la fois aux EI et aux EE.

Astuce Parcourez le referentiel complet sans noter quoi que ce soit : utilisez Reference → Explorateur dans la barre laterale. Vous pouvez filtrer par type d'entite, pilier, ou normes liees (ISO 27001/27002, CIS v8, IEC 62443, NIST CSF 2, Reglement 2024/2690).

Allez dans Evaluer dans la barre laterale. Pour chaque moyen, attribuez un score unique sur une echelle de 1 a 5 :

Score	Nom	Signification	Exemple (controle d'acces)
1	Non conforme	Rien n'existe ; purement reactif	Pas de politique ; mots de passe partages par email
2	Insuffisant	Informel, ad hoc, au cas par cas	Quelques regles de mots de passe informelles ; pas de MFA
3	Partiellement conforme	Formel, approuve, applique a l'echelle de l'organisation	Politique ecrite ; MFA en place ; revues d'acces regulieres
4	Conforme	Mesure, avec des metriques et des objectifs	Metriques d'acces suivies ; politique revue avec KPIs
5	Optimise	Amelioration continue, pilote par les donnees	Provisioning automatise ; cycle d'amelioration continue en place

Votre score de maturite pour un objectif = moyenne des scores de ses moyens. Votre score global = moyenne de l'ensemble des moyens applicables.

Conseils pratiques pour l'evaluation :

Evaluez honnetement : Un auditeur recherchera des preuves — si vous notez 4 (Conforme), vous devez pouvoir demontrer que c'est effectivement mesure et suivi dans toute l'organisation.
Utilisez le champ Notes : Chaque moyen dispose d'un champ notes. Notez votre justification, les references de preuves, ou les rappels d'actions pendant que vous evaluez.
Utilisez les filtres : Filtrez par pilier, objectif, ou « non note uniquement » pour vous concentrer sur un domaine a la fois. Vous n'avez pas besoin de tout completer en une seule session.
Moteur de preuves : L'outil inclut un moteur de preuves qui vous aide a identifier les documents et elements de preuve necessaires pour chaque moyen.

Astuce Vous n'avez pas a tout faire d'un coup — l'outil sauvegarde automatiquement. Utilisez les filtres pour vous concentrer sur des piliers ou des moyens non notes specifiques. Ctrl+Z annule les modifications recentes de scores.

Allez dans Tableau de bord. Le dashboard calcule votre position de conformite en temps reel.

Le graphique radar montre votre score moyen de maturite pour chacun des 4 piliers. Les piliers en-deca du seuil sont mis en evidence.
La jauge de conformite montre votre score global de maturite par rapport au seuil — et votre progression en pourcentage.
Le panneau de statut par objectif montre combien d'objectifs atteignent le minimum et combien sont encore en-dessous.
Le tableau d'analyse des ecarts liste tous les piliers et moyens en-dessous du seuil, avec l'ecart exact, trie par severite.
Code couleur : vert = au seuil ou au-dessus · orange = a moins de 0.5 du seuil · rouge = ecart significatif.

Comparaison sectorielle : Le tableau de bord propose un benchmark sectoriel anonymise pour situer votre organisation par rapport aux entites de meme secteur et taille.

Comment lire votre resultat : Tout en vert signifie que vous etes pret pour un controle ANSSI. Les moyens en rouge sont les plus urgents — corrigez-les avant de traiter les moyens orange.

Astuce Ne visez pas tout en vert immediatement. Le tableau de bord est concu pour vous aider a prioriser — concentrez-vous d'abord sur les moyens en rouge, car ils ont le plus d'impact sur le statut de conformite.

Ouvrir votre tableau de bord →

Allez dans Feuille de route. L'outil genere une Matrice de priorite — tous les moyens en-dessous du seuil, classes par taille d'ecart et poids.

Creer des actions : Ouvrez n'importe quel moyen dans la matrice → cliquez sur « + Ajouter une action » → entrez un titre, assignez a une personne (nom ou role), definissez une date cible, ajoutez des notes si besoin → suivez le statut : Planifie → En cours → Fait.

Une fois qu'une action est faite et que vous re-evaluez le moyen sous-jacent, l'ecart se reduit et l'element sort de la matrice.

