Nous vous proposons un plan d’action complet pour arriver à être conforme à l’article 21 de la NIS2
Comme déjà indiqué, même si vous n’êtes pas directement soumis à ces exigences, mettre en place ce plan d’action vous garantira une réduction des risques pour votre activité
Ce plan d’action est complet et traite l’ensemble des enjeux de l’article 21
Il est à adapter en fonction de votre maturité et des parties prenantes en place (vos fournisseurs, vos partenaires informatiques et vos clients)
De même, le plan d’action est traité dans l’ordre des exigences
Il est important de l’adapter aux ressources et compétences en place
Il est dispensable de travailler sur un plan d’action de mise en œuvre de 6 à 18 mois
Pour ceux qui souhaitent valoriser ce travail, il sera possible de le transformer en certification 27001
Nos experts et nos équipes sont à votre disposition pour vous aider à avancer .
Exigence article 21 | Plan d’action |
a) les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information; | Mener une analyse du risque:
Pour cela commencer par une vision simple de ce que peut vous apporter l’ISO 27005
Suivi du plan de traitement : mettre en place le projet, le budget et les ressources en fonction des niveaux de risque principaux Réévaluation régulière de l’analyse du risque, à minima, 1 fois par an |
b) la gestion des incidents; | Mettre en place un Processus de gestion des incidents de sécurité :
Procédure de déclaration (internes, clients autorités) incluant les délais et les conditions à respecter
Formation des équipes aux incidents de sécurité
Mise en place d’indicateurs liés aux incidents
|
c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, ainsi que la gestion des crises;
|
Mettre en place une gestion de la continuité des activités
Mettre en place la gestion de la crise
|
d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;
|
Cartographie des actifs supports : Faire un état des machines, applications, échanges d’informations et fournisseurs associés
Indentification des fournisseurs à risques :
|
e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités; | Afin de traiter l’acquisition
Mise en place de bonnes pratiques de développement :
Mise en place de la sécurité dans les projets :
Gestion des vulnérabilités :
Concernant le réseau et sa supervision :
|
f) des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;
|
Dans la continuité des articles a et b
|
g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité; | Faire un diagnostic cyber basé sur le référentiel du guide l’hygiène de l’ANSSI
Former les équipes informatiques en les accompagnant dans la progression de la compréhension des enjeux de la cybersécurité Adapter et former les collaborateurs à la charte informatique Former les collaborateurs aux 13 pratiques de sécurités essentielles du quotidien (mot de passe, sauvegarde,…) Les évaluer et les maintenir aux niveaux attendus par l’entreprise en termes de besoin de sécurité |
h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement; | Définir une politique cryptographique :
Formation et sensibilisation (contrôle que les pratiques sont bien respectées et les outils bien utilisés)
|
i) la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs; | Concernant la gestion des ressources humaines :
Concernant les accès
Concernant la gestion des actifs :
|
j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéos et textuelles sécurisées et de systèmes sécurisés de communication d’urgence | Concernant l’authentification :
Concernant la communication :
|
Voici un plan complet qui vous permettra d’aborder la NIS2 de manière sereine et de définir le bon budget ainsi que les bonnes ressources