La cybersécurité est désormais une question de gouvernance
NIS2 marque un changement de paradigme : la cybersécurité n’est plus une question qui peut être laissée au service informatique. Avec la loi de transposition de la directive NIS 2 entrée en vigueur le 17 octobre 2024, le conseil d’administration et la direction ont une responsabilité explicite et personnelle pour la cybersécurité de l’organisation.
Il ne s’agit pas seulement d’éviter les amendes. Les directions qui prennent leurs responsabilités au sérieux construisent des organisations plus résilientes — et plus crédibles pour les clients, partenaires et investisseurs.
Question clé : Votre conseil d’administration peut-il aujourd’hui décrire les trois principaux cyberrisques de l’organisation et comment ils sont gérés ? Si ce n’est pas le cas, il y a du travail à faire.
Que dit la loi ?
NIS2 Article 20 — Responsabilité de la direction :
- La direction doit approuver les mesures de cybersécurité requises
- La direction doit superviser la mise en œuvre de ces mesures
- La direction peut être tenue responsable en cas de violations
- La direction doit suivre une formation pour pouvoir évaluer les risques
- La formation doit être régulièrement proposée au personnel
Cette responsabilité ne peut pas être déléguée.
Les cinq missions principales du conseil d’administration
- Approuver la politique de cybersécurité Le conseil doit formellement approuver la politique globale de cybersécurité de l'organisation. La politique doit couvrir la gestion des risques, la gestion des incidents, la continuité d'activité et la sécurité des fournisseurs. L'approbation doit être documentée dans le procès-verbal du conseil.
- Assurer la gestion des risques Le conseil est responsable de la mise en place d'un processus systématique de gestion des risques. Cela implique que les risques soient identifiés, analysés, traités et suivis régulièrement. Les rapports sur les risques principaux doivent parvenir au conseil.
- Suivre une formation en cybersécurité Chaque membre du conseil et dirigeant doit suivre une formation. L'objectif est de pouvoir identifier les risques et évaluer si les mesures de sécurité sont adéquates. La formation doit être pertinente pour l'activité.
- Superviser la mise en œuvre Il ne suffit pas d'approuver — le conseil doit aussi s'assurer que les mesures sont effectivement mises en œuvre. Cela nécessite un reporting régulier et des KPI qui montrent l'évolution.
- Gérer les incidents au niveau direction En cas d'incidents significatifs, la direction doit être informée et prendre des décisions. Le signalement d'incidents aux autorités dans les 24 heures nécessite une chaîne d'escalade fonctionnelle.
Que se passe-t-il en cas de non-conformité ?
Amendes jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles. Pour les entités importantes, 7 millions d'euros ou 1,4% s'appliquent.
L'ANSSI peut exiger la publication des violations et émettre des déclarations publiques identifiant les personnes responsables.
Les dirigeants peuvent être tenus personnellement responsables. Dans les cas graves, les personnes peuvent être interdites d'exercer des fonctions dirigeantes dans les organisations soumises à NIS2.
Les organisations en défaut de conformité peuvent faire l'objet d'une surveillance intensifiée, incluant des audits réguliers et des obligations de reporting.
Conseils pratiques pour les conseils d’administration
Structurer la cybersécurité comme point permanent
La cybersécurité ne doit pas être quelque chose qui n’est discuté que lorsque quelque chose a mal tourné. En faire un point permanent de l’ordre du jour :
- Trimestriellement : Rapport de statut global, risques principaux, initiatives en cours
- Annuellement : Examen de la politique de cybersécurité, approbation du plan annuel
- Selon les besoins : Incidents, changements majeurs, nouvelles exigences
Structure du rapport
Un bon rapport de cybersécurité au conseil d’administration contient :
1. Situation actuelle et maturité
- Où en sommes-nous par rapport aux exigences NIS2 ?
- Comment nous situons-nous par rapport au secteur ?
2. Risques principaux
- Quels sont les trois à cinq plus grands risques ?
- Quelle est leur probabilité ? Quelles seraient les conséquences ?
