Mesures pragmatiques adaptées
Une méthode complète
Nous appliquerons des méthodes et mettrons en place des outils dans le cadre des normes. Mais notre priorité sera de comprendre votre métier et votre contexte, afin de mettre en place ces mesures de façon pragmatique et adaptée à vos besoins.
Nous procéderons pour cela à un audit initial qui aura pour but de comprendre quel niveau de conformité vous devez atteindre (contraintes légales, donneurs d’ordre, …) et quel est le niveau de maturité actuel de votre système d’information.
about us
Votre résilience numérique
Notre méthode
Identifier
Protéger
Détecter
Répondre
Rétablir
Identitifer & Protéger
« Identifier » et « Protéger », nous permettrons de réduire la probabilité de succès d’une attaque.
Détecter & Répondre
« Détecter » et « Répondre », ont pour objectif de réduire l’impact en cas d’attaque réussie…
Rétablir
« Rétablir » est l’ensemble des mécanismes qui permettront un retour à la normale le plus rapide possible, afin de limiter l’impact en termes de coût et d’image.
Questions fréquemment posées
Une question ?
Bienvenue dans notre Foire Aux Questions (FAQ) ! Vous trouverez ci-dessous des réponses aux questions fréquemment posées par nos utilisateurs. Que vous soyez nouveau chez nous ou que vous recherchiez des informations spécifiques, cette section est conçue pour vous fournir rapidement les renseignements dont vous avez besoin.
Si vous ne trouvez pas la réponse à votre question, n'hésitez pas à nous contacter. Nous sommes là pour vous aider !
Une entité peut être concernée directement par NIS2, si elle répond aux critères.
Mais une entité non concernée, au premier abord, peut l’être, si un de ses donneurs d’ordre est soumis à NIS2, puisqu’une des principales mesures est l’obligation de sécuriser la chaîne d’approvisionnement.
La transposition en droit français se fera au plus tard le 17 octobre 2024.
Mais il y aura des délais d’application des mesures. Ces délais ne sont pas encore connus.
Obligation de cybersécurité
Les entités doivent évaluer leurs risques en matière de cybersécurité et adopter des mesures techniques, opérationnelles et organisationnelles adaptées à leur degré d’exposition aux risques, à leur taille, à la probabilité de survenance d’incidents et leur gravité, à leurs conséquences sociétales et économiques.
Sécurité informatique
La directive NIS 2 dresse une liste de mesures a minima devant être prises par toutes les :
les politiques relatives à l’analyse des risques et la PSSI,
la gestion des incidents,
les plans dédiés à la continuité de l’activité (PCA), à sa reprise (PRA), à la gestion des sauvegardes et des crises,
la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des SI, notamment le traitement et la divulgation des vulnérabilités,
l’évaluation des mesures de gestion des risques cyber,
les politiques et procédures liés à la cryptographie,
la sécurité des ressources humaines, les politiques de contrôle d’accès et la gestion des actifs,
l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue,
l’utilisation d’outils de communication sécurisés et de systèmes de communication d’urgence en cas de crise.
Ces mesures de sécurité sont semblables à celles contenues dans les normes de la famille ISO/27000.
Sécurité contractuelle
La directive NIS 2 introduit également une obligation de sécurité de la chaîne d’approvisionnement contractuelle des entités essentielles et importantes. Les entités soumises à NIS 2 devront encadrer contractuellement les aspects cybersécurité avec leurs fournisseurs et prestataires directs.
En pratique, certaines entités non concernées par la NIS 2 se verront donc imposer, par ricochet, une partie du socle de sécurité NIS 2.
Obligation de notification
En cas d’incident de sécurité « important« , les entités doivent le signaler à leur CSIRT.
La directive NIS 2 définit ce qu’est un « incident important« :
Un incident est considéré comme important si:
- a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée;
- b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
La notification se fait par étapes :
Une notification initiale doit être faite sans délai injustifié et au maximum 24 heures après la connaissance de l’incident.
Une notification détaillée doit être faite sans délai injustifié et au maximum 72 heures après la connaissance de l’incident.
Un rapport final doit enfin être remis au CSIRT dans le mois suivant l’incident.
Responsabilité des organes de direction
La directive NIS 2 impose aux organes de direction d’approuver les mesures de gestion des risques cybersécurité prises par leur DSI et de superviser leur mise en œuvre.
Afin de s’assurer de leur implication réelle et effective, la directive NIS2 prévoit que les organes de direction doivent pouvoir être tenus pour responsable en cas de violation de la directive NIS 2 en matière de mesures de cybersécurité adoptées.
Les organes de direction doivent également suivre une formation afin d’acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques cyber ainsi que leur impact sur les services fournis par leur entité.
Avant de savoir ce que va coûter la mise en conformité, il faut déterminer la complexité et le niveau de maturité du système d’information de l’entreprise, ce qu’il reste à mettre en place, et quelles tâches peuvent être réalisées en interne ou doivent être sous traitées.
C’est pour cette raison que nous procédons avant à un audit initial, qui nous permettra de comprendre votre contexte, et dimensionner l’accompagnement adéquat.
NIS2 (tout comme ISO27001) met l’accent sur la nécessité de former et de sensibiliser les dirigeants et collaborateurs. Nous travaillons avec des organismes certifiés Qualiopi de façon que vous puissiez bénéficier des financements. Ces formations sont aussi éligibles FNE.