conformité multi-normes : mutualiser ISO 27001 + ANSSI + NIS2 + CRA sans refaire 4 fois le travail

🛡️ Le vrai problème en conformité n’est pas “trop de normes”. C’est “trop de silos”.

Dans beaucoup de PME/ETI (et chez la plupart des prestataires), on retrouve le même scénario : un classeur Excel pour ISO 27001, un autre pour NIS2, un dossier SharePoint pour l’ANSSI, et une “liste CRA” dans Notion… Résultat : duplication, incohérences, fatigue, et surtout incapacité à démontrer rapidement.

Or la pression augmente. Le World Economic Forum souligne que la cybersécurité devient plus complexe à cause des interdépendances (notamment supply-chain), des tensions géopolitiques et de l’accumulation d’exigences, ce qui rend les approches fragmentées de moins en moins tenables.

Ce guide propose une méthode terrain simple : un socle commun (ce que toutes les normes demandent) + des spécifiques (ce que chaque cadre ajoute), avec une cartographie des mesures et des preuves réutilisables.

🚨 pourquoi vous refaites 4 fois le travail (sans vous en rendre compte)

Quand vous gérez les normes séparément, vous recréez, sous des noms différents, les mêmes objets :

1. une exigence (“il faut une gestion des accès”)
2. une mesure (“MFA admin, revue des droits, journalisation”)
3. un propriétaire (“DSI / RSSI / Ops / Produit”)
4. une preuve (“export MFA, logs, CR de revue”)
5. une fréquence (“mensuel / trimestriel / annuel”)

📌 Le piège : chaque norme vous fait croire que son vocabulaire est unique, alors que les mécanismes sont souvent identiques : gestion des risques, contrôles d’accès, continuité, sécurité des fournisseurs, gestion des vulnérabilités, réponse à incident, etc.

NIS2 le formalise explicitement via des mesures de gestion des risques et des exigences de reporting, et la Commission a même publié un règlement d’exécution détaillant des exigences techniques et des critères d’incident “significatif” pour certains secteurs numériques.

🧩 la méthode “socle commun + spécifiques” (celle qui marche sur le terrain)

🧭 1) partir du métier, pas des textes

Avant de mapper quoi que ce soit, fixez l’objectif opérationnel :

“Être capable de démontrer nos pratiques et notre progression, à tout moment, à un client, un auditeur ou un régulateur.”

Ce choix change tout : vous allez construire un système de gouvernance audit-ready plutôt qu’un “dossier conformité”.

🧱 2) construire votre “socle commun” en 8 domaines (réutilisables partout)

Sans faire une liste interminable, retenez ceci : si vous couvrez correctement ces domaines, vous couvrez déjà l’essentiel des recouvrements ISO / NIS2 / ANSSI / CRA.

🔐 identités & accès (MFA, revues, privilèges, traçabilité)

🧰 actifs & configuration (inventaire, durcissement, changements)

🩹 vulnérabilités & patch (priorisation, correctifs, preuves)

🧯 incidents & communication (détection, gestion de crise, reporting)

🧾 preuves & documentation (politiques, procédures, enregistrements)

🤝 tiers & supply-chain (évaluation, clauses, suivi)

🧪 continuité (sauvegarde, PRA/PCA, tests)

📊 pilotage & amélioration continue (revues, décisions, arbitrages)

👉 Cette logique colle bien avec l’ADN des cadres européens : ENISA publie des guides techniques NIS2 orientés mise en œuvre et preuves attendues, justement pour rendre la conformité démontrable.

🧷 3) transformer chaque exigence en “mesure gouvernable”

Votre unité de base ne doit pas être “ISO contrôle A.xx” ou “NIS2 article y”.

Votre unité de base doit être une mesure qui peut être :

1. assignée à un responsable
2. planifiée (jalon + effort)
3. prouvée (evidence)
4. revue (fréquence)
5. historisée (maturité)

📌 Exemple concret (très classique) :

“Gestion des accès administrateurs”

1. preuve : export MFA admin + liste des comptes à privilèges + CR de revue trimestrielle
2. effet : un seul paquet de preuves réutilisable en ISO, NIS2, audits clients, cyber-assurance

🗺️ 4) cartographier une fois, produire plusieurs vues

C’est là que la mutualisation devient réelle : vous attachez des “étiquettes” (ou tags) à vos mesures :

1. ISO 27001 (clause / annexe)
2. NIS2 (mesure / exigence) + règlement d’exécution si concerné
3. ANSSI (mesure d’hygiène / objectif)
4. CRA (obligation produit : sécurité by design, vulnérabilités, support)

NIS2 est un bon exemple de ce qu’on peut industrialiser : ENISA fournit même une table de mapping reliant les exigences du règlement d’exécution 2024/2690 à des standards et références, ce qui aide à structurer une correspondance “contrôle ↔ exigence”.

