∙ Cas d'usage
Cartographie SI pour RSSI : conformité NIS2 et DORA, cyber-résilience prouvée
Échéance NIS2 le 17 octobre 2026. Sanctions jusqu'à 10 M€ ou 2 % du CA, responsabilité personnelle des dirigeants. UrbaHive produit la cartographie auditable que NIS2 et DORA exigent — hébergée en Europe, tenue à jour collaborativement, exportable directement pour l'ANSSI ou l'ACPR.
Ce que NIS2 et DORA imposent en matière de cartographie
NIS2 article 21 : obligations de cartographie des actifs et prestataires
L'article 21 impose aux entités essentielles et importantes de tenir à jour la cartographie des actifs SI critiques avec leur classification, la cartographie des dépendances aux prestataires et tiers critiques avec évaluation de leur sécurité, la cartographie des chaînes d'approvisionnement IT, et un reporting auditable pour l'autorité nationale (ANSSI en France). Échéance : 17 octobre 2026.
DORA : cartographie des dépendances IT critiques
DORA (applicable depuis le 17 janvier 2025) impose aux établissements financiers la cartographie complète des dépendances IT critiques, le registre détaillé des prestataires tiers de TIC, les tests de résilience opérationnelle, et la gestion des incidents avec délais stricts. UrbaHive produit et tient à jour le registre DORA, exportable pour l'ACPR/AMF.
Sanctions et responsabilité personnelle des dirigeants
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (montant le plus élevé retenu). Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA. Plus grave : la responsabilité personnelle des dirigeants peut être engagée (article 20), avec interdiction d'exercer en cas de manquement caractérisé.
Comment UrbaHive vous met en conformité
Cartographie des actifs critiques avec classification CIA
Classification CIA (Confidentialité, Intégrité, Disponibilité) sur chaque actif, avec niveau (faible, modéré, élevé, critique) et impact business associé (RPO, RTO, perte financière estimée). Compatible avec EBIOS Risk Manager et ISO 27005. Les actifs critiques sont automatiquement priorisés dans les vues, les rapports et le PCA/PRA.
Cartographie des prestataires et tierces parties
Modélisation native des prestataires tiers (SaaS, MSP, infogéreurs, hébergeurs, éditeurs critiques) avec : nature de la prestation, criticité business, accord en place (DPA, SLA), niveau de sécurité évalué (Bitsight, SecurityScorecard, ou questionnaire interne), date de revue. Indispensable pour NIS2 (chaîne d'approvisionnement) et DORA (registre tiers).
Reporting auditable pour ANSSI / régulateur sectoriel
Trois fonctionnalités clés : export auditable PDF/CSV de toute la cartographie avec horodatage, journaux d'audit complets (qui a modifié quoi, quand), vues filtrées par exigence réglementaire (NIS2 art. 21, DORA art. 28). En audit, l'auditeur consulte directement les vues exportées plutôt que de demander des documents disparates.
Cas d'usage RSSI
Préparer un audit NIS2
Construire le dossier de conformité en moins de 6 semaines : périmètre des actifs, classification, registre des prestataires, exports auditables. Présentation directe en audit ANSSI, sans avoir à reconstruire le dossier à chaque sollicitation.
Détecter et gouverner le shadow IT
Ouvrir le référentiel aux métiers permet de remonter les applications utilisées sans la DSI. Combiné avec les imports automatisés (CASB type Netskope, monitoring DNS, SSO logs), UrbaHive consolide la vue. Le shadow IT révélé peut alors être gouverné (intégration, sécurisation, ou décommissionnement).
Construire un PCA/PRA exploitable
À partir de la classification CIA et du graphe de dépendances, UrbaHive génère la vue de propagation d'incident, le calcul des RTO/RPO consolidés et la priorisation des chantiers de résilience. Base auditable pour le PCA et exportable pour l'auditeur.
Sécurité et conformité d'UrbaHive
- Hébergement Vercel régions UE exclusivement (Paris, Francfort, Amsterdam selon configuration)
- Aucun transfert vers les États-Unis, pas de soumission au CLOUD Act
- Chiffrement TLS 1.3 en transit, AES-256 au repos, sauvegardes chiffrées 30 jours
- SSO SAML 2.0 / OpenID Connect (Azure AD, Okta, Google Workspace, Ping)
- Contrôle d'accès basé sur les rôles (RBAC) granulaire au niveau workspace, projet et objet
- Journaux d'audit immuables, exportables sur demande
- Conformité RGPD documentée, DPA disponible, sous-traitants documentés
- Audits SOC 2 Type II en cours (livraison Q4 2026)
FAQ RSSI : NIS2, DORA, sécurité
Que demande exactement NIS2 en matière de cartographie SI ?
L'article 21 de la directive NIS2 impose aux entités essentielles et importantes de tenir à jour : (1) la cartographie des actifs SI critiques avec leur classification, (2) la cartographie des dépendances aux prestataires et tiers critiques avec évaluation de leur niveau de sécurité, (3) la cartographie des chaînes d'approvisionnement IT, (4) un reporting auditable de ces cartographies pour l'autorité nationale (en France : ANSSI). L'échéance est le 17 octobre 2026.
Quelles sanctions en cas de non-conformité NIS2 ?
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (montant le plus élevé retenu). Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA. Plus grave : la responsabilité personnelle des dirigeants peut être engagée (article 20), avec interdiction d'exercer en cas de manquement caractérisé.
