{"id":17767,"date":"2025-08-19T08:56:31","date_gmt":"2025-08-19T06:56:31","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=17767"},"modified":"2025-09-22T15:43:45","modified_gmt":"2025-09-22T13:43:45","slug":"4-pieges-a-eviter-dans-votre-parcours-de-conformite-nis2","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/fr\/4-pieges-a-eviter-dans-votre-parcours-de-conformite-nis2\/","title":{"rendered":"Les quatre pi\u00e8ges \u00e0 \u00e9viter dans votre parcours de conformit\u00e9 \u00e0 la directive europ\u00e9enne NIS2"},"content":{"rendered":"

La directive NIS2 est actuellement une priorit\u00e9 dans de nombreux conseils d\u2019administration. La directive s\u2019applique \u00e0 des milliers d\u2019organisations. Certaines entit\u00e9s devront r\u00e9aliser plus d\u2019efforts dans leur mise en conformit\u00e9 que d\u2019autres. Dans ce contexte, nous avons pens\u00e9 qu\u2019il serait utile d\u2019examiner, pour vous, de plus pr\u00e8s certains des pi\u00e8ges classiques<\/strong> que nous avons observ\u00e9s. Nous avons r\u00e9alis\u00e9 cette analyse sur la base de nos diff\u00e9rentes collaborations avec des CISO issus d\u2019un large \u00e9ventail d\u2019organisations.<\/p>\n

1. Une mauvaise communication et un non-alignement des parties prenantes (internes et externes)<\/h2>\n

Spoiler alert: la cybers\u00e9curit\u00e9 ne se fait pas en vase clos. C\u2019est l\u2019un de ces domaines (tout comme celui de la protection de la vie priv\u00e9e) qui n\u2019affecte pas uniquement un seul d\u00e9partement de votre organisation. Qu\u2019il s\u2019agisse de l\u2019informatique, du juridique, du procurement, du leadership, etc., si ces diff\u00e9rents acteurs ne sont pas sur la m\u00eame longueur d\u2019onde, votre projet risque de ressdembler rapidement au jeu du chat et de la souris. Une bonne communication entre les divers d\u00e9partements de votre organisation est ici primordiale<\/strong>. De bons reportings, des rapports d\u2019avancement, des alignements constants sont autant d\u2019\u00e9l\u00e9ments cruciaux dans la r\u00e9ussite d\u2019un projet de mise en conformit\u00e9 \u00e0 la directive NIS2.<\/p>\n

Gardez \u00e0 l\u2019esprit que la mise en conformit\u00e9 \u00e0 NIS2 n\u2019est pas seulement un exercice interne. En effet, tout le monde est concern\u00e9, en particulier vos fournisseurs tiers, surtout ceux qui peuvent devenir des vecteurs d\u2019attaque pour votre organisation. De nombreuses organisations ont externalis\u00e9 leurs services informatiques critiques ou leurs services IT li\u00e9s au cloud tout en ne voulant pas reconna\u00eetre \u00e0 quel point ces fournisseurs sont dor\u00e9navant profond\u00e9ment ancr\u00e9s les analyses de risque qu\u2019elles se doivent de devoir r\u00e9aliser.<\/p>\n

Les fournisseurs de ces services IT assument souvent une part importante de votre cyberrisque. Toutefois, ils n\u2019auront pas tendance \u00e0 s\u2019aligner d\u2019eux-m\u00eames naturellement sur vos objectifs \u00e0 moins que vous ne pr\u00e9sentiez ces derniers assez t\u00f4t \u00e0 la table de n\u00e9gociation et que vous ne fixiez des attentes claires et pr\u00e9cises.<\/p>\n

Conclusion<\/strong> : gardez les lignes de communication entre vos d\u00e9partements ouvertes, travaillez avec les bonnes personnes et ce, avant le lancement de votre projet de mise en conformit\u00e9 \u00e0 l\u2019avance et n\u2019oubliez pas d\u2019inclure \u00e9galement vos partenaires externes cruciaux.<\/p>\n

2. Une mise en conformit\u00e9 ancr\u00e9e dans la gouvernance de votre organisation<\/h2>\n

L\u2019une des erreurs les plus communes commises par les organisations ? Traiter la mise en conformit\u00e9 \u00e0 NIS2 comme soit, un probl\u00e8me technique \u00e0 r\u00e9soudre uniquement par leur d\u00e9partement informatique, soit, \u00e0 l\u2019autre extr\u00e9mit\u00e9 du spectre, un exercice facile qui se r\u00e9sout par la recherche de la documentation ad\u00e9quate et par des \u00e9valuations des risques qui devront \u00eatre r\u00e9alis\u00e9es par les service juridique et de la conformit\u00e9.<\/p>\n

En r\u00e9alit\u00e9, la mise en conformit\u00e9 \u00e0 NIS2 exige une approche descendante<\/strong> (\u00ab\u00a0top-down\u00a0\u00bb on dit) par rapport \u00e0 la gouvernance de la s\u00e9curit\u00e9 de l\u2019organisation. Si vous traitez l\u2019exercice comme \u00ab juste une autre certification \u00bb ou comme une case \u00e0 cocher, vous finirez noy\u00e9s dans l\u2019administratif et les papiers avec peu de r\u00e9sultats \u00e0 la clef.<\/p>\n

Tout au contraire, nous vous conseillons de vous concentrer sur la mise en \u0153uvre d\u2019un programme de gouvernance complet pragmatique et fonctionnel ou ISMS (Information Security Management System<\/em>).<\/strong> Un programme ISMS est un programme qui coche toutes les cases de votre mise en conformit\u00e9, mais qui, plus important encore fonctionne r\u00e9ellement pour votre propre organisation. Ce programme de gouvernance devra \u00eatre ancr\u00e9 dans les op\u00e9rations quotidiennes, la prise de d\u00e9cision et la culture de votre organisation.<\/p>\n

3. Ne sous-estimez pas les ressources dont vous auriez besoin<\/h2>\n

La cybers\u00e9curit\u00e9 n\u00e9cessite les bonnes personnes, les bonnes comp\u00e9tences et un temps d\u2019ex\u00e9cution v\u00e9ritablement correct. Ind\u00e9pendamment des preuves \u00e9crites que vous devrez garder par devers vous, l\u2019objectif de la l\u00e9gislation europ\u00e9enne NIS2 est d\u2019obliger les organisations \u00e0 atteindre des niveaux plus \u00e9lev\u00e9s de cyber-r\u00e9silience.<\/p>\n

Trop souvent, les projets de mise en conformit\u00e9 des organisations sont entrepris gr\u00e2ce uniquement au personnel dont elle dispose, personnel qui est d\u00e9j\u00e0 bien occup\u00e9 par leurs activit\u00e9s quotidiennes. Or, la cybers\u00e9curit\u00e9 est tout sauf une activit\u00e9 facile \u00e0 mettre en place et \u00e0 suivre. Elle n\u00e9cessitera beaucoup de travail.<\/p>\n

Pour pr\u00e9parer votre organisation \u00e0 une mise en conformit\u00e9 r\u00e9ussie \u00e0 la directive NIS2, vous aurez besoin :<\/p>\n