⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
FR EN BG CS DA DE EL ES ET FI GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Renseignement sur les menaces ISO 27001 au service de NIS2 et DORA

Igor Petreski
15 min read
#Gestion des risques #Audit #SMSI #Réponse aux incidents #Gestion des fournisseurs #Journalisation et surveillance
Workflow de renseignement sur les menaces ISO 27001 pour les éléments probants de conformité NIS2 et DORA

À 07 h 42, un mardi matin, le RSSI d’une fintech européenne reçoit quatre messages avant même son café.

Le premier est une alerte d’un CERT national indiquant qu’une vulnérabilité d’accès à distance est activement exploitée. Le deuxième est un bulletin fournisseur confirmant que le composant concerné est utilisé dans un service géré de transfert de fichiers. Le troisième est une notification d’un service MDR signalant un trafic sortant inhabituel depuis un sous-réseau de non-production. Le quatrième vient du directeur financier : « Cela affecte-t-il notre dossier de préparation DORA, et devons-nous notifier quelqu’un au titre de NIS2 ? »

Voilà le problème du renseignement sur les menaces en 2026. Il ne s’agit pas de collecter davantage de flux. Il s’agit de démontrer que le renseignement pertinent sur les cybermenaces est reçu, validé, escaladé, traité et converti en éléments probants relatifs aux risques, à la détection, aux vulnérabilités, aux incidents, aux fournisseurs et à l’organe de direction.

De nombreuses organisations sont déjà abonnées aux avis fournisseurs, alertes CISA, mises à jour ENISA, notifications des CERT nationaux, bulletins ISAC, notifications de sécurité des fournisseurs de services cloud, flux CVE, rapports MDR, bases d’exploitabilité et services de surveillance du dark web. Pourtant, lorsqu’un avis réel arrive, les équipes improvisent encore. Le SOC rédige une règle de détection. L’infrastructure consulte des inventaires d’actifs qui peuvent ne pas être à jour. La conformité demande si l’événement affecte NIS2 ou DORA. La direction veut une réponse claire avant même que l’organisation sache si le composant vulnérable est en production.

Le problème n’est pas le manque de données. C’est l’absence d’un modèle opérationnel auditable.

Un flux de menaces que personne n’utilise n’est pas un contrôle. Un avis de vulnérabilité qui ne modifie pas la priorité d’application des correctifs n’est pas un élément probant. Une notification fournisseur qui n’atteint jamais le registre des risques ne constitue pas une mesure de sécurité de la chaîne d’approvisionnement. Une alerte CSIRT qui ne met pas à jour la surveillance, le triage des incidents ou le reporting de direction n’est qu’un bruit de boîte de réception.

L’approche de Clarysec est simple : le renseignement sur les menaces doit devenir un système opérationnel de décision fondée sur les risques. Il doit être intégré au domaine d’application du SMSI, à l’appréciation des risques, à la Déclaration d’applicabilité, aux playbooks d’incident, au triage des vulnérabilités, à la journalisation et à la surveillance, à la gouvernance des fournisseurs, au reporting de direction et au dossier d’éléments probants d’audit.

Pourquoi le renseignement sur les menaces est désormais un contrôle relevant de l’organe de direction

NIS2 a changé le ton de la gouvernance de la cybersécurité. Elle inclut dans son périmètre de nombreux fournisseurs SaaS, fournisseurs de services cloud, prestataires de services gérés, prestataires de services de sécurité gérés, organisations d’infrastructure numérique et fournisseurs de services numériques, en tant qu’entités essentielles ou importantes selon le secteur, la taille et la désignation par l’État membre.

NIS2 Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques. Celles-ci comprennent l’analyse des risques, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, la sécurité lors de l’acquisition, du développement et de la maintenance, y compris la gestion et la divulgation des vulnérabilités, l’évaluation de l’efficacité, l’hygiène cyber de base et la formation, la cryptographie, la sécurité des ressources humaines, le contrôle d’accès, la gestion des actifs, ainsi que la MFA ou l’authentification continue lorsque cela est approprié.

NIS2 Article 20 impose également aux organes de direction d’approuver les mesures de gestion des risques de cybersécurité, d’en superviser la mise en œuvre et de suivre une formation. Pour les entités essentielles, l’amende administrative maximale peut atteindre au moins 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, elle peut atteindre au moins 7 millions d’euros ou 1,4 %.