Utiliser les snapshots pour le suivi de la progression :

Cliquez sur « Prendre un snapshot » pour sauvegarder vos scores actuels comme un point de controle nomme (ex. « Baseline T1 2025 », « Post-remediation juillet »).
Les snapshots apparaissent dans l'onglet Historique — comparez deux snapshots pour visualiser l'amelioration dans le temps.
Prenez un snapshot avant toute session importante d'evaluation pour pouvoir toujours revenir a un etat connu.

Astuce Commencez par les moyens en rouge. Combler un ecart important debloque souvent le score de conformite global plus rapidement qu'ameliorer de nombreux petits moyens.

Ouvrir la feuille de route →

Allez dans Export / Import dans la barre laterale. Trois formats sont disponibles :

PDF : Un rapport de conformite mis en forme avec les scores, le graphique radar, l'analyse des ecarts et la feuille de route. Adapte aux rapports de direction ou au partage avec un auditeur. Genere entierement dans votre navigateur — aucune donnee ne quitte votre appareil.
Excel (XLSX) : Tous les moyens avec vos scores et calculs d'ecarts, une ligne par moyen. Utile pour l'analyse detaillee, les tableaux croises dynamiques, ou le partage avec un auditeur habitude aux tableurs.
JSON : Une sauvegarde complete de toutes vos donnees — toutes les organisations, scores, notes, actions et snapshots. Utilisez-la pour migrer entre ordinateurs, navigateurs, ou comme sauvegarde reguliere.

Importer une sauvegarde JSON : Allez dans Export / Import → Import → selectionnez votre fichier .json → choisissez de fusionner (ajouter aux donnees existantes) ou remplacer (ecraser toutes les donnees existantes).

Bonne pratique : Exportez une sauvegarde JSON au moins une fois par semaine, et toujours avant de vider les donnees du navigateur, de changer de navigateur ou d'utiliser un nouvel appareil.

Astuce Exportez regulierement une sauvegarde JSON. Vos donnees sont stockees uniquement dans le stockage local de votre navigateur — si vous videz l'historique de navigation, le fichier JSON est le seul moyen de les restaurer.

La section Reference (barre laterale, independante de toute organisation) est une base de connaissances integree avec plusieurs onglets :

Vue d'ensemble : Un resume du referentiel ReCyF — nombre de moyens par type d'entite, seuils, normes externes liees, et un resume visuel des 4 piliers. Un bon point de depart avant votre premiere session d'evaluation.
Explorateur : Parcourez les 152 moyens avec des filtres puissants : type d'entite, pilier, objectif, et norme liee (ISO 27001/27002, CIS Controls v8, NIST CSF 2.0, IEC 62443, Reglement 2024/2690, Loi de Resilience). Cliquez sur n'importe quel moyen pour lire son texte d'orientation complet, ses exemples de cas d'usage, ses indices de preuves et ses references croisees.
Comparateur ANSSI : Correspondances officielles entre le ReCyF et les normes ISO, ainsi que les mappings vers le Reglement d'execution (UE) 2024/2690. Utilise les donnees de l'API publique de l'ANSSI.
Niveaux de maturite : Descriptions en langage clair de ce que les niveaux 1-5 signifient en pratique, avec des exemples concrets adaptes a votre type d'entite. Consultez-les quand vous hesitez sur un score.
Glossaire : Definitions de tous les termes cles utilises dans le ReCyF, NIS2 et cet outil (ex. « moyen », « pilier », « score de maturite », « ecart »). Consultez-le pour tout terme inconnu.
FAQ NIS2 : Questions-reponses sur le perimetre NIS2, les obligations de signalement, les delais, les sanctions et les questions sectorielles — basees sur la documentation officielle de l'ANSSI et de la directive NIS2.

Astuce Pas sur de ce qu'un moyen demande ? Ouvrez Reference → Explorateur, trouvez le moyen, et lisez son orientation et ses exemples de cas d'usage.

Ouvrir la section Reference →

Note : Cet outil est une aide a l'auto-evaluation — ses resultats sont indicatifs et n'ont pas de valeur juridique contraignante. La conformite legale est determinee par un controle formel de l'ANSSI ou un audit par un organisme accredite, et non par cet outil.

