Notre approche et conformité NIS2

La nouvelle directive européenne NIS2 impose des exigences plus strictes en matière de cybersécurité pour les secteurs vitaux et les fournisseurs de services numériques. Nous soutenons pleinement cette évolution. Notre approche combine NIS2 avec des normes reconnues telles que ISO/IEC 27001 et IEC 62443-4. Non seulement pour se conformer à la législation, mais aussi pour renforcer la résilience de notre organisation, de notre chaîne d’approvisionnement et de nos clients.

Notre Position

Nous sommes classés dans la catégorie Entité Essentielle / Importante selon NIS2. Cette classification implique des obligations claires. Nous y sommes préparés. Nous ne considérons pas NIS2 comme une contrainte, mais comme une opportunité de renforcer structurellement notre cybersécurité. En la combinant avec l’approche basée sur les risques d’ISO 27001 et la profondeur technique d’IEC 62443-4, nous construisons une base solide et pérenne.

Comment nous assurons la conformité

Notre approche de la cybersécurité repose sur trois piliers :

  • NIS2 : Législation et obligations concernant la gestion des risques, le signalement des incidents et la sécurité de la chaîne.
  • ISO/IEC 27001 : Un système certifié de gestion de la sécurité de l’information assurant une gestion continue des risques et des améliorations.
  • IEC 62443-4 : Norme industrielle pour la cybersécurité dans les environnements OT (technologie opérationnelle).

Concrètement, cela signifie :

  1. Gestion des risques et gouvernance
    Notre sécurité de l’information est certifiée ISO 27001. Les risques sont périodiquement évalués et traités. La cybersécurité relève de la direction et fait partie de notre gestion globale des risques.
  2. Développement et systèmes sécurisés
    Pour nos environnements OT, nous suivons les normes IEC 62443-4-1 (développement sécurisé) et 62443-4-2 (sécurité des systèmes). La sécurité est intégrée dès la conception.
  3. Détection et signalement des incidents
    Nous disposons d’une surveillance 24h/24 et 7j/7 ainsi que de procédures d’intervention claires. Nous respectons l’obligation de signalement de la directive NIS2 et testons régulièrement nos processus avec des scénarios réalistes.
  4. Sécurité de la chaîne d’approvisionnement
    Le niveau de sécurité des fournisseurs et des partenaires est évalué. Nous appliquons des exigences basées sur l’ISO 27001 et, le cas échéant, sur l’IEC 62443.
  5. Continuité et rétablissement
    Nous avons mis en place des plans de continuité d’activité et de rétablissement qui sont régulièrement testés. Ceux-ci sont alignés sur l’ISO 27001 et adaptés aux risques liés à l’OT.
  6. Mesures de sécurité techniques
    Nous utilisons une authentification forte, la segmentation, le chiffrement et la surveillance. Tout est aligné sur les normes ISO 27001 et IEC 62443-4-2 et fait l’objet de contrôles réguliers.
  7. Sensibilisation et formation
    Chaque membre de l’organisation joue un rôle dans la cybersécurité. Nous dispensons des formations structurelles et des sessions spécifiques pour les équipes IT et OT.
  8. Audit et amélioration
    Nous documentons tout avec soin et sommes toujours prêts pour un audit. Notre approche est axée sur l’amélioration continue, et non seulement sur une conformité minimale.

Perspectives d’avenir

La cybersécurité est une priorité stratégique. En travaillant selon les normes NIS2, ISO 27001 et IEC 62443-4, nous ne nous contentons pas de respecter les règles : nous renforçons activement la résilience de notre organisation.
Il ne s’agit pas d’un poste de dépense, mais d’un investissement dans la stabilité, la continuité et la confiance.

NIS2 signifie « Network and Information Security Directive 2 », une directive européenne adoptée en 2022 qui s’appuie sur la directive NIS originale de 2016. L’objectif de NIS2 est d’améliorer la cybersécurité et la résilience opérationnelle des secteurs essentiels et importants au sein de l’UE. Ceci est particulièrement important compte tenu de la menace croissante des cyberattaques.

  1. Portée élargie : La directive s’applique non seulement aux infrastructures critiques comme les secteurs de l’énergie, des transports et de la santé, mais aussi à de nombreux secteurs « importants » comme l’infrastructure numérique, la gestion des déchets, la production alimentaire et même les services gouvernementaux.
  2. Exigences de sécurité renforcées : Les organisations soumises à NIS2 doivent respecter des exigences plus strictes en matière de gestion des risques, de mesures de sécurité, de signalement des incidents et de sécurité de la chaîne d’approvisionnement.
  3. Supervision et application : Les États membres doivent désigner des autorités de surveillance pour contrôler la conformité à NIS2, et des amendes peuvent être imposées en cas de non-conformité.
  4. Harmonisation au sein de l’UE : NIS2 établit des règles plus uniformes dans tous les pays de l’UE, réduisant ainsi les différences dans les exigences de sécurité entre les pays.
  5. Obligations de rapport : Les organisations doivent signaler les cyberincidents dans un délai déterminé (par exemple, une première notification dans les 24 heures) pour permettre une réponse rapide.

Les États membres de l’UE doivent transposer NIS2 en législation nationale avant octobre 2024, les organisations des secteurs concernés ont donc jusqu’à cette date pour se préparer.

Pour plus d’informations sur NIS2, consultez le NCSC