En 2026, la vraie question n est plus “faut-il se préparer à NIS2 ?” mais “quelles preuves ERP êtes-vous capable de sortir en 24 heures devant un auditeur ?”. La directive NIS2 (Directive (UE) 2022/2555) fixe des obligations de mesures de sécurité et de reporting qui se traduisent directement dans vos flux ERP (EUR-Lex, Directive (UE) 2022/2555).
Le risque principal n est pas l absence de politique sur PowerPoint. Le risque est l incapacité à démontrer, avec des traces vérifiables, que vos contrôles fonctionnent réellement sur vos processus critiques (achats, ventes, finance, stock, production).
Ce que l auditeur va chercher en premier
NIS2 exige une approche de gestion des risques couvrant notamment la gestion des incidents, la continuité, la sécurité de la chaîne d approvisionnement et l hygiène des accès (article 21, Directive (UE) 2022/2555).
Sur un ERP, cela se traduit par une vérification simple :
- Les mesures existent-elles ?
- Sont-elles appliquées dans les opérations quotidiennes ?
- Peut-on en fournir la preuve horodatée ?
Sans preuve, pour l audit, la mesure est réputée fragile.
Rappel des délais NIS2 qui impactent votre ERP
NIS2 impose une séquence de notification en cas d incident significatif :
- alerte précoce dans les 24 heures ;
- notification d incident dans les 72 heures ;
- rapport final dans le mois qui suit la notification (article 23, Directive (UE) 2022/2555).
Si votre ERP ne permet pas de reconstruire rapidement les faits (qui, quoi, quand, impact, périmètre), vous perdez un temps critique sur ces échéances réglementaires.
Checklist NIS2 des preuves ERP à préparer
1) Registre des actifs ERP et périmètre critique
Ce qu il faut prouver
- Inventaire à jour des modules ERP critiques (finance, ventes, achats, logistique, production).
- Cartographie des interfaces (EDI, e-commerce, BI, banque, SSO, API partenaires).
- Classification de criticité (processus vitaux vs support).
Preuves attendues
- Export versionné du registre d actifs.
- Schémas d architecture datés.
- Historique des modifications de périmètre.
Pourquoi c est clé: NIS2 demande une gestion des risques proportionnée ; sans périmètre défini, aucune proportionnalité n est démontrable (article 21, Directive (UE) 2022/2555).
2) Journalisation et traçabilité des actions sensibles
Ce qu il faut prouver
- Journal d audit activé sur les opérations critiques: création fournisseur, changement RIB, validation paiement, modification droits, clôture comptable.
- Horodatage cohérent et conservation des logs.
- Capacité à corréler une action ERP à un utilisateur identifié.
Preuves attendues
- Extraits de journaux sur une période récente.
- Politique de rétention et de protection des logs.
- Procédure de collecte en cas d incident.
Sans logs exploitables, vous ne tenez pas le reporting incident dans les délais NIS2 (article 23, Directive (UE) 2022/2555).
3) Gestion des accès et authentification renforcée
Ce qu il faut prouver
- Matrice des rôles ERP et séparation des tâches (SoD).
- Revue périodique des habilitations (arrivées, mobilités, départs).
- Usage de l authentification multi-facteur lorsque pertinent.
Preuves attendues
- Comptes rendus de revues d accès signés.
- Tickets de retrait de droits avec horodatage.
- Paramétrage MFA/SSO et preuve d activation.
NIS2 mentionne explicitement l usage de l authentification multi-facteur comme mesure de cybersécurité à mettre en oeuvre selon le contexte (article 21(2)(j), Directive (UE) 2022/2555).
4) Continuité d activité et reprise ERP
Ce qu il faut prouver
- Plan de continuité et de reprise documenté pour l ERP.
- Sauvegardes testées et restaurables.
- Exercices de crise réalisés avec retours d expérience.
Preuves attendues
- Rapports de tests de restauration.
- Procès-verbal d exercice (date, scénario, écarts, actions correctives).
- Plan d amélioration suivi dans le temps.
La continuité fait partie du socle demandé par NIS2 (article 21, Directive (UE) 2022/2555).
5) Gestion des incidents et playbook ERP
Ce qu il faut prouver
- Workflow d escalade incident cyber touchant l ERP.