FAQ

Questions frequentes

Reponses rapides aux questions les plus frequentes. Cliquez sur une question pour la developper.

A propos de NIS2 & ReCyF

Qu'est-ce que NIS2 et est-ce que cela s'applique a mon organisation ?

NIS2 (Directive europeenne 2022/2555) a ete transposee en droit francais par la Loi de Resilience, adoptee par le Senat le 12 mars 2025. Elle impose aux organisations de certains secteurs de mettre en oeuvre des mesures de cybersecurite et de signaler les incidents significatifs.

NIS2 s'applique a votre organisation si vous : (1) fournissez un service liste dans l'Annexe I ou II de la loi ; et (2) etes qualifie comme entreprise moyenne ou grande (50+ salaries ou 10M€+ CA). Les administrations publiques, les prestataires de services de confiance et les operateurs DNS sont concernes quelle que soit leur taille.

Utilisez l'assistant de perimetre NIS2 dans l'outil (Profil → Perimetre NIS2) si vous n'etes pas sur.

Qu'est-ce que le referentiel ReCyF ?

Le ReCyF (Referentiel Cyber Francais) v2.5 est un referentiel de cybersecurite developpe par Asphalia Consulting pour operationnaliser les exigences du Reglement d'execution (UE) 2024/2690 dans le contexte francais. Il definit 152 moyens repartis en 20 objectifs et 4 piliers (Gouvernance, Protection, Defense, Resilience).

Le ReCyF est croise avec ISO 27001/27002, CIS Controls v8, IEC 62443, NIST CSF 2.0, le Reglement 2024/2690 et la Loi de Resilience. L'evaluation ReCyF constitue une demarche structuree pour demontrer la conformite NIS2 en France.

Quelle est la difference entre Entite Essentielle (EE) et Entite Importante (EI) ?

Type	Objectifs applicables	Moyens	Controle
EI	Objectifs 1-15	~120	Auto-evaluation + controle ANSSI
EE	Objectifs 1-20 (tous)	152	Auto-evaluation + controle renforce ANSSI

Les Entites Essentielles (secteurs Annexe I, grandes entreprises) sont soumises a un perimetre plus large incluant les objectifs 16-20, qui couvrent des exigences renforcees en matiere de gouvernance, de tests d'intrusion et de gestion de crise.

Quels sont les 4 piliers du ReCyF ?

GOV – GOUVERNANCE : Strategie de gestion des risques, politiques, roles et responsabilites, conformite reglementaire, sensibilisation
PROT – PROTECTION : Controle d'acces, chiffrement, sauvegardes, securite des plateformes, gestion des vulnerabilites
DEF – DEFENSE : Surveillance, detection d'anomalies, gestion des evenements de securite, reponse aux incidents
RES – RESILIENCE : Continuite d'activite, plan de reprise, restauration, retours d'experience

Que signifient les scores 1 a 5 ?

Score	Nom	Signification
1	Non conforme	Rien n'est en place ; purement reactif
2	Insuffisant	Pratiques informelles, ad hoc, non systematiques
3	Partiellement conforme	Processus formels, approuves et appliques a l'echelle de l'organisation
4	Conforme	Mesure, avec des metriques et des objectifs de performance
5	Optimise	Amelioration continue, pilote par les donnees et les retours

Ces seuils sont verifies par le tableau de bord en temps reel. La jauge et le code couleur montrent exactement ou vous en etes par rapport au seuil requis.

Quelles sont les obligations de signalement d'incidents NIS2 ?

NIS2 exige des organisations concernees de signaler les incidents significatifs a l'ANSSI dans des delais definis :

24 heures : Alerte precoce — notifier l'ANSSI qu'un incident significatif s'est produit.
72 heures : Notification initiale — fournir des details sur la nature de l'incident, l'impact initial et les indicateurs de compromission.
1 mois : Rapport final — analyse complete de l'incident, cause racine, actions de remediation entreprises.

Un incident est « significatif » s'il cause (ou pourrait causer) une perturbation grave de la fourniture du service, affecte d'autres organisations, ou implique un acte malveillant. Pour le signalement, utilisez le portail officiel de l'ANSSI. Cet outil ne gere pas le signalement des incidents.

