Comment ISO/IEC 27001:2022 accélère la conformité à NIS2 pour les PME

La directive NIS2 est désormais applicable et, pour de nombreuses petites et moyennes entreprises, elle peut avoir l’effet d’un choc réglementaire majeur. Si vous êtes une PME opérant dans un secteur critique ou intégrée à une chaîne d’approvisionnement plus large, vous devez désormais atteindre un niveau d’exigence plus élevé en matière de cybersécurité. Ce guide explique comment utiliser le référentiel ISO/IEC 27001:2022, reconnu au niveau international, pour répondre aux exigences de NIS2 de manière efficace et stratégique.

Les enjeux

La directive relative à la sécurité des réseaux et des systèmes d’information (NIS2) constitue l’initiative ambitieuse de l’Union européenne visant à renforcer la cyberrésilience des secteurs critiques. Contrairement au texte qui l’a précédée, NIS2 élargit fortement son périmètre, couvre davantage de secteurs et impose une responsabilité directe à la direction générale. Pour une PME, l’absence de préparation n’est pas une option. La directive impose un socle minimal de mesures de sécurité, des délais stricts de notification des incidents et une gestion robuste des risques liés à la chaîne d’approvisionnement. Le non-respect de ces exigences peut entraîner des sanctions financières importantes, une interruption opérationnelle et une atteinte majeure à la réputation, susceptible de compromettre des relations commerciales essentielles.

Au fond, NIS2 exige des organisations qu’elles adoptent une approche proactive et fondée sur les risques en matière de cybersécurité. L’Article 21 de la directive définit un ensemble minimal de mesures, notamment des politiques relatives à l’analyse des risques, à la gestion des incidents, à la continuité d’activité et à la sécurité de la chaîne d’approvisionnement. Il ne s’agit pas d’un simple exercice de conformité formelle. Les autorités compétentes s’attendront à disposer d’éléments de preuve attestant l’existence d’un programme de sécurité vivant, adapté aux menaces propres à l’organisation et appuyé par des contrôles appropriés pour les maîtriser. Pour une PME disposant de ressources limitées, construire ce dispositif à partir de zéro peut paraître difficile, avec le risque de produire des efforts fragmentés qui ne répondent pas aux attentes globales de la directive.

Prenons l’exemple d’une entreprise de logistique de taille intermédiaire fournissant des services de transport au secteur alimentaire. Au titre de NIS2, elle est désormais considérée comme une « entité importante ». Une attaque par rançongiciel chiffrant ses systèmes de planification et d’optimisation des itinéraires pourrait interrompre ses opérations pendant plusieurs jours, provoquer des pertes de marchandises et rompre ses engagements dans la chaîne d’approvisionnement. Au titre de NIS2, cet incident devrait être signalé aux autorités dans un délai de 24 heures. L’entreprise ferait également l’objet d’un examen de ses pratiques de gestion des risques. Disposait-elle de sauvegardes appropriées ? L’accès aux systèmes critiques était-il maîtrisé ? Ses fournisseurs de logiciels avaient-ils fait l’objet d’une évaluation de sécurité ? Sans cadre structuré, démontrer la diligence raisonnable devient une course désorganisée, souvent vouée à l’échec.

Ce qu’une bonne mise en conformité doit produire

Atteindre la conformité à NIS2 ne signifie pas repartir de zéro. Un système de management de la sécurité de l’information (SMSI) fondé sur ISO/IEC 27001:2022 constitue une base idéale. La norme est conçue pour aider les organisations à gérer leurs risques de sécurité de l’information de manière systématique. Cet alignement naturel signifie qu’en mettant en œuvre ISO 27001, vous développez simultanément les capacités et la documentation précisément attendues par NIS2. Une contrainte réglementaire complexe devient ainsi un projet structuré et maîtrisable, créateur de valeur métier au-delà de la seule conformité.

