Une approche par les risques – déployer les mesures de sécurité exigées par NIS 2

La directive NIS 2 promeut une approche « risk-based » de la cybersécurité. Plutôt que d’imposer une liste figée de contrôles techniques, elle demande aux entreprises d’évaluer leurs risques et de mettre en place des mesures de sécurité appropriées pour les réduire (NIS2 Requirements | 10 Minimum Measures to Address). Cela offre une certaine flexibilité (chaque entité adapte à sa situation), mais fixe aussi un socle minimal de bonnes pratiques que tout le monde doit respecter. En somme, NIS 2 définit ce qu’il faut atteindre, pas forcément comment – à l’organisation d’identifier et de déployer les solutions idoines pour sécuriser ses systèmes. Cette philosophie exige une véritable culture de la gestion des risques au sein des DSI/RSSI.

Mesures de sécurité : où en sont les entreprises ?

Avant NIS 2, de nombreuses sociétés (hors secteurs régulés) n’avaient pas de référentiel clair des mesures de sécurité à implémenter. Résultat, le niveau de protection variait énormément d’une entreprise à l’autre, y compris de même taille. Certaines étaient à la pointe (SOC 24/7, Zero Trust, chiffrement intensif), d’autres accusaient un retard important (mots de passe simples, absence de cloisonnement réseau, etc.). Les statistiques montrent un taux d’adoption encore insuffisant de certaines mesures basiques : par exemple, 40 % des entreprises n’ont pas déployé d’architecture Zero Trust ni de segmentation avancée à ce jour ([Infographie] NIS2 : les entreprises entre confiance et défis), et 80 % n’ont pas de PRA/testé comme vu précédemment (Résilience : 80% des entreprises n’ont pas de véritable PRA !). De même, des pans entiers de la sécurité sont parfois négligés : contrôle des droits à l’administration système, supervision des journaux d’accès, protection des données hors SI (impressions, IoT…).

NIS 2 a donc listé une dizaine de domaines de sécurité qui doivent faire l’objet de mesures au minimum (NIS2 Requirements | 10 Minimum Measures to Address) (NIS2 Requirements | 10 Minimum Measures to Address). Parmi ces domaines figurent notamment :

• La réalisation de analyses de risques régulières et l’établissement de politiques de sécurité pour les systèmes d’information.
• Des mécanismes d’évaluation de l’efficacité des mesures de sécurité en place (revue, audit, tests).
• L’utilisation appropriée de la cryptographie, y compris le chiffrement des données sensibles et des communications.
• La mise en place d’un plan de gestion des incidents (voir article précédent).
• La sécurité dans l’acquisition, le développement et la maintenance des systèmes : prise en compte de la sécurité dès la conception, gestion des vulnérabilités (mises à jour, correctifs).
• La formation et sensibilisation des employés à la cybersécurité et aux bonnes pratiques d’hygiène informatique.
• Des mesures de contrôle d’accès robustes, en particulier pour les personnels ayant accès à des données ou systèmes critiques (principe du moindre privilège, revue des comptes, etc.), ainsi qu’une cartographie des actifs pour savoir précisément ce qui doit être protégé (NIS2 Requirements | 10 Minimum Measures to Address).
• Un plan de continuité d’activité incluant des sauvegardes régulières et testées, et assurant le maintien/reprise des fonctions essentielles en cas d’incident (NIS2 Requirements | 10 Minimum Measures to Address).
• Le recours à l’authentification multi-facteur et autres mécanismes de sécurité avancés (authentification continue, chiffrement de la voix/vidéo, communications d’urgence sécurisées) lorsque cela est approprié (NIS2 Requirements | 10 Minimum Measures to Address).
• La sécurité des chaînes d’approvisionnement (voir article 3).

Cette liste recoupe en grande partie les bonnes pratiques classiques de la cybersécurité, telles que codifiées dans des standards comme l’ISO 27002 ou le NIST Cybersecurity Framework. Autrement dit, NIS 2 institutionnalise ces pratiques : ce qui était recommandé devient en quelque sorte obligatoire.

