{"id":116044,"date":"2024-01-22T11:21:11","date_gmt":"2024-01-22T11:21:11","guid":{"rendered":"https:\/\/staging.advisera.com\/articles\/8-requirements-nis2\/"},"modified":"2024-09-19T17:59:01","modified_gmt":"2024-09-19T17:59:01","slug":"8-exigences-nis-2","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/fr\/articles\/8-exigences-nis-2\/","title":{"rendered":"Les 8 exigences les plus importantes en mati\u00e8re de cybers\u00e9curit\u00e9 et d&rsquo;information dans NIS 2"},"content":{"rendered":"<p><em>Mise \u00e0 jour le 6 mars 2024 (transposition dans les Etats membres)<\/em><\/p>\n<p>Si votre entreprise s\u2019appr\u00eate \u00e0 se conformer \u00e0 <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/qu-est-ce-que-le-nis-2\/\" target=\"_blank\" rel=\"noopener\">NIS 2<\/a> (SRI 2), vous vous demandez s\u00fbrement ce que vous devez faire. Cet article pr\u00e9sente les exigences les plus importantes de NIS\u00a02 auxquelles se conformer, en se concentrant principalement sur le chapitre\u00a0IV \u2014 Mesures de gestion des risques en mati\u00e8re de cybers\u00e9curit\u00e9 et obligations d\u2019information.<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--title\">Les exigences les plus importantes de NIS\u00a02\u00a0:<\/div>\n<div class=\"post-featured--content\">\n<ol>\n<li>Responsabilit\u00e9s de la haute direction<\/li>\n<li>Importance de la formation<\/li>\n<li>Approche de la cybers\u00e9curit\u00e9 ax\u00e9e sur les risques<\/li>\n<li>Cybers\u00e9curit\u00e9\u00a0: m\u00e9lange de mesures techniques, op\u00e9rationnelles et organisationnelles<\/li>\n<li>S\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement<\/li>\n<li>Notification des incidents importants<\/li>\n<li>Utilisation de produits et de services informatiques certifi\u00e9s<\/li>\n<li>Amendes<\/li>\n<\/ol>\n<\/div>\n<\/div>\n<p>De fa\u00e7on surprenante, parmi les 46 articles de la directive NIS 2, seuls 20 \u00e0 25 articles sont r\u00e9ellement pertinents pour les entreprises (<a href=\"https:\/\/staging.advisera.com\/fr\/articles\/a-qui-sapplique-nis-2\/\" target=\"_blank\" rel=\"noopener\">c\u2019est-\u00e0-dire les entit\u00e9s essentielles et importantes<\/a>) qui doivent se conformer \u00e0 NIS\u00a02\u00a0; la plupart des autres articles d\u00e9finissent les exigences pour les organismes publics qui r\u00e8glementent la cybers\u00e9curit\u00e9.<\/p>\n<p>Voir \u00e9galement\u00a0: <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/etapes-de-mise-en-oeuvre-de-nis-2\/\" target=\"_blank\" rel=\"noopener\">15 \u00e9tapes de mise en \u0153uvre des mesures de gestion des risques en mati\u00e8re de cybers\u00e9curit\u00e9 de NIS 2<\/a><\/p>\n<p>Les exigences les plus importantes se trouvent dans le chapitre\u00a0IV et s\u2019articulent autour de deux th\u00e8mes principaux\u00a0: gestion des risques de cybers\u00e9curit\u00e9 et obligations d\u2019information. En dehors du chapitre\u00a0IV, il existe seulement quelques exigences pertinentes pour les entit\u00e9s essentielles et importantes.<\/p>\n<p>Voici donc les exigences essentielles de NIS\u00a02 que vous devez conna\u00eetre\u00a0:<\/p>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script>\n<h2>1) Responsabilit\u00e9s de la haute direction<\/h2>\n<p>En vertu de l\u2019<a href=\"https:\/\/staging.advisera.com\/fr\/nis2\/gouvernance\/\" target=\"_blank\" rel=\"noopener\">article\u00a020<\/a>, la direction g\u00e9n\u00e9rale des entit\u00e9s essentielles et importantes :<\/p>\n<ul>\n<li>doit approuver les mesures en mati\u00e8re de cybers\u00e9curit\u00e9 qui doivent \u00eatre mises en \u0153uvre au sein de l\u2019entreprise\u00a0;<\/li>\n<li>doit superviser leur mise en \u0153uvre\u00a0; et<\/li>\n<li>peut \u00eatre tenue responsable si la cybers\u00e9curit\u00e9 n\u2019est pas correctement mise en \u0153uvre.