{"id":116026,"date":"2024-01-22T11:23:57","date_gmt":"2024-01-22T11:23:57","guid":{"rendered":"https:\/\/staging.advisera.com\/articles\/nis2-implementation-steps\/"},"modified":"2024-09-19T18:11:21","modified_gmt":"2024-09-19T18:11:21","slug":"etapes-de-mise-en-oeuvre-de-nis-2","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/fr\/articles\/etapes-de-mise-en-oeuvre-de-nis-2\/","title":{"rendered":"15 \u00e9tapes de mise en \u0153uvre des mesures de gestion des risques en mati\u00e8re de cybers\u00e9curit\u00e9 de NIS 2"},"content":{"rendered":"<p>Se conformer \u00e0 des r\u00e9glementations complexes comme la <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/qu-est-ce-que-le-nis-2\/\" target=\"_blank\" rel=\"noopener\">directive NIS 2<\/a> (SRI 2) n\u2019est pas chose ais\u00e9e, mais si vous avez un plan d\u2019action clair, ce projet peut devenir plus simple dans son ensemble. Cet article pr\u00e9sente les meilleures pratiques concernant les \u00e9tapes \u00e0 suivre pour se conformer pleinement au chapitre IV de NIS 2, nomm\u00e9 \u00ab Mesures de gestion des risques en mati\u00e8re de cybers\u00e9curit\u00e9 et obligations d\u2019information \u00bb ; cet article aborde ce chapitre parce qu\u2019il pr\u00e9sente les exigences essentielles de NIS 2 que les entreprises (c\u2019est-\u00e0-dire les entit\u00e9s essentielles et importantes) doivent respecter.<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--content\">\n<p>Pour se conformer au chapitre\u00a0IV de NIS\u00a02, nomm\u00e9 \u00ab\u00a0Mesures de gestion des risques en mati\u00e8re de cybers\u00e9curit\u00e9 et obligations d\u2019information\u00a0\u00bb, les entreprises doivent suivre 15\u00a0\u00e9tapes, qui d\u00e9butent par l\u2019obtention du soutien de la haute direction et se terminent par des audits internes p\u00e9riodiques, un examen p\u00e9riodique de la gestion et des mesures coercitives.<\/p>\n<\/div>\n<\/div>\n<p>D\u2019apr\u00e8s mon exp\u00e9rience, la fa\u00e7on la plus rapide de se conformer \u00e0 NIS\u00a02 consiste \u00e0 suivre ces 15\u00a0\u00e9tapes\u00a0:<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><\/p>\n<h2>1) Obtenir le soutien de la haute direction<\/h2>\n<p>Vous devez penser que, dans la mesure o\u00f9 NIS\u00a02 est obligatoire, se conformer \u00e0 cette directive se d\u00e9roulera de fa\u00e7on harmonieuse sans impliquer la haute direction. Malheureusement, la r\u00e9alit\u00e9 est tout autre\u00a0: si la direction g\u00e9n\u00e9rale ne soutient pas activement ce projet, il sera ralenti, sous-financ\u00e9 et bloqu\u00e9 \u00e0 toutes les \u00e9tapes.<\/p>\n<p>Donc, m\u00eame si NIS\u00a02 est obligatoire, vous devez n\u00e9anmoins convaincre votre direction que cela vaut la peine de s\u2019int\u00e9resser \u00e0 ce sujet.<\/p>\n<h2>2) Mettre en place la gestion de projet<\/h2>\n<p>NIS\u00a02 est trop complexe pour confier le projet, par exemple, \u00e0 votre administrateur informatique, en esp\u00e9rant que tout se passera bien. Premi\u00e8rement, il est impossible d\u2019imaginer qu\u2019une personne sans autorit\u00e9 formelle puisse r\u00e9ussir avec un projet de cette ampleur et, deuxi\u00e8mement, vous devez avoir une id\u00e9e pr\u00e9cise des \u00e9tapes de mise en \u0153uvre, des objectifs, des r\u00e9sultats principaux, des responsabilit\u00e9s, etc.