Pour les DSI/RSSI, le défi est de vérifier que toutes ces familles de mesures sont correctement couvertes dans l’entreprise, et d’identifier les éventuelles lacunes à combler. Or, beaucoup d’organisations ont des faiblesses sur certains piliers. Par exemple, avoir une politique de sécurité papier ne suffit pas : faut-il encore qu’elle soit mise en œuvre et contrôlée. Idem, on peut disposer d’outils de détection sophistiqués, mais si personne ne regarde les alertes le week-end, l’efficacité est limitée.

Une difficulté fréquente est le manque de ressources (humaines, financières) pour tout faire en même temps. D’où l’importance d’une approche par les risques : allouer les moyens en priorité là où les risques identifiés sont les plus critiques. NIS 2 insiste sur ce point : les mesures doivent être “proportionnées aux risques”. Cela nécessite d’être capable d’évaluer le niveau de risque sur chaque périmètre : qu’est-ce qui présente le plus grand danger pour l’entreprise (ex : un arrêt de production ? une fuite de données clients ? une fraude financière ?) afin d’y appliquer en priorité les mesures de réduction nécessaires.

Priorités et bonnes pratiques pour renforcer la sécurité

À la lumière de NIS 2, voici les actions prioritaires que les DSI/RSSI devraient envisager pour améliorer leur posture de sécurité de façon globale et pérenne :

• Formaliser un programme de gestion des risques : Si ce n’est déjà fait, instituyez un processus régulier d’analyse des risques cyber. Identifiez vos scénarios de menace majeurs, évaluez leur impact et probabilité, et déterminez les mesures de traitement (réduction, transfert, acceptation) pour chacun. Tenez un registre des risques à jour, présenté périodiquement en comité de risques. Ce processus doit impliquer les métiers pour bien apprécier l’impact business. Il servira de boussole pour orienter vos efforts de sécurité là où ils apportent le plus de réduction de risque.
• Élever le niveau des contrôles de base : Assurez-vous que les fondamentaux de la sécurité sont en place partout dans l’entreprise. Par exemple : tous les comptes sensibles ont une authentification à deux facteurs ; toutes les machines sont couvertes par un antivirus/EDR avec mises à jour automatiques ; les données sensibles sont chiffrées au repos et en transit ; les sauvegardes critiques sont réalisées quotidiennement et stockées hors site ; un système de gestion des correctifs applique les patches de sécurité dans des délais raisonnables (en quelques jours pour les failles critiques). Ce cyber-hygiène doit être quasi automatisé pour garantir sa constance.
• Combler les trous dans les politiques et procédures : Passez en revue l’ensemble de vos politiques de sécurité. Sont-elles complètes, à jour, et surtout appliquées ? Par exemple, avez-vous une politique sur l’utilisation de logiciels en SaaS ? Sur la sécurité du télétravail ? Si certains sujets ne sont pas couverts, rédigez-les. Ensuite, déclinez ces politiques en procédures opérationnelles claires. NIS 2 demande aussi d’évaluer l’efficacité des mesures (NIS2 Requirements | 10 Minimum Measures to Address) : pensez donc à mettre en place des contrôles internes ou audits réguliers pour vérifier la bonne application (ex : audit semestriel des droits d’accès effectifs vs principe du moindre privilège).