La synergie est nette dans plusieurs domaines. L’exigence de NIS2 relative à l’appréciation des risques et aux politiques de sécurité correspond au cœur même des clauses 4 à 8 d’ISO 27001. L’accent marqué de la directive sur la sécurité de la chaîne d’approvisionnement est directement couvert par les contrôles de l’Annexe A tels que 5.19, 5.20 et 5.21, qui traitent de la sécurité dans les relations avec les fournisseurs. De même, les exigences de NIS2 en matière de gestion des incidents et de continuité d’activité sont couvertes par la mise en œuvre des contrôles 5.24 à 5.30. En utilisant ISO 27001, vous créez un système unique et cohérent qui répond à plusieurs exigences, réduit les doublons, fait gagner du temps et fournit un fil conducteur clair aux auditeurs et aux autorités compétentes. Notre bibliothèque complète de contrôles vous aide à cartographier précisément ces exigences. Zenith Controls¹

Imaginez un petit prestataire de services managés (MSP) hébergeant l’infrastructure d’un hôpital local. L’hôpital est une « entité essentielle » au titre de NIS2 et doit s’assurer que ses fournisseurs sont sécurisés. En obtenant la certification ISO 27001, le MSP peut fournir immédiatement une assurance reconnue au niveau international quant à la robustesse de son SMSI. Il peut s’appuyer sur son appréciation des risques, sa Déclaration d’applicabilité et ses rapports d’audit interne comme éléments de preuve concrets de conformité. Cela satisfait non seulement les exigences de diligence raisonnable de l’hôpital au titre de NIS2, mais devient aussi un avantage concurrentiel fort, ouvrant l’accès à davantage d’opportunités dans les secteurs réglementés.

Parcours pratique

Construire un SMSI aligné à la fois sur ISO 27001 et NIS2 est un projet stratégique, et non une simple tâche informatique. Il exige une approche méthodique qui commence par la compréhension de l’organisation et de ses risques, puis par la mise en œuvre systématique des contrôles permettant de les maîtriser. En décomposant le parcours en phases logiques, même une petite équipe peut progresser de manière régulière et démontrable. Cette démarche permet de bâtir un système non seulement conforme, mais réellement efficace pour protéger l’activité. L’objectif est de créer un programme de sécurité durable, et non de simplement réussir un audit.

Phase 1 : établir les fondations (semaines 1 à 4)

La première phase consiste à poser le cadre. Avant de gérer les risques, vous devez comprendre votre contexte. Cela implique de définir ce que vous cherchez à protéger, c’est-à-dire le domaine d’application, d’obtenir l’engagement de la direction et d’identifier l’ensemble de vos obligations légales et réglementaires, NIS2 constituant ici un moteur principal. Ce travail fondateur, guidé par les clauses 4 et 5 d’ISO 27001, est indispensable pour garantir que votre SMSI est aligné sur vos objectifs métier et dispose de l’autorité nécessaire pour réussir. Sans domaine d’application clair ni soutien de la direction, même les meilleurs efforts techniques resteront fragiles.

• Définir le domaine d’application du SMSI : documenter clairement les activités, systèmes et sites couverts.
• Obtenir l’engagement de la direction : obtenir l’approbation formelle et les ressources nécessaires auprès de la direction générale. Il s’agit d’une exigence non négociable, tant pour ISO 27001 que pour NIS2.
• Identifier les parties intéressées et les exigences : recenser toutes les parties prenantes, notamment les clients, les autorités compétentes et les partenaires, ainsi que leurs attentes en matière de sécurité, y compris les articles spécifiques de NIS2.
• Constituer l’équipe de mise en œuvre : attribuer les rôles et responsabilités liés à la construction et au maintien du SMSI.

Phase 2 : évaluer les risques et planifier leur traitement (semaines 5 à 8)

Cette phase constitue le cœur de votre SMSI. Vous y identifiez, analysez et évaluez systématiquement les risques de sécurité de l’information. Ce processus doit être formel et reproductible. Vous identifiez vos actifs critiques, les menaces susceptibles de leur porter atteinte et les vulnérabilités qui les exposent. Le résultat est une liste priorisée de risques qui vous permet de décider, en connaissance de cause, où concentrer vos ressources. Cette appréciation des risques répond directement à l’exigence centrale de l’Article 21 de NIS2 et fournit une base défendable à votre stratégie de sécurité. Notre schéma directeur de mise en œuvre fournit les outils nécessaires, notamment un registre des risques prêt à l’emploi, afin de rationaliser ce processus. Zenith Blueprint²

• Créer un inventaire des actifs : documenter tous les actifs informationnels importants, notamment les données, logiciels, matériels et services.
• Réaliser une appréciation des risques : utiliser une méthodologie définie pour identifier les menaces et vulnérabilités associées à chaque actif, puis calculer les niveaux de risque.
• Sélectionner les options de traitement des risques : pour chaque risque significatif, décider s’il doit être atténué, accepté, évité ou transféré.
• Élaborer un plan de traitement des risques : pour les risques que vous choisissez d’atténuer, sélectionner les contrôles appropriés de l’Annexe A d’ISO 27001 et documenter le plan de mise en œuvre.
• Créer la Déclaration d’applicabilité (SoA) : documenter lesquels des 93 contrôles de l’Annexe A sont applicables à votre organisation, en préciser les raisons et justifier toute exclusion.