<\/p>\n<p>En d\u2019autres termes, une approche du projet est n\u00e9cessaire si vous souhaitez r\u00e9ussir.<\/p>\n<h2>3) R\u00e9aliser une formation initiale<\/h2>\n<p>NIS\u00a02 met particuli\u00e8rement en avant la formation \u00e0 la s\u00e9curit\u00e9 et il est logique de r\u00e9aliser une formation tr\u00e8s t\u00f4t dans le projet.<\/p>\n<p>De cette fa\u00e7on, tout personne impliqu\u00e9e aura une meilleure compr\u00e9hension de ce qu\u2019est NIS\u00a02, de ce qui doit \u00eatre r\u00e9alis\u00e9, pourquoi c\u2019est n\u00e9cessaire, etc. et vous lancerez votre projet beaucoup plus facilement.<\/p>\n<p>Consultez cet article pour d\u00e9couvrir des id\u00e9es de formation\u00a0: <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/nis-2-formation-sensibilisation\/\" target=\"_blank\" rel=\"noopener\">Comment r\u00e9aliser une formation et une sensibilisation selon NIS 2<\/a>.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-116325\" src=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-french.png\" alt=\"Conformit\u00e9 NIS 2 : 15 \u00e9tapes pour les mesures de gestion des risques en mati\u00e8re de cybers\u00e9curit\u00e9\" width=\"2500\" height=\"1309\" title=\"\" srcset=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-french.png 2500w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-french-300x157.png 300w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-french-768x402.png 768w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-french-1024x536.png 1024w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-french-1536x804.png 1536w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/15-implementation-steps-for-nis-2-cybersecurity-risk-management-measures-french-2048x1072.png 2048w\" sizes=\"(max-width: 2500px) 100vw, 2500px\" \/><\/p>\n<p>&nbsp;<\/p>\n<h2>4) R\u00e9diger une Politique de haut niveau sur la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information<\/h2>\n<p>M\u00eame si NIS\u00a02 n\u2019exige pas sp\u00e9cifiquement un document de haut niveau qui d\u00e9finirait la direction pour la cybers\u00e9curit\u00e9, un tel document fait partie des meilleures pratiques selon les normes internationales en raison du fait suivant\u00a0: si vous ne savez pas o\u00f9 vous allez, vous risquez de vous perdre.<\/p>\n<p>C\u2019est pourquoi, un document de ce type est n\u00e9cessaire. Il pr\u00e9sente clairement ce qui doit \u00eatre r\u00e9alis\u00e9 avec la cybers\u00e9curit\u00e9, ce que sont les responsabilit\u00e9s et les r\u00f4les principaux et comment le succ\u00e8s sera mesur\u00e9.<\/p>\n<h2>5) D\u00e9finir la M\u00e9thodologie de gestion des risques<\/h2>\n<p>Le gestion des risques est g\u00e9n\u00e9ralement l\u2019\u00e9tape la plus complexe de ce processus de conformit\u00e9 et, pour couronner le tout, NIS\u00a02 comprend des exigences sp\u00e9cifiques concernant la fa\u00e7on de g\u00e9rer les risques.<\/p>\n<p>Pour vous assurer que votre entreprise respecte NIS\u00a02 et que tout le monde au sein de l\u2019entreprise comprenne comment les risques doivent \u00eatre g\u00e9r\u00e9s, vous devez cr\u00e9er un document qui d\u00e9finit des r\u00e8gles claires\u00a0: la M\u00e9thodologie de gestion des risques.