Politiques, gouvernance, fournisseurs, gestion des incidents, continuité d'activité, conformité — la plus grande famille (40 % des contrôles).
Politiques de sécurité de l'information
Objectif : Fournir une orientation et un soutien de la direction pour la sécurité de l'information conformément aux exigences métier et aux lois et réglementations pertinentes
L'organisation doit établir, documenter, approuver, communiquer et maintenir des politiques de sécurité de l'information appropriées.
Guide d'implémentation
- Définir la politique de sécurité de l'information au niveau de l'organisation
- Obtenir l'approbation de la direction
- Publier et communiquer la politique à tous les employés et parties externes pertinentes
- Réviser la politique à intervalles planifiés ou en cas de changements significatifs
Correspondance NIS2
NIS2 : Gouvernance, Politiques de gestion des risques
Rôles et responsabilités en matière de sécurité de l'information
Objectif : Assurer que les responsabilités en matière de sécurité de l'information sont définies et attribuées
Tous les rôles et responsabilités en matière de sécurité de l'information doivent être définis et communiqués.
Guide d'implémentation
- Définir et documenter les rôles de sécurité (RSSI, DPO, etc.)
- Établir les responsabilités pour chaque rôle
- Communiquer les rôles à toute l'organisation
- Garantir que les responsabilités sont comprises et acceptées
Correspondance NIS2
NIS2 : Responsabilité de la direction, Gouvernance
Séparation des tâches
Objectif : Réduire les opportunités de modification ou d'utilisation abusive non autorisées des actifs
Les tâches et responsabilités conflictuelles doivent être séparées pour réduire les risques de modification ou d'utilisation abusive non autorisées.
Guide d'implémentation
- Identifier les tâches et responsabilités conflictuelles
- Séparer les tâches incompatibles (ex: développement et production)
- Mettre en place des contrôles compensatoires si la séparation n'est pas possible
- Réviser régulièrement les attributions de tâches
Correspondance NIS2
NIS2 : Contrôles d'accès, Sécurité des systèmes
Responsabilités de la direction
Objectif : Exiger que la direction soutienne et démontre son engagement envers la sécurité de l'information
La direction doit exiger de tout le personnel qu'il applique la sécurité de l'information conformément à la politique établie.
Guide d'implémentation
- Communication régulière de la direction sur l'importance de la sécurité
- Allocation de ressources suffisantes
- Participation active aux revues de sécurité
- Sponsoring des initiatives de sécurité
Correspondance NIS2
NIS2 : Implication de la direction, Leadership
Contact avec les autorités
Objectif : Maintenir des contacts appropriés avec les autorités compétentes
L'organisation doit établir et maintenir des contacts avec les autorités compétentes.
Guide d'implémentation
- Identifier les autorités pertinentes (ANSSI, CCB, CNIL, etc.)
- Établir des points de contact
- Définir les procédures de contact en cas d'incident
- Maintenir les coordonnées à jour
Correspondance NIS2
NIS2 : Notification d'incidents, Communication avec autorités
Contact avec des groupes d'intérêt spéciaux
Objectif : Maintenir des contacts appropriés avec des groupes d'intérêt spéciaux et des forums spécialisés en sécurité
L'organisation doit établir et maintenir des contacts avec des groupes d'intérêt spéciaux.
Guide d'implémentation
- Participer à des forums de sécurité (CERT, ISAC, etc.)
- Adhérer à des associations professionnelles
- Partager les bonnes pratiques
- Recevoir des alertes de sécurité
Correspondance NIS2
NIS2 : Partage d'informations, Threat intelligence
Threat intelligence
Objectif : Collecter et analyser des informations sur les menaces pour la sécurité de l'information
Les informations relatives aux menaces de sécurité de l'information doivent être collectées et analysées.
Guide d'implémentation
- S'abonner à des flux de threat intelligence
- Analyser les tendances de menaces
- Adapter les mesures de sécurité en conséquence
- Partager les informations pertinentes
Correspondance NIS2
NIS2 : Gestion des menaces, Détection des incidents
Sécurité de l'information dans la gestion de projet
Objectif : Intégrer la sécurité de l'information dans la gestion de projet
La sécurité de l'information doit être intégrée dans la gestion de projet.
