NIS2 sans IAM ? Mission quasi impossible.

Publié :

10/2025

| Mis à jour le

-
Articles
>
Cybersecurity
Entre exigences réglementaires et réalité terrain, NIS2 met la lumière sur un point souvent négligé : la gestion des accès. Sans IAM, difficile d’être prêt le jour de l’audit.

Contents

Imaginez : un auditeur débarque dans vos locaux. Première question, sans même ouvrir son ordinateur : « Pouvez-vous me prouver que tous les comptes d’utilisateurs désactivés depuis trois mois sont bien coupés ? » Vous vous tournez vers vos fichiers Excel, vos tickets de helpdesk, vos scripts bricolés… et vous sentez déjà la sueur froide.

C’est exactement là que la directive NIS2 met la pression. Depuis octobre 2024, toutes les entités essentielles et importantes — entreprises, administrations, opérateurs de services numériques — doivent démontrer qu’elles maîtrisent leur cybersécurité. Et ce n’est plus une option : amendes à plusieurs millions d’euros, audits renforcés par l’autorité nationale compétente (ANSSI en France), et un périmètre élargi à des secteurs critiques comme la santé, le transport ou l’énergie.

La question n’est donc pas « suis-je concerné ? » mais « suis-je prêt ? ». Car le texte exige des mesures de sécurité concrètes : gestion des risques, continuité de service… et surtout, un contrôle implacable des comptes utilisateurs et des droits d’accès. Sans une solution IAM capable d’automatiser l’onboarding, l’offboarding et la traçabilité des accès, la mise en conformité NIS2 ressemble vite à une mission impossible.

Pourquoi NIS2 oblige à industrialiser la gestion des accès ?

Un responsable IT m’a confié récemment : « Ma crainte, avec NIS2, ce n’est pas seulement l’amende : c’est l’audit. Pouvoir extraire en deux clics l’historique des accès et des révocations — voilà ce que l’on va me demander, pas un tableur périmé, c’est la crédibilité de l’IT qui est en jeu. »

C’est exactement là que se situe le nœud du problème. La directive NIS2 ne se contente pas d’énoncer de grands principes de cybersécurité, elle exige la démonstration, preuve à l’appui, que vos systèmes d’information sont protégés. Et cette preuve passe avant tout par la gestion des identités et des accès.

Pourquoi ? Parce que la majorité des incidents de sécurité recensés en Europe — près de 80 % selon l’ENISA — ont une origine humaine : comptes non désactivés, droits trop larges, ou encore prestataires qui conservent des accès après la fin de leur mission. Autant de failles invisibles au quotidien, mais fatales le jour d’un audit ou d’une cyberattaque.

Dans la majorité des ETI, la gestion des accès repose encore sur des fichiers Excel, des emails de demande et quelques scripts maison. Problème : ces outils sont conçus pour dépanner, pas pour garantir la conformité. Chaque délai de mise à jour, chaque oubli de ligne dans le tableur ou chaque ticket mal routé peut se traduire par un compte fantôme qui subsiste dans l’annuaire. Et le jour où un auditeur vous demande la preuve de vos désactivations, un fichier Excel ne suffit tout simplement pas.

Avec NIS2, les obligations deviennent claires :

  • appliquer le principe du moindre privilège,
  • documenter chaque attribution et révocation d’accès,
  • garantir que l’onboarding comme l’offboarding sont exécutés sans délai,
  • recertifier régulièrement les droits sensibles.

Autrement dit, passer de la gestion manuelle à une industrialisation des accès. Ce n’est pas une option cosmétique : c’est la seule manière de réduire le risque, d’assurer la conformité et de prouver à l’autorité nationale compétente que votre organisation est au niveau de sécurité attendu.

Qu’est-ce que couvre réellement le périmètre “accès” dans NIS2 ?

Quand on parle de gestion des accès, beaucoup imaginent uniquement Active Directory et les comptes internes. Or la directive NIS2 va bien plus loin : elle oblige à maîtriser toutes les identités numériques qui interagissent avec vos systèmes d’information.

Concrètement, cela inclut : vos collaborateurs bien sûr, mais aussi les prestataires externes, les intérimaires, les sous-traitants, parfois même des partenaires qui disposent d’un accès ponctuel à vos applications critiques. Un oubli sur ce périmètre et vous vous exposez à une non-conformité immédiate… ou à un incident de sécurité qui part d’un simple compte oublié.

Prenons un exemple très courant : le consultant bancaire ou l’intérimaire en back-office. Pendant sa mission, il doit accéder à des outils sensibles (finance, RH, messagerie interne). Sans règles claires et sans expiration automatique de ses droits, il peut conserver ces accès bien après son départ. Résultat : un compte “dormant” qui devient une porte d’entrée idéale pour une cyberattaque. NIS2 exige justement de documenter et de justifier chaque création et suppression de droit, et surtout de prouver que vous avez appliqué le principe du moindre privilège.