3. Mesures prises
- Qu’avons-nous fait depuis la dernière fois ?
- Avons-nous eu des incidents ? Comment ont-ils été gérés ?
4. Initiatives en cours
- Quels projets sont en cours ?
- Respectons-nous les délais et le budget ?
5. Besoins en ressources
- Avons-nous besoin de plus de ressources ?
- Y a-t-il des lacunes de compétences ?
Questions que le conseil devrait poser
- Quels sont nos systèmes et données les plus critiques ?
- À quelle vitesse pouvons-nous nous remettre d’une attaque ransomware ?
- Comment gérons-nous la sécurité chez nos fournisseurs ?
- Avons-nous testé notre gestion d’incidents cette dernière année ?
- Respectons-nous toutes les exigences NIS2 ? Si non, que manque-t-il ?
Tableau de bord et KPI pour la direction
Un tableau de bord direction efficace donne une vue d’ensemble sans noyer dans les détails :
| KPI | Description | Objectif |
|---|---|---|
| Niveau de conformité | Part des exigences NIS2 respectées | 100% |
| Risques critiques | Nombre de risques critiques ouverts | 0 |
| Incidents | Nombre d’incidents significatifs | Tendance à la baisse |
| Niveau de correctifs | Part des systèmes avec correctifs à jour | >95% |
| Formation | Part du personnel ayant suivi la formation | 100% |
| Fournisseurs | Part des fournisseurs critiques audités | 100% |
Erreurs courantes à éviter
NIS2 le rend cristallin : la responsabilité incombe à la direction. Déléguer le travail opérationnel est acceptable, mais la responsabilité ne peut pas être déléguée.
Une heure de présentation générique ne suffit pas. La formation doit être suffisamment substantielle pour que la direction puisse réellement évaluer les risques et mesures.
N'agir que lorsque quelque chose va mal est trop tard. La gestion proactive des risques et le suivi régulier sont la clé.
Si ce n'est pas dans le procès-verbal, cela ne s'est pas produit. Documentez les décisions du conseil, les approbations et les informations présentées.
Étape suivante : Vérifiez si votre organisation est concernée par NIS2 et lisez-en plus sur toutes les exigences NIS2 dans notre aperçu du cadre.
Comment Securapilot peut vous aider
Securapilot fournit à la direction les outils nécessaires pour respecter les exigences NIS2 :
- Tableau de bord direction — Vue d’ensemble du statut de conformité, des risques et incidents
- Rapports automatisés — Rapports au conseil avec le bon niveau de détail
- Gestion des risques — Traçabilité de tous les risques et décisions
- Documentation — Preuves des approbations et du suivi
- Gestion d’incidents — Escalade et signalement dans les délais requis
Réserver une démo et voir comment nous pouvons aider votre conseil à prendre le contrôle de la cybersécurité.
Questions fréquentes
Le conseil d'administration peut-il déléguer la responsabilité cybersécurité ?
Non, selon NIS2, la responsabilité de la direction en matière de cybersécurité ne peut être déléguée. Le conseil d'administration doit activement approuver les mesures et superviser leur mise en œuvre. Le travail opérationnel peut être délégué, mais la responsabilité demeure auprès de la direction.
Quelle formation est requise pour le conseil d'administration ?
NIS2 exige que la direction suive une formation régulière en cybersécurité pour pouvoir identifier les risques et évaluer les mesures de sécurité. La formation doit être adaptée aux activités et aux risques de l'organisation.
Les membres du conseil peuvent-ils être tenus personnellement responsables ?
Oui, NIS2 permet la responsabilité personnelle des dirigeants en cas de violations graves. Dans les cas extrêmes, les personnes peuvent être interdites d'exercer des fonctions dirigeantes. Ceci constitue un écart significatif par rapport aux pratiques antérieures.
À quelle fréquence le conseil doit-il traiter la cybersécurité ?
Il n'y a pas d'exigence spécifique, mais la bonne pratique est un reporting trimestriel au conseil plus des réunions extraordinaires en cas d'incidents. La cybersécurité devrait être un point permanent à l'ordre du jour du conseil.