<\/li>\n<\/ul>\n<p>Les articles <a href=\"https:\/\/staging.advisera.com\/fr\/nis2\/mesures-de-supervision-et-dexecution-en-ce-qui-concerne-les-entites-essentielles\/\" target=\"_blank\" rel=\"noopener\">32<\/a> et <a href=\"https:\/\/staging.advisera.com\/fr\/nis2\/mesures-de-supervision-et-dexecution-en-ce-qui-concerne-les-entites-importantes\/\" target=\"_blank\" rel=\"noopener\">33<\/a> soulignent en outre la responsabilit\u00e9 des repr\u00e9sentants l\u00e9gaux des entit\u00e9s essentielles et des entit\u00e9s importantes.<\/p>\n<h2>2) Importance de la formation<\/h2>\n<p>En vertu de l\u2019article\u00a020, les membres de la direction g\u00e9n\u00e9rale doivent suivre une formation en mati\u00e8re de cybers\u00e9curit\u00e9 et doivent permettre \u00e0 leurs employ\u00e9s de suivre cette formation \u00e0 intervalles r\u00e9guliers.<\/p>\n<p>NIS\u00a02 exige que cette formation couvre l\u2019identification des risques, l\u2019\u00e9valuation des pratiques en mati\u00e8re de cybers\u00e9curit\u00e9 et la fa\u00e7on dont ces mesures de cybers\u00e9curit\u00e9 permettent \u00e0 l\u2019entreprise de fournir ses services.<\/p>\n<p>Cliquez ici pour visionner <a href=\"https:\/\/staging.advisera.com\/training\/security-awareness-training\/#company-account\" target=\"_blank\" rel=\"noopener\">25 vid\u00e9os de sensibilisation \u00e0 la s\u00e9curit\u00e9<\/a> pour former les employ\u00e9s de votre entreprises.<\/p>\n<h2>3) Approche de la cybers\u00e9curit\u00e9 ax\u00e9e sur les risques<\/h2>\n<p>L\u2019<a href=\"https:\/\/staging.advisera.com\/fr\/nis2\/mesures-de-gestion-des-risques-en-matiere-de-cybersecurite\/\" target=\"_blank\" rel=\"noopener\">article 21<\/a> exige que les mesures de cybers\u00e9curit\u00e9 soient appropri\u00e9es pour les risques concern\u00e9s ; lors de l\u2019\u00e9valuation des risques, NIS 2 exige que les entreprises tiennent compte des \u00e9l\u00e9ments suivants :<\/p>\n<ul>\n<li>exposition aux risques<\/li>\n<li>taille de l\u2019entreprise<\/li>\n<li>probabilit\u00e9 de survenance d\u2019incidents et de leur gravit\u00e9<\/li>\n<li>cons\u00e9quences soci\u00e9tales et \u00e9conomiques des incidents<\/li>\n<\/ul>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-116333\" src=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-french.png\" alt=\"Exigences NIS 2 : 8 choses que vous devez savoir concernant la cybers\u00e9curit\u00e9 et l\u2019information\" width=\"2500\" height=\"1309\" title=\"\" srcset=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-french.png 2500w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-french-300x157.png 300w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-french-768x402.png 768w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-french-1024x536.png 1024w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-french-1536x804.png 1536w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-french-2048x1072.png 2048w\" sizes=\"(max-width: 2500px) 100vw, 2500px\" \/><\/p>\n<p>&nbsp;<\/p>\n<h2>4) Cybers\u00e9curit\u00e9\u00a0: m\u00e9lange de mesures techniques, op\u00e9rationnelles et organisationnelles<\/h2>\n<p>L\u2019article\u00a021 exige des entreprises qu\u2019elles \u00ab\u00a0prennent les mesures techniques, op\u00e9rationnelles et organisationnelles appropri\u00e9es et proportionn\u00e9es pour g\u00e9rer les risques qui menacent la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d\u2019information [\u2026] ainsi que pour \u00e9liminer ou r\u00e9duire les cons\u00e9quences que les incidents ont sur les destinataires de leurs services et sur d\u2019autres services.