• Investir dans la modernisation de l’architecture : Profitez de l’élan NIS 2 pour moderniser votre architecture de sécurité. Par exemple, migrer vers une architecture Zero Trust (vérification systématique de chaque accès, micro-segmentation du réseau) peut sembler ambitieux, mais c’est une tendance inévitable à moyen terme pour contrer les mouvements latéraux des attaquants. De même, la mise en place de solutions de gestion des accès privilégiés (PAM) pour encadrer les comptes administrateurs, ou le déploiement d’analyses comportementales (UEBA) pour détecter des anomalies, sont des mesures avancées à considérer. Bien sûr, ces projets devront être justifiés par l’analyse de risque : ciblez en premier les zones où l’architecture actuelle présente des failles béantes.
• Renforcer la résilience et le PCA/PRA : Un domaine souvent négligé est la continuité d’activité en cas d’incident majeur. Comme on l’a vu, 80 % des entreprises n’ont pas de PRA adéquat (Résilience : 80% des entreprises n’ont pas de véritable PRA !), ce qui est incompatible avec NIS 2. Il est impératif de construire ou mettre à jour vos Plans de Reprise et de Continuité, et surtout de les tester (beaucoup découvrent lors du test que la restauration totale prendrait des jours, ce qui est trop long). La résilience inclut aussi la redondance : identifiez les points uniques de défaillance (serveur unique sans backup, dépendance à un seul fournisseur critique…) et cherchez des palliatifs (redondance technique, fournisseurs alternatifs en cas de problème, etc.).
• Sensibiliser en continu le personnel : L’humain restant la première ligne de défense (ou de faiblesse), il faut instaurer une culture sécurité. Assurez-vous que chaque employé connaît les bons réflexes (mots de passe robustes, détection de phishing, signalement d’incident). Au-delà des formations ponctuelles, créez un climat où la sécurité fait partie du quotidien : campagnes d’affichage, rappels lors des séminaires internes, exercices surprise (phishing simulation). Mesurez l’efficacité de ces actions (taux de clic aux faux phishing, etc.) pour ajuster. NIS 2 exige la formation y compris de la direction : ne laissez personne en dehors de l’effort, du stagiaire au PDG.
• Suivre les évolutions et s’adapter : Enfin, gardez à l’esprit que la sécurité est un domaine dynamique. Les menaces évoluent (nouvelles techniques d’attaque, nouvelles vulnérabilités comme Log4Shell hier ou autre chose demain), et les bonnes pratiques également. Maintenez une veille technologique et réglementaire. Participez aux groupes sectoriels ou aux événements de l’ANSSI/ENISA pour partager des retours d’expérience. Mettez à jour régulièrement votre feuille de route sécurité en intégrant ces nouveautés. NIS 2 n’est pas figée non plus : des actes d’exécution viendront préciser certaines exigences techniques d’ici fin 2024, soyez prêt à en tenir compte. Bref, inscrivez votre SMSI (système de management de la sécu) dans une démarche d’amélioration continue.