Le périmètre ne se limite pas aux identités. Il couvre aussi les applications SaaS utilisées par vos équipes, les groupes Active Directory hérités de dix ans d’histoire, les droits à privilèges pour les administrateurs, ou encore les sessions temporaires ouvertes sur un VPN. Bref : tout ce qui donne accès, direct ou indirect, à votre système d’information.

Sans une approche outillée, cette cartographie vire vite au cauchemar. Entre shadow IT, historiques non nettoyés et exceptions accordées “en urgence”, comment démontrer à l’autorité nationale compétente que vous avez réellement la maîtrise ? C’est précisément là qu’une solution IAM apporte une réponse : recenser, tracer et auditer chaque accès dans un périmètre qui ne cesse de s’élargir.

Quel socle IAM minimum suffit à répondre aux exigences NIS2 ?

Quand on parle d’IAM, beaucoup imaginent un chantier interminable, avec des intégrateurs, des mois de cadrage et une refonte complète du système d’information. Résultat : on reporte, on temporise… et on se retrouve hors délais pour NIS2.

Or, il existe une autre voie : bâtir une brique minimale viable d’IAM, en moins de 90 jours, sans tout casser. Pas une “solution miracle”, mais un socle mesurable, qui montre à votre direction et à l’auditeur NIS2 que vous avez enclenché une démarche structurée.

Voici à quoi ressemble ce MVP réaliste :

  • Phase 1 (semaines 1–3) : consolider un référentiel unique des identités en connectant vos sources principales (SIRH, Active Directory, principales applications SaaS). On ne cherche pas l’exhaustivité, mais 80 % de la couverture critique.
  • Phase 2 (semaines 4–6) : mettre en place des règles d’onboarding et d’offboarding automatiques. Chaque nouveau collaborateur ou prestataire obtient ses droits en fonction de son rôle. Chaque départ entraîne une désactivation automatique dans les 24h.
  • Phase 3 (semaines 7–9) : introduire une première couche de RBAC (Role-Based Access Control) sur les métiers clés (finance, RH, IT) et lancer une recertification trimestrielle sur les droits sensibles.
  • Phase 4 (semaines 10–12) : centraliser la visibilité dans un tableau de bord unique, capable de sortir des rapports d’audit en deux clics (qui a accès à quoi, qui a validé, quand).

Les gains sont rapides et chiffrables : onboarding réduit de 2h à 5 min, plus de 98 % des comptes désactivés dans les 24h suivant un départ, et une réduction de moitié des tickets “accès manquant” dès le premier trimestre. Autrement dit, vous passez de la réaction manuelle à un contrôle industriel des accès, sans déstabiliser vos équipes ni votre SI.

Avec Youzer, une instance peut être structurée en six ateliers d’une heure. Le rythme dépend du calendrier du service IT : certains de nos clients ont centralisé et automatisé la gestion de leurs comptes en seulement deux semaines, quand d’autres préfèrent étaler sur trois mois. Trois mois reste d’ailleurs un délai réaliste, conforme aux retours terrain, si les ressources internes sont limitées.

Pourquoi cette rapidité ?

  • Connecteurs dédiés et spécifiques permettent d’intégrer rapidement les principales sources d’identités (AD, SIRH, SaaS).
  • L’automatisation s’appuie sur des workflows standards, sans complexité inutile.
  • Le vrai travail est surtout théorique : définir en amont les règles d’attribution des droits et des accès. Une fois ce cadre posé, il se transpose en paramétrage dans Youzer.

Une fois en place, la centralisation est automatique : un tableau de bord unifie en temps réel les comptes, les accès et les anomalies. Youzer détecte immédiatement un écart entre la règle définie et les droits réellement détenus par un utilisateur.

Enfin, les revues de droits sont simplifiées : les managers peuvent valider ou corriger les accès de leurs équipes par simple email, ciblé sur quelques applications pour démarrer. Pas besoin d’audit tentaculaire : on commence petit, on démontre, puis on élargit.

Résultat : vous passez d’une gestion manuelle dispersée (Excel, tickets, scripts) à une gouvernance IAM structurée qui satisfait les auditeurs NIS2, avec des preuves tangibles et une traçabilité complète.

Ce qu’un auditeur NIS 2 va demander… et comment y répondre sans souffrir

Le jour de l’audit, il n’y aura pas de place pour l’improvisation. L’autorité nationale compétente (en France, l’ANSSI) ou son mandataire ne viendra pas vérifier la beauté de vos process, mais votre capacité à fournir des preuves tangibles.

