Youtube Linkedin
Demandez-nous n'importe quoi
FR 🇫🇷
FR 🇫🇷 ENG 🇬🇧 SLO 🇸🇮 HR 🇭🇷 DE 🇩🇪
Consulter
Nis2Compliant.org
Parlez à un expert
Par Matjaz Marin

Comment mettre en œuvre les mesures de cybersécurité NIS 2 : cartographie avec ISO 27001

Comment mettre en œuvre les mesures de cybersécurité NIS 2 : cartographie avec ISO 27001

Si vous devez vous conformer à la directive NIS 2, vous vous demandez peut-être comment procéder. La directive décrit les objectifs à atteindre, mais ne fournit aucune indication sur la manière de procéder.

L'une des meilleures façons de s'attaquer à cette tâche de conformité est de suivre un cadre de cybersécurité établi. Dans cet article, je vais examiner si la norme ISO 27001, la principale norme internationale de cybersécurité, peut aider à répondre à ces exigences.

La norme ISO 27001 peut couvrir la plupart des exigences de cybersécurité de la norme NIS 2, à l’exception des rapports d’incidents.

Quelles sont les exigences en matière de cybersécurité et de reporting dans NIS 2 ?

Examinons ce que les entreprises doivent mettre en œuvre. Il est intéressant de noter que seuls trois articles de l'ensemble de la directive NIS 2 sont particulièrement pertinents pour les organisations essentielles et importantes qui doivent se mettre en conformité.

    Article 20 – Gouvernance

    Article 21 – Mesures de gestion des risques de cybersécurité

    Article 23 – Obligations de déclaration

Tous les autres articles du NIS 2 sont essentiellement destinés aux organismes gouvernementaux qui doivent appliquer le NIS 2.

Vous trouverez une description détaillée des exigences des articles 20 et 21 dans le tableau ci-dessous.

La norme ISO 27001 est-elle pertinente pour NIS 2 ?

Bien que la norme NIS 2 ne mentionne pas explicitement la norme ISO 27001, elle encourage l’utilisation de « normes européennes et internationales pertinentes ». En outre, le préambule de la norme NIS 2 suggère d’utiliser la série de normes ISO/IEC 27000 pour la mise en œuvre de mesures de cybersécurité.

La norme ISO 27001 est bien considérée par l'ENISA, l'Agence de l'Union européenne pour la cybersécurité :

Outil de cartographie de l'ENISA : l'ENISA a développé un outil qui met en correspondance les clauses et les contrôles de la norme ISO 27001 avec les exigences de la directive NIS d'origine (le prédécesseur de NIS 2).

Rapport 2017 : Dans le rapport « Cartographie des exigences de sécurité des OES pour des secteurs spécifiques », l'ENISA a identifié la norme ISO 27001 comme la norme la plus couramment suivie par les opérateurs de services essentiels (OES) devant se conformer à l'ancienne directive NIS.

Rapport 2021 : Le rapport « Investissements NIS » a noté qu'une majorité d'organisations (51.1%) conformes à l'ancienne directive NIS ont certifié leurs systèmes et processus sur la base de la certification ISO 27001.

Compte tenu de ces points, ainsi que de l’acceptation mondiale de la norme ISO 27001 en tant que norme ISO et de sa prédominance dans la série ISO 27000, la norme ISO 27001 est un choix logique pour atteindre la conformité NIS 2.

Carte des articles NIS 2 avec clauses et contrôles ISO 27001

 

Exigence NIS 2

Article NIS 2

Clause ou contrôle ISO 27001

Document suggéré

Les organes de gestion doivent approuver les mesures de gestion des risques de cybersécurité

Article 20, paragraphe 1

6.1.3 Traitement des risques liés à la sécurité de l’information

Plan de traitement des risques

Les organes de gestion doivent superviser la mise en œuvre des mesures de gestion des risques en matière de cybersécurité

Article 20, paragraphe 1

9.1 Suivi, mesure, analyse et évaluation 9.2 Audit interne 9.3 Revue de direction

Rapport de mesure + Rapport d'audit interne + Procès-verbal de la revue de direction

Les membres des organes de direction sont tenus de suivre des formations et doivent proposer régulièrement des formations similaires à leurs salariés

Article 20, paragraphe 2

7.2 Compétence A.6.3 Sensibilisation, éducation et formation à la sécurité de l'information

Plan de formation et de sensibilisation

Les entités doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques

Article 21, paragraphe 1

6.1.3 Traitement des risques liés à la sécurité de l'information 6.2 Objectifs de sécurité de l'information et planification pour les atteindre 8.1 Planification et contrôle opérationnels

Tableau de traitement des risques + Plan de traitement des risques + diverses politiques et procédures mentionnées ci-dessous

Lors de l'évaluation de la proportionnalité des mesures, il convient de tenir dûment compte du degré d'exposition de l'entité aux risques, de sa taille et de la probabilité d'occurrence des incidents et de leur gravité, y compris de leur impact sociétal et économique.

