Préparez-vous à l'audit de la directive NIS2 et de DORA de l'UE avec une analyse d'écarts pilotée par des seniors, des contrôles de risque ICT et des tests pilotés par la menace.
La préparation NIS2 et DORA est le processus structuré d'alignement de votre organisation sur la directive NIS2 de l'UE (Directive (UE) 2022/2555) et le règlement sur la résilience opérationnelle numérique DORA (Règlement (UE) 2022/2554) - couvrant la gestion des risques ICT, la notification obligatoire des incidents, la supervision de la chaîne d'approvisionnement et des tiers, et les tests de résilience opérationnelle, y compris les tests d'intrusion pilotés par la menace (TLPT). CyberXplore agit comme votre partenaire conseil indépendant : nos consultants seniors, certifiés OSCP/CRTP/CREST, mènent des évaluations d'écarts concrètes, constituent les preuves et la gouvernance dont vous avez besoin et réalisent des TLPT alignés sur le cadre TIBER-EU. Nous sommes un cabinet de conseil spécialisé en sécurité offensive et en conformité, non une autorité nationale compétente - nous vous préparons réellement à l'examen des autorités de contrôle plutôt que de vous vendre une simple case à cocher sur papier.
EU NIS2 Directive (2022/2555)DORA (Regulation 2022/2554)TIBER-EUISO 27001NIST CSFMITRE ATT&CK
Pourquoi CyberXplore
Des testeurs exclusivement seniors (OSCP, CRTP, CREST)
Certifié ISO 27001 & ISO 9001
Retest gratuit + lettre d'attestation
Périmètre et devis sur mesure sous 24 heures
Pourquoi c'est important
NIS2 élargit considérablement le périmètre à des milliers d'entités " essentielles " et " importantes " dans l'énergie, les transports, la santé, l'infrastructure numérique, la finance et les prestataires de services managés - avec une responsabilité personnelle de la direction et des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
DORA impose des obligations contraignantes de gestion des risques ICT, de notification des incidents et de tests de résilience aux entités financières et à leurs prestataires tiers ICT critiques, avec des délais de notification stricts mesurés en heures, pas en jours.
Les deux régimes exigent des preuves de résilience opérationnelle dans des conditions d'attaque réelles - les TLPT avancés de DORA et les attentes de test de NIS2 ne peuvent être satisfaits par des scans automatisés ou une simple auto-attestation.
Le risque lié à la chaîne d'approvisionnement et aux tiers ICT est désormais une obligation légale de premier plan : les régulateurs attendent une supervision documentée, des contrôles contractuels et une analyse du risque de concentration sur l'ensemble de votre parc de fournisseurs.
Aligné sur les normes du secteur: EU NIS2 Directive (2022/2555) · DORA (Regulation 2022/2554) · TIBER-EU · ISO 27001 · NIST CSF · MITRE ATT&CK
Notre méthodologie
01
Applicabilité et définition du périmètre
Nous déterminons si vous relevez de NIS2 (entité essentielle ou importante) et/ou de DORA (entité financière ou tiers ICT critique), cartographions les systèmes, services et dépendances fournisseurs concernés et convenons des objectifs réglementaires de la mission.
02
Évaluation des écarts
Nos consultants seniors évaluent votre cadre actuel de gestion des risques ICT, votre gouvernance, vos processus d'incident et vos tests de résilience au regard des articles 20 à 23 de NIS2 et des cinq piliers de DORA, produisant un registre des écarts hiérarchisé et clairement attribué.
03
Feuille de route de remédiation et conception des contrôles
Nous traduisons les écarts en une feuille de route de remédiation pragmatique et priorisée par le risque - définissant les politiques, le traitement des risques, les clauses contractuelles avec les tiers, les processus de classification et de notification des incidents, et les preuves que chaque contrôle doit générer.
04
Tests d'intrusion pilotés par la menace (TLPT)
Pour l'exigence de test avancé de DORA, nous menons des exercices de red team pilotés par le renseignement, alignés sur TIBER-EU et MITRE ATT&CK, en émulant des acteurs de menace réalistes contre vos fonctions critiques pour valider la détection, la réponse et la résilience.
