NIS2 : Quel plan d’action pour être en conformité ?

Nous vous proposons un plan d’action complet pour arriver à être conforme à l’article 21 de la NIS2

 

Comme déjà indiqué, même si vous n’êtes pas directement soumis à ces exigences, mettre en place ce plan d’action vous garantira une réduction des risques pour votre activité

 

 

Ce plan d’action est complet et traite l’ensemble des enjeux de l’article 21

Il est à adapter en fonction de votre maturité et des parties prenantes en place (vos fournisseurs, vos partenaires informatiques et vos clients)

 

De même, le plan d’action est traité dans l’ordre des exigences

Il est important de l’adapter aux ressources et compétences en place

Il est dispensable de travailler sur un plan d’action de mise en œuvre de 6 à 18 mois

Pour ceux qui souhaitent valoriser ce travail, il sera possible de le transformer en certification 27001

 

Nos experts et nos équipes sont à votre disposition pour vous aider à avancer .

 

 

Exigence article 21 Plan d’action
a) les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information; Mener une analyse du risque:

Pour cela commencer par une vision simple de ce que peut vous apporter l’ISO 27005

  • Appréciation du risque : Identifier, analyser et évaluer les risques via une grille adaptée à votre business et vos activités
  • Définition du Plan de traitement : Evaluer les mesures de sécurité qui vous permettront de réduire le risque à un niveau acceptable
  • Acceptation des risques : Valider les mesures avec les parties prenantes

Suivi du plan de traitement  : mettre en place le projet, le budget et les ressources en fonction des niveaux de risque principaux

Réévaluation régulière de l’analyse du risque, à minima, 1 fois par an

b) la gestion des incidents; Mettre en place un Processus de gestion des incidents de sécurité :

  • Via un outil de ticketing, une fiche, suivre ou faire suivre les incidents de sécurité
  • Il serait dommage de découvrir qu’un incident aurait pu être évité à nouveau car on n’a pas clôturé l’incident précédent.

Procédure de déclaration (internes, clients autorités) incluant les délais et les conditions à respecter

  • Faire des fiches reflexes en fonction des cas d’incident, ou des données impactées

Formation des équipes aux incidents de sécurité

  • Répéter régulièrement la procédure, même dans les cas les plus simples. C’est par l’entrainement que l’on réagit vite et bien

Mise en place d’indicateurs liés aux incidents

  • A évaluer toutes les 4 à 6 semaines
  • Cela peut aider à prévoir quelque chose de plus important
  • Si la gestion est déléguée à un partenaire, cela permet de contrôler sa situation
c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, ainsi que la gestion des crises;

 

Mettre en place une gestion de la continuité des activités

  • Traiter avec l’équipe information la mise en place d’un PRI et d’un PCI
  • Tester la restauration des serveurs critères
  • Accompagnement des équipes métiers dans la mise en place d’un PRA et PCA

 

Mettre en place la gestion de la crise

  • Définir rôles et responsabilités en cas de crise
  • Définir les moyens de communications
  • Définir les critères qui vont déclencher une crise
  • Former les équipes métiers et DSI à la gestion de crise
  • Mettre en place un exercice de crise. Même une simple simulation de crise théorique est toujours porteuse d’enseignement
d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;

 

Cartographie des actifs supports : Faire un état des machines, applications, échanges d’informations et fournisseurs associés

Indentification des fournisseurs à risques :

  • Définition d’une politique de Gestion des sous-traitants et des fournisseurs
  • Revue des fournisseurs et des contrats: via un questionnaire sur les points essentiels pour vous
  • Evaluation des fournisseurs à risque ou services à risques : sur les fournisseurs qui n’ont pas répondu ou mal répondu, évaluer le risque pour vos activités
  • Sur les risques importants, mettre en place des mesures de sécurité adaptées (sauvegarde, droits d’accès,…)
e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités; Afin de traiter l’acquisition

  • Définir une politique d’achat service ou de prestation numérique : critère de sécurité, condition d’audit, analyse de risque, pratique de développement…
  • Former les collaborateurs à cette politique
  • Etat des lieux des contrats et mesurer les écarts avec la politique
  • Mettre en place un plan de remédiation

 

Mise en place de bonnes pratiques de développement :

  • Définir les bonnes pratiques (Security by Design, … voir ISO2700:202 paragraphes 8.27)
  • Former les équipements internes ou diffuser le document aux équipes externes

 

Mise en place de la sécurité dans les projets :

  • Intégration de la sécurité dans toutes les étapes des projets (définition, test, déploiement, production et archivage)

 

Gestion des vulnérabilités :

