Référence · Article 21Dernière révision le 05 mai 2026
Les 21 mesures, expliquées simplement.
L’article 21 de la directive (UE) 2022/2555 énumère dix catégories de mesures de gestion du risque cyber. Nous les avons déclinées en 21 points de contrôle concrets, regroupés selon ce que votre équipe doit réellement livrer.
§ 01
Gouvernance
- M.01Politiques de sécurité de l’information — approuvées au niveau du conseil
- M.02Rôles, responsabilités et redevabilité formellement documentés
- M.03Formation des dirigeants au risque cyber
- M.04Revue indépendante annuelle du programme de sécurité
§ 02
Gestion des risques
- M.05Méthodologie d’analyse de risque et registre des risques tenu à jour
- M.06Inventaire des actifs : systèmes d’information et données
- M.07Plans de continuité d’activité et de gestion de crise
- M.08Sauvegardes : procédures de restauration testées
§ 03
Mesures techniques
- M.09Authentification multifacteur sur tous les accès critiques
- M.10Politique de cryptographie et de chiffrement
- M.11Segmentation réseau et principes zero-trust
- M.12Gestion des vulnérabilités et cadence de patching
- M.13Détection et réponse sur les terminaux (EDR)
- M.14Cycle de développement logiciel sécurisé
§ 04
Chaîne d’approvisionnement
- M.15Évaluations de sécurité des fournisseurs
- M.16Clauses de sécurité contractuelles pour les fournisseurs critiques
- M.17Surveillance continue de l’exposition tiers
§ 05
Gestion des incidents
- M.18Playbooks de détection, classification et escalade
- M.19Alerte précoce 24 h au CSIRT
- M.20Notification d’incident à 72 h avec évaluation de gravité
- M.21Rapport final dans un délai d’un mois
Action · Lancer l’auto-évaluation§ Passer à l’action
Prêt à mettre des chiffres sur tout ça ?
Faites l’évaluation en 21 points. Score en deux minutes. Repartez avec un plan d’action priorisé, prêt à partager avec votre conseil.