LogoLogoHubert SevrinCybersecurity Apprentice

NIS2

Sécurité des réseaux et des systèmes d’information : champ élargi, mesures basées sur le risque, obligations de notification.

  • Champ étendu : entités essentielles & importantes, chaînes d’approvisionnement
  • Mesures techniques et organisationnelles basées sur les risques
  • Obligation de notification d’incident (24h / 72h / rapport final)
Texte
Directive (UE) 2022/2555 — NIS2
Transposition
États membres (2024–2025)
Périmètre
Secteurs critiques + services numériques
Catégories
Essentielles (EE) & Importantes (EI)

Périmètre & secteurs

Élargissement significatif des entités couvertes, y compris fournisseurs de services numériques.

Secteurs critiques
Énergie, Eau, Transport
Électricité, gaz, pétrole, gestion de l’eau, aérien, ferroviaire, route, maritime
Santé / chimie
Santé & Chimie
Hôpitaux, laboratoires, pharmas, chimie
Services numériques
Numérique
DNS, TLD, centres de données, cloud, CDN, IXP, services gérés (MSSP/MSP)
Finance / public
Finance & Administrations
Banques, marchés, opérateurs financiers, administrations publiques

Mesures de gestion des risques

Approche proportionnée, couvrant technique, orga et tiers.

Domaine
Exigences
Gestion des risques
Politiques, gouvernance, évaluation et traitement
Sécurité technique
Contrôle d’accès, journalisation, durcissement, chiffrement
Business continuity
Sauvegardes, PRA/PCA, reprise après incident
Sécurité chaîne d’appro.
Fournisseurs, cloud, contrats, évaluation tierce
Réponse & gestion vulnérabilités
Patch, divulgation, procédures d’incident
Formation & sensibilisation
Rôles, compétences, exercices

Notification des incidents

Délais typiques : alerte précoce 24h, notification 72h, rapport final un mois.

Étape
Contenu attendu
Délai
Alerte précoce
Sous 24h après prise de connaissance (indicateurs initiaux)
T+24h
Notification
Sous 72h (gravité, impact, causes probables)
T+72h
Rapport final
Dans le mois (actions correctives, lessons learned)
≤ 1 mois

Gouvernance & responsabilité

Implication du management, supervision et reddition de comptes.

Pilier
Exigences
Responsabilité direction
Approbation, supervision, responsabilité en cas de manquement
Politiques & KPIs
Objectifs, mesures, indicateurs de performance sécurité
Audits & tests
Audits périodiques, tests techniques, exercices de crise

Documentation & preuves

Éléments probants exigés lors des audits/supervisions.

  • Politique de gestion des risques & sécurité
  • Registre des actifs & cartographie des dépendances critiques
  • Procédures de gestion des incidents & de divulgation des vulnérabilités
  • Plan PRA/PCA & preuves de tests de restauration
  • Registre des fournisseurs (évaluations, clauses contractuelles)
  • Registre des incidents & notifications transmises à l’autorité compétente
  • Programme de formation & sensibilisation

Quick wins sécurité

Actions rapides et visibles, connectées à tes démos.

  • MFA partout + revue des comptes & privilèges
  • Sauvegardes testées, restauration chronométrée
  • Journalisation centralisée + alertes (Fail2Ban/SIEM)
  • Chiffrement TLS + au repos, gestion des clés
  • Gestion des vulnérabilités & secrets (CI, rotation)
  • Playbooks d’incident + entraînements réguliers

Feuille de route NIS2

Approche pragmatique basée sur le risque et les dépendances.

Kick-off
01 — Gap analysis
Écarts vs NIS2 (mesures, gouvernance, reporting)
Risk
02 — Risques & dépendances
Actifs critiques, scénarios, tiers, niveaux de service
Controls
03 — Contrôles clés
Accès, journaux, sauvegardes, chiffrement, détection
Run
04 — Procédures & tests
Incident/VRM, PRA/PCA, exercices, métriques
Evolve
05 — Preuves & amélioration
Audits, plans d’actions, rapports vers autorités

Note : contenu informatif — la conformité dépendra de la transposition nationale et de vos autorités compétentes.