Découvrez pourquoi les captures d'écran, les fichiers Words et fichiers Excel ne suffisent plus pour prouver la conformité NIS2, et comment construire un Evidence Pack solide, traçable et reproductible en 30 jours.
Votre prochain audit NIS2 approche. Votre équipe rassemble des captures d’écran, compile des exports manuels, et structure un dossier qui sera obsolète avant même d’être présenté. Ce scénario, trop courant, expose les organisations à un risque majeur : prouver un état passé plutôt qu’une capacité réelle de conformité.
TL;DR
- Un Evidence Pack “audit-ready” repose sur des preuves traçables, horodatées et reproductibles, pas sur un dossier de fichiers statiques.
- Les captures d’écran échouent sur quatre critères : périmètre, fraîcheur, traçabilité, reproductibilité.
- La méthode robuste suit une chaîne claire : sources → contrôles → findings → décisions → rapports.
- L’objectif opérationnel : réduire la charge d’audit et démontrer la conformité dans le temps, dérive incluse.
- Legili industrialise cette chaîne via une collecte continue multi-cloud, une normalisation des preuves et des exports structurés.
Pourquoi “Excel + screenshots” ne tient pas en audit
Sur le terrain, le constat est récurrent : preuves éparpillées entre équipes, collecte réalisée dans l’urgence, incohérences entre les outils et les environnements. Cette approche artisanale génère un travail considérable pour un résultat fragile.
4 faiblesses structurelles des captures d’écran
Traçabilité : une capture isolée ne permet pas de relier la preuve à sa source, son contexte, ni à l’acteur qui l’a produite. L’auditeur ne peut pas vérifier l’origine du constat.
Horodatage et fraîcheur : une image figée démontre un état à un instant T, mais ne prouve ni l’état actuel ni la continuité du contrôle dans le temps.
Couverture et périmètre : le risque d’oublier des comptes, des subscriptions, des tenants ou des environnements est élevé. La preuve partielle devient une non-preuve.
Reproductibilité : impossible de régénérer la même preuve de manière contrôlée. L’auditeur doit faire confiance sans pouvoir vérifier.
Le risque caché : la dérive
Un contrôle peut être conforme le jour de la capture et non conforme la semaine suivante. Cette dérive de configuration (configuration drift) rend tout dossier statique potentiellement obsolète dès sa création.
Ce qu’un Evidence Pack NIS2 “audit-ready” doit contenir
Un Evidence Pack solide ne se limite pas à accumuler des fichiers. Il structure une capacité à prouver l’état de conformité de manière répétable.
1. Périmètre et inventaire
La base de tout dossier : inventaire des environnements cloud et on-premise, identification des actifs critiques, définition des systèmes concernés et de leurs dépendances, attribution des responsables.
2. Contrôles et mapping
Chaque exigence réglementaire doit être reliée à un contrôle interne, lui-même associé à une preuve attendue. Définir les critères pass/fail, documenter les exceptions et les contrôles compensatoires.
3. Preuves techniques
Les preuves tangibles : journaux d’accès, configurations, politiques IAM/MFA, état des logs, sauvegardes, gestion des vulnérabilités et correctifs. Chaque preuve référence l’objet source (identifiant API, ressource) et son horodatage.
4. Gouvernance
La direction doit piloter : rôles et responsabilités définis, validations formalisées, revues périodiques, suivi de remédiation. Les décisions, arbitrages et acceptations de risque doivent être tracés.
5. Incidents et exercices
Prouver la capacité de réaction et d’apprentissage : playbooks, chronologies d’incidents, preuves de communication selon les obligations applicables, retours d’expérience et actions correctives.
6. Tiers et supply chain
Démontrer le contrôle des dépendances : registre des tiers critiques, exigences contractuelles, évaluations réalisées, remédiations suivies.
La chaîne de preuves : un modèle simple qui scale
Modèle “Sources → Contrôles → Findings → Rapports”
Sources : API cloud, configurations, logs, CMDB, IAM, outils de sécurité. Ce sont les données brutes.
Contrôles : règles et attentes formalisées (MFA obligatoire, rétention des logs, chiffrement actif).
Findings : écarts mesurables avec sévérité et périmètre impacté.
Rapports : preuves exportables et synthèse pour la gouvernance.
Ce que l’auditeur vérifie réellement
L’auditeur cherche trois choses : la cohérence entre périmètre, preuves, décisions et remédiations ; la traçabilité permettant de remonter à l’origine de chaque constat ; et la continuité prouvant que l’état est vrai dans le temps, pas uniquement à un instant figé.
Comment industrialiser : le Minimum Viable Evidence Pack en 30 jours
Semaine 1 : cadrer périmètre, owners et modèle de preuves
Définir les environnements couverts, identifier les systèmes critiques et leurs responsables. Établir le template de preuve : source, horodatage, ressource, contrôle associé.
Semaine 2 : sélectionner 10 à 15 contrôles haut impact
Se concentrer sur les fondamentaux : IAM/MFA, journalisation, sauvegardes, gestion des vulnérabilités, comptes à privilèges. Fixer les critères d’évaluation, les exceptions acceptées et les preuves attendues.
Semaine 3 : automatiser la collecte et normaliser
Remplacer les preuves manuelles par des extractions automatisées via API, logs et configurations. Normaliser le nommage, les chemins de stockage, la rétention et le versioning.
Semaine 4 : produire un export audit-ready et gouvernance
Générer un pack complet : preuves, mapping, résultats, backlog de remédiation. Définir la cadence de revue (mensuelle ou trimestrielle) et désigner un owner.
Où Legili s’insère
Collecte continue multi-cloud
Legili se connecte aux sources (AWS, Azure, Microsoft 365), extrait les données de manière régulière et réduit les silos entre équipes et environnements.
Normalisation et mapping contrôle→preuve
Quelle que soit la plateforme, la structure de preuve reste identique. Le mapping entre exigences, contrôles et preuves est maintenu automatiquement.
Exports et reporting pour parties prenantes
Un pack audit-ready exportable, des vues adaptées à la gouvernance, sans multiplier le travail manuel de préparation.
Conclusion : l’objectif n’est pas un dossier, c’est une capacité
Un Evidence Pack solide n’est pas une collection de fichiers à produire avant chaque audit. C’est une capacité répétable de prouver l’état de conformité, son évolution dans le temps, et la remédiation des écarts détectés. Construire cette capacité demande un investissement initial, mais transforme durablement la relation avec l’audit et la conformité.
Si vous souhaitez réduire la charge de préparation d’audit, automatiser la collecte de preuves et détecter les dérives avant qu’elles ne deviennent des non-conformités, explorez comment une approche continue peut s’intégrer à votre organisation.
Cet article est fourni à titre informatif et ne constitue pas un avis juridique. Les obligations exactes dépendent du cadre réglementaire applicable, notamment de la transposition nationale de la directive NIS2.