Dans la pratique, nous constatons que les organisations sont relativement confiantes et ont une tendance à estimer qu’elles « s’en sortent plutôt bien » en matière de cybersécurité. Elles disposent souvent de pares-feux, de sauvegardes et d’un prestataire informatique qui assure une couverture intégrale.
Malgré cette confiance globale, il est possible que la conformité aux règles de NIS2 ne soit pas atteinte. Nous pourrions comparer cette situation à celle de l’individu qui se dit en bonne santé, mais qui ne fait jamais de bilan médical approfondi. Tant que tout va bien, tout semble en ordre, jusqu’à ce qu’un problème survienne soudainement.
L’objectif de la directive NIS2 est de garantir un niveau plus élevé et plus uniforme en matière de cybersécurité au sein de l’Union européenne. L’accent est mis sur le renforcement de la résilience numérique et de la continuité des organisations essentielles et importantes, afin qu’elles soient mieux équipées pour résister aux incidents cyber et aux attaques extérieures.
Dans cet article, nous évoquons trois signes évidents qui indiquent que votre organisation n’est pas conforme à la directive NIS2. Vous reconnaissez un ou plusieurs de ces signes ? C’est qu’il est temps d’agir.
Que signifie concrètement être NIS2 compliant dans votre organisation ?
La directive NIS2 entend renforcer la résilience, mais aussi le contrôle et la capacité de démontrer cette résilience. Pouvez-vous prouver que vous connaissez vos risques ? Qui est responsable lorsque les choses tournent mal ? Quelles décisions sont alors prises ? Comment les incidents sont-ils gérés ?
En théorie, tout cela est évident. Dans la pratique, en revanche, nous observons trois signaux récurrents qui indiquent que les organisations ne sont pas encore conformes à la norme NIS2.
1er signal : la cybersécurité n’est l’affaire que du service informatique, et non de la direction
L’un des signes les plus évidents de non-conformité est rencontré lorsque la cybersécurité est entièrement confiée au service informatique. Ce dernier gère les mesures de sécurité, suit les mises à jour et réagit aux incidents. Mais la direction ou les cadres supérieurs gardent leurs distances. La cybersécurité est alors considérée comme un sujet technique, et non comme une responsabilité stratégique.
Dans le cadre de la directive NIS2, cela n’est plus suffisant. En effet, la directive prévoit explicitement que la direction d’une organisation est responsable du suivi des risques, de l’approbation des mesures de sécurité et de la supervision de leur mise en œuvre. Les dirigeants doivent en outre disposer de connaissances suffisantes pour pouvoir assumer efficacement ce rôle.
La cybersécurité est donc devenue, outre une tâche opérationnelle, un sujet à l’ordre du jour des réunions du conseil d’administration.
Comment détecter cela en pratique ?
Posez-vous quelques questions sommaires.
La cybersécurité fait-elle systématiquement partie de l’ordre du jour du conseil d’administration ? Les risques cyber font-ils l’objet de discussions formelles et sont-ils documentés ? A-t-on déterminé qui accepte certains risques et pourquoi ? Si un incident grave se produisait demain, qui serait clairement responsable en dernier ressort ? Le conseil d’administration sait-il quels processus critiques dépendent de quels systèmes et quel serait l’impact d’une perturbation sur l’organisation ?
De plus, la sensibilisation est aussi un indicateur clair : les dirigeants reçoivent-ils une formation spécifique sur les cybermenaces et leur rôle dans le cadre de la directive NIS2 ? Ou les connaissances restent-elles principalement concentrées au sein du service informatique ?
Si les réponses à ces questions ne sont pas évidentes, cela témoigne d’un déficit structurel de gouvernance et présente donc un risque accru de non-conformité.
Qu’impose NIS2 dans ce domaine ?