Comment le ReCyF se compare-t-il a ISO 27001 ou NIST CSF ?

Le ReCyF est base sur le Reglement d'execution (UE) 2024/2690 et croise avec ISO 27001/27002, CIS Controls v8, NIST CSF 2.0 et IEC 62443.

ISO 27001 : Certification mondialement reconnue. De nombreux controles ISO 27001 correspondent a des moyens ReCyF. L'Explorateur de reference montre les correspondances exactes. Cependant, une certification ISO 27001 ne se substitue pas automatiquement a la conformite ReCyF/NIS2 — des preuves specifiques sont attendues par l'ANSSI.
NIST CSF : Les 4 piliers du ReCyF s'alignent structurellement sur les fonctions NIST. Si votre organisation utilise deja NIST CSF, le mapping vers le ReCyF est direct.
CIS Controls v8 : Orientations pratiques de mise en oeuvre. De nombreux moyens ReCyF correspondent a des controles CIS specifiques.

En resume : les certifications ou referentiels existants reduisent l'effort necessaire pour le ReCyF mais ne le remplacent pas.

Utiliser l'outil

Ou sont stockees mes donnees ? Sont-elles privees ?

Toutes vos donnees sont stockees exclusivement dans le stockage local de votre navigateur — une fonctionnalite integree qui conserve les donnees sur votre appareil uniquement. Rien n'est jamais envoye a un serveur. L'outil est entierement hors ligne : une fois charge, il fonctionne sans connexion internet.

Cela signifie que vos donnees d'evaluation sont completement privees et sous votre controle. Pas de compte, pas de connexion, pas de suivi. Conforme RGPD par conception.

Comment sauvegarder mon evaluation ?

Utilisez Export / Import → Sauvegarde JSON pour enregistrer une copie complete de toutes vos donnees dans un fichier .json. Stockez-le dans un endroit sur (dossier documents, cle USB, ou service de stockage cloud).

Pour restaurer, utilisez Export / Import → Import et selectionnez le fichier .json. Exportez regulierement — surtout avant de vider les donnees du navigateur ou de changer d'ordinateur.

Puis-je gerer plusieurs organisations ?

Oui. Le plan gratuit permet de gerer jusqu'a 2 organisations. Chacune a son propre profil, ses scores d'evaluation, son tableau de bord et sa feuille de route. Basculez entre elles via le selecteur d'organisation dans l'en-tete de l'outil. Besoin de plus ? Le plan Pro supprime cette limite.

J'ai accidentellement supprime quelque chose. Puis-je annuler ?

Dans la section Evaluer, les modifications recentes de scores peuvent etre annulees avec le bouton Annuler ou Ctrl+Z / ⌘Z. Pour les actions plus importantes (suppression d'une organisation), celles-ci ne sont pas annulables dans la session.

Si vous avez une sauvegarde JSON, vous pouvez la restaurer via Export / Import → Import. C'est pourquoi les exports reguliers sont fortement recommandes.

Comment changer la langue ?

Utilisez les boutons FR / EN dans la barre de navigation (cette page) ou dans l'en-tete de l'outil. Votre preference est sauvegardee automatiquement et retenue la prochaine fois.

Puis-je utiliser l'outil sur mobile ?

L'outil d'evaluation est concu pour les navigateurs de bureau (≥ 900px de large). Sur les ecrans plus petits, un avis recommande d'utiliser un ordinateur. Cette page d'aide et la page d'accueil sont entierement responsives. Pour l'evaluation proprement dite, un ordinateur portable ou de bureau est recommande.

Que se passe-t-il si je vide les donnees de mon navigateur ou change d'ordinateur ?

Vos donnees sont stockees exclusivement dans le stockage local de votre navigateur. Si vous videz l'historique, les cookies ou les donnees de site — ou si vous changez de navigateur ou d'ordinateur — vos donnees d'evaluation seront perdues.

Prevention : Exportez regulierement une sauvegarde JSON via Export / Import → Sauvegarde JSON. Stockez-la dans un endroit sur. Pour restaurer, utilisez Export / Import → Import et selectionnez le fichier .json.

