Partenaire IT? Decouvrez comment livrer la conformite NIS2

Voir offre partenaire →

A Quoi S'attendre du Programme d'Audit-Readiness NIS2 de Votre MSP

Votre MSP vous a dit qu'il pouvait rendre votre entreprise audit-ready pour NIS2 et CyberFundamentals. Bonne nouvelle, mais concretement, a quoi cela ressemble-t-il de votre cote? Ce guide vous accompagne a travers les quatre phases, ce que vous devez faire (pas grand-chose), ce que votre MSP prend en charge (la majorite) et combien de temps chaque etape prend realistement selon votre point de depart.

Ce Que Signifie Reellement 'Audit-Ready'

Il y a une distinction importante a avoir en tete des le premier jour. Votre MSP, a l'aide de la plateforme ECP, prepare votre entreprise a un audit NIS2 ou CyberFundamentals. L'audit lui-meme est realise par un Organisme d'Evaluation de la Conformite (Conformity Assessment Body, CAB) independant, pas par votre MSP et pas par nous. Nous ne delivrons pas de certificats. Ce que nous livrons, c'est la confiance: quand l'auditeur CAB arrive, vos politiques sont approuvees, vos preuves collectees, vos registres remplis et le pack d'export officiel du CCB est pret. Pas de panique la semaine d'avant.

  • Votre MSP est le quarterback. Il porte la relation et la livraison.
  • La plateforme (ECP) tourne silencieusement en arriere-plan et collecte automatiquement les preuves depuis votre Microsoft 365, votre protection endpoint et vos outils de sauvegarde.
  • Vous restez concentre sur la gestion de votre entreprise. Votre implication se mesure en heures, pas en semaines.
  • L'auditeur CAB juge le resultat. Nous nous assurons que ce jugement s'appuie sur les bons elements.

Les Quatre Phases de Votre Parcours

Voici l'image complete, vue de votre cote. Chaque phase a un objectif clair, un engagement de temps realiste et une courte liste de ce qui se passe.

1

Onboarding et Intake

1 a 2 heures, votre temps

Votre MSP cree votre compte et vous accompagne (ou procede simplement en votre nom) a travers le questionnaire de niveau CyFun. Cette courte prise d'information determine si votre organisation a besoin du niveau Basic, Important ou Essential de CyberFundamentals. Une fois le niveau confirme, la plateforme construit automatiquement chaque page de politique, registre et structure de controle dont vous aurez besoin pour ce niveau. Vous terminez cette phase avec un espace de conformite complet, vide mais structure.

Ce que vous faites

Repondre a quelques questions sur votre entreprise: secteur, effectif, services critiques et toute exposition reglementaire specifique.

Ce que votre MSP fait

Mener l'intake, confirmer le niveau et configurer votre espace de travail.

2

Mise en Place de la Plateforme

1 a 2 jours, votre MSP le fait

C'est la partie rapide, et c'est la que la plateforme montre vraiment sa valeur. En une seule session de travail, votre MSP connecte votre tenant Microsoft 365, votre protection endpoint (comme Sophos, Bitdefender, SentinelOne ou Microsoft Defender) et votre solution de sauvegarde. La plateforme commence immediatement a recuperer les preuves techniques automatiquement. En parallele, votre MSP execute huit assistants de redaction de politique qui produisent des premiers drafts adaptes au contexte de votre entreprise. A la fin de cette phase, vous disposez d'un tableau de bord qui montre exactement ce qui passerait, ce qui est a risque et ce qui echouerait a un audit aujourd'hui.

Ce que vous faites

Donner a votre MSP le consentement administrateur dont il a besoin pour connecter Microsoft 365 (une approbation de 30 minutes), puis laisser faire.

Ce que votre MSP fait

Connecter chaque integration, executer les assistants, renseigner votre parc declare (effectif, nombre de postes, inventaire logiciel) et produire la premiere image honnete des ecarts.

3

Valider et Implementer

1 a 6 mois, parfois plus

C'est la partie variable, et l'honnetete a ce sujet compte. La plateforme vous a fourni une punch list de chaque element manquant, faible ou a risque. Votre MSP parcourt maintenant cette liste avec vous. Pour chaque controle, il valide que les preuves correspondent a la realite, adapte la politique draft a la facon dont votre entreprise fonctionne reellement, puis obtient la validation du management. Les registres des fournisseurs, risques, incidents, formations et tests de sauvegarde sont remplis avec vos vraies donnees. La ou il vous manque des mesures de securite reelles, comme l'authentification multi-facteurs, des sauvegardes immuables, de la journalisation centralisee ou une protection endpoint, votre MSP les met en place. C'est un vrai travail d'ingenierie, pas de la paperasse, et c'est generalement le principal facteur de duree.