\u00a0\u00bb<\/p>\n<p>En outre, l\u2019article\u00a021 exige une approche \u00ab\u00a0tous risques\u00a0\u00bb, ce qui signifie essentiellement que les entreprises doivent se pr\u00e9parer \u00e0 un large \u00e9ventail de menaces potentielles.<\/p>\n<p>Enfin, l\u2019article\u00a021 pr\u00e9cise une s\u00e9rie de documents et de mesures en mati\u00e8re de cybers\u00e9curit\u00e9, qui sont \u00e9num\u00e9r\u00e9s dans cet article\u00a0: <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/nis-2-documents-obligatoires\/\" target=\"_blank\" rel=\"noopener\">Liste des documents requis selon NIS 2<\/a>.<\/p>\n<h2>5) S\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement<\/h2>\n<p>L\u2019article\u00a021 exige des entreprises qu\u2019elles accordent une attention particuli\u00e8re aux risques li\u00e9s aux fournisseurs et prestataires de services directs, en particulier\u00a0:<\/p>\n<ul>\n<li>Les vuln\u00e9rabilit\u00e9s propres \u00e0 chaque fournisseur et prestataire de services direct<\/li>\n<li>La qualit\u00e9 globale des produits et des pratiques de cybers\u00e9curit\u00e9 de leurs fournisseurs et prestataires de services<\/li>\n<li>Les proc\u00e9dures de d\u00e9veloppement s\u00e9curis\u00e9 de leurs fournisseurs et prestataires de services<\/li>\n<\/ul>\n<h2>6) Notification des incidents importants<\/h2>\n<p>L\u2019article\u00a023 exige des entreprises qu\u2019elles notifient tout incident ayant un impact important \u00e0 leurs centres de r\u00e9ponse aux incidents de s\u00e9curit\u00e9 informatique (CSIRT) de la fa\u00e7on suivante\u00a0:<\/p>\n<ul>\n<li>Une alerte pr\u00e9coce qui \u2014 indique si l\u2019on suspecte l\u2019incident important d\u2019avoir \u00e9t\u00e9 caus\u00e9 par des actes illicites ou malveillants ou s\u2019il pourrait avoir un impact transfronti\u00e8re.<\/li>\n<li>Une notification d\u2019incident \u2014 fournit une \u00e9valuation initiale de l\u2019incident important, y compris de sa gravit\u00e9 et de son impact, ainsi que des indicateurs de compromission, lorsqu\u2019ils sont disponibles.<\/li>\n<li>Un rapport interm\u00e9diaire \u2014 fournit des mises \u00e0 jour pertinentes de la situation.<\/li>\n<li>Un rapport final \u2014 doit \u00eatre cr\u00e9\u00e9 au plus tard un mois apr\u00e8s la pr\u00e9sentation de la notification d\u2019incident.<\/li>\n<li>Un rapport d\u2019avancement \u2014 est cr\u00e9\u00e9 en cas d\u2019incident en cours au moment de la pr\u00e9sentation du rapport final.<\/li>\n<\/ul>\n<p>Voir \u00e9galement\u00a0: <a href=\"https:\/\/staging.advisera.com\/fr\/articles\/obligations-dinformation-de-nis-2\/\" target=\"_blank\" rel=\"noopener\">Quelles sont les obligations d&rsquo;information selon NIS 2 ?<\/a><\/p>\n<h2>7) Utilisation de produits et de services informatiques certifi\u00e9s<\/h2>\n<p>NIS\u00a02 n\u2019exige par que les entit\u00e9s essentielles et importantes soient certifi\u00e9es. Cependant, la directive\u00a0NIS\u00a02 permet aux pays de l\u2019UE (\u00c9tats membres) ou \u00e0 la Commission europ\u00e9enne d\u2019exiger que ces entit\u00e9s utilisent des produits ou des services informatiques qui sont certifi\u00e9s. Au moment de la r\u00e9daction de cet article, il n\u2019existe aucune exigence en mati\u00e8re d\u2019utilisation de produits ou de services informatiques certifi\u00e9s, mais il y a de fortes chances que cela devienne obligatoire.<\/p>\n<p>Ces produits et services informatiques devront \u00eatre certifies en vertu du sch\u00e9ma europ\u00e9en de certification de cybers\u00e9curit\u00e9.<\/p>\n<h2>8) Surveillance et amendes<\/h2>\n<p>Le NIS 2 exige une surveillance stricte des entit\u00e9s essentielles et importantes : inspections sur site, supervision hors site, audits de cybers\u00e9curit\u00e9 et analyses de s\u00e9curit\u00e9.