Phase 3 : mettre en œuvre les contrôles et constituer les éléments de preuve (semaines 9 à 16)

Une fois le plan établi, vient l’exécution. Cette phase consiste à mettre en œuvre les politiques, procédures et contrôles techniques identifiés dans votre plan de traitement des risques. C’est ici que la théorie devient opérationnelle. Vous pouvez, par exemple, déployer l’authentification multifacteur, rédiger une nouvelle politique de sauvegarde ou former vos collaborateurs à la sensibilisation au phishing. Il est essentiel de documenter toutes les actions réalisées. Pour chaque contrôle mis en œuvre, vous devez produire des éléments de preuve démontrant qu’il fonctionne efficacement. Ces éléments de preuve seront indispensables pour vos audits internes et externes, ainsi que pour démontrer la conformité à NIS2 auprès des autorités compétentes.

• Déployer les contrôles techniques : mettre en œuvre des mesures de sécurité telles que pare-feu, chiffrement, contrôles d’accès et journalisation.
• Rédiger et communiquer les politiques : élaborer et publier les politiques clés couvrant notamment l’utilisation acceptable, le contrôle d’accès et la réponse aux incidents.
• Réaliser la formation de sensibilisation à la sécurité : former l’ensemble des employés à leurs responsabilités en matière de sécurité de l’information.
• Établir la surveillance et la mesure : mettre en place des processus pour surveiller l’efficacité des contrôles et mesurer la performance de votre SMSI.

Phase 4 : surveiller, auditer et améliorer en continu (en continu)

Un SMSI n’est pas un projet ponctuel ; c’est un cycle d’amélioration continue. Cette dernière phase, encadrée par les clauses 9 et 10 d’ISO 27001, vise à garantir que votre SMSI reste efficace dans la durée. Vous réalisez des audits internes réguliers pour vérifier la conformité et identifier les faiblesses. La direction examine la performance du SMSI afin de s’assurer qu’il répond toujours aux objectifs métier. Tout problème ou toute non-conformité détecté est suivi formellement et corrigé. Ce processus continu de surveillance et d’amélioration est précisément ce que les autorités compétentes attendent dans le cadre de NIS2, car il démontre votre engagement à maintenir un niveau de sécurité solide.

• Réaliser des audits internes : revoir périodiquement votre SMSI au regard des exigences d’ISO 27001 et de vos propres politiques.
• Tenir des revues de direction : présenter la performance du SMSI à la direction générale et prendre les décisions stratégiques nécessaires.
• Gérer les non-conformités : mettre en œuvre un processus formel d’identification, de documentation et de résolution des problèmes ou lacunes de conformité.
• Préparer l’audit de certification : faire intervenir un organisme de certification externe afin que votre SMSI soit audité et formellement certifié.

Les politiques qui ancrent la démarche

Les politiques constituent l’ossature de votre SMSI. Elles traduisent votre stratégie de sécurité en règles claires et opposables pour l’ensemble de l’organisation. Pour la conformité à NIS2, disposer de politiques bien définies et appliquées de façon cohérente n’est pas seulement une bonne pratique ; c’est une exigence. Ces documents donnent des orientations claires aux employés, fixent les attentes vis-à-vis des fournisseurs et constituent des éléments de preuve critiques pour les auditeurs et les autorités compétentes. Ils démontrent que votre approche de la sécurité est délibérée et systématique, et non réactive ou ad hoc. Deux des politiques les plus structurantes pour ISO 27001 comme pour NIS2 sont la Politique de gestion des actifs et la Politique de sauvegarde et de restauration.

La Politique de gestion des actifs³ est le point de départ de tout effort de sécurité. Vous ne pouvez pas protéger ce dont vous ignorez l’existence. Cette politique établit un processus formel d’identification, de classification et de gestion de tous les actifs informationnels tout au long de leur cycle de vie. Pour NIS2, un inventaire des actifs complet est indispensable pour délimiter votre appréciation des risques. Il garantit la visibilité sur l’ensemble des systèmes, applications et données qui soutiennent vos services critiques. Sans lui, vous travaillez à l’aveugle et risquez de laisser subsister des lacunes importantes dans votre couverture de sécurité. Cette politique garantit que les responsabilités sont clairement établies et que tous les composants critiques sont intégrés dans votre programme de sécurité.