Ce que vous faites

Approuver les politiques au niveau du management, fournir les donnees metier que votre MSP demande (liste des employes, liste des fournisseurs, logiciels cles) et participer a quelques courtes sessions de travail.

Ce que votre MSP fait

Adapter chaque politique, remplir chaque registre, implementer les mesures de securite manquantes et obtenir les validations qui doivent se faire au sommet de votre organisation.

4

Remise pour l'Audit

1 a 2 semaines

Votre MSP realise une simulation interne a l'aide de l'export officiel de self-assessment du CCB, le meme classeur Excel que votre auditeur CAB utilisera. Les derniers ecarts sont combles. Ensuite, la plateforme genere soit un lien de partage securise qui donne a votre auditeur CAB un acces en lecture seule a vos preuves, soit un pack ZIP complet contenant chaque politique, entree de registre et piece jointe liee pour une revue hors ligne. Vous et votre MSP rencontrez l'auditeur CAB. L'auditeur CAB decide du resultat.

Ce que vous faites

Etre disponible pour les questions de l'auditeur si elles surviennent. Signer la validation du pack final.

Ce que votre MSP fait

Realiser la simulation, generer l'export et coordonner la logistique avec l'auditeur CAB.

Combien de Temps Cela Va-t-il Reellement Prendre?

La mise en place de la plateforme est fixe a 1 a 2 jours. La variable est la Phase 3, et la reponse honnete depend de l'etat de votre securite aujourd'hui. Sous-estimer mene a une echeance d'audit manquee, il est donc rentable de poser des attentes realistes des le depart.

Bien equipe

1 a 3 mois

Vous avez deja Microsoft 365 avec MFA applique, un produit serieux de protection endpoint, des sauvegardes immuables et un patching raisonnable. La Phase 3 est essentiellement de la revue de politiques, de la validation management et du remplissage de registres avec des donnees que vous avez deja.

Quelques lacunes

4 a 6 mois

La technique est en grande partie la, mais avec des trous: MFA partielle, sauvegardes non immuables, journalisation non centralisee ou protection endpoint grand public. Votre MSP mene le travail de politiques en parallele du projet d'ingenierie pour combler ces ecarts. Le travail d'ingenierie est le vrai facteur de duree.

Tout a construire

6 a 9 mois ou plus

Vous vous reposez sur une sauvegarde grand public, sans MFA appliquee, sans protection endpoint et sans retention des logs. La majeure partie du delai correspond a votre MSP qui batit la fondation de securite. La partie conformite suit gratuitement une fois cette fondation posee, mais ne sautez pas la conversation sur la fondation elle-meme.

Comment la Plateforme Fait Gagner des Mois a Votre MSP (et a Vous)

Un projet traditionnel de readiness NIS2 implique de rediger des politiques depuis zero, de courir apres les preuves techniques par e-mail et d'esperer que rien n'a ete oublie quand l'auditeur arrive. La plateforme remplace la plupart de cela par de l'automatisation:

Verifie automatiquement les controles techniques

Votre Microsoft 365 et vos outils de protection endpoint sont connectes une seule fois. Des lors, la plateforme verifie automatiquement des elements comme l'application de la MFA, la politique de mots de passe, le chiffrement des postes et le statut de patch. Pas de captures d'ecran, pas de tableurs.

Redige vos politiques

Huit assistants guides produisent des premiers drafts de politiques et procedures qui collent a votre contexte metier. Votre MSP les adapte. Vous approuvez les versions finales. Fini de fixer un document Word vide.

Suit les preuves qui expirent

Les attestations de formation, les resultats de tests de phishing et les logs de tests de sauvegarde ont tous des fenetres de validite. La plateforme les signale avant qu'elles ne deviennent obsoletes, pour que le prochain audit ne vous prenne pas de court.

Genere l'export CCB

Quand l'auditeur CAB demande le fichier officiel belge d'auto-evaluation CyberFundamentals, votre MSP le produit en un clic. Toutes les preuves liees, toutes les reponses remplies, pret a etre partage.

Affiche la punch list honnetement

Vous savez toujours exactement ce qui est pret, ce qui est a risque et ce qui echouerait a un audit aujourd'hui. Pas de surprises, pas d'ecarts caches.

