Preuves ISO 27001, NIS2 et eIDAS : Le Guide de l'Intégrité Numérique
Par BaaS Team – Dernière mise à jour : novembre 2025
La conformité documentaire ne suffit plus. À l'ère de NIS2 et de l'ISO 27001:2022, les auditeurs et régulateurs exigent des preuves tangibles, intègres et infalsifiables. Comment transformer vos logs et rapports en éléments de preuve à valeur juridique ?
En résumé
- ISO 27001:2022 et NIS2 exigent des preuves techniques opposables, pas seulement des politiques sur étagère.
- Une preuve numérique valable doit garantir intégrité, antériorité, authenticité et pérennité au sens d’eIDAS.
- Le coffre-fort numérique défini par le CPCE L103 est le socle juridique français pour fiabiliser ces preuves.
- BaaS joue le rôle de coffre-fort probatoire pour automatiser la collecte et le scellement de vos logs et documents clés.
Pourquoi parle-t-on désormais de "Evidence-Based Compliance" ?
L'époque où quelques captures d'écran dans un dossier Sharepoint suffisaient à valider un audit est révolue. Avec l'entrée en vigueur de la Directive NIS2 et la mise à jour ISO 27001:2022, la charge de la preuve s'est alourdie.
Le principe est simple mais brutal : si vous ne pouvez pas prouver l'intégrité d'une action de sécurité (backup, patch, revue de droits), pour l'auditeur, elle n'a pas eu lieu.
ISO 27001:2022
Introduit des contrôles stricts sur la protection des enregistrements (A.5.33) et la journalisation (A.8.15). Les logs doivent être protégés contre la falsification.
Directive NIS2
L'Article 23 impose des délais de signalement d'incidents (24h/72h). En cas de contrôle post-incident, vous devez fournir la trace inaltérée de la chronologie des événements.
Qu'est-ce qu'une "Preuve Numérique" valable ?
Pour qu'un fichier (PDF, JSON, Log) ait une valeur probante devant un auditeur ou un juge, il doit respecter quatre piliers fondamentaux issus du règlement eIDAS :
Pour plus de détails, voir le règlement eIDAS sur le site de la Commission européenne.
- 1. L'Intégrité : La garantie que le document n'a pas été modifié d'un seul octet depuis sa création. Techniquement, cela passe par une empreinte numérique (Hash).
- 2. L'Antériorité (Horodatage) : La certitude de la date d'existence. Un horodatage simple système est falsifiable. Un Horodatage Qualifié eIDAS offre une présomption juridique d'exactitude.
- 3. L'Authenticité : La capacité d'identifier l'auteur ou le système émetteur (via signature électronique ou cachet serveur).
- 4. La Pérennité : La capacité à relire et vérifier la preuve dans le temps (durant les 3 ans du cycle de certification ISO).
Le "Coffre-fort Numérique" : L'arme juridique française
En France, le législateur a défini un cadre précis pour sécuriser ces actifs : le Coffre-fort Numérique (CFN). Défini par l'article L103 du Code des postes et des communications électroniques, un CFN n'est pas un simple stockage cloud (comme Drive ou Dropbox).
Il doit obligatoirement garantir :
- La réception et le stockage des données dans des conditions garantissant leur intégrité.
- L'impossibilité de modifier les données stockées (principe WORM : Write Once, Read Many).
- La traçabilité de toutes les actions effectuées sur le coffre.
- La reversibilité des données (pouvoir tout récupérer simplement).
Utiliser un CFN pour vos preuves ISO 27001, c'est apporter à l'auditeur la garantie technique que vos éléments de preuve sont "gravés dans le marbre".
Stratégie pratique : Comment structurer vos preuves ?
Ne mélangez pas tout. Une bonne gestion de preuve distingue deux types de données :
1. Les Preuves "Chaudes" (Automatisées)
Ce sont les logs systèmes, les résultats de scans de vulnérabilité, les traces de backup.
Action : Connectez vos outils via API à un système d'archivage à vocation probatoire. Ne stockez pas ça à la main.
2. Les Preuves "Froides" (Documentaires)
Ce sont les PV de revue de direction, les rapports d'audit interne, les chartes signées, les attestations de formation.
Action : Déposez-les dans un Coffre-fort Numérique dès leur signature. Cela fige leur contenu et leur date vis-à-vis de l'extérieur.
L'approche BaaS pour l'ISO 27001
BaaS (Blockchain as a Service) a été conçu pour répondre exactement à cette exigence de Preuve Numérique. Notre architecture utilise la blockchain pour créer un scellement cryptographique inaltérable de chaque fichier déposé.
En combinant la technologie Blockchain avec les standards eIDAS, BaaS offre la conformité d'un Coffre-fort Numérique nouvelle génération : vos auditeurs peuvent vérifier mathématiquement l'intégrité de chaque preuve, sans tiers de confiance.
FAQ Preuves ISO 27001, NIS2 et eIDAS
Quelles preuves concrètes demander à ses équipes pour un audit ISO 27001 ?
Rapports de sauvegarde, journaux d'accès, comptes rendus de revue de direction, preuves de traitement des vulnérabilités, attestations de formation sécurité, comptes rendus d'exercices de crise… l'important est de disposer de traces datées, intègres et facilement consultables.
Comment l'eIDAS s'articule-t-il avec ISO 27001 et NIS2 ?
eIDAS définit le cadre européen pour les services de confiance (signature, cachet, horodatage qualifiés). ISO 27001 fournit la méthode de gestion des risques et des contrôles, tandis que NIS2 impose des obligations renforcées aux entités critiques. Ensemble, ils définissent le niveau de preuve attendu.
Un simple export CSV de logs suffit-il comme preuve ?
Non, si cet export peut être modifié sans contrôle. Il doit être protégé par un mécanisme garantissant son intégrité et son antériorité (hash, horodatage, scellement dans un coffre-fort numérique, etc.) pour être réellement opposable.
Faut-il tout conserver indéfiniment ?
Non, la durée de conservation doit rester proportionnée aux exigences réglementaires et contractuelles. L'enjeu est de conserver suffisamment longtemps ce qui est critique pour vos audits et vos responsabilit�és, sans créer un gisement de données inutilement exposé.
avec un expert