  • Identifier les exigences de votre secteur, activités et les partenaires qui seront vos liens
  • Mettre en place la veille et les protocoles de communications adaptés aux instances et parties prenantes (secteurs, régions, clients, instances gouvernementales)
  • Définition d’une Politique de patching/mise à jour des actifs
  • Mettre les procédures pour les mises à jour
  • Suivre les indicateurs de mise à jour et améliorer les processus
  • Mise en place d’une veille sur les éléments du SI (critiques à minima) incluant le cloud
  • Mener des audits de vulnérabilités à une fréquence adaptée (mise à jour, processus d’évolution, …)
  • Intégrer la gestion des vulnérabilités dans la gestion du risque et les indicateurs

 

Concernant le réseau et sa supervision :

  • Mise en place des outils de collecte et supervision des logs
  • Segmentation du réseau en fonction des risques et des données à sécuriser
f) des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;

 

Dans la continuité des articles a et b

  • Définir des politiques de sécurités
  • Mise en place des indicateurs de sécurité du SI liés aux politiques de sécurités
  • Evaluation des mesures identifiées dans le plan de traitement du risque
  • Contrôler annuellement l’analyse de risque ou à chaque évolution majeure
  • Analyser tous les dysfonctionnements suite à un incident de sécurité
g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité; Faire un diagnostic cyber basé sur le référentiel du guide l’hygiène de l’ANSSI

Former les équipes informatiques en les accompagnant dans la progression de la compréhension des enjeux de la cybersécurité

Adapter et former les collaborateurs à la charte informatique

Former les collaborateurs aux 13 pratiques de sécurités essentielles du quotidien (mot de passe, sauvegarde,…)

Les évaluer et les maintenir aux niveaux attendus par l’entreprise en termes de besoin de sécurité

h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement; Définir une politique cryptographique :

  • Description des algorithmes et clefs cryptographies (choix, gestion des secrets, gestion du cycle de vie)
  • Moyen de mise en œuvre (chiffrement, gestion des clefs, méthode de signature…)
  • Définir les moyens de surveillance et d’audit (accès non autorisé, vulnérabilité, contrôle de la force des protocoles)
  • Définir le protocole en cas de compromission (répudiation, remplacement, déclaration)

Formation et sensibilisation (contrôle que les pratiques sont bien respectées et les outils bien utilisés)

 

i) la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs; Concernant la gestion des ressources humaines :

  • Adapter les processus d’entrée et de sortie aux besoins de sécurités
  • Former les RH aux enjeux du risque cyber internes (collaborateurs malveillants, fuite d’information, …)

 

Concernant les accès

  • Définition d’une politique d’accès, de droits et d’authentification
  • Adapter les accès et les droits aux nombreuses conditions d’accès (externe, CDD, adaptation des droits, …)
  • Contrôler les accès aux applications et aux données

 

Concernant la gestion des actifs :

  • Suivre le parc matériel, logiciel et la gestion des comptes de manière rigoureuse via des processus et des contrôles réguliers
  • Mettre à jour la cartographie
j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéos et textuelles sécurisées et de systèmes sécurisés de communication d’urgence Concernant l’authentification :

  • Définition d’une politique d’authentification
  • Formation les collaborateurs à la gestion de la double authentification
  • Mise en place d’une authentification multiple sur toutes les applications possibles
  • Adapter les authentifications pour les comptes à privilèges (clef FIDO, infrastructure dédiée,…)
  • Mener des contrôles réguliers sur la bonne application des politiques
  • Identification et revue régulière des exceptions

 

Concernant la communication :

  • Définition des moyens de communications en cas de crise (processus de gestion de crise)
  • Former les collaborateurs
  • Préparer les canaux de communications sécurisé (OLVID, Signal,…)

 

 

 

Voici un plan complet qui vous permettra d’aborder la NIS2 de manière sereine et de définir le bon budget ainsi que les bonnes ressources

 

Partager cet article

Autres articles qui pourraient vous intéresser

Un projet ? Besoin d'un renseignement ?

Image de Frédéric NAVARRO

Frédéric NAVARRO

Conseiller en cybersécurité
Fondateur ESINFO

BESOIN D'UN CONSEIL ?

Contactez nous :
07 49 08 17 43
contact@esinfo.fr

Nous ne conservons pas vos données – Pas de SPAM

Vos informations sont uniquement destinées à ESINFO afin de vous recontacter

Être rappelé

Notre équipe vous contactera dans les meilleurs délais.
Nous ne conservons pas vos données - Pas de SPAM
Vos informations sont uniquement destinées à ESINFO