<\/p>\n<h2>6) R\u00e9aliser l\u2019\u00e9valuation et le traitement des risques<\/h2>\n<p>Lors de l\u2019\u00e9valuation des risques, vous devez d\u00e9terminer ce qui pourrait compromettre vos syst\u00e8mes d\u2019information. C\u2019est g\u00e9n\u00e9ralement r\u00e9alis\u00e9 en cr\u00e9ant une liste des actifs et des menaces et vuln\u00e9rabilit\u00e9s correspondantes\u00a0; vous devez par ailleurs d\u00e9terminer l\u2019importance de ces risques en \u00e9valuant leur probabilit\u00e9 et leur gravit\u00e9 (impact).<\/p>\n<p>Apr\u00e8s avoir cr\u00e9\u00e9 une liste des risques, vous devez d\u00e9terminer comment traiter les (c\u2019est-\u00e0-dire limiter) les risques les plus \u00e9lev\u00e9s\u00a0; pour la plupart d\u2019entre eux, vous mettrez en \u0153uvre les mesures en mati\u00e8re de cybers\u00e9curit\u00e9 d\u00e9finies dans l\u2019<a href=\"https:\/\/staging.advisera.com\/fr\/nis2\/mesures-de-gestion-des-risques-en-matiere-de-cybersecurite\/\" target=\"_blank\" rel=\"noopener\">article\u00a021<\/a>. De cette fa\u00e7on, vous d\u00e9veloppez une cybers\u00e9curit\u00e9 fond\u00e9e sur des analyses minutieuses, plut\u00f4t qu\u2019en mettant en \u0153uvre diff\u00e9rentes mesures sans trop savoir pourquoi.<\/p>\n<h2>7) R\u00e9diger et approuver le Plan de traitement des risques<\/h2>\n<p>Une fois que vous avez une id\u00e9e pr\u00e9cise des risques auxquels vous faites face et de la fa\u00e7on de les traiter, vous devrez cr\u00e9er un plan concret concernant la mani\u00e8re de mettre en \u0153uvre les mesures de cybers\u00e9curit\u00e9 et, plus important encore, obtenir l\u2019approbation de la direction g\u00e9n\u00e9rale pour ce plan.<\/p>\n<p>Le plan de traitement des risques est en r\u00e9alit\u00e9 un plan de mise en \u0153uvre et il comprend g\u00e9n\u00e9ralement une liste de toutes les mesures de cybers\u00e9curit\u00e9 (c\u2019est-\u00e0-dire les activit\u00e9, les proc\u00e9dures et les technologies) qui doivent \u00eatre mises en \u0153uvre ainsi que les informations concernant les personnes en charge, les \u00e9ch\u00e9ances, etc.<\/p>\n<h2>8) Mettre en \u0153uvre des mesures en mati\u00e8re de cybers\u00e9curit\u00e9<\/h2>\n<p>Bien s\u00fbr, l\u2019exigence essentielle de NIS\u00a02 est la mise en \u0153uvre de diff\u00e9rentes mesures en mati\u00e8re de cybers\u00e9curit\u00e9. En pratique, cela signifie que vous devrez introduire de nouveaux processus de s\u00e9curit\u00e9, de nouvelles activit\u00e9s et, dans certains cas, de nouvelles technologies, en fonction des r\u00e9sultats de l\u2019\u00e9valuation des risques.<\/p>\n<p>Dans tous les cas, vous devrez r\u00e9diger diff\u00e9rentes politiques et proc\u00e9dures en mati\u00e8re de cybers\u00e9curit\u00e9 pour d\u00e9finir des r\u00e8gles claires concernant ces nouveaux processus et ces nouvelles activit\u00e9s et technologies.<\/p>\n<p>D\u00e9couvrez ici quelles mesures de cybers\u00e9curit\u00e9 sont n\u00e9cessaires et quels documents utilis\u00e9s\u00a0: <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/nis-2-documents-obligatoires\/\" target=\"_blank\" rel=\"noopener\">Liste des documents requis selon NIS 2<\/a>.<\/p>\n<h2>9) Mettre en place la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement<\/h2>\n<p>NIS\u00a02 a reconnu le fait qu\u2019un plus grand nombre d\u2019incidents de s\u00e9curit\u00e9 sont li\u00e9s \u00e0 des manquements des fournisseurs\u00a0; cela exige de pr\u00eater une attention particuli\u00e8re aux relations entre fournisseurs et prestataires de services, ce qui comprend l\u2019\u00e9valuation de leurs vuln\u00e9rabilit\u00e9s et l\u2019\u00e9tude des proc\u00e9dures de d\u00e9veloppement de leurs logiciels.