Article 21, paragraphe 1

6.1.2 Évaluation des risques liés à la sécurité de l’information

Méthodologie d'évaluation des risques + Tableau d'évaluation des risques

Politique d'analyse des risques

Article 21, paragraphe 2, point a)

6.1.2 Évaluation des risques liés à la sécurité de l’information

Méthodologie d'évaluation des risques

Politique de sécurité des systèmes d'information

Article 21, paragraphe 2, point a)

5.2 Politique

Politique de sécurité des systèmes d'information

Gestion des incidents

Article 21, paragraphe 2, point b)

A.5.24 Planification et préparation de la gestion des incidents de sécurité de l'information A.5.25 Évaluation et décision sur les événements de sécurité de l'information A.5.26 Réponse aux incidents de sécurité de l'information

Procédure de gestion des incidents + Journal des incidents

Continuité de l'activité

Article 21, paragraphe 2, point c)

A.5.29 Sécurité de l’information en cas de perturbation

Plan de continuité des activités

Gestion des sauvegardes

Article 21, paragraphe 2, point c)

A.8.13 Sauvegarde des informations

Politique de sauvegarde

Reprise après sinistre

Article 21, paragraphe 2, point c)

A.5.30 Préparation des TIC pour la continuité des activités A.8.14 Redondance des installations de traitement de l'information

Plan de reprise après sinistre

Gestion de crise

Article 21, paragraphe 2, point c)

(ne dispose pas d'une clause ni d'un contrôle directement pertinents dans la norme ISO 27001)

Plan de gestion de crise

Sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services

Article 21, paragraphe 2, point d)

A.5.19 Sécurité de l'information dans les relations avec les fournisseurs A.5.20 Gestion de la sécurité de l'information dans les accords avec les fournisseurs A.5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC A.5.22 Suivi, examen et gestion des changements des services aux fournisseurs A.5.23 Sécurité de l'information pour l'utilisation des services cloud

Politique de sécurité des fournisseurs + Clauses de sécurité pour les fournisseurs et partenaires + Déclaration de confidentialité

Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information

Article 21, paragraphe 2, point e)

A.8.6 Gestion de la capacité A.8.7 Protection contre les logiciels malveillants A.8.8 Gestion des vulnérabilités techniques A.8.9 Gestion de la configuration A.8.25 Cycle de vie du développement sécurisé A.8.26 Exigences de sécurité des applications A.8.27 Principes d'architecture et d'ingénierie des systèmes sécurisés A.8.28 Codage sécurisé A.8.29 Tests de sécurité en cours de développement et d'acceptation A.8.30 Développement externalisé A.8.31 Séparation des environnements de développement, de test et de production A.8.32 Gestion des changements A.8.33 Informations sur les tests

Politique de développement sécurisé + Spécification des exigences du système d'information

Politiques et procédures visant à évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité

Article 21, paragraphe 2, point f)

9.1 Suivi, mesure, analyse et évaluation 9.2 Audit interne 9.3 Revue de direction

Méthodologie de mesure + Rapport de mesure + Procédure d'audit interne + Liste de contrôle d'audit interne + Rapport d'audit interne + Procédure de revue de direction

Pratiques de base en matière d’hygiène informatique

Article 21, paragraphe 2, point g)

A.6.8 Rapports d'événements de sécurité de l'information A.7.7 Bureau et écran clairs A.7.9 Sécurité des actifs hors site A.7.10 Supports de stockage A.8.1 Terminaux utilisateurs A.8.5 Authentification sécurisée A.8.7 Protection contre les logiciels malveillants A.8.13 Sauvegarde des informations A.8.19 Installation de logiciels sur les systèmes opérationnels A.8.24 Utilisation de la cryptographie

Politique de sécurité informatique

Formation en cybersécurité

Article 21, paragraphe 2, point g)

7.2 Compétence A.6.3 Sensibilisation, éducation et formation à la sécurité de l'information

Plan de formation et de sensibilisation

Politiques et procédures concernant l'utilisation de la cryptographie et du cryptage

Article 21, paragraphe 2, point h)

A.8.24 Utilisation de la cryptographie

Politique sur l'utilisation du chiffrement

Sécurité des ressources humaines

Article 21, paragraphe 2, point (i)

A.6.1 Contrôle A.6.2 Conditions d'emploi A.6.3 Sensibilisation, éducation et formation à la sécurité de l'information A.6.4 Processus disciplinaire A.6.5 Responsabilités après la cessation ou le changement d'emploi

Politique de sécurité des ressources humaines

Politiques de contrôle d'accès

Article 21, paragraphe 2, point (i)

A.5.15 Contrôle d'accès

Politique de contrôle d'accès

Gestion d'actifs

Article 21, paragraphe 2, point (i)