- Rôles clairs entre DSI, RSSI, métier, juridique, communication.
- Modèle de dossier incident prêt à l emploi.
Preuves attendues
- Procédure incident versionnée.
- Chronologie réelle d un incident ou d un exercice.
- Template de notification aligné aux exigences NIS2.
Objectif: être capable de produire une alerte précoce fiable dans les 24 heures puis une notification consolidée dans les 72 heures (article 23, Directive (UE) 2022/2555).
6) Sécurité des fournisseurs et des intégrateurs ERP
Ce qu il faut prouver
- Évaluation des risques fournisseurs (éditeur SaaS, intégrateur, hébergeur, infogérant).
- Clauses contractuelles sécurité et notification incident.
- Revue périodique des dépendances critiques.
Preuves attendues
- Grille de due diligence fournisseurs.
- Clauses contractuelles signées (SLA, sécurité, notification).
- Suivi des plans d actions fournisseur.
NIS2 inclut la sécurité de la chaîne d approvisionnement et les relations avec les fournisseurs parmi les mesures attendues (article 21(2)(d), Directive (UE) 2022/2555).
7) Gouvernance de la direction et responsabilité
Ce qu il faut prouver
- Implication de la direction dans la validation des mesures de cybersécurité.
- Reporting régulier au niveau exécutif sur les risques ERP.
- Arbitrages budgétaires documentés.
Preuves attendues
- Comptes rendus de comités de direction.
- Tableau de bord risques ERP/cyber.
- Décisions signées sur les plans de remédiation.
NIS2 renforce explicitement la responsabilité managériale sur la cybersécurité (article 20, Directive (UE) 2022/2555).
8) Politique de chiffrement et protection des données ERP
Ce qu il faut prouver
- Politique de chiffrement en transit et au repos.
- Gestion des clés et des certificats.
- Contrôles sur les exports de données sensibles.
Preuves attendues
- Paramètres techniques et standards appliqués.
- Journaux d accès aux données sensibles.
- Revue périodique de conformité.
Le cadre NIS2 couvre explicitement les politiques et procédures sur la cryptographie et, selon les cas, le chiffrement (article 21(2)(h), Directive (UE) 2022/2555).
Comment structurer votre “dossier de preuve ERP” pour l audit
Pour éviter les allers-retours de dernière minute, structurez un dossier unique par domaine de contrôle:
- Politique: la règle écrite.
- Procédure: qui fait quoi, quand, comment.
- Exécution: logs, tickets, exports, captures.
- Contrôle: revue interne, écart, correction.
- Historique: date de mise à jour et version.
Cette structure permet de passer d une conformité déclarative à une conformité démontrable.
Les 5 erreurs les plus fréquentes avant audit NIS2
- Avoir des politiques génériques sans preuve d application dans l ERP.
- Conserver des logs incomplets ou trop courts pour être utiles.
- Laisser des comptes techniques sans propriétaire clair.
- Sous-estimer le risque fournisseur (intégrateur, API tierce, hébergeur).
- Tester le PRA/PCA une seule fois puis ne plus le rejouer.
Priorités 90 jours pour un DSI ou un CFO
- Semaine 1-2: cartographier périmètre ERP critique + propriétaires de preuves.
- Semaine 3-6: consolider logs, habilitations, procédures incident.
- Semaine 7-10: exécuter un exercice incident ERP et un test de restauration.
- Semaine 11-12: produire le dossier de preuve final et le faire relire par direction.
Ce plan ne remplace pas une stratégie cyber globale, mais il permet d arriver à l audit avec des éléments vérifiables plutôt qu avec des intentions.
Et le risque financier en cas de non-conformité ?
NIS2 prévoit des plafonds de sanctions administratives qui peuvent atteindre, selon la catégorie d entité, jusqu à 10 000 000 EUR ou 2 % du chiffre d affaires annuel mondial, et pour d autres entités jusqu à 7 000 000 EUR ou 1,4 % (article 34, Directive (UE) 2022/2555).
Ce point change la nature du sujet ERP: on ne parle plus seulement de performance opérationnelle, mais aussi d exposition financière et de responsabilité de gouvernance.
Téléchargez notre grille d évaluation ERP - 30 critères sur 100 points pour benchmark 3 éditeurs côte à côte.