La Politique de sauvegarde et de restauration⁴ est tout aussi critique. L’Article 21 de NIS2 exige explicitement des mesures de continuité d’activité, telles que la gestion des sauvegardes et la reprise après sinistre. Cette politique définit les règles concernant les données à sauvegarder, la fréquence des sauvegardes, leur lieu de stockage et les modalités de test. En cas d’incident perturbateur, comme une attaque par rançongiciel, une stratégie de sauvegarde correctement exécutée est souvent le seul facteur qui sépare un rétablissement rapide d’une défaillance opérationnelle catastrophique. Cette politique donne à la direction, aux clients et aux autorités compétentes l’assurance que vous disposez d’un plan crédible pour maintenir la résilience opérationnelle et rétablir les services critiques dans les délais appropriés, répondant directement à une exigence fondamentale de la directive.

Une petite société d’ingénierie concevant des composants pour le secteur de l’énergie a mis en œuvre une Politique de gestion des actifs formelle. En cataloguant ses serveurs de conception, ses licences de logiciels CAO et les données sensibles de ses clients, elle a identifié ses actifs les plus critiques. Elle a ainsi pu concentrer son budget sécurité limité sur la protection de ces cibles à forte valeur au moyen de contrôles d’accès plus robustes et du chiffrement, démontrant une approche mature et fondée sur les risques lors d’un audit fournisseur réalisé par un grand client du secteur énergétique.

Listes de contrôle

Pour vous aider à structurer votre démarche, voici trois listes de contrôle pratiques. Elles sont conçues pour vous guider dans les principales étapes de construction, d’exploitation et de vérification de votre SMSI, afin de couvrir les exigences essentielles d’ISO/IEC 27001:2022 et de la directive NIS2.

Construire : établir votre cadre ISO 27001 pour la conformité à NIS2

Avant d’exploiter un SMSI conforme, vous devez le bâtir sur des bases solides. Cette phase initiale porte sur la planification, la définition du domaine d’application, ainsi que l’obtention de l’adhésion et des ressources nécessaires. Une erreur à ce stade peut compromettre l’ensemble du projet. Cette liste de contrôle couvre les étapes stratégiques indispensables pour définir votre SMSI et l’aligner sur les principes de gestion des risques au cœur de NIS2.

• Obtenir l’approbation formelle de la direction et le budget du projet SMSI.
• Définir et documenter le domaine d’application du SMSI, en mentionnant explicitement les services relevant de NIS2.
• Identifier toutes les exigences légales, réglementaires (NIS2) et contractuelles applicables.
• Établir un inventaire des actifs couvrant toutes les informations, matériels, logiciels et services dans le périmètre.
• Réaliser une appréciation des risques formelle afin d’identifier les menaces et vulnérabilités touchant vos actifs clés.
• Créer un plan de traitement des risques détaillant les contrôles sélectionnés pour atténuer les risques identifiés.
• Élaborer une Déclaration d’applicabilité (SoA) justifiant l’inclusion et l’exclusion de chacun des 93 contrôles de l’Annexe A.
• Rédiger et approuver les politiques fondatrices, notamment les politiques de sécurité de l’information, de gestion des actifs et d’utilisation acceptable.

Exploiter : maintenir l’hygiène de sécurité au quotidien

La conformité n’est pas un événement ponctuel. Elle résulte d’une discipline opérationnelle constante, jour après jour. Cette liste de contrôle se concentre sur les activités récurrentes qui maintiennent l’efficacité de votre SMSI et la sécurité de votre organisation. Ce sont les mesures concrètes qui démontrent aux auditeurs et aux autorités compétentes que votre programme de sécurité est actif, et non une simple collection de documents archivés.

• Réaliser régulièrement une formation de sensibilisation à la sécurité pour tous les employés, y compris des simulations d’hameçonnage.
• Appliquer les procédures de contrôle d’accès, notamment les revues régulières des autorisations des utilisateurs et des accès à privilèges.
• Gérer les vulnérabilités techniques au moyen d’un processus systématique de gestion des correctifs.
• Surveiller les systèmes et réseaux afin de détecter les événements de sécurité et les activités inhabituelles.
• Exécuter et tester les procédures de sauvegarde et de restauration des données conformément à la politique.
• Gérer les changements apportés aux systèmes et applications au moyen d’un processus formel de maîtrise des changements.
• Superviser la sécurité des fournisseurs par des revues et évaluations régulières des fournisseurs clés.
• Maintenir la sécurité des sites physiques, y compris le contrôle d’accès aux zones sensibles.

