Documentation Index
Fetch the complete documentation index at: https://snakysec.mintlify.app/llms.txt
Use this file to discover all available pages before exploring further.
Mapping NIS2 (Directive UE 2022/2555)
Statut juridique SnakySec
SnakySec n’est pas légalement assujettie NIS2 (sous les seuils de l’art. 2 §1
NIS2 : <50 ETP et <10 M€ CA). En tant que MSSP servant des PME potentiellement
NIS2, posture NIS2-ready par exigence cascade (cf. 00-policy.md §3.1).
Mapping ci-dessous des exigences NIS2 que nous adoptons volontairement.
Article 21 — Mesures de gestion des risques cyber
21.2 (a) — Politiques d’analyse des risques et SI
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| Politique formelle de gestion des risques | ✅ | docs/SECURITY.md + 02-asset-inventory.md |
| Méthodologie d’analyse de risques | ⚠️ EBIOS RM Phase 1 | DICT ANSSI déjà en place (cf. SECURITY.md §1) |
| Revue annuelle | ✅ Planifiée | test-schedule.md Q4 |
21.2 (b) — Gestion des incidents
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| Procédure de gestion incidents | ✅ | incident-response/01-detection-triage.md |
| Détection automatique | ⚠️ Partiel | Sentry alerts, monitoring uptime Phase 2 |
| Classification (sévérité, criticité) | ✅ | P1/P2/P3 dans IR-01 §3 |
| Notification autorités sous 24h/72h | ✅ | 02-csirt-fr-notification.md |
21.2 (c) — Continuité d’activité
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| Plan de continuité documenté | ✅ | 00-policy.md |
| Sauvegarde et reprise | ✅ | 03-backup-strategy.md 3-2-1-1-0 |
| Test régulier de reprise | ✅ | test-schedule.md Q1-Q4 obligatoires |
| RTO/RPO formalisés | ✅ | 04-rto-rpo-matrix.md |
| Plan de communication crise | ✅ | incident-response/04-client-communication.md |
21.2 (d) — Sécurité de la chaîne d’approvisionnement
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| Évaluation fournisseurs (OVH, Scaleway, Microsoft) | ⚠️ Partiel | Listés dans 02-asset-inventory.md §7, évaluation formelle Phase 2 |
| Clauses contractuelles sécurité | ⚠️ Partiel | DPA OVH/Scaleway en place, audit fournisseur annuel Phase 2 |
| Diversification (multi-fournisseur) | ✅ | Multi-fournisseur backup OVH+Scaleway (cf. décision Q2 plan DR) |
21.2 (e) — Sécurité acquisition/développement/maintenance
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| Pratiques DevSecOps | ⚠️ Partiel | GitLab CI tests + scans, secrets scanning manuel V1 |
| Tests de sécurité (pentest) | ❌ Non V1 | Pentest annuel Phase 1 (~2-3k€) |
| Gestion des vulnérabilités | ✅ | Sentry + watch CVE feed manuel V1 |
21.2 (f) — Évaluation de l’efficacité
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| KPIs de sécurité | ⚠️ Partiel | MTTR + uptime mesurés, dashboard formel Phase 2 |
| Audit interne | ❌ Non V1 | Phase 2 (audit externe annuel) |
| Auto-évaluation NIS2 | ✅ | Ce document |
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| Hygiène cyber | ✅ | YubiKey + KeePass + 2FA partout, hardening VPS |
| Formation | N/A V1 (solo) | Phase 1 dès 1er recrutement |
21.2 (h) — Cryptographie
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| Chiffrement bout-en-bout | ✅ | TLS Let’s Encrypt + AES-256-GCM secrets DB + Ed25519 audit log |
| Gestion des clés | ✅ | Vault Shamir 5/3 + trustee notaire (01-keyholders.md) |
| Rotation périodique | ✅ | Annuelle (06-rotate-shamir-keys.md) |
21.2 (i) — RH, contrôle d’accès, gestion d’actifs
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| Inventaire d’actifs | ✅ | 02-asset-inventory.md |
| Gestion des accès (RBAC) | ✅ | docs/permissions-graph.md RBAC granulaire |
| Vérification antécédents | N/A V1 (solo) | Phase 1 dès recrutement |
21.2 (j) — Authentification + communications sécurisées
| Exigence NIS2 | Couverture SnakySec | Référence |
|---|
| MFA | ✅ | YubiKey + Entra MFA strict |
| SSO | ✅ | NextAuth Entra |
| Communications sécurisées | ✅ | TLS partout, PGP disponible CSIRT-FR |
| Vidéoconf sécurisée | ⚠️ Partiel | Pas d’engagement client V1 (utilise outil client) |
Article 23 — Notification d’incident
| Exigence | Couverture SnakySec | Référence |
|---|
| Pré-notification 24h | ✅ | 02-csirt-fr-notification.md §3-4 |
| Notification complète 72h | ✅ | Idem §5 |
| Rapport intermédiaire J+30 | ✅ | Idem §6.2 |
| Rapport final J+90 | ✅ | Idem §6.3 |
Synthèse
- Article 21 : 13/14 exigences couvertes complètement (93%) ou partiellement (7%)
- Article 23 : 4/4 exigences couvertes (100%)
Position commerciale opposable :
“SnakySec est en posture NIS2-ready par exigence cascade. Bien que non
légalement assujettie (sous seuils art. 2 §1), notre runbook DR couvre
93% des exigences art. 21 §2 et 100% des exigences art. 23 de notification.”
Plan de mise à niveau Phase 1-2
| Exigence | Action |
|---|
| 21.2 (a) méthodologie EBIOS RM | Phase 1 — formalisation EBIOS RM avec accompagnement ANSSI |
| 21.2 (d) audit fournisseur | Phase 2 — checklist annuelle OVH/Scaleway/MS |
| 21.2 (e) pentest annuel | Phase 1 — Vaadata ou AlgoSecure (~2-3k€) |
| 21.2 (f) audit interne | Phase 2 — semestriel formalisé |
| Version | Date | Auteur |
|---|
| 1.0 | 2026-04-26 | Nicolas Schiffgens |
