La directive NIS2 est actuellement une priorité dans de nombreux conseils d’administration. La directive s’applique à des milliers d’organisations. Certaines entités devront réaliser plus d’efforts dans leur mise en conformité que d’autres. Dans ce contexte, nous avons pensé qu’il serait utile d’examiner, pour vous, de plus près certains des pièges classiques que nous avons observés. Nous avons réalisé cette analyse sur la base de nos différentes collaborations avec des CISO issus d’un large éventail d’organisations.

1. Une mauvaise communication et un non-alignement des parties prenantes (internes et externes)

Spoiler alert: la cybersécurité ne se fait pas en vase clos. C’est l’un de ces domaines (tout comme celui de la protection de la vie privée) qui n’affecte pas uniquement un seul département de votre organisation. Qu’il s’agisse de l’informatique, du juridique, du procurement, du leadership, etc., si ces différents acteurs ne sont pas sur la même longueur d’onde, votre projet risque de ressdembler rapidement au jeu du chat et de la souris. Une bonne communication entre les divers départements de votre organisation est ici primordiale. De bons reportings, des rapports d’avancement, des alignements constants sont autant d’éléments cruciaux dans la réussite d’un projet de mise en conformité à la directive NIS2.

Gardez à l’esprit que la mise en conformité à NIS2 n’est pas seulement un exercice interne. En effet, tout le monde est concerné, en particulier vos fournisseurs tiers, surtout ceux qui peuvent devenir des vecteurs d’attaque pour votre organisation. De nombreuses organisations ont externalisé leurs services informatiques critiques ou leurs services IT liés au cloud tout en ne voulant pas reconnaître à quel point ces fournisseurs sont dorénavant profondément ancrés les analyses de risque qu’elles se doivent de devoir réaliser.

Les fournisseurs de ces services IT assument souvent une part importante de votre cyberrisque. Toutefois, ils n’auront pas tendance à s’aligner d’eux-mêmes naturellement sur vos objectifs à moins que vous ne présentiez ces derniers assez tôt à la table de négociation et que vous ne fixiez des attentes claires et précises.

Conclusion : gardez les lignes de communication entre vos départements ouvertes, travaillez avec les bonnes personnes et ce, avant le lancement de votre projet de mise en conformité à l’avance et n’oubliez pas d’inclure également vos partenaires externes cruciaux.

2. Une mise en conformité ancrée dans la gouvernance de votre organisation

L’une des erreurs les plus communes commises par les organisations ? Traiter la mise en conformité à NIS2 comme soit, un problème technique à résoudre uniquement par leur département informatique, soit, à l’autre extrémité du spectre, un exercice facile qui se résout par la recherche de la documentation adéquate et par des évaluations des risques qui devront être réalisées par les service juridique et de la conformité.

En réalité, la mise en conformité à NIS2 exige une approche descendante (« top-down » on dit) par rapport à la gouvernance de la sécurité de l’organisation. Si vous traitez l’exercice comme « juste une autre certification » ou comme une case à cocher, vous finirez noyés dans l’administratif et les papiers avec peu de résultats à la clef.

Tout au contraire, nous vous conseillons de vous concentrer sur la mise en œuvre d’un programme de gouvernance complet pragmatique et fonctionnel ou ISMS (Information Security Management System). Un programme ISMS est un programme qui coche toutes les cases de votre mise en conformité, mais qui, plus important encore fonctionne réellement pour votre propre organisation. Ce programme de gouvernance devra être ancré dans les opérations quotidiennes, la prise de décision et la culture de votre organisation.

3. Ne sous-estimez pas les ressources dont vous auriez besoin

La cybersécurité nécessite les bonnes personnes, les bonnes compétences et un temps d’exécution véritablement correct. Indépendamment des preuves écrites que vous devrez garder par devers vous, l’objectif de la législation européenne NIS2 est d’obliger les organisations à atteindre des niveaux plus élevés de cyber-résilience.

Trop souvent, les projets de mise en conformité des organisations sont entrepris grâce uniquement au personnel dont elle dispose, personnel qui est déjà bien occupé par leurs activités quotidiennes. Or, la cybersécurité est tout sauf une activité facile à mettre en place et à suivre. Elle nécessitera beaucoup de travail.

Pour préparer votre organisation à une mise en conformité réussie à la directive NIS2, vous aurez besoin :

  • De rôles et responsabilités clairs
  • De délais réalistes
  • De personnes réellement allouées à ce projet (pas juste un vœu pieux de la part de votre organisation de vous allouer certaines personnes « le cas échéant »)
  • D’accès à une certaine expertise, qu’elle soit interne ou externe.

Lésiner sur les ressources est une solution à court terme. A long terme, cela se traduira obligatoirement par du travail supplémentaire par après qui donneront eux que peu de résultats en termes de cyber-résilience réelle.

4. À quoi ressemblera la réussite de votre mise en conformité à NIS2?

Sachez que la conformité à NIS2, tout comme la conformité au RGPD, n’est pas uniquement un objectif en soi.

Trop d’équipes se lancent encore dans de grands projets sans jamais se demander à quoi ressemble réellement le succès. Comment savoir si vous faites des progrès en la matière ? À quoi ressemblent concrètement de tels « progrès » ?

Avez-vous récemment jeté un coup d’œil aux récents projets d’IA générative ? Sans objectifs clairs et mesures pertinentes, nous sommes incapables de savoir ce qui fonctionne et ce qui ne fonctionne pas. Peut-être plus important encore, nous aurons bien du mal à justifier les investissements nécessaires auprès de notre direction alors qu’en fin de compte, nous le savons tous, c’est souvent ce à quoi cela se résume : quel est le retour sur investissement des efforts réalisés et à réaliser ?

Dès lors, tentez de définir des objectifs mesurables et significatifs et ce, dès le départ. Pas seulement pour réussir vos analyses de départ, mais pour mesurer l’amélioration de la protection votre organisation. Pensez à mettre en place des moyens qui vous permettront de mesurer les temps moyens mis pour détecter et résoudre les incidents informatiques, de savoir combien de vos fournisseurs dits critiques qui ont fait l’objet d’un examen de sécurité cette année, combien de vos applications ont fait l’objet d’un examen par rapport à leur accès, etc.

Résumé

Bien qu’il existe de nombreux pièges potentiels lorsque vous allez vous lancer dans votre mise en conformité à la directive NIS2, résumons ici les pièges dont nous avons parlés dans cet article et ce, avec quelques slogans que vous pourriez dire à votre direction :

  • Communiquez, ne procrastinez surtout pas
  • Laissez votre programme de gouvernance travailler pour vous plutôt que contre vous
  • Surestimez les ressources dont vous aurez besoin, à la fin, elles pourraient être juste suffisantes
  • Définissez dès le départ à quoi ressemblera votre programme de gouvernance de la sécurité lorsqu’il sera terminé.

Envie d’en savoir plus sur la mise en œuvre de NIS2 ? Inscrivez-vous à notre formation NIS2 Lead Implementer !

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Inscrire