Maîtriser vos risques numériques

La Directive NIS correspond à Network & Information Security.

Elle a pour objectif de renforcer les mesures de sécurité numérique face au contexte croissants des cyberattaques, afin de donner un cadre commun à l’ensemble des pays de l’union européenne. A ce titre, la Directive s’applique à échelle européenne.

Par rapport à NIS1, la Directive NIS2 est beaucoup plus stricte, avec des mesures de sécurité renforcées, un plan de gestion des risques, des tests de pénétration, notifications d’incident obligatoires et autres exigences de gouvernance…

Alors que NIS1 concernait les Opérateurs de services essentiels (OSE) et Fournisseurs de services numériques (FSN), on parle désormais d’Entités Importantes (EI) ou Entités Essentielles (EE).

Les sanctions en cas de non-respect sont également plus importantes. 

NIS 2 s’applique aux entités considérées comme essentielles (EE) et importantes (EI). Elle concerne donc des milliers d’entreprises et organisations ainsi que leurs sous-traitants.

Voici la liste des secteurs d’activité concernés :

• Établissement de santé
• Administration publique
• Banque
• Transport et spatial
• Energie
• Approvisionnement en eau potable et usée
• Infrastructure numérique
• Gestion des déchets
• Industrie & chimie
• Agroalimentaire
• Télécommunication et plateforme de réseaux sociaux
• Fournisseurs de services numériques
• Services postaux

Parmi ces différents secteurs, seules sont concernées les organisations ayant un effectif > 50 collaborateurs et/ou un chiffre d’affaires > 10 millions d’euros annuel.

Voir le récapitulatif complet dans notre infographie.

1. Former l’ensemble du comité exécutif afin de responsabiliser l’équipe de direction

2. Identifier l’ensemble de vos risques numériques

3. Mettre en oeuvre un plan de gestion de ces risques

4. Intégrer la chaîne d’approvisionnement dans votre plan de prévention

5. Mettre en place des procédures précises pour être prêt en cas d’attaques

Contactez-nous pour échanger sur votre situation !

Phase 1 : Cadrage, État des lieux & Analyse de risque

Cadrage et état de lieux, appréhension du contexte, du périmètre, des objectifs et des acteurs relatifs à la mise en œuvre du SMSI.

Etablissement d'un diagnostic de maturité du corpus documentaire à disposition ainsi qu'une analyse de risque.

Phase 2 : Mise à niveau documentaire

Identification et amélioration de la documentation jugée "non satisfaisante", étape dite de "build".

Correction, complétion et précision de la documentation pour répondre aux exigences de la réglementation NIS2.

Phase 3 : mise en œuvre (run) du SMSI et audit (si besoin)

Mise en œuvre de la réglementation, étape dite de « run » et réalisation d'un audit à blanc, à la demande du client.

Contrôle des points suivants :

• La directive est appliquée et répond à toutes les exigences réglementaires.

• Les procédures sont adoptées par les équipes et adaptées à la réalité du terrain (corrélation avec le contexte et le périmètre).

• L'amélioration continue de la cybersécurité est effective.

• Il produit les éléments de preuve attendus par la réglementation NIS2.

Pour les entités essentielles (EE) : 10 millions d’euros ou 2% du CA.

Pour les entités importantes (EI) : 7 millions d’euros ou 1,4% du CA.