A.5.9 Inventaire des informations et autres actifs associés A.5.10 Utilisation acceptable des informations et autres actifs associés A.5.11 Restitution des actifs A.7.9 Sécurité des actifs hors site

Procédure de gestion des actifs + Inventaire des actifs

L'utilisation de solutions d'authentification multifactorielle ou d'authentification continue

Article 21, paragraphe 2, point j)

A.5.16 Gestion des identités A.5.17 Informations d'authentification A.8.5 Authentification sécurisée

Politique d'authentification

Communications vocales, vidéo et texte sécurisées

Article 21, paragraphe 2, point j)

A.5.14 Transfert d'informations A.8.21 Sécurité des services réseau

Politique de transfert d'informations + Politique de communication sécurisée

Systèmes de communication d'urgence sécurisés au sein de l'entité

Article 21, paragraphe 2, point j)

A.8.20 Sécurité des réseaux

Politique de communication sécurisée

Prendre en compte les vulnérabilités propres à chaque fournisseur direct et prestataire de services ainsi que la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisées

Article 21, paragraphe 3

A.5.19 Sécurité de l'information dans les relations avec les fournisseurs A.5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC A.5.22 Suivi, examen et gestion des changements des services aux fournisseurs A.5.23 Sécurité de l'information pour l'utilisation des services cloud

Politique de sécurité des fournisseurs + Rapport d'évaluation et de traitement des risques

Prendre des mesures correctives appropriées et proportionnées

Article 21, paragraphe 4

10.2 Non-conformité et mesures correctives

Procédure de mesure corrective + Formulaire de mesure corrective

ISO 27001 et NIS 2 : couverture et mise en œuvre

Parmi les 26 exigences de cybersécurité spécifiées par la norme NIS 2, la norme ISO 27001 peut en traiter 25. La seule exception est la gestion de crise, qui n'est pas entièrement couverte par la norme ISO 27001.

Respect des obligations de déclaration

L'article 23 de la norme NIS 2 impose des exigences de reporting spécifiques qui ne peuvent pas être entièrement satisfaites à l'aide de la norme ISO 27001.

Utilisation de la norme ISO 27001 pour la conformité NIS 2

Sur la base de la cartographie, voici les étapes qui peuvent être mises en œuvre à l’aide de la norme ISO 27001 :

  1. Réaliser une formation initiale
  2. Rédiger une politique de haut niveau sur la sécurité des systèmes d'information
  3. Définir la méthodologie de gestion des risques
  4. Effectuer une évaluation et un traitement des risques
  5. Rédiger et approuver le plan de traitement des risques
  6. Mettre en œuvre des mesures de cybersécurité
  7. Mettre en place la sécurité de la chaîne d'approvisionnement
  8. Mettre en place l'évaluation de l'efficacité de la cybersécurité
  9. Mettre en place une formation continue en cybersécurité
  10. Effectuer des audits internes périodiques
  11. Effectuer des revues de gestion périodiques
  12. Exécuter des actions correctives

Les étapes 1 et 2 ne sont pas répertoriées ici car elles se concentrent sur la gestion de projet. L'étape 11, « Configurer les notifications d'incident », est exclue pour les raisons évoquées précédemment.

Conclusion : NIS 2 contre ISO 27001

Pour résumer comment la norme ISO 27001 peut être utilisée pour la conformité NIS 2 :

  • La norme ISO 27001 peut répondre à la plupart des exigences de cybersécurité de la norme NIS 2, à l’exception du signalement des incidents.
  • 12 des 15 étapes de mise en œuvre peuvent être réalisées grâce à la norme ISO 27001.

Il s’agit d’un alignement fort, indiquant que la norme ISO 27001 est un choix solide pour la conformité NIS 2, d’autant plus que NIS 2 et ENISA encouragent l’utilisation de normes de cybersécurité établies.

// Articles populaires

Parlez à un expert NIS 2

Rencontrez Matt et réservez un gratuit 15 minutes appelez ci-dessous pour mieux comprendre comment mettre en œuvre la conformité NIS 2 dans votre entreprise

Consulter un spécialiste

ou

Demandez-nous n'importe quoi
Linkedin Youtube

À propos de nous.

Organisée par NIS2Compliant.org, cette page fournit des informations de source publique sur tout ce qui concerne la prochaine directive NIS2. Présenté de manière claire et concise pour une consommation facile.

 

Clause de non-responsabilité
Les informations fournies sur ce site Web sont uniquement destinées à des fins éducatives et informatives. Le contenu n'est pas destiné à remplacer un avis professionnel ou tout autre conseil, service juridique, etc. Les administrateurs et contributeurs du site ne font aucune déclaration ou garantie quant aux informations contenues dans le site. Toute confiance que vous accordez à ces informations est donc strictement à vos propres risques.

Plus d'information:

Fil d'actualité.

Entrer en contact.

Réserver un appel de 15 min

Téléphone:
00386 41 948 698

E-mail:
devenir@nis2compliant.org

Copyright par Nis2Compliant.org