Pour le renseignement sur les menaces, la question à poser au niveau de l’organe de direction devient : comment savons-nous que les menaces émergentes modifient nos contrôles avant de devenir des incidents ?

DORA ajoute une couche supplémentaire pour les entités financières et les prestataires tiers de services TIC concernés. Il s’applique depuis le 17 janvier 2025 et exige un cadre de gestion des risques liés aux TIC solide, complet et bien documenté, intégré au système global de gestion des risques. Le cadre DORA attend des organisations qu’elles identifient et classifient les fonctions opérationnelles et les actifs soutenus par les TIC, protègent et préviennent, détectent les activités anormales, répondent et se rétablissent, gèrent les sauvegardes et la restauration, tirent les enseignements des incidents liés aux TIC, communiquent en situation de crise et gèrent les risques liés aux prestataires tiers de services TIC.

DORA exige également la gestion, la classification et le reporting des incidents liés aux TIC. Articles 17, 18 et 19 couvrent les processus de gestion des incidents, la classification des incidents liés aux TIC et des cybermenaces, ainsi que le reporting des incidents majeurs liés aux TIC. Article 10 porte sur la détection des activités anormales. Articles 6 à 11 décrivent le cadre de gestion des risques liés aux TIC, ainsi que les attentes en matière d’identification, de protection, de prévention, de détection, de réponse et de rétablissement.

En termes simples, DORA attend une résilience éclairée par la menace. Pas une résilience statique. Pas une résilience fondée sur une politique annuelle. Une résilience éclairée par la menace.

ISO/IEC 27001:2022 fournit le moteur de système de management qui relie ces attentes. Clauses 4.1 à 4.4 exigent de l’organisation qu’elle comprenne son contexte interne et externe, les parties intéressées, les obligations légales et réglementaires, le domaine d’application du SMSI, les dépendances et les processus en interaction. Clauses 6.1.1 à 6.1.3 exigent un processus répétable d’appréciation et de traitement des risques, la sélection des mesures, la comparaison avec l’Annexe A, une Déclaration d’applicabilité, la planification du traitement et l’approbation du risque résiduel par le propriétaire du risque.

Le renseignement sur les menaces appartient à cet ensemble, non comme un tableau de bord annexe, mais comme entrée du contexte, du risque, de la sélection des mesures, du traitement, de la surveillance, de la revue de direction et de l’amélioration continue.

Le piège de la conformité : des flux de menaces sans traçabilité décisionnelle

Le schéma d’échec le plus courant est d’une simplicité trompeuse : l’organisation reçoit du renseignement sur les menaces, mais ne peut pas démontrer comment celui-ci modifie les décisions.

Une chaîne d’éléments probants faible ressemble généralement à ceci :

Signal reçuRéponse faiblePréoccupation de l’auditeur
Alerte CERT sur une exploitation activeTransmise à la boîte mail informatiqueAucun élément probant d’appréciation des risques, de propriété ou d’action
Bulletin fournisseur sur un correctif critiqueAjouté au backlog de ticketsAucune priorisation fondée sur la criticité de l’actif ou l’activité d’exploitation
Détection MDR d’une ligne de commande suspecteClôturée comme faux positifAucun critère de triage documenté ni boucle de retour d’expérience
Notification fournisseur concernant une dépendance compromiseClassée dans le dossier AchatsAucune mise à jour du risque fournisseur ni revue des contrôles compensatoires
Avertissement ISAC sur une campagne sectorielleMentionné en réunion SOCAucune mise à jour de la surveillance, de la sensibilisation ou du playbook d’incident

C’est là que la méthode de mise en œuvre de Clarysec aide les organisations à passer de « nous recevons du renseignement » à « nous opérationnalisons le renseignement ».

Dans Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, la phase Controls in Action transforme explicitement le renseignement sur les menaces en pratique auditable. L’étape 22, Organizational controls, indique :

Établir une liste documentée des sources de renseignement sur les menaces (5.7), provenant de fournisseurs, d’ISAC ou de sources ouvertes, et déterminer comment le renseignement est validé et intégré à la prise de décision. Définir qui reçoit les mises à jour sur les menaces et comment elles sont appliquées (par exemple, priorisation des correctifs, formation de sensibilisation). Créer une courte note sur les tendances des menaces à diffuser trimestriellement aux principales parties prenantes.