En synthèse, l’approche par les risques prônée par NIS 2 invite les entreprises à structurer méthodiquement leur cybersécurité. Il ne s’agit pas d’installer à la va-vite quelques outils pour dire “on a fait le job”, mais de bâtir un système cohérent où chaque mesure de sécurité répond à un risque identifié, est gérée dans le temps et vérifiée. Pour de nombreuses organisations, cela signifie monter en maturité sur la gestion de la sécurité, ce qui peut prendre du temps. D’où l’intérêt de commencer dès maintenant, pas seulement pour être conforme à la loi, mais pour réellement réduire la probabilité et l’impact des incidents futurs.

Smart Global Governance au service d’une approche risque et conformité efficace

La plateforme Smart Global Governance est conçue précisément pour soutenir une approche globale et continue de la gestion des risques et de la conformité sécurité. Grâce à ses modules intégrés, elle permet aux DSI/RSSI de piloter l’ensemble des mesures de sécurité de manière centralisée, en s’assurant qu’aucun domaine n’est laissé au hasard et que tout est aligné sur les risques réels.

Voici comment Smart Global Governance vous aide à déployer et suivre les mesures exigées par NIS 2 :

• Gestion centralisée du risque : Le module Risk Manager de Smart Global Governance outille votre processus d’analyse des risques de A à Z. Vous pouvez y documenter vos actifs, menaces, scénarios, évaluer impacts et probabilités via des matrices personnalisables, et obtenir un registre des risques dynamique. Chaque risque peut être lié à des contrôles/mesures de sécurité dans l’outil. Ainsi, vous voyez immédiatement quelles mesures mitigent quels risques, et où subsistent des failles. Cette traçabilité directe risque -> contrôle est un atout majeur pour prioriser vos efforts conformément à NIS 2.
• Bibliothèque de contrôles de sécurité : La plateforme propose une bibliothèque de contrôles alignée sur les principaux standards (ISO 27002, CIS Controls, etc.) et sur les exigences NIS 2. Vous pouvez sélectionner les contrôles pertinents pour votre contexte, puis évaluer votre niveau de mise en œuvre de chacun. Par exemple, un contrôle « Authentification MFA pour les accès distants » peut être marqué implémenté à 80 % (s’il manque encore quelques applications à couvrir) avec un plan d’action associé. En un coup d’œil, vous repérez quelles bonnes pratiques ne sont pas encore complètement en place. Cette vue structurée évite d’en oublier : elle couvre l’ensemble des sujets (du réseau à la gestion des médias amovibles en passant par la continuité).
• Plan d’action et suivi de conformité : Pour chaque mesure de sécurité à déployer, Smart Global Governance vous permet de créer des actions assignées à des responsables avec des échéances. Par exemple : “Mettre en place un chiffrement des données sur le serveur X – responsable : admin système – échéance : 30/06”. La plateforme suit ces actions et relance automatiquement les responsables en cas de retard. Vous pouvez à tout moment avoir la liste des actions ouvertes, clôturées, en retard, etc. Ce pilotage granulaire assure que les chantiers de renforcement avancent concrètement et ne tombent pas dans l’oubli une fois la réunion passée.
• Évaluation de l’efficacité : Smart Global Governance intègre des fonctionnalités d’audit interne et de contrôle continu. Vous pouvez planifier des évaluations périodiques sur certains contrôles (ex : audit trimestriel de la gestion des comptes inactifs). L’outil garde trace des résultats, non-conformités détectées, et suit leur correction. Cela correspond à l’exigence NIS 2 d’évaluer l’efficacité des mesures (NIS2 Requirements | 10 Minimum Measures to Address). Par ailleurs, la plateforme peut se connecter à certains de vos outils techniques (scanner de vulnérabilité, SIEM) pour récupérer des indicateurs techniques (ex : % de correctifs appliqués dans les délais) alimentant l’évaluation des contrôles. Vous avez donc une vision en temps quasi-réel de votre niveau de sécurité effectif.
• Documentation centralisée : Que ce soit les politiques, les procédures, les rapports d’audit, tout peut être stocké et versionné dans Smart Global Governance. Cela facilite le travail du RSSI qui a toutes les pièces à portée de main pour montrer la conformité aux exigences. Par exemple, si l’autorité demande “preuve de formation des employés à la sécurité”, il vous suffit de sortir le rapport de la campagne de sensibilisation documenté dans l’outil. Centraliser la preuve de chaque mesure (qui a été formé, quand le dernier test de restauration a eu lieu, etc.) vous protège en cas de vérification et vous fait gagner un temps fou dans la constitution de dossiers de conformité.
• Alignement multi-référentiels : Une caractéristique forte de Smart Global Governance est la possibilité d’aligner plusieurs référentiels. Si vous êtes soumis à NIS 2 mais aussi à d’autres normes (ex : ISO 27001, RGPD pour la partie données, PCI-DSS pour la partie paiement), la plateforme évite de tout gérer séparément. Beaucoup de contrôles se recoupent – l’outil fait le mapping entre référentiels. Par exemple, le contrôle “sauvegardes régulières” est exigé par NIS 2 et par ISO 27001 : vous le documentez une fois, cela couvre les deux. Cette approche intégrée réduit 50 % de la complexité opérationnelle liée aux conformités croisées selon nos observations. Vous gagnez en efficacité et en cohérence globale.

En adoptant Smart Global Governance, l’entreprise se dote d’un véritable système nerveux pour sa cybersécurité. Plutôt que des efforts ponctuels épars, vous pilotez un programme structuré, mesurable et adaptable. La plateforme vous aide à tenir le cap dans le temps – ce qui est essentiel car la sécurité n’est pas un état statique mais un voyage continu. Vous pouvez démontrer à tout moment où vous en êtes de votre maîtrise des risques, et justifier les mesures en place par rapport aux menaces. C’est exactement l’esprit de NIS 2 : une sécurité pilotée de façon rationnelle, justifiée, et en amélioration permanente. Smart Global Governance vous accompagne sur ce chemin en vous fournissant les outils pour transformer les obligations en actions concrètes et les actions en résultats tangibles en termes de réduction du risque.