NIS2

Vous avez effectué votre notification. Et maintenant ?

La notification était l'étape simple. Maintenant commence l'implémentation — et c'est là que la plupart des organisations échouent.

K
Kim Borg
5 min de lecture
  1. 17
    octobre 2024 était la deadline pour la transposition de NIS2
    Directive NIS2
  2. Au
    Au moins 10 mesures de sécurité requises selon l'Article 21
    Directive NIS2
  3. La
    La direction est personnellement responsable de la conformité
    Loi de transposition NIS2
Business leader planning next steps in NIS2 implementation

La notification était l’étape simple

La deadline est passée. La plupart des organisations couvertes par la loi de transposition de la directive NIS2 ont effectué leur notification. Le formulaire a peut-être pris 20 minutes à remplir. Bien — mais la notification était le coup d’envoi administratif, pas la ligne d’arrivée.

Maintenant commence la phase qui détermine si votre travail de sécurité devient réel ou reste juste du papier dans un classeur. Et c’est là que je vois que la plupart des organisations échouent.

La réalité : La notification a pris 20 minutes. L’implémentation prend 12–24 mois. Mais cela ne signifie pas que vous pouvez attendre — l’ANSSI et les autorités sectorielles peuvent initier des contrôles à tout moment.

Trois erreurs que je vois encore et encore

1. "Nous avons fait notre notification — nous avons fini"

La notification est un acte administratif, pas une preuve de conformité. C'est comme enregistrer une entreprise et croire que l'activité est donc lancée. La loi exige que vous implémentiez effectivement les mesures de sécurité, pas seulement que vous signaliez que vous êtes couverts.

2. "Nous commençons par acheter un outil"

Le piège des outils est réel. Je vois des organisations qui investissent dans des plateformes GRC, des solutions SIEM et des scanners de vulnérabilités avant même d'avoir cartographié leurs actifs informationnels. Les outils sans processus, c'est comme un système de caisse sans idée d'entreprise — ça a l'air professionnel mais n'apporte aucune valeur.

3. "Le service IT s'en occupe"

La loi de transposition NIS2 est claire : la direction est responsable. Pas le chef IT, pas le CISO — la direction. Déléguer la responsabilité n'est pas seulement une mauvaise stratégie, cela va à l'encontre de l'intention de la loi. Le conseil d'administration doit approuver les politiques, garantir les ressources et suivre lui-même des formations.

Ce que les autorités de supervision recherchent réellement

Il est facile de croire que la supervision consiste à avoir les bons documents. Ce n’est pas le cas. L’ANSSI et les autorités sectorielles recherchent trois choses :

Systématique — Y a-t-il un fil conducteur ? Avez-vous identifié quels actifs informationnels sont critiques, évalué les risques qui les menacent, et choisi des mesures basées sur cette évaluation ? Ou avez-vous simplement pioché des contrôles dans une liste ?

Traçabilité — Pouvez-vous montrer pourquoi vous avez choisi précisément les mesures que vous avez choisies ? Pouvez-vous montrer qui a décidé, quand, et sur quelles bases ? La traçabilité implique que chaque décision ait un lien documenté avec un risque identifié.

Engagement de la direction — Le conseil d’administration et la direction ont-ils participé activement au travail de sécurité ? Y a-t-il des procès-verbaux montrant que les questions de sécurité ont été traitées au niveau direction ? La direction a-t-elle suivi la formation que la loi exige ?

La documentation sans processus sous-jacent, c’est du théâtre.

Une politique de sécurité de l’information que personne ne suit, une analyse de risques qui n’est jamais mise à jour, un plan de gestion d’incidents qui n’a jamais été testé — ce n’est pas de la conformité. C’est du papier. Et les autorités de supervision sont formées pour voir la différence.

Liste de priorisation pragmatique

Vous ne pouvez pas tout faire simultanément. Mais vous pouvez bien commencer. Voici l’ordre que je recommande :

  1. Analyse des risques Cartographiez vos actifs informationnels, identifiez les menaces et vulnérabilités, et évaluez les risques. Sans analyse des risques, vous ne savez pas où allouer les ressources. Tout le reste repose sur cette étape.
  2. Mesures de sécurité Implémentez des mesures basées sur l'analyse des risques — pas sur ce que le fournisseur vend. Concentrez-vous sur les domaines que l'Article 21 de NIS2 spécifie : contrôle d'accès, chiffrement, sécurité réseau, formation.
  3. Préparation aux incidents Constituez un plan de gestion d'incidents qui fonctionne réellement. Définissez les rôles, les voies d'escalade et les modèles de rapport. Et testez-le — un plan jamais exercé n'est qu'une liste de souhaits.
  4. Contrôle des fournisseurs Identifiez quels fournisseurs ont accès à vos actifs informationnels critiques. Posez des exigences de sécurité et assurez-vous du suivi. Vous ne pouvez pas externaliser votre responsabilité.

De la checklist à la systématique

Il y a une différence fondamentale entre les organisations qui cochent des exigences et les organisations qui construisent une vraie sécurité. Les premières ont des documents. Les secondes ont des processus.

Pensée checklistTravail de sécurité systématique
”Nous avons une politique""Nous avons une politique qui est suivie, révisée et mise à jour"
"Nous avons fait une analyse des risques""Nous faisons des analyses de risques en continu et les mettons à jour lors de changements"
"Nous avons un plan d’incident""Nous pratiquons la gestion d’incidents trimestriellement"
"Nous posons des exigences aux fournisseurs""Nous suivons la conformité des fournisseurs continuellement”

La loi de transposition NIS2 ne consiste pas à atteindre un objectif final. Elle consiste à montrer que vous avez un travail de sécurité vivant et systématique qui évolue au rythme de l’activité et du paysage des menaces.

Prochaines étapes

Commencez par être honnêtes sur votre situation actuelle. Une analyse d’écart qui cartographie votre état actuel par rapport aux exigences de la loi NIS2 est la première étape la plus efficace. Cela vous donne une image claire de ce qui manque — et de ce qui fonctionne déjà.

Le module d’analyse d’écart de Securapilot vous aide à cartographier exactement où vous en êtes par rapport aux exigences de la loi NIS2 — sans repartir de zéro. Partez de vos processus existants et construisez sur ce qui existe déjà.

Questions fréquentes

Que se passe-t-il après la notification NIS2 ?

La notification n'est que la première étape. Les organisations doivent maintenant implémenter les mesures de sécurité que la loi de transposition NIS2 exige — gestion des risques, préparation aux incidents, sécurité des fournisseurs et engagement de la direction. L'ANSSI et les autorités sectorielles peuvent initier des contrôles à tout moment.

Quelles sont les erreurs les plus courantes après la notification NIS2 ?

Les trois erreurs les plus courantes sont : croire que la notification signifie qu'on en a fini, commencer par acheter des outils au lieu de comprendre ses processus, et déléguer toute la responsabilité au service IT.

Comment savoir si mon organisation respecte les exigences de la loi NIS2 ?

Réalisez une analyse d'écart qui cartographie la situation actuelle par rapport aux domaines d'exigences de la loi. Cela donne une image claire de ce qui manque et vous aide à prioriser les actions les plus critiques.

L'autorité de supervision peut-elle nous contrôler dès maintenant ?

Oui. La loi de transposition NIS2 est entrée en vigueur et l'ANSSI ainsi que les autorités sectorielles ont le droit de mener des contrôles. Il n'y a pas de période de grâce formelle pour l'implémentation.

#Loi NIS2#NIS2#notification#implémentation#conformité

Plus d'articles

Nous utilisons des statistiques anonymes sans cookies pour améliorer le site. En savoir plus