Logo Complikey
Accueil
Produits
Normes
Consultants
Tarifs
Blog
Contact
Planifier une démo

Multi-normes cybersécurité : comment éviter de refaire le même travail ?

Par AlexV
Le 14/05/2026

Multi-normes cybersécurité : comment éviter de refaire le même travail


Quand une entreprise commence à empiler les référentiels cybersécurité, la fatigue conformité arrive très vite.

ISO 27001 d’un côté, NIS2 de l’autre, parfois DORA, CRA, des exigences clients, des questionnaires fournisseurs, des audits internes, des plans d’action et des preuves à maintenir. Très souvent, les équipes ont l’impression de refaire plusieurs fois le même travail sous des noms différents.

Et ce ressenti n’est pas qu’une impression. Une grande partie des référentiels recouvrent des sujets proches : gouvernance, gestion des accès, actifs, sauvegardes, incidents, vulnérabilités, fournisseurs, continuité, preuves. ENISA l’illustre très bien dans sa guidance technique 2025 sur NIS2, qui propose non seulement des conseils de mise en œuvre, mais aussi des mappings de requirements et des examples of evidence. Le message implicite est clair : les obligations peuvent être rapprochées, organisées et mutualisées, plutôt que traitées comme des silos séparés.

La bonne question n’est donc pas : comment gérer chaque norme séparément ?

La bonne question est : comment construire un système de pilotage qui mutualise les mesures, les preuves et le suivi entre plusieurs référentiels ?


Pourquoi les équipes refont sans cesse le même travail

Le problème vient rarement des référentiels eux-mêmes. Il vient surtout de la manière dont les organisations les traitent.

Dans beaucoup d’entreprises, chaque nouveau cadre déclenche :

  1. un nouveau tableau ;
  2. un nouveau plan d’action ;
  3. une nouvelle collecte de preuves ;
  4. une nouvelle logique de suivi ;
  5. parfois même une nouvelle terminologie pour des mesures déjà existantes.

Résultat : les équipes ne pilotent plus un système cohérent. Elles pilotent plusieurs couches documentaires parallèles.

C’est exactement l’inverse de la logique des standards de management. ISO rappelle qu’un système de management doit reposer sur des étapes répétables, dans un cycle de self-evaluation, correction and improvement. ISO/IEC 27001 précise d’ailleurs que la norme sert à établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de la sécurité de l’information. (ISO)

Autrement dit, si chaque norme vous oblige à recréer un système complet, ce n’est pas la conformité qui vous fatigue. C’est votre modèle de pilotage.


Le vrai problème : les organisations pilotent par référentiel, pas par mesure

C’est la racine du sujet.

Quand on pilote par référentiel, on se pose des questions comme :

  1. que demande ISO 27001 ?
  2. que demande NIS2 ?
  3. que demande CRA ?
  4. que demande le client ?

Quand on pilote par mesure, on se pose plutôt :

  1. avons-nous une gestion des accès robuste ?
  2. avons-nous une preuve de revue des droits ?
  3. avons-nous une politique de sauvegarde et un test de restauration ?
  4. avons-nous une gestion des vulnérabilités tenue dans le temps ?
  5. quels référentiels cette mesure couvre-t-elle ?

La différence est énorme.

Dans le premier cas, on duplique.

Dans le second, on mutualise.


Pourquoi le recouvrement entre normes est plus fort qu’on ne le croit

Les référentiels ne sont pas identiques, mais ils se recoupent souvent sur les mêmes briques fondamentales :

  1. gouvernance ;
  2. gestion des actifs ;
  3. contrôle des accès ;
  4. journalisation ;
  5. sauvegardes ;
  6. gestion des vulnérabilités ;
  7. sécurité des fournisseurs ;
  8. incidents ;
  9. continuité ;
  10. sensibilisation ;
  11. preuves et traçabilité.

Le NIST CSF 2.0 a justement été conçu pour fournir un common language et aider les organisations à understand, assess, prioritize, and communicate les résultats cyber. Il n’est pas une norme de conformité au sens strict, mais il est très utile comme structure de lecture transversale.