Cette instruction constitue le pont entre les données de menace et les éléments probants de conformité. Un registre de renseignement sur les menaces n’est pas une simple liste de sources. Il démontre la pertinence, la propriété, la validation, l’acheminement, l’intégration et l’usage métier.

Logique de contrôle ISO 27001 : la chaîne du renseignement sur les menaces

ISO/IEC 27002:2022 mesure 5.7, Renseignement sur les menaces, exige des organisations qu’elles collectent et analysent les informations relatives aux menaces pesant sur la sécurité de l’information et les utilisent pour produire du renseignement sur les menaces. Dans Zenith Controls: The Cross-Compliance Guide Zenith Controls, la mesure 5.7 est classée comme préventive, détective et corrective. Elle soutient la confidentialité, l’intégrité et la disponibilité, s’aligne sur les concepts cybersécurité Identifier, Détecter et Répondre, et s’inscrit dans la gestion des menaces et des vulnérabilités en tant que capacité opérationnelle.

Cette classification compte. Le renseignement sur les menaces prévient en éclairant le durcissement, l’application des correctifs, la formation et les contrôles fournisseurs. Il détecte en orientant la surveillance, les règles SIEM et les activités de threat hunting. Il corrige en améliorant la réponse aux incidents, les enseignements tirés et le traitement des risques.

Zenith Controls met également en correspondance la mesure 5.7 d’ISO/IEC 27002:2022 avec des contrôles de soutien :

Relation avec les mesures ISO/IEC 27002:2022Importance pratique
5.6 Contact avec les groupes d’intérêt particuliersLes ISAC, CERT, forums professionnels et communautés sectorielles sont des sources de renseignement, pas de simples espaces de réseautage
8.7 Protection contre les logiciels malveillantsLes indicateurs de compromission, URL malveillantes, valeurs de hachage, infrastructures de commande et contrôle et schémas d’attaque mettent à jour les défenses des terminaux et de la messagerie
8.8 Gestion des vulnérabilités techniquesLe renseignement sur les exploitations en conditions réelles modifie la priorité des vulnérabilités et l’urgence des correctifs
8.15 JournalisationLes journaux fournissent l’enregistrement factuel nécessaire pour rechercher des indicateurs et reconstituer l’activité
8.16 Activités de surveillanceLe renseignement sur les menaces indique au SOC ce qu’il doit surveiller, tandis que la surveillance produit du renseignement interne
5.25 Évaluation et décision relatives aux événements de sécurité de l’informationUn triage appuyé par le renseignement aide à déterminer si un événement constitue un incident de sécurité

Le lien avec les vulnérabilités est particulièrement important. Zenith Controls traite la mesure 8.8, Gestion des vulnérabilités techniques, comme préventive et directement liée à la mesure 5.7, car le renseignement issu du terrain indique quelles vulnérabilités sont activement exploitées. Il relie également 8.8 à 8.16, Activités de surveillance, car les tentatives d’exploitation observées doivent accroître l’urgence des correctifs.

Cela crée une chaîne opérationnelle de renseignement sur les menaces :

  1. Le renseignement externe ou interne arrive.
  2. Sa pertinence est validée au regard des actifs, fournisseurs, zones géographiques, secteurs, services métier et données.
  3. Le risque est mis à jour.
  4. Les priorités de correction et de configuration changent.
  5. La logique de détection est ajustée.
  6. Les playbooks d’incident et les seuils de classification sont revus.
  7. Les dépendances fournisseurs et cloud sont vérifiées.
  8. La direction reçoit un reporting sur les tendances.
  9. Les éléments probants sont conservés pour les auditeurs, les autorités de régulation et les clients.

Des politiques qui transforment le renseignement en comportements responsables

Les politiques sont l’endroit où la logique de contrôle devient une responsabilité fondée sur les rôles. Les ensembles de politiques PME et entreprise de Clarysec intègrent des points d’ancrage du renseignement sur les menaces dans la gestion des risques, la protection des terminaux, la gestion des vulnérabilités, la journalisation, la surveillance et les éléments probants d’audit.