🧠 ce que chaque cadre ajoute (vos “spécifiques”)

📜 ANSSI (hygiène) : le pragmatique “anti-incendie”

L’ANSSI propose un guide d’hygiène (42 mesures) orienté fondamentaux : durcissement, maîtrise des accès, réseau, postes, etc. C’est un excellent “kit de base” pour monter en niveau rapidement sans se perdre dans une certification.

🧾 NIS2 : gouvernance + démonstration + reporting (et parfois exigences techniques renforcées)

NIS2 pousse très fort l’approche “gouvernance prouvable” + obligations de notification, et le règlement d’exécution 2024/2690 précise des exigences techniques et des critères d’incidents significatifs pour des catégories d’entités numériques.

🧩 ISO 27001 : le système de management (le cadre qui rend tout durable)

ISO 27001 n’est pas juste une liste de contrôles : c’est une façon d’organiser la sécurité comme un système (rôles, revues, amélioration continue). C’est souvent le “moteur” qui rend la conformité multi-normes soutenable dans le temps.

🛠️ CRA : la sécurité produit “du design à la fin de vie”

Le CRA vise les produits avec éléments numériques (dont beaucoup de logiciels/produits). Il introduit des obligations de sécurité sur le cycle de vie, dont des exigences de vulnérabilités et de reporting, avec un calendrier : entrée en vigueur fin 2024, obligations principales applicables en décembre 2027, et certaines obligations de reporting plus tôt.

📌 En clair : votre socle commun couvre déjà 70–80% du travail. Les “spécifiques” viennent surtout ajouter des exigences de forme, de preuve, et de cycle de vie (notamment CRA).

📈 ce que vous gagnez vraiment en mutualisant

🤝 moins d’erreurs et de contradictions

Un référentiel unique évite le classique “ISO dit OK mais NIS2 dit KO” simplement parce que deux fichiers ont divergé.

⏱️ moins de temps perdu en préparation d’audit

Vous ne “préparez plus un audit”, vous maintenez un état de conformité démontrable. L’audit devient une extraction de preuves, pas une chasse au trésor.

🎯 meilleure priorisation

Les mesures deviennent comparables (maturité, criticité, effort). Vous arbitrez sur du concret, pas sur une lecture juridique.

🔍 vision direction / clients

Vous pouvez expliquer : où on en est, ce qui manque, ce qui est prévu, et pourquoi, sans noyer tout le monde dans 4 normes différentes.

✅ comment appliquer ça en 30 jours (sans usine à gaz)

🗓️ Semaine 1 : définir le périmètre (SI, produit, entités) + choisir les 8 domaines du socle commun

🗓️ Semaine 2 : créer 30–50 mesures “gouvernables” (propriétaire + preuve + fréquence) sur les sujets critiques

🗓️ Semaine 3 : taguer ces mesures (ISO / ANSSI / NIS2 / CRA) et identifier les preuves “réutilisables”

🗓️ Semaine 4 : lancer une boucle mensuelle : revue des écarts + plan d’action + preuves + historisation

Le point clé : pas besoin d’attaquer 100% des textes. Vous devez d’abord bâtir la capacité de pilotage, puis étendre.

🌟 conclusion : la conformité multi-normes n’est pas “plus de travail”, c’est “mieux organisé”

Si vous gérez ISO, ANSSI, NIS2 et CRA séparément, vous subissez une fatigue de conformité logique… et vous perdez votre capacité à prouver.

La bonne approche est celle-ci : un référentiel unique, des mesures gouvernables, des preuves réutilisables, et des vues par cadre.

🚀 et CompliKey dans tout ça (en une phrase, à la fin)

CompliKey est conçu précisément pour appliquer cette méthode : centraliser vos mesures multi-normes, relier les preuves, suivre la maturité dans le temps, et afficher des vues par référentiel (ISO / ANSSI / NIS2 / CRA) sans refaire 4 fois le travail.