Ce Que Vous Devez Reellement Faire

Votre temps total sur tout le parcours se mesure generalement en heures, pas en journees. Voici la liste realiste:

  • Approuver le choix du niveau apres l'intake (une courte conversation).
  • Donner a votre MSP le consentement administrateur dont il a besoin pour connecter Microsoft 365 et vos outils de protection endpoint.
  • Fournir les donnees metier de base quand on vous les demande: liste des employes, fournisseurs cles, logiciels critiques, emplacements physiques.
  • Valider chaque politique finalisee. Votre MSP redige, vous confirmez que cela reflete la facon dont votre entreprise fonctionne reellement.
  • Participer a la revue trimestrielle (60 a 90 minutes) pour voir les progres, relancer la punch list et planifier le trimestre suivant.
  • Signaler les changements materiels: nouveau bureau, nouveau fournisseur critique, changement significatif d'effectif, tout incident de securite.

Apres l'Audit: Rester Pret

La conformite NIS2 n'est pas un projet ponctuel. Les menaces evoluent, les preuves expirent, votre entreprise change, et le CCB publie periodiquement de nouvelles versions du classeur CyberFundamentals. Votre MSP vous maintient audit-ready en continu. Les integrations maintiennent les preuves techniques a jour automatiquement. Les preuves manuelles, comme les formations suivies et les logs de tests de sauvegarde, sont recollectees selon leur calendrier. Une fois par trimestre, vous et votre MSP passez tout en revue ensemble. Quand le CCB publie une mise a jour de framework, votre MSP regenere l'export. Le prochain audit est simplement un mardi, pas une crise.

Travaillez avec un MSP qui Utilise les Bons Outils

Si votre MSP utilise deja ECP, vous etes entre de bonnes mains. Si ce n'est pas encore le cas, partagez cette page avec lui. Dans tous les cas, etre audit-ready doit se vivre comme une marche reguliere, pas comme un sprint le mois avant l'arrivee de l'auditeur.

Voir Comment ECP Aide les MSP

Questions Frequentes

Vais-je recevoir un certificat NIS2 a la fin?

Votre MSP et la plateforme ECP ne delivrent pas de certificats. C'est le role d'un Organisme d'Evaluation de la Conformite (CAB) independant. Ce que votre MSP livre, c'est tout ce dont cet auditeur a besoin pour vous juger favorablement: politiques approuvees, preuves liees, registres remplis et export officiel du CCB. L'auditeur CAB realise ensuite l'audit et, s'il est satisfait, delivre le certificat.

Combien de mon temps cela va-t-il prendre chaque semaine?

Pendant la Phase 2 (mise en place plateforme), environ une matinee pour accorder le consentement administrateur Microsoft 365 et repondre a des questions de contexte. Pendant la Phase 3, comptez environ deux a quatre heures par mois en courtes sessions de revue, plus ce qu'il faut pour valider les politiques. Une fois audit-ready, cela redescend a une revue trimestrielle de 60 a 90 minutes. Votre MSP absorbe le reste.

Et si mon MSP dit que cela prendra six semaines pour etre pret?

Demandez-lui de parcourir d'abord la punch list avec vous. Six semaines n'est realiste que si votre fondation de securite est deja excellente: MFA appliquee partout, sauvegardes immuables, protection endpoint serieuse et journalisation centralisee deja en place. Si l'un de ces elements manque, le delai doit inclure le travail d'ingenierie pour le mettre en place. Un MSP honnete vous montre la punch list et fixe ensemble une date realiste.

Dois-je comprendre les details techniques de chaque controle?

Non. Vous devez comprendre votre entreprise, vos processus et les politiques qui les refletent. Votre MSP traduit les controles techniques en decisions metier quand il a besoin de votre avis. Tout le reste est gere en arriere-plan.

Que se passe-t-il si je change de MSP plus tard?

La plateforme exporte votre etat de conformite complet, y compris les politiques, les preuves et les registres, sous forme de pack ZIP portable. Votre MSP suivant peut l'importer directement. Vous ne recommencez pas de zero.

L'auditeur CAB voit-il la plateforme ECP?

Seulement si vous ou votre MSP choisissez de la partager. Votre MSP peut generer un lien de partage en lecture seule qui donne a l'auditeur CAB acces a vos preuves et a la punch list, ou un pack ZIP complet pour une revue hors ligne. La plupart des audits acceptent l'un comme l'autre. Cela depend de la preference de l'auditeur CAB.

Articles Connexes

TARS AI