Quelles entreprises sont concernées par NIS2 en France ?
Environ 18 000 entités françaises, contre une centaine sous NIS1. Sont concernées les entreprises : (1) appartenant à un secteur listé (énergie, transports, banques, santé, eau, infrastructures numériques, administration publique, espace, services postaux, gestion des déchets, alimentaire, industrie manufacturière, fabricants de produits chimiques, recherche…), ET (2) atteignant le seuil moyenne entreprise : ≥ 50 salariés et CA ≥ 10 M€ ou bilan ≥ 10 M€. Les grandes entreprises (>250 salariés ou >50 M€ CA) sont systématiquement classées 'essentielles'.
Que demande DORA pour le secteur financier ?
DORA (Digital Operational Resilience Act, applicable depuis le 17 janvier 2025) impose aux établissements financiers (banques, assurances, fonds, fintechs) : cartographie complète des dépendances IT critiques, registre détaillé des prestataires tiers de TIC, tests de résilience opérationnelle, gestion des incidents avec délais stricts. UrbaHive permet de produire et tenir à jour le registre DORA, exportable pour l'ACPR / AMF.
Comment UrbaHive aide à préparer un audit ANSSI ou ACPR ?
Trois fonctionnalités clés : (1) export auditable PDF/CSV de toute la cartographie avec horodatage, (2) journaux d'audit complets (qui a modifié quoi, quand), (3) vues filtrées par exigence réglementaire (NIS2 art. 21, DORA art. 28). En audit, l'auditeur consulte directement les vues exportées plutôt que de demander des documents disparates.
Peut-on cartographier les dépendances aux prestataires tiers ?
Oui. UrbaHive modélise nativement les prestataires tiers (SaaS, MSP, infogéreurs, hébergeurs, éditeurs critiques) avec : nature de la prestation, criticité business, accord en place (DPA, SLA), niveau de sécurité évalué (questionnaire interne ou externe type Bitsight / SecurityScorecard), date de revue. Indispensable pour NIS2 (chaîne d'approvisionnement) et DORA (registre tiers).
Comment classifier les actifs selon leur criticité ?
UrbaHive permet la classification CIA (Confidentialité, Intégrité, Disponibilité) sur chaque actif, avec niveau (faible, modéré, élevé, critique) et impact business associé (RPO, RTO, perte financière estimée). Compatible avec les méthodes EBIOS Risk Manager et ISO 27005. Les actifs critiques sont automatiquement priorisés dans les vues, les rapports et le PCA/PRA.
UrbaHive aide-t-il à détecter le shadow IT ?
Oui via l'enrichissement collaboratif : ouvrir le référentiel aux métiers permet de remonter les applications utilisées sans la DSI. Combiné avec les imports automatisés (CASB type Netskope, monitoring DNS, SSO logs), UrbaHive consolide la vue. Le shadow IT révélé peut alors être gouverné (intégration, sécurisation, ou décommissionnement).
Comment UrbaHive sécurise mes données ?
Hébergement Vercel régions UE exclusivement. Chiffrement TLS 1.3 en transit, AES-256 au repos. SSO SAML 2.0 / OpenID Connect. Contrôle d'accès basé sur les rôles (RBAC) granulaire. Journaux d'audit immuables. Sauvegardes quotidiennes. Conformité RGPD documentée, DPA disponible. Audits SOC 2 Type II en cours (livraison Q4 2026).
UrbaHive remplace-t-il une CMDB ?
Non — il la complète. La CMDB (ServiceNow, BMC) gère les Configuration Items techniques (serveurs, VMs, certificats) avec un grain fin pour l'exploitation. UrbaHive cartographie l'architecture d'entreprise au-dessus : applications, processus métier, capacités, dépendances. Les deux peuvent se synchroniser via API : CMDB pour les CI, UrbaHive pour le sens business et la gouvernance NIS2/DORA.
Combien de temps pour être conforme NIS2 avec UrbaHive ?
Pour une PME/ETI sans cartographie existante : 6 à 10 semaines. Sprint 1 (2 sem.) : périmètre, sponsor, équipe. Sprint 2 (3 sem.) : cartographie applicative + classification. Sprint 3 (3 sem.) : prestataires tiers + dépendances. Sprint 4 (2 sem.) : exports auditables + gouvernance. Soit largement dans les délais avant l'échéance du 17 octobre 2026.
Mes données restent-elles en Europe ?
Oui. UrbaHive est hébergé exclusivement sur Vercel régions européennes (Francfort, Paris, Amsterdam selon configuration). Aucune donnée client ne quitte l'Espace Économique Européen. Pas de transfert vers les États-Unis, pas de soumission au CLOUD Act. Conforme RGPD, DPA disponible, registre des sous-traitants à jour.
Pour aller plus loin
- → NIS2 PME/ETI : guide conformité 2026
- → DORA : cartographie SI secteur financier
- → Cartographie SI pour RSSI : méthodologie
- → Shadow IT PME : risques, détection, gouvernance
- → PCA/PRA et cartographie SI : résilience ETI
- → Sécurité et conformité UrbaHive
Audit de conformité NIS2 en 30 minutes
Diagnostic express : périmètre concerné, écarts à combler, plan d'action en 6-10 semaines. Sans CB, sans engagement, par un expert cartographie.
Réserver un audit conformité NIS2