<\/p>\n<p>Semblable au RGPD\u00a0UE, l\u2019<a href=\"https:\/\/staging.advisera.com\/fr\/nis2\/conditions-generales-pour-imposer-des-amendes-administratives-a-des-entites-essentielles-et-importantes\/\" target=\"_blank\" rel=\"noopener\">article\u00a034<\/a> introduit des amendes pour les entreprises qui ne se conforment pas \u00e0 NIS\u00a02\u00a0:<\/p>\n<ul>\n<li>Pour les entit\u00e9s essentielles\u00a0: montant maximal s\u2019\u00e9levant \u00e0 au moins 10\u00a0millions d\u2019EUR ou \u00e0 au moins 2\u00a0% du chiffre d\u2019affaires annuel mondial total.<\/li>\n<li>Pour les entit\u00e9s importantes\u00a0: montant maximal s\u2019\u00e9levant \u00e0 au moins 7\u00a0millions d\u2019EUR ou \u00e0 au moins 1,4\u00a0% du chiffre d\u2019affaires annuel mondial total.<\/li>\n<\/ul>\n<p>D\u2019apr\u00e8s l\u2019exp\u00e9rience acquise avec le RGPD UE, dans les deux premi\u00e8res ann\u00e9es d\u2019entr\u00e9e en vigueur, aucune sanction importante n\u2019est g\u00e9n\u00e9ralement impos\u00e9e aux entreprises.<\/p>\n<h2>Autres lois des pays de l\u2019UE<\/h2>\n<p>Malheureusement, l\u2019histoire n\u2019est pas finie\u00a0: les pays de l\u2019UE (\u00c9tats membres) peuvent introduire leurs propres exigences en mati\u00e8re de cybers\u00e9curit\u00e9 et d\u2019information en compl\u00e9ment des dispositions de NIS\u00a02. Ce processus d\u2019adoption d\u2019une l\u00e9gislation interne fond\u00e9e sur une directive de l\u2019UE est appel\u00e9e \u00ab\u00a0transposition\u00a0\u00bb.<\/p>\n<p>\u00c0 la date de r\u00e9daction de cet article, un seul \u00c9tat membre a transpos\u00e9 le NIS 2 dans sa l\u00e9gislation locale :<\/p>\n<ul>\n<li><a href=\"https:\/\/staging.advisera.com\/articles\/croatia-cybersecurity-act-vs-nis-2\/\" target=\"_blank\" rel=\"noopener\">What are additional requirements of Croatia\u2019s Cybersecurity Act when compared to NIS 2?<\/a><\/li>\n<\/ul>\n<p>Comme dans le cas de la loi croate sur la cybers\u00e9curit\u00e9, la plupart des \u00c9tats membres n&rsquo;introduiront probablement pas de nouvelles exigences plus importantes, mais on peut s&rsquo;attendre \u00e0 des exigences suppl\u00e9mentaires plus modestes &#8211; dans tous les cas, je mettrai \u00e0 jour cet article lorsque cela se produira.<\/p>\n<p><em>Pour trouver tous les documents n\u00e9cessaires pour vous conformer \u00e0 la directive NIS 2 (SRI 2), consultez cette<\/em>\u00a0<a href=\"https:\/\/staging.advisera.com\/toolkits\/nis-2-documentation-toolkit\/\" target=\"_blank\" rel=\"noopener\">Bo\u00eete \u00e0 outils de documentation NIS 2<\/a>\u00a0<em>qui comprend toutes les politiques, proc\u00e9dures, plans et autres mod\u00e8les.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mise \u00e0 jour le 6 mars 2024 (transposition dans les Etats membres) Si votre entreprise s\u2019appr\u00eate \u00e0 se conformer \u00e0 NIS 2 (SRI 2), vous vous demandez s\u00fbrement ce que vous devez faire. Cet article pr\u00e9sente les exigences les plus importantes de NIS\u00a02 auxquelles se conformer, en se concentrant principalement sur le chapitre\u00a0IV \u2014 Mesures [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":116300,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-116044","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-fr","adv_standard-nis-2-fr","adv_topic-implementation","adv_topic-legal-requirements","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/adv_resources\/116044","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/comments?post=116044"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/adv_resources\/116044\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/media\/116300"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/media?parent=116044"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/fr\/wp-json\/wp\/v2\/tags?post=116044"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}