ENISA va dans le même sens. Sa guidance NIS2 2025 ne se contente pas de lister les obligations : elle fournit des mappings vers des standards et des exemples de preuves. Et dans un autre registre, l’étude ENISA/JRC sur le CRA montre aussi un travail explicite de requirements standards mapping pour aider à traduire les exigences en corpus existants.

Cela confirme une chose : les normes sont différentes, mais elles ne justifient pas de refaire tout le travail depuis zéro.


Les 5 erreurs qui créent la fatigue conformité

1. Créer un tableau par norme

C’est l’erreur la plus fréquente.

Un tableau ISO, un tableau NIS2, un tableau client, un tableau CRA. Très vite, les mesures se répètent avec des formulations légèrement différentes.

2. Rattacher les preuves aux audits plutôt qu’aux mesures

Quand une preuve est collectée “pour ISO” puis à nouveau “pour NIS2”, le problème n’est pas la preuve. Le problème est qu’elle n’est pas rattachée à la bonne unité de pilotage.

3. Gérer les écarts séparément selon le référentiel

Une même faiblesse peut concerner plusieurs cadres. Si on ouvre plusieurs plans d’action parallèles, on multiplie la charge artificiellement.

4. Changer de vocabulaire à chaque cadre

Une mesure reste une mesure, même si les textes l’expriment différemment. Si chaque norme impose son propre langage opérationnel, la duplication est presque garantie.

5. Penser en “conformité documentaire” plutôt qu’en “système vivant”

Le but n’est pas d’avoir trois beaux classeurs. Le but est d’avoir un pilotage cohérent, démontrable et maintenu dans le temps.


La bonne méthode pour éviter de refaire le même travail

1. Construire un socle commun de mesures

Le point de départ le plus robuste consiste à définir un référentiel interne de mesures :

  1. gestion des accès ;
  2. gestion des actifs ;
  3. gestion des vulnérabilités ;
  4. sauvegardes ;
  5. incidents ;
  6. continuité ;
  7. fournisseurs ;
  8. sensibilisation ;
  9. gouvernance ;
  10. documentation et preuves.

Ce socle devient votre langue opérationnelle.

Ensuite, chaque norme vient se rattacher à ce socle, au lieu de le remplacer.

2. Mapper chaque exigence vers les mêmes mesures

Plutôt que de suivre chaque texte en silo, il faut rattacher :

  1. l’exigence ISO ;
  2. l’exigence NIS2 ;
  3. l’exigence client ;
  4. l’exigence CRA ou DORA ;

aux mêmes objets de pilotage internes.

C’est précisément ce que rendent possible les travaux récents de mapping publiés par ENISA, que ce soit côté NIS2 ou CRA. )

3. Mutualiser les preuves

Une bonne preuve n’a pas à être “refaite” pour chaque norme.

Si une revue d’accès, un test de restauration, un registre d’actifs ou un rapport de vulnérabilités est solide, il peut souvent servir plusieurs objectifs :

  1. audit ;
  2. conformité ;
  3. revue client ;
  4. démonstration interne.

ENISA insiste justement sur les exemples d’évidence pour démontrer la mise en œuvre effective des mesures. Il faut donc penser les preuves comme des actifs transverses, pas comme des pièces à usage unique.

4. Garder un plan d’action unique

Une faiblesse doit produire une action pilotée une seule fois, même si elle couvre plusieurs cadres.

Exemple :

  1. absence de MFA sur les accès sensibles.

Cette faiblesse peut concerner :

  1. ISO 27001 ;
  2. NIS2 ;
  3. une exigence client ;
  4. une politique interne.

Mais l’action de traitement doit rester unique :

  1. un responsable ;
  2. une échéance ;
  3. une preuve ;
  4. plusieurs rattachements normatifs.

5. Suivre par mesure, piloter par vue

C’est probablement la meilleure formulation.

  1. Le suivi doit se faire par mesure.
  2. Le pilotage peut ensuite s’afficher par norme, par client, par audit, par périmètre ou par direction.

Ainsi, on évite de refaire le travail tout en gardant la capacité de restituer selon le bon angle.


Exemple concret

Prenons un sujet simple : la gestion des sauvegardes.

Si l’organisation pilote mal, elle va créer :

  1. une mesure ISO sur les sauvegardes ;
  2. une mesure NIS2 sur la continuité ;
  3. une exigence client sur la restauration ;
  4. une note CRA sur la maintenance ;
  5. plusieurs preuves séparées.