Guide d'implémentation
- Inclure la sécurité dans toutes les phases du projet
- Évaluer les risques de sécurité des projets
- Allouer des ressources sécurité aux projets
- Effectuer des revues de sécurité
Correspondance NIS2
NIS2 : Sécurité des systèmes, Développement sécurisé
Inventaire des actifs
Objectif : Identifier les actifs et définir les responsabilités de protection appropriées
Les actifs associés à l'information et aux installations de traitement de l'information doivent être identifiés.
Guide d'implémentation
- Établir et maintenir un inventaire des actifs
- Identifier les propriétaires d'actifs
- Classifier les actifs selon leur criticité
- Réviser régulièrement l'inventaire
Correspondance NIS2
NIS2 : Cartographie des actifs, Identification des actifs critiques
Utilisation acceptable de l'information et des actifs
Objectif : Identifier, documenter et mettre en œuvre des règles d'utilisation acceptable de l'information et des actifs
Des règles d'utilisation acceptable de l'information et des actifs doivent être identifiées, documentées et mises en œuvre.
Guide d'implémentation
- Définir la charte d'utilisation des SI
- Communiquer les règles à tous les utilisateurs
- Obtenir l'acceptation formelle
- Surveiller le respect des règles
Correspondance NIS2
NIS2 : Politiques de sécurité, Sensibilisation
Restitution des actifs
Objectif : S'assurer que les employés et les parties externes restituent tous les actifs en leur possession à la fin de leur emploi
Tout le personnel et les utilisateurs externes doivent restituer tous les actifs de l'organisation en leur possession.
Guide d'implémentation
- Procédure de restitution lors du départ
- Liste de contrôle des actifs à restituer
- Révocation des accès
- Récupération des badges, équipements, etc.
Correspondance NIS2
NIS2 : Gestion du cycle de vie des accès
Classification de l'information
Objectif : S'assurer que l'information reçoit un niveau de protection approprié
L'information doit être classifiée selon les besoins de sécurité de l'organisation.
Guide d'implémentation
- Définir un schéma de classification (Public, Interne, Confidentiel, Secret)
- Classifier tous les actifs informationnels
- Étiqueter l'information classifiée
- Appliquer les contrôles selon la classification
Correspondance NIS2
NIS2 : Protection des données, Classification des données
Étiquetage de l'information
Objectif : Développer et mettre en œuvre un ensemble de procédures d'étiquetage de l'information
Un ensemble approprié de procédures d'étiquetage de l'information doit être développé et mis en œuvre.
Guide d'implémentation
- Définir les règles d'étiquetage
- Appliquer les étiquettes (métadonnées, en-têtes, etc.)
- Former les utilisateurs
- Vérifier le respect de l'étiquetage
Correspondance NIS2
NIS2 : Marquage des données sensibles
Transfert d'information
Objectif : Maintenir la sécurité de l'information transférée au sein de l'organisation et avec toute entité externe
Des règles, procédures ou accords de transfert d'information doivent être en place.
Guide d'implémentation
- Politiques de transfert sécurisé
- Utilisation de canaux chiffrés
- Accords de transfert avec les tiers
- Traçabilité des transferts
Correspondance NIS2
NIS2 : Sécurité des communications, Chiffrement
Contrôle d'accès
Objectif : Gérer les droits d'accès logique et physique aux actifs
Des règles de contrôle d'accès doivent être établies, documentées et révisées.
Guide d'implémentation
- Politique de contrôle d'accès
- Principe du moindre privilège
- Revues régulières des droits
- Processus de demande et révocation
Correspondance NIS2
NIS2 : Contrôle d'accès, Gestion des identités
Gestion des identités
Objectif : Gérer le cycle de vie complet des identités
Le cycle de vie complet des identités doit être géré.
Guide d'implémentation
- Processus de création d'identités
- Gestion des modifications
- Désactivation et suppression
- Révisions périodiques
Correspondance NIS2
NIS2 : Gestion des identités et accès (IAM)
Informations d'authentification
Objectif : Gérer l'allocation et la gestion des informations d'authentification
L'allocation et la gestion des informations d'authentification doivent être contrôlées.
Guide d'implémentation
- Politique de mots de passe robuste
- Authentification multi-facteurs (MFA)
- Gestion sécurisée des secrets
- Renouvellement régulier
Correspondance NIS2
NIS2 : Authentification forte, MFA
Droits d'accès
Objectif : Provisionner, réviser, modifier et retirer les droits d'accès aux actifs
Les droits d'accès aux actifs doivent être provisionnés, révisés, modifiés et retirés.