Vérifier : auditer et améliorer votre SMSI

La dernière pièce du dispositif est la vérification. Vous devez contrôler régulièrement que vos contrôles fonctionnent comme prévu et que votre SMSI atteint ses objectifs. Cette boucle d’amélioration continue est un principe central d’ISO 27001 et une attente clé de NIS2. Cette liste de contrôle couvre les activités d’assurance qui donnent à la direction et aux parties prenantes confiance dans votre niveau de sécurité.

• Planifier et réaliser un audit interne complet du SMSI au regard des exigences d’ISO 27001.
• Réaliser régulièrement des tests d’intrusion ou des analyses de vulnérabilités sur les systèmes critiques.
• Tester votre plan de réponse aux incidents au moyen d’exercices sur table ou de simulations complètes.
• Tester vos plans de reprise après sinistre et de continuité d’activité.
• Tenir des réunions formelles de revue de direction afin d’évaluer la performance du SMSI et d’allouer les ressources nécessaires.
• Suivre tous les constats d’audit et non-conformités dans un registre d’actions correctives jusqu’à leur résolution.
• Collecter et analyser les indicateurs relatifs à l’efficacité de vos contrôles de sécurité.
• Mettre à jour votre appréciation des risques au moins une fois par an ou lors de changements significatifs.

Pièges fréquents

Le parcours vers une double conformité ISO 27001 et NIS2 est exigeant, et plusieurs erreurs fréquentes peuvent compromettre même les démarches les mieux intentionnées. Les connaître permet de les éviter.

• Sous-estimer l’exigence relative à la chaîne d’approvisionnement : NIS2 accorde une importance sans précédent à la sécurité de la chaîne d’approvisionnement. De nombreuses PME se concentrent uniquement sur leurs contrôles internes et oublient d’exercer une diligence raisonnable sur leurs fournisseurs critiques. Si votre fournisseur cloud ou votre fournisseur logiciel subit une défaillance de sécurité qui vous affecte, vous restez responsable au titre de NIS2. Vous devez disposer d’un processus d’évaluation et de gestion du risque fournisseur.
• Traiter le sujet comme un projet purement informatique : même si l’informatique est fortement impliquée, la sécurité de l’information est un sujet métier. Sans adhésion réelle et leadership de la direction générale, le SMSI n’aura ni l’autorité ni les ressources nécessaires. NIS2 attribue explicitement la responsabilité à la direction, qui doit donc participer activement aux décisions de gouvernance et de risque.
• Produire des documents sans les appliquer : le principal écueil consiste à créer un bel ensemble documentaire que personne ne suit. Un SMSI est un système vivant. Si vos politiques ne sont pas communiquées, si vos procédures ne sont pas appliquées et si vos contrôles ne sont pas surveillés, vous n’avez obtenu qu’un faux sentiment de sécurité. Les auditeurs et les autorités compétentes rechercheront des éléments de preuve du fonctionnement effectif, et pas seulement de la documentation.
• Définir un périmètre insuffisant ou ambigu : un domaine d’application trop large peut rendre le projet ingérable pour une PME. Un domaine d’application trop étroit peut exclure des systèmes critiques relevant de NIS2, créant une lacune majeure de conformité. Le périmètre doit être défini avec soin et clairement aligné sur vos services critiques et vos objectifs métier.
• Négliger les tests de réponse aux incidents : disposer d’un plan de réponse aux incidents est une exigence de base. Toutefois, s’il n’a jamais été testé, il risque d’échouer en situation réelle. NIS2 impose des délais de notification très stricts, notamment un premier signalement dans un délai de 24 heures. Un exercice sur table peut révéler rapidement les lacunes de votre plan, par exemple l’absence d’identification des personnes à contacter ou l’incapacité à collecter rapidement les informations appropriées.

Une petite société de services financiers avait obtenu la certification ISO 27001, mais son plan de réponse aux incidents n’avait jamais été abordé qu’en réunion. Lorsqu’elle a subi une violation de données mineure, l’équipe n’était pas préparée. Elle a perdu plusieurs heures à débattre de l’autorité compétente pour contacter son assureur cyber et a eu des difficultés à rassembler les données d’investigation numérique nécessaires, manquant de peu son délai de notification réglementaire.

Prochaines étapes

Vous souhaitez construire un niveau de sécurité résilient répondant à la fois à ISO 27001 et à NIS2 ? Nos boîtes à outils fournissent les politiques, modèles et orientations nécessaires pour accélérer votre parcours de conformité.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Références