Voici les demandes classiques :

  • Le registre des accès par rôle et par application : qui a accès à quoi, et pourquoi. Sans IAM, cela demande des heures d’extraction manuelle ; avec une brique centralisée, le rapport sort en un clic.
  • L’historique “qui a donné quoi, quand, pourquoi” : l’auditeur veut tracer chaque décision d’attribution ou de révocation. Ticket perdu, email oublié = non-conformité immédiate.
  • Les attestations de recertification signées : preuve que les managers ont validé périodiquement les droits sensibles de leurs équipes. Là encore, impossible à tenir à la main sur des centaines d’utilisateurs.
  • Le journal des désactivations : chaque départ ou fin de mission doit être suivi d’une désactivation, idéalement <24h. C’est l’indicateur le plus scruté, car c’est la première source de comptes fantômes.
  • Les rapports JIT (Just-In-Time) : durée d’élévation de droits, justification de la demande, approbateur identifié. C’est la garantie que vos administrateurs n’ont pas de privilèges permanents.

Tous ces éléments reposent sur deux conditions : la centralisation (un seul point de vérité pour les identités et les accès) et l’actualisation en temps réel. Un audit ne se prépare pas à la dernière minute : c’est l’automatisation qui assure, au quotidien, que les preuves sont disponibles en continu.

Avec une solution d’IAM telle que Youzer, là où un responsable IT passait des nuits à consolider des fichiers Excel pour répondre à un audit RGPD, il peut désormais produire les preuves NIS 2 en quelques clics — sans stress et sans bricolage.

Quels pièges éviter et quels arbitrages faire dans une ETI multi-BU ?

Mettre en place une brique IAM dans une ETI de 3 000 utilisateurs, répartis sur plusieurs BU, c’est souvent se heurter à une réalité beaucoup moins “propre” que dans les slides d’un intégrateur. Les écueils sont connus :

  • La dette Active Directory : des groupes créés il y a dix ans, jamais nettoyés, dont plus personne ne sait à quoi ils servent… mais que personne n’ose supprimer.
  • Les SaaS non inventoriés : chaque BU a adopté ses outils en autonomie, parfois avec des comptes partagés. Impossible de prétendre à une vision complète sans un inventaire préalable.
  • Les exceptions métier : “celui-ci a besoin d’un accès admin en permanence”, “celui-là doit voir toutes les données pour travailler”... Autant de dérogations qui deviennent vite incontrôlables.
  • La délégation aux managers sans RBAC : quand l’IT laisse les managers distribuer des droits à la demande, c’est le règne du “copier-coller” des accès du collègue. Résultat : dérive exponentielle.
  • Le shadow IT : les applis “hors radar” que les équipes utilisent pour avancer, mais qui échappent totalement à la gouvernance et donc à la conformité NIS2.

Face à cette réalité, il faut accepter que tout ne sera pas parfait du premier coup. L’approche pragmatique, c’est de fixer des arbitrages clairs :

  • Commencer petit : cibler une dizaine d’applications clés (RH, finance, messagerie, bureautique). Ce sont elles qui concentrent 80 % des risques.
  • Figer un glossaire de rôles : définir 10 à 15 rôles métiers transverses, et s’y tenir. C’est ce langage commun qui permettra d’éviter les exceptions sauvages.
  • Limiter les exceptions : quand une dérogation est inévitable, l’encadrer par une durée d’expiration automatique (30 jours, 90 jours).
  • Nettoyer progressivement : plutôt que de vouloir régler d’un coup 15 ans de dette AD, planifier des vagues de nettoyage ciblées, liées aux recertifications.

NIS2 n’exige pas une perfection immédiate, mais une démarche maîtrisée et auditable. Montrer que vous avez posé un cadre, que vous avancez étape par étape et que chaque exception est tracée et bornée suffit à transformer une faiblesse en preuve de gouvernance.

Utilisateurs tiers et turnover : le risque sous-estimé qui fait vaciller la conformité NIS 2

Lors d’un audit de cybersécurité, les auditeurs mandatés par l’autorité nationale compétente (comme l’ANSSI en France) ne s’arrêtent pas aux salariés permanents. Ils savent que, pour une entité essentielle ou importante, le chaînon faible du système d’information se trouve souvent ailleurs : prestataires externes, intérimaires, consultants, freelances. Ces identités temporaires se multiplient, se renouvellent et échappent souvent aux mesures de sécurité imposées par la directive européenne NIS2.

Prenons un exemple concret : un consultant financier rejoint une BU pour trois mois. Il doit accéder aux outils RH, à la paie et à la messagerie interne. Dans beaucoup d’entreprises, il est provisionné “comme les autres”, sans durée limitée, et son compte reste actif après son départ. Résultat : un compte dormant, invisible pour l’IT, mais exploitable par un attaquant. Ce type de faille figure parmi les menaces internes les plus fréquentes dans les rapports de l’ENISA sur les incidents de sécurité recensés en Europe.