Guide d'implémentation
- Workflow de demande d'accès
- Approbation par les managers
- Provisioning automatisé
- Revues trimestrielles des accès
Correspondance NIS2
NIS2 : Gestion du cycle de vie des accès
Sécurité de l'information dans les relations avec les fournisseurs
Objectif : Maintenir un niveau convenu de sécurité de l'information dans les relations avec les fournisseurs
Des processus et procédures doivent être définis et mis en œuvre pour maintenir la sécurité.
Guide d'implémentation
- Politique de sécurité fournisseurs
- Évaluation avant contractualisation
- Clauses de sécurité dans les contrats
- Audits réguliers des fournisseurs
Correspondance NIS2
NIS2 : Sécurité de la chaîne d'approvisionnement
Traiter la sécurité de l'information dans les accords avec les fournisseurs
Objectif : Établir et convenir des exigences de sécurité de l'information avec chaque fournisseur
Les exigences pertinentes de sécurité de l'information doivent être établies et convenues.
Guide d'implémentation
- Définir les exigences de sécurité
- Inclure dans les contrats et SLA
- Droits d'audit
- Gestion des incidents impliquant des fournisseurs
Correspondance NIS2
NIS2 : Contrats avec fournisseurs TIC, Clauses de sécurité
Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC
Objectif : Gérer les risques de sécurité de l'information associés à la chaîne d'approvisionnement TIC
Des processus et procédures doivent être définis et mis en œuvre pour gérer les risques.
Guide d'implémentation
- Évaluation des risques de la chaîne TIC
- Exigences de sécurité pour les sous-traitants
- Surveillance continue
- Plans de contingence
Correspondance NIS2
NIS2 : Gestion des risques fournisseurs TIC, Supply chain
Surveillance, revue et gestion du changement des services fournisseurs
Objectif : Surveiller, réviser, évaluer et gérer le changement dans les services fournisseurs
L'organisation doit surveiller, réviser et gérer régulièrement le changement.
Guide d'implémentation
- KPI et SLA de sécurité
- Revues périodiques de performance
- Gestion des changements chez les fournisseurs
- Audits de conformité
Correspondance NIS2
NIS2 : Surveillance des fournisseurs TIC
Sécurité de l'information pour l'utilisation de services cloud
Objectif : Gérer la sécurité de l'information lors de l'utilisation de services cloud
Les processus d'acquisition, d'utilisation, de gestion et de sortie de services cloud doivent respecter les exigences.
Guide d'implémentation
- Évaluation de sécurité des fournisseurs cloud
- Modèle de responsabilité partagée
- Chiffrement des données cloud
- Plan de sortie (exit strategy)
Correspondance NIS2
NIS2 : Sécurité cloud, Services externalisés
Planification et préparation de la gestion des incidents de sécurité de l'information
Objectif : Planifier et préparer la gestion des incidents de sécurité
L'organisation doit planifier et préparer la gestion des incidents.
Guide d'implémentation
- Politique de gestion des incidents
- Équipe de réponse aux incidents (CSIRT)
- Procédures de réponse
- Outils de détection et analyse
Correspondance NIS2
NIS2 : Gestion des incidents, Préparation à la réponse
Évaluation et décision sur les événements de sécurité de l'information
Objectif : Évaluer les événements de sécurité et décider s'ils doivent être classés comme incidents
L'organisation doit évaluer les événements de sécurité.
Guide d'implémentation
- Critères de classification des incidents
- Processus d'escalade
- Catégorisation et priorisation
- Documentation des décisions
Correspondance NIS2
NIS2 : Classification des incidents, Priorisation
Réponse aux incidents de sécurité de l'information
Objectif : Répondre aux incidents de sécurité conformément aux procédures documentées
Les incidents de sécurité doivent être traités conformément aux procédures.
Guide d'implémentation
- Activation de la réponse
- Containment et éradication
- Investigation forensique
- Communication et notification
Correspondance NIS2
NIS2 : Réponse aux incidents, Notification (24h/72h NIS2)
Tirer les leçons des incidents de sécurité de l'information
Objectif : Utiliser les connaissances acquises des incidents pour renforcer les contrôles
Les connaissances acquises doivent être utilisées pour réduire la probabilité ou l'impact d'incidents futurs.
Guide d'implémentation
- Analyse post-incident (post-mortem)
- Identification des causes racines
- Actions correctives et préventives
- Mise à jour des procédures
Correspondance NIS2
NIS2 : Amélioration continue, Leçons apprises
Collecte de preuves
Objectif : Établir et appliquer des procédures de collecte de preuves
L'organisation doit établir et appliquer des procédures pour l'identification, la collecte, l'acquisition et la préservation de preuves.