Le fichier JSON contient toutes vos organisations, scores, notes, actions et snapshots — tout ce qu'il faut pour restaurer completement votre travail.

Puis-je ajouter des notes aux moyens individuels ?

Oui. Dans la section Evaluer, cliquez sur n'importe quel moyen pour le developper — vous trouverez un champ Notes. Utilisez-le pour enregistrer :

Votre justification pour le score attribue
Des references aux preuves (ex. « Document de politique : /IT/Politique-Controle-Acces-2025.pdf »)
Des rappels de suivi ou des questions ouvertes
Les noms des personnes responsables de la mise en oeuvre

Les notes sont sauvegardees automatiquement et incluses dans les exports JSON et XLSX. Elles sont particulierement utiles pour preparer un controle ANSSI.

Puis-je partager mon evaluation avec un collegue ou un consultant ?

L'outil ne propose pas de collaboration en temps reel — toutes les donnees restent dans votre navigateur. Pour travailler avec un collegue ou un consultant :

Exportez vos donnees en JSON (Export / Import → Sauvegarde JSON)
Envoyez le fichier a votre collegue
Il l'importe dans sa propre instance de l'outil (Export / Import → Import)
Il effectue ses modifications et exporte un JSON mis a jour
Vous importez le JSON mis a jour

Les deux parties doivent convenir de qui detient la copie « maitre » pour eviter les versions conflictuelles.

Comprendre vos resultats

Mon graphique radar est principalement rouge — que dois-je faire ?

C'est tout a fait normal au debut de toute evaluation — le rouge signifie que le score est en-dessous du seuil, pas que votre organisation est en infraction avec la loi. Le tableau de bord est concu pour vous montrer ou concentrer vos efforts.

Commencez par les moyens en rouge (mis en evidence dans l'analyse des ecarts). Utilisez la section Feuille de route pour creer des actions. L'evaluation est un parcours : comblez d'abord les ecarts les plus importants, re-evaluez, et iterez.

Qu'est-ce qu'un « ecart » dans le tableau de bord ?

Un ecart est la difference entre votre score actuel de maturite et le seuil requis. Par exemple : si votre pilier PROTECTION affiche 2.3/5 et que le seuil est 3.0/5, l'ecart est de 0.7 points.

Le tableau de bord liste tous les ecarts et les trie par severite. Combler un ecart signifie ameliorer vos pratiques dans ce domaine puis re-evaluer les moyens concernes.

L'outil dit que je suis non conforme — qu'est-ce que cela signifie juridiquement ?

L'outil est une aide a l'auto-evaluation — ses resultats sont indicatifs, pas juridiquement contraignants. Non conforme dans l'outil signifie que vos scores d'auto-evaluation actuels sont en-dessous du seuil ; cela ne signifie pas que vous etes en infraction avec la loi NIS2.

La conformite legale est determinee par le processus de controle formel effectue par l'ANSSI. Utilisez les resultats de l'outil pour guider votre amelioration, puis preparez votre dossier pour le controle ANSSI.

Qu'est-ce que la matrice de priorite dans la feuille de route ?

La matrice de priorite liste tous les moyens actuellement en-dessous du seuil, classes par taille d'ecart et poids. Elle vous donne une liste d'actions priorisee : corrigez d'abord les ecarts les plus importants, car ils debloquent la conformite le plus rapidement.

Vous pouvez creer des actions directement depuis la matrice en ouvrant n'importe quel moyen et en cliquant sur « + Ajouter une action ».

Qu'est-ce qu'un snapshot et quand dois-je en prendre un ?

Un snapshot sauvegarde vos scores actuels a un instant donne — comme un point de controle nomme. Il n'affecte pas vos scores de travail.

Bons moments pour prendre un snapshot :

Au tout debut de votre evaluation (« Baseline »)
Apres avoir termine un effort de remediation important (« Post-remediation T2 2025 »)
Avant un controle ANSSI (« Pre-audit »)
A intervalles de revue reguliers (trimestriel, annuel)

Pour prendre un snapshot : allez dans Feuille de route → onglet Historique → cliquez « Prendre un snapshot » → donnez-lui un nom. Dans la vue Historique, vous pouvez comparer deux snapshots pour voir quels domaines se sont ameliores et de combien.