<\/p>\n<p>Cela est r\u00e9alis\u00e9 par l\u2019interm\u00e9diaire d\u2019une \u00e9valuation formelles des risques concernant les fournisseurs, en ne travaillant qu\u2019avec des fournisseurs fiables, notamment en incluant des clauses de s\u00e9curit\u00e9 dans les accords conclus avec eux et en surveillant leur niveau de s\u00e9curit\u00e9.<\/p>\n<h2>10) Mettre en place l\u2019\u00e9valuation de l\u2019efficacit\u00e9 de la cybers\u00e9curit\u00e9<\/h2>\n<p>NIS\u00a02 exige de la direction g\u00e9n\u00e9rale qu\u2019elle supervise la mise en \u0153uvre des mesures de cybers\u00e9curit\u00e9, la bonne pratique \u00e9tant de le faire de trois\u00a0fa\u00e7ons\u00a0: (1) en mesurant et en surveillant de fa\u00e7on continue la cybers\u00e9curit\u00e9 pour \u00eatre capable de d\u00e9celer tout \u00e9cart, (2) en introduisant des audits internes p\u00e9riodiques pour d\u00e9couvrir des \u00e9l\u00e9ments non conformes et (3) en introduisant un examen p\u00e9riodique de la gestion pour disposer d\u2019une s\u00e9ance formelle destin\u00e9e \u00e0 examiner tous les faits li\u00e9es \u00e0 la cybers\u00e9curit\u00e9.<\/p>\n<p>Pour mettre en place ces activit\u00e9s, vous devez r\u00e9diger quelques documents essentiels\u00a0: M\u00e9thodologie de mesure, Proc\u00e9dure d\u2019audit interne et Proc\u00e9dure de revue de direction.<\/p>\n<h2>11) Mettre en place des notifications d\u2019incident<\/h2>\n<p>L\u2019une des principales exigences de NIS\u00a02 est de notifier le CSIRT (ou l\u2019autorit\u00e9 comp\u00e9tente), et les destinataires des services, concernant des incidents importants.<\/p>\n<p>Les entit\u00e9s doivent soumettre diff\u00e9rents types de rapport au CSIRT\u00a0: une alerte pr\u00e9coce, une notification d\u2019incident, un rapport interm\u00e9diaire et un rapport d\u2019avancement.<\/p>\n<p>Apprenez-en davantage ici\u00a0: <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/obligations-dinformation-de-nis-2\/\" target=\"_blank\" rel=\"noopener\">Quelles sont les obligations d&rsquo;information selon NIS 2 ?<\/a><\/p>\n<h2>12) Mettre en place une formation continue en mati\u00e8re de cybers\u00e9curit\u00e9<\/h2>\n<p>NIS\u00a02 est tr\u00e8s sp\u00e9cifique concernant la mise en place de la cybers\u00e9curit\u00e9 pour tous les employ\u00e9s, y compris la direction g\u00e9n\u00e9rale. Le d\u00e9fi concerne ici est de savoir comment choisir les bons sujets et les types de formation adapt\u00e9s afin de diffuser les bonnes connaissances sans d\u00e9penser trop d\u2019argent ou de temps.<\/p>\n<p>D\u00e9couvrez d\u2019autres approches ici\u00a0: <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/nis-2-formation-sensibilisation\/\" target=\"_blank\" rel=\"noopener\">Comment r\u00e9aliser une formation et une sensibilisation selon NIS 2<\/a>.<\/p>\n<h2>13) Audits internes p\u00e9riodiques<\/h2>\n<p>Il est vrai que l\u2019audit interne n\u2019est pas mentionn\u00e9 dans NIS\u00a02\u00a0; cependant, ISO\u00a027001 et d\u2019autres normes internationales sugg\u00e8rent que l\u2019audit interne comme pratique exemplaire pour la direction g\u00e9n\u00e9rale afin de superviser la mise en \u0153uvre des mesures de cybers\u00e9curit\u00e9.