Guide d'implémentation
- Procédures forensiques
- Chaîne de custody
- Outils d'investigation
- Conservation des preuves
Correspondance NIS2
NIS2 : Investigation, Forensique
Sécurité de l'information pendant les perturbations
Objectif : Planifier comment maintenir la sécurité de l'information à un niveau approprié pendant les perturbations
L'organisation doit planifier comment maintenir la sécurité pendant les perturbations.
Guide d'implémentation
- Intégration sécurité dans le BCP
- Procédures de sécurité en mode dégradé
- Priorisation des contrôles critiques
- Tests de continuité incluant la sécurité
Correspondance NIS2
NIS2 : Continuité de la sécurité, BCP/DRP
Préparation des TIC pour la continuité d'activité
Objectif : Préparer les TIC pour la continuité d'activité
La préparation des TIC doit être planifiée, mise en œuvre, maintenue et testée.
Guide d'implémentation
- Redondance des systèmes critiques
- Sauvegardes et restauration
- Sites de secours
- Tests de failover
Correspondance NIS2
NIS2 : Préparation TIC, Continuité d'activité, DRP
Exigences légales, statutaires, réglementaires et contractuelles
Objectif : Identifier et respecter les obligations légales, statutaires, réglementaires et contractuelles
Les exigences légales doivent être identifiées, documentées et maintenues à jour.
Guide d'implémentation
- Veille réglementaire (RGPD, NIS2, DORA, etc.)
- Registre des exigences applicables
- Évaluation de conformité
- Mise en conformité
Correspondance NIS2
NIS2 : Conformité NIS2, RGPD, DORA
Droits de propriété intellectuelle
Objectif : Mettre en œuvre des procédures appropriées pour protéger les droits de propriété intellectuelle
Des procédures appropriées doivent être mises en œuvre pour protéger les droits de propriété intellectuelle.
Guide d'implémentation
- Politique d'utilisation des logiciels
- Gestion des licences
- Protection du code source propriétaire
- Respect des droits d'auteur
Correspondance NIS2
NIS2 : Protection de la propriété intellectuelle
Protection des enregistrements
Objectif : Protéger les enregistrements contre la perte, la destruction, la falsification et l'accès non autorisé
Les enregistrements doivent être protégés conformément aux exigences légales, réglementaires, contractuelles et métier.
Guide d'implémentation
- Classification des enregistrements
- Rétention et archivage
- Protection contre l'altération
- Destruction sécurisée
Correspondance NIS2
NIS2 : Gestion des logs, Conservation des preuves
Confidentialité et protection des informations personnelles identifiables
Objectif : Assurer la confidentialité et la protection des PII conformément aux exigences légales
L'organisation doit identifier et respecter les exigences relatives à la préservation de la confidentialité et à la protection des PII.
Guide d'implémentation
- Conformité RGPD
- Privacy by design
- Registre des traitements
- Droits des personnes concernées
Correspondance NIS2
NIS2 : Protection des données personnelles, RGPD
Revue indépendante de la sécurité de l'information
Objectif : Effectuer une revue indépendante de l'approche de l'organisation pour gérer la sécurité
L'approche de l'organisation pour gérer la sécurité de l'information doit être revue de manière indépendante.
Guide d'implémentation
- Audits internes programmés
- Audits externes (certification)
- Revue par la direction
- Actions d'amélioration
Correspondance NIS2
NIS2 : Audits de sécurité, Conformité
Conformité aux politiques, règles et normes de sécurité de l'information
Objectif : Vérifier régulièrement la conformité aux politiques, règles et normes de sécurité
La conformité doit être régulièrement vérifiée.
Guide d'implémentation
- Contrôles de conformité automatisés
- Revues manuelles périodiques
- Rapports de conformité
- Actions correctives
Correspondance NIS2
NIS2 : Vérification de conformité, Contrôles
Procédures opérationnelles documentées
Objectif : Documenter et maintenir à jour les procédures opérationnelles des installations de traitement
Les procédures opérationnelles pour les installations de traitement de l'information doivent être documentées.
Guide d'implémentation
- Documentation des procédures
- Mise à jour régulière
- Accessibilité aux personnes autorisées
- Formation aux procédures
Correspondance NIS2
NIS2 : Documentation, Procédures opérationnelles