Aller plus loin

Qui contacter pour un controle officiel ?

L'ANSSI (Agence nationale de la securite des systemes d'information) est l'autorite competente en France pour la mise en oeuvre de NIS2. Pour les controles et la conformite, consultez le site cyber.gouv.fr.

Asphalia Consulting propose egalement des services de conseil pour la conformite NIS2 et ReCyF — contactez-nous a contact@asphaliaconsulting.be.

Ou trouver la documentation officielle ?

ANSSI — NIS2 en France : cyber.gouv.fr/directive-nis-2
Reglement d'execution (UE) 2024/2690 : EUR-Lex
Loi de Resilience : Senat.fr

L'outil inclut egalement une FAQ NIS2 integree — accessible depuis Reference → FAQ NIS2.

Cet outil est-il officiellement reconnu par l'ANSSI ?

Non. Cet outil est developpe et maintenu par Asphalia Consulting SRL et n'est pas affilie ni reconnu par l'ANSSI. Il est base sur le Reglement d'execution (UE) 2024/2690 et les publications officielles de l'ANSSI. Pour les orientations officielles, referez-vous toujours aux publications de l'ANSSI.

Que faire apres avoir termine l'auto-evaluation ?

Une fois que vos scores atteignent regulierement le seuil :

Rassemblez les preuves : Collectez les documents, journaux et enregistrements qui demontrent que chaque moyen est mis en oeuvre. Utilisez le moteur de preuves de l'outil pour vous guider.
Preparez le dossier ANSSI : Constituez votre dossier de conformite en vue du controle de l'ANSSI.
Enregistrez-vous : Les entites NIS2 doivent s'enregistrer aupres de l'ANSSI conformement aux obligations de la Loi de Resilience.
Mettez en place des revues regulieres : Vos scores doivent etre maintenus et mis a jour au fur et a mesure que votre organisation evolue.

Quelles sont les sanctions NIS2 en cas de non-conformite ?

En vertu de la Loi de Resilience (transposition francaise de NIS2), l'ANSSI peut imposer des amendes administratives. Les plafonds d'amende sont :

Entites Essentielles : jusqu'a 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total (le montant le plus eleve)
Entites Importantes : jusqu'a 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial total (le montant le plus eleve)

Des mesures supplementaires peuvent inclure la suspension temporaire de services, la divulgation publique des violations, ou des interdictions temporaires pour les dirigeants en cas de negligence grave.

Ce sont des plafonds — l'ANSSI applique une approche proportionnelle. L'outil n'est pas un calculateur de risque juridique ; consultez un conseiller juridique pour des conseils specifiques a votre situation.

Les consultants peuvent-ils utiliser cet outil pour plusieurs clients ?

Oui. Le plan gratuit supporte jusqu'a 2 organisations. Avec le plan Pro, vous obtenez un nombre illimite d'organisations — ideal pour les consultants gerant plusieurs clients. Chacune a son propre profil, ses scores, son tableau de bord et sa feuille de route isoles.

Workflow type d'un consultant :

Creer un profil d'organisation pour chaque client
Evaluer pendant votre mission
Exporter le JSON pour le partager avec le client (il peut l'importer dans sa propre instance)
Exporter PDF / XLSX pour les livrables de reporting

Chaque client conserve sa propre copie des donnees — rien n'est partage entre organisations ni envoye a un serveur.

Quelle est la difference entre Gratuit et Pro ?

Le plan Gratuit vous donne l'outil d'evaluation complet : tous les types d'entites, tous les exports (PDF, XLSX, JSON), le tableau de bord, la feuille de route, le moteur de preuves, les benchmarks, l'assistant NIS2, et jusqu'a 2 organisations. Pas de compte requis, entierement hors ligne.

Le plan Pro (bientot disponible) ajoute :

Synchronisation cloud entre appareils
Organisations illimitees
Comparaison sectorielle avancee
Restauration d'historique & comparaison de versions
Rapports de progression (PDF snapshot-a-snapshot)