Pour les PME, la Endpoint Protection - Malware Policy Endpoint Protection - Malware Policy - SME fixe une attente directe dans la clause 5.4.1 des Exigences de gouvernance :

Le prestataire de support informatique doit surveiller les sources crédibles de renseignement sur les menaces (par exemple CISA, ENISA, principaux fournisseurs antivirus) et s’assurer que les signatures de détection restent à jour.

La valeur de cette clause tient à l’attribution. Le renseignement sur les menaces ne signifie pas « quelqu’un dans l’informatique devrait consulter les alertes ». C’est une obligation explicite du prestataire.

La Vulnerability and Patch Management Policy Vulnerability and Patch Management Policy - SME renforce le même modèle dans la clause 4.2.1 des Rôles et responsabilités :

Surveille les systèmes afin d’identifier les vulnérabilités et les correctifs disponibles à l’aide des alertes fournisseurs, des avis de renseignement sur les menaces et des notifications des systèmes d’exploitation.

Elle identifie également, dans la clause 6.2.1.3 des Exigences de mise en œuvre de la politique, le type de source devant déclencher une action :

Avis de renseignement sur les menaces de confiance (par exemple CISA, ENISA, alertes CERT nationales).

Pour les entreprises, la Vulnerability and Patch Management Policy Vulnerability and Patch Management Policy indique dans la clause 4.5.1 des Rôles et responsabilités :

Surveiller les avis sur les menaces (par exemple CVE, CISA KEV, bulletins fournisseurs) et escalader les vulnérabilités critiques.

L’exigence d’escalade est essentielle. Une vulnérabilité devient urgente lorsque l’exploitabilité, l’exposition, la criticité métier, la sensibilité des données et l’activité de menace convergent.

La Risk Management Policy Risk Management Policy intègre le renseignement sur les menaces dans l’analyse. La clause 6.2.2 des Exigences de mise en œuvre de la politique indique :

L’analyse doit prendre en compte l’efficacité des contrôles existants, le renseignement sur les menaces pertinent, la criticité des actifs et la gravité des vulnérabilités.

Cette clause est au cœur d’un renseignement sur les menaces compatible avec les exigences d’audit. Elle démontre que l’analyse des risques n’est pas théorique.

La Logging and Monitoring Policy Logging and Monitoring Policy transforme le renseignement en détection. Sa clause 1.2 Objet indique :

La journalisation d’audit, la surveillance et la détection des menaces sont essentielles pour la détection d’anomalies, la réponse aux menaces, l’analyse forensique, la préparation à l’audit et la conformité juridique. Cette politique garantit que tous les événements générés par les systèmes sont correctement enregistrés, conservés et corrélés avec une exactitude d’horodatage synchronisée.

Enfin, la Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy explique pourquoi la discipline des éléments probants est importante. La clause 3.4 Objectifs impose à l’organisation de générer des éléments probants :

Générer des éléments de preuve défendables et une piste d’audit à l’appui des demandes des autorités de régulation, des procédures judiciaires ou des demandes d’assurance de clients.

Lorsque NIS2, DORA, un client ou un auditeur ISO demande ce que vous saviez, quand vous l’avez su, qui a décidé et ce qui a changé, cette piste d’éléments probants fait la différence entre une assurance mature et une réaction défensive dans l’urgence.

Construire le registre de renseignement sur les menaces

Un registre mature comporte deux niveaux : la gouvernance des sources et le suivi des événements. La gouvernance des sources définit ce que l’organisation considère comme fiable, qui en est responsable, comment la source est validée et quelles actions elle peut déclencher.