Pour se conformer à NIS2, il est attendu que la cybersécurité soit ancrée au niveau de la direction. Cela signifie que la direction doit non seulement être informée, mais aussi qu’elle doit participer activement à l’approbation des mesures de sécurité, à la définition des priorités et au suivi des risques. La cybersécurité doit faire partie intégrante du processus décisionnel stratégique, au même titre que les risques financiers ou opérationnels.
De plus, les responsabilités doivent être clairement définies. Pas de manière informelle, mais formellement documentées. Qui prend quelles décisions ? Qui accepte certains risques ? Qui supervise la mise en œuvre ?
La directive insiste également sur le fait que les dirigeants doivent disposer des connaissances suffisantes pour assumer leur rôle. Cela implique une formation et une sensibilisation de ces derniers, afin que les décisions ne soient pas aveuglément déléguées au service informatique.
Enfin, il s’agit aussi d’une question de démonstrabilité. Les discussions, décisions et le suivi en matière de risques doivent être visibles. Sans cette structure de gouvernance, la conformité reste précaire.
2ème signal : Il n’existe pas de processus structurel et démontrable de gestion des risques
La directive NIS2 repose sur un principe fondamental : il faut connaître ses risques avant de pouvoir les maîtriser.
Or, il s’avère qu’il n’existe souvent pas de vue d’ensemble claire et actualisée des risques liés à la sécurité de l’information. Il n’existe pas de registre central des risques, ni de méthode fixe pour les évaluer. De plus, les priorités sont déterminées selon l’intuition ou l’urgence, et non en se fondant sur l’impact et la probabilité des risques. Cela peut causer des problèmes.
En effet, la directive NIS2 exige une approche fondée sur les risques. Cela signifie que vous devez systématiquement identifier les processus et les systèmes critiques, les menaces qui pèsent sur eux et les mesures nécessaires pour garantir la continuité.
Il est non seulement important de prendre des mesures, mais aussi de pouvoir démontrer pourquoi certains choix ont été faits : pourquoi ce risque a été accepté ; pourquoi ce risque a été considéré comme prioritaire ; qui a pris cette décision.
Si l’analyse des risques n’est pas un processus fixe, mais un exercice ponctuel ou un document qui n’est pas maintenu à jour, l’organisation ne satisfait pas les exigences de NIS2.
1.1 Point d’attention supplémentaire : la sécurité de la chaîne d’approvisionnement
Pour la directive NIS2, la responsabilité ne s’arrête pas aux frontières de votre propre organisation.
La directive précise clairement que les risques liés à la chaîne d’approvisionnement doivent également être pris en compte dans votre analyse de risque. En d’autres termes, si un fournisseur ou un partenaire informatique est victime d’un cyber incident qui affecte vos services, cela reste également votre problème.
Lors du choix d’un fournisseur, on tient généralement compte du prix, de la disponibilité et des services. Si les mesures de cybersécurité et/ou la certification ne font pas partie intégrante de ce processus de sélection, cela indique une non-conformité avec la directive NIS2.
La directive exige en effet que vous ayez une bonne compréhension des risques liés aux parties externes. Cela signifie que vous devez savoir quels fournisseurs ont accès à des systèmes critiques, quelles sont les dépendances existantes et quel impact a une perturbation chez eux peut avoir sur votre organisation.
La sécurité de la chaîne d’approvisionnement n’est donc pas un exercice supplémentaire, mais doit plutôt faire partie intégrante de votre gestion des risques.
Vous souhaitez approfondir le sujet ?
Dans notre eBook (EN) consacré aux attaques sur la chaîne d’approvisionnement dans le cadre de la directive NIS2, nous expliquons concrètement comment identifier et gérer ces risques.
Quelques red flags
Comment déterminer si votre gestion des risques est insuffisamment structurée ? Voici quelques signaux courants :
- Il n’existe pas de registre centralisé et actualisé des risques. Les risques sont dispersés dans différents documents ou dans la tête de quelques collaborateurs.
- La dernière analyse des risques remonte à plusieurs années et n’est pas révisée systématiquement.
- Les processus et systèmes réellement critiques pour la continuité de l’organisation ne sont pas clairement identifiés.