05
Notification des incidents et validation de la résilience
Nous mettons à l'épreuve votre capacité de notification des incidents au regard des délais de DORA et NIS2 (alerte précoce, rapports intermédiaires et finaux) et validons les dispositifs de continuité d'activité et de reprise par des exercices sur table et techniques.
06
Préparation à l'audit et dossier de preuves
Nous constituons un dossier de preuves prêt pour l'examen des autorités de contrôle, informons votre organe de direction de ses obligations de responsabilité et fournissons une réévaluation pour confirmer que les écarts remédiés sont clos avant toute interaction avec un régulateur ou un auditeur.
Ce que nous testons
Détermination de l'applicabilité NIS2 / DORA et classification de l'entité
Cadre de gestion des risques ICT, gouvernance et responsabilité de l'organe de direction
Détection, classification et processus et délais de notification obligatoire des incidents
Supervision du risque lié à la chaîne d'approvisionnement et aux tiers ICT, contrats et risque de concentration
Stratégie de tests de résilience opérationnelle numérique et conception du programme
Définition du périmètre des tests d'intrusion pilotés par la menace (TLPT) alignée sur TIBER-EU
Continuité d'activité, réponse ICT et reprise (sauvegarde, RTO/RPO)
Processus de partage d'information, de renseignement sur les menaces et de traitement des vulnérabilités
Contrôles de gestion des actifs, des configurations et des identités et accès
Revue des politiques, preuves et documentation au regard des articles de NIS2 et DORA
Ce que vous obtenez
Note d'applicabilité et de périmètre confirmant les obligations NIS2 et/ou DORA
Rapport détaillé d'évaluation des écarts rattaché aux articles 20 à 23 de NIS2 et aux cinq piliers de DORA
Feuille de route de remédiation hiérarchisée avec responsables, estimations d'effort et dates cibles
Playbook de notification des incidents aligné sur les délais réglementaires de notification
Registre des risques tiers / chaîne d'approvisionnement et recommandations de clauses contractuelles
Rapport de tests d'intrusion pilotés par la menace (TLPT) avec récit d'attaque et constats de résilience (le cas échéant)
Dossier de preuves prêt pour les autorités de contrôle et briefing de responsabilité de l'organe de direction
Exemple de livrable
Ce que vous verrez dans votre rapport
Chaque mission se conclut par un rapport clair et priorisé : des constats classés par sévérité avec scores CVSS, actifs concernés et statut de remédiation - plus un retest gratuit. Les chiffres ci-dessous sont donnés à titre d'illustration.
Constats par sévérité
17 total
Critical
0
High
4
Medium
7
Low
6
High · CVSS 7.5CX-1902
MFA not enforced for administrative access
NIS2 Art.21(2)(j)Admin & VPN accountsOpen
High · CVSS 7.1CX-1908
No centralized logging & incident detection
NIS2 Art.21(2)(b)Production environmentOpen
Exemple illustratif : security control gap assessment - anonymisé sur example.com.
Medium · CVSS 5.6CX-1914
Incident response plan untested
DORA Art.11IR programOpen
Vous souhaitez le rapport d'exemple anonymisé complet ? Nous l'incluons avec votre devis.
Chiffres cumulés sur l'ensemble des missions menées par notre équipe
Partagé sous NDA · détails anonymisés
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Certifications détenues par nos testeurs
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Questions fréquentes
NIS2 s'applique aux entités moyennes et grandes de 18 secteurs jugés " essentiels " ou " importants " - notamment l'énergie, les transports, la santé, l'infrastructure numérique et les prestataires de services managés. DORA s'applique aux entités financières (banques, assureurs, entreprises d'investissement, prestataires de crypto-actifs et plus) et à leurs prestataires tiers ICT critiques. Nous commençons chaque mission par une évaluation d'applicabilité afin que vous sachiez exactement quelles obligations vous lient, certaines organisations relevant des deux.
Abordez votre prochain audit avec des preuves, pas des promesses.
Indiquez-nous votre référentiel et vos délais - nous cadrons votre plan de préparation en 24 heures, de l'analyse des écarts aux preuves prêtes pour l'auditeur.