Si elle pilote bien, elle crée :

  1. une mesure interne “sauvegardes et restauration” ;
  2. un responsable ;
  3. un cycle de test ;
  4. une preuve ;
  5. puis elle rattache cette mesure aux différents cadres applicables.

Le travail réel est fait une fois.

La lecture conformité, elle, peut être multiple.


Ce que cela change concrètement pour les équipes

Quand on mutualise bien, on gagne sur quatre points.

Moins de fatigue

Moins de duplication, moins de tableaux, moins de requalification.

Plus de lisibilité

Les équipes voient mieux ce qui est réellement fait, ce qui manque et ce qui couvre plusieurs référentiels.

Plus de cohérence

Les réponses aux audits, aux clients et aux revues internes deviennent plus homogènes.

Plus de maintien dans le temps

Un système commun est plus facile à faire vivre que plusieurs systèmes parallèles.


Pourquoi c’est particulièrement critique aujourd’hui

Le sujet devient plus important parce que les cadres se multiplient :

  1. ISO 27001 ;
  2. NIS2 ;
  3. CRA ;
  4. DORA ;
  5. exigences clients ;
  6. audits internes ;
  7. questionnaires fournisseurs.

Dans ce contexte, continuer à piloter “une norme = un système” devient très coûteux. ENISA, NIST et ISO convergent au contraire vers une logique de structuration, de langage commun, de mapping et d’amélioration continue.


Là où CompliKey a un positionnement fort

C’est précisément sur ce point que CompliKey a un positionnement crédible.

L’intérêt n’est pas seulement d’afficher plusieurs normes. L’intérêt est de :

  1. centraliser les mesures ;
  2. rattacher plusieurs référentiels aux mêmes objets ;
  3. mutualiser les preuves ;
  4. suivre les écarts une seule fois ;
  5. restituer ensuite la vue par norme, périmètre ou client.

Autrement dit, CompliKey ne cherche pas à empiler les cadres. Il aide à éviter de refaire le même travail, en transformant plusieurs référentiels en un pilotage commun, plus lisible et plus tenable dans le temps.


En bref

La fatigue conformité vient rarement du nombre de normes à lui seul.

Elle vient surtout de la duplication du travail entre ces normes.

Pour l’éviter, il faut :

  1. construire un socle commun de mesures ;
  2. mapper les référentiels vers ces mesures ;
  3. mutualiser les preuves ;
  4. garder un plan d’action unique ;
  5. piloter par mesure et restituer par vue.

C’est cette logique qui permet de passer d’une conformité subie à une conformité industrialisée.


FAQ

Peut-on vraiment mutualiser ISO 27001, NIS2 et d’autres cadres ?

Oui, en grande partie. Les référentiels ne sont pas identiques, mais ils recouvrent souvent des familles de mesures proches. Les travaux de mapping publiés par ENISA sur NIS2 et le CRA vont clairement dans ce sens. (enisa.europa.eu)

Pourquoi refait-on souvent le même travail ?

Parce que les organisations pilotent par norme, par audit ou par client, au lieu de piloter par mesure et par preuve.

Une preuve peut-elle couvrir plusieurs référentiels ?

Oui, très souvent. Une preuve solide de revue d’accès, de sauvegarde ou de gestion des vulnérabilités peut servir plusieurs cadres si elle est bien rattachée et contextualisée. (enisa.europa.eu)

Quel est le meilleur moyen d’éviter la fatigue conformité ?

Mettre en place un système unique de pilotage des mesures, des preuves et des écarts, puis afficher différentes vues selon le référentiel ou le besoin.


COMPLIKEY
La méthode de supervision cyber incarnée
dans un logiciel
  • Tableau de conformité centralisé
  • Plan de traitement des risques & analyse
  • Tableaux de bord & KPIs en temps réel
  • Guidage et automatisation des revues/documentation
Plus d'informations
Logo complikey
COMPLIKEY
LinkedIn
Copyright 2026 CompliKey - Tous droits réservés.
Liens Utiles
Produits
Normes
Consultants
Contact
À propos de nous
Mentions légales
CGU
CGV
Politique de confidentialité
Politique de cookies