- Les évaluations des risques sont principalement effectuées après un incident, et non de manière préventive.
- Les fournisseurs ne font pas l’objet d’une évaluation structurelle de leurs mesures de cybersécurité.
- Il n’y a pas de lien clair entre les risques identifiés et les plans d’action concrets.
Un seul de ces signaux peut relever de la coïncidence. En revanche, lorsque plusieurs de ces situations sont reconnaissables, cela indique généralement l’absence d’une approche mature et démontrable des risques, et donc un risque accru de non-conformité avec la directive NIS2.
3ème signal : les incidents ne sont pas détectés, enregistrés ou signalés à temps
Même les organisations dotées de mesures de sécurité efficaces peuvent échouer lorsqu’un incident se produit.
La directive NIS2 impose des obligations claires en matière de gestion des incidents. L’objectif est de limiter les dommages, mais aussi de détecter les incidents à temps, de les documenter correctement et, si nécessaire, de les signaler à l’autorité compétente.
Pour cela, vous devez établir un processus clair. Sans ce plan formel de gestion des incidents, les employés ne savent pas ce qui est considéré comme un incident grave. Les lignes d’escalade sont alors floues et les délais de notification ne sont pas intégrés dans un processus concret.
Cela vous semble familier ? C’est aussi révélateur d’une non-conformité à la directive NIS2.
La directive prévoit des délais de notification stricts. Cela signifie que vous devez être en mesure d’évaluer rapidement l’impact d’un incident, les personnes à impliquer et les informations à communiquer. Sans procédures prédéfinies, cela est difficile à réaliser en pratique.
La gestion des incidents ne se résume donc pas à la réaction. Elle repose sur la préparation, la répartition claire des responsabilités et la documentation.
Quelles sont les exigences de la directive NIS2 en matière de notification des incidents ?
La directive NIS2 impose des obligations claires en cas d’incident cyber significatif.
Les organisations doivent signaler les incidents graves à l’autorité compétente dans des délais stricts. Cela signifie que vous devez être en mesure d’évaluer rapidement si un incident doit être signalé, quel est son impact sur vos services et quelles informations doivent être transmises.
Cela nécessaire une certaine préparation. Vous devez déterminer à l’avance :
- Lorsqu’un incident est considéré comme « significatif » ;
- Qui déclenche l’escalade interne ;
- Qui effectue l’analyse d’impact ;
- Et qui est responsable de la notification formelle.
En outre, NIS2 exige que les incidents soient non seulement résolus, mais également documentés et évalués. Que s’est-il passé ? Quel a été l’impact ? Quelles mesures sont prises pour éviter que cela ne se reproduise ?
Vous avez des doutes quant à votre conformité à NIS2 ? Voici la prochaine étape
Nous le répétons fréquemment, mais la cybersécurité ne consiste pas à cocher une liste de contrôle une seule fois. Au contraire, elle repose sur une surveillance, une amélioration et une évaluation continues.
Vous reconnaissez un ou plusieurs des signaux mentionnés dans cet article ? Pas de panique, mais c’est le moment de prendre des mesures structurées.
La première étape consiste à clarifier la situation. Où en êtes-vous aujourd’hui ? Quels risques ont déjà été identifiés ? Où se trouvent les principales lacunes ? Et quelles sont les priorités à traiter en premier lieu ?
Une analyse de maturité ou une analyse ciblée des lacunes vous permettra d’y voir plus clair. Il ne s’agit pas de créer du travail supplémentaire, mais d’apporter une orientation et un point de départ clair. La perfection n’existe pas, mais si vous pouvez démontrer que vous travaillez activement à la gouvernance, à la gestion des risques et au suivi de ceux-ci, vous garderez le contrôle.
Vous souhaitez savoir où en est votre organisation aujourd’hui ?
Planifiez un entretien sans engagement avec nos experts et obtenez une vision claire de votre maturité actuelle et de vos obligations en matière de NIS2.