La directive NIS2 exige une approche rigoureuse de la gestion des accès :

  • appliquer le principe du moindre privilège,
  • limiter la durée des droits,
  • tracer chaque action,
  • et prouver la mise en œuvre de ces contrôles lors d’un audit de conformité.

Concrètement :

  • Droits strictement nécessaires – pas de “copier-coller” d’un profil existant, mais un périmètre d’autorisations défini.
  • Durée bornée – un compte dont la date d’expiration correspond à la fin de mission.
  • Offboarding immédiat – désactivation automatique sous 24h, sans dépendre d’un email RH oublié.
  • Accès Just-In-Time (JIT) – pour les pics de besoin, élévation temporaire de privilèges, avec approbation et justification.

Avec une solution IAM adaptée, ce scénario cesse d’être un cauchemar. Youzer permet, par exemple, de centraliser ces comptes temporaires et d’automatiser la désactivation dès la fin de mission. La traçabilité et la preuve d’audit deviennent immédiates : un tableau de bord unifie les comptes, les droits et les anomalies. L’organisation renforce ainsi sa cybersécurité, limite le risque et prouve sa mise en conformité NIS2 sans dépendre d’Excel ni de procédures manuelles.

Comment Youzer s’intègre dans ce plan NIS2 (sans “big-bang”)

La force de Youzer, c’est de ne pas exiger une refonte du SI ni un projet à rallonge. La solution se branche là où sont déjà vos identités et vos applications, et elle apporte de la gouvernance là où vos process manuels atteignent leurs limites.

En pratique :

  • Connexion directe au SIRH, à l’Active Directory et aux applications SaaS majeures grâce à des connecteurs dédiés. Pas besoin de développement spécifique pour commencer.
  • Dès qu’un connecteur est relié, les premières anomalies ressortent immédiatement : comptes actifs d’utilisateurs déjà partis, comptes encore rattachés à un manager inactif, comptes orphelins sans propriétaire identifié, ou encore licences coûteuses toujours affectées à des profils supprimés. Ces signaux faibles, invisibles dans un fichier Excel, deviennent visibles et actionnables en quelques minutes.
  • Modélisation rapide des rôles métiers (RBAC) : vous définissez les accès “cœur” pour quelques BU prioritaires, puis vous élargissez progressivement. Les workflows d’approbation sont intégrés, avec traçabilité complète.
  • Offboarding automatique : un compte inactif ou une mission terminée = désactivation immédiate. Les droits tiers expirent automatiquement, sans intervention manuelle.
  • Recertifications simplifiées : un manager reçoit un email ciblé, valide les droits sensibles de son équipe, et Youzer historise l’attestation pour l’audit.
  • Dashboard unifié : DSI et RSSI disposent d’une vue temps réel sur les comptes, les accès, les anomalies et la conformité. Les exports au format attendu par les auditeurs se font en un clic.

Pas de “big-bang”, donc, mais une intégration incrémentale : vous commencez par 5 applications critiques, vous structurez vos rôles, vous automatisez l’onboarding et l’offboarding… et vous êtes déjà en capacité de présenter un plan NIS2 crédible. L’IT garde la main, la charge reste maîtrisée, et la conformité devient démontrable.

Conclusion

NIS2 ne se résume pas à une nouvelle directive de plus : c’est un test de maturité pour toutes les organisations essentielles ou importantes. Et ce test ne se gagne pas avec des fichiers Excel ou des tickets épars, mais avec une maîtrise opérationnelle des identités et des accès.

Les audits vont scruter vos preuves : onboarding maîtrisé, offboarding immédiat, recertifications régulières, justification des droits élevés. Sans un socle IAM, la conformité est fragile. Avec une brique bien pensée, même minimale, vous transformez une contrainte réglementaire en levier de gouvernance et de crédibilité IT.

L’expérience de terrain le prouve : en quelques ateliers, il est possible de centraliser les comptes, d’automatiser les droits et de générer les rapports attendus par les auditeurs. Youzer s’intègre comme une brique plug-in, sans big-bang, et vous permet d’arriver face à l’ANSSI ou à un cabinet d’audit non pas avec des promesses… mais avec des chiffres et des preuves tangibles.

La vraie question n’est donc plus “suis-je concerné par NIS2 ?”, mais “quand est-ce que je me donne les moyens de prouver ma conformité ?”. Et plus vous attendez, plus la marche sera haute.

👉 Vous voulez voir à quoi ressemble concrètement une mise en place IAM orientée NIS2 ?

Besoin d'évaluer le coût d'un projet d'IAM ?

Téléchargez ce livre blanc sur le coût de l'inaction dans l'IAM :

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

Recommended items

Self-Service Password Reset: the key to enhanced productivity at work
5 good reasons why you will love the MFA/2FA
Shadow IT and legacy users: the nightmare of CIOs