<\/p>\n<p>Sans la possibilit\u00e9 d\u2019identifier des \u00e9l\u00e9ments non conformes lors de l\u2019audit interne, il serait impossible pour la direction g\u00e9n\u00e9rale de disposer d\u2019une image compl\u00e8te de l\u2019\u00e9tat de la cybers\u00e9curit\u00e9, ce qui pourrait entra\u00eener des incidents et engager leur responsabilit\u00e9.<\/p>\n<h2>14) Examen p\u00e9riodique de la gestion<\/h2>\n<p>Une revue de direction, ou examen de gestion, est une r\u00e9union formelle pendant laquelle la direction g\u00e9n\u00e9rale doit recevoir toutes les informations pertinentes concernant la cybers\u00e9curit\u00e9 (par exemple, Rapport de mesure, Rapport d\u2019audit interne, etc.) afin de prendre des d\u00e9cisions essentielles en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n<p>Lors de la revue de direction, la direction g\u00e9n\u00e9rale peut prendre des mesures coercitives, modifier des r\u00f4les et des responsabilit\u00e9s essentiels, d\u00e9finir de nouveaux objectifs de s\u00e9curit\u00e9, d\u00e9finir un budget en mati\u00e8re de s\u00e9curit\u00e9, etc.<\/p>\n<h2>15) Ex\u00e9cuter des mesures coercitives<\/h2>\n<p>Les mesures coercitives sont un moyen de r\u00e9soudre les \u00e9l\u00e9ments non conformes de fa\u00e7on syst\u00e9matique\u00a0; pendant leur mise en \u0153uvre, la cause de non-conformit\u00e9 est formellement analys\u00e9e et les activit\u00e9s destin\u00e9es \u00e0 \u00e9liminer cette cause sont d\u00e9finies et ex\u00e9cut\u00e9es.<\/p>\n<p>En d\u2019autres termes, le but des mesures coercitives est de s\u2019assurer que des \u00e9l\u00e9ments non conformes identiques ne r\u00e9apparaissent pas.<\/p>\n<p><em>Pour trouver tous les documents n\u00e9cessaires pour vous conformer \u00e0 la directive NIS 2 (SRI 2), consultez cette<\/em>\u00a0<a href=\"https:\/\/staging.advisera.com\/toolkits\/nis-2-documentation-toolkit\/\" target=\"_blank\" rel=\"noopener\">Bo\u00eete \u00e0 outils de documentation NIS 2<\/a>\u00a0<em>qui comprend toutes les politiques, proc\u00e9dures, plans et autres mod\u00e8les.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se conformer \u00e0 des r\u00e9glementations complexes comme la directive NIS 2 (SRI 2) n\u2019est pas chose ais\u00e9e, mais si vous avez un plan d\u2019action clair, ce projet peut devenir plus simple dans son ensemble. Cet article pr\u00e9sente les meilleures pratiques concernant les \u00e9tapes \u00e0 suivre pour se conformer pleinement au chapitre IV de NIS 2, [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":116284,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-116026","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-fr","adv_standard-nis-2-fr","adv_topic-implementation","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/adv_resources\/116026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/comments?post=116026"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/adv_resources\/116026\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/media\/116284"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/media?parent=116026"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/tags?post=116026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}