Nom de la sourceTypeProcessus de validationPoint d’intégrationResponsable
Catalogue CISA KEVOpérationnelRecoupement avec l’inventaire des actifs et l’expositionDéclencher une priorisation d’urgence des correctifsGestion des vulnérabilités
Avis ENISAStratégiqueRevue par le propriétaire du risque ou le comité des risquesMettre à jour les scénarios de risque et la note à la directionRSSI
ISAC sectorielTactiqueAnalyser les IOC pour évaluer leur pertinence au regard de la pile technologiqueMettre à jour le SIEM, l’EDR et les activités de threat huntingResponsable SOC
Bulletins du fournisseur cloudOpérationnelVérifier les services et régions affectésEscalader vers l’ingénierie cloudResponsable DevOps
Notifications de correctifs fournisseursOpérationnelConfirmer le produit, la version et le périmètre de déploiementAjouter au cycle de correctifs ou au changement d’urgenceExploitation informatique
Notifications MDRTactique et opérationnelTrier au regard des journaux, actifs et configurations de référence connuesOuvrir un dossier de détection, d’enquête ou d’incidentOpérations de sécurité
Notifications de sécurité fournisseursOpérationnelMettre en correspondance avec les services contractualisés et les flux de donnéesMettre à jour le risque fournisseur et les contrôles compensatoiresResponsable fournisseur

Le suivi des événements documente comment un avis précis devient un élément probant. En revenant au scénario du transfert de fichiers du mardi matin, l’entrée du registre doit contenir suffisamment d’informations pour soutenir les décisions de risque, de réponse et de conformité.

ChampExemple d’entrée
Date et heure de réception2026-05-26 07:42 UTC
SourceAlerte CERT nationale, bulletin fournisseur, notification MDR
Type de sourceAvis gouvernemental, avis fournisseur, détection interne
Technologie affectéeService géré de transfert de fichiers, plage de versions, bibliothèques dépendantes
Responsable métierDirecteur des opérations plateforme
Propriétaire du risqueRSSI
Lien avec les actifsPasserelle externe de transfert de fichiers, workflow de reporting client
Gravité initialeÉlevée, en attente de validation de l’exposition
Actions requisesVérification de l’exposition, statut des correctifs, revue de la détection, confirmation fournisseur
Pertinence conformitéNIS2 Article 21, NIS2 Article 23 si les critères d’incident significatif sont remplis, cycle de vie des risques liés aux TIC et des incidents DORA le cas échéant
Emplacement des éléments probantsTicket, mise à jour du registre des risques, changement SIEM, note à la direction

Ce n’est pas de la bureaucratie. C’est l’enregistrement factuel qui démontre que votre organisation dispose d’un processus défini de réception, validation, triage, escalade et gestion des éléments probants.

De l’avis aux éléments probants d’audit : un workflow pratique

Un workflow de renseignement sur les menaces doit répondre rapidement à six questions : sommes-nous exposés, quelle est la gravité, que faut-il modifier, qui en est responsable, devons-nous notifier, et quels éléments probants doivent être conservés ?

1. Valider l’exposition et l’impact métier

Les clauses 4.1 à 4.4 d’ISO/IEC 27001:2022 exigent que le SMSI reflète le contexte, les obligations et les dépendances réels de l’organisation. La première tâche n’est pas d’appliquer des correctifs à l’aveugle. Elle consiste à valider l’exposition.

Questions à poser :

  • Exploitons-nous la technologie affectée ?
  • Est-elle exposée à Internet ?
  • Est-elle utilisée par un service métier critique ?
  • Traite-t-elle des données à caractère personnel ?
  • Est-elle exploitée par un fournisseur ou un prestataire de services gérés ?
  • Est-elle pertinente pour une fonction critique ou importante au sens de DORA ?
  • Est-elle pertinente pour des services entrant dans le champ de NIS2 ?
  • Existe-t-il des obligations contractuelles de notification client ?
  • Les journaux sont-ils disponibles, complets et synchronisés dans le temps ?

Si des données à caractère personnel peuvent être affectées, la responsabilité au titre du GDPR entre également dans l’analyse. Le GDPR exige une sécurité appropriée du traitement et une responsabilité démontrable, notamment la capacité d’évaluer si une violation de données à caractère personnel s’est produite et si une notification est requise.

2. Mettre à jour le registre des risques

La Risk Management Policy Risk Management Policy - SME donne une règle temporelle simple dans la clause 5.1.3 des Exigences de gouvernance :

Les risques doivent être revus trimestriellement et mis à jour lorsque des événements significatifs surviennent.

Un avis crédible d’exploitation active constitue un événement significatif. La mise à jour ne doit pas attendre la prochaine revue trimestrielle.

Élément de risqueAppréciation mise à jour
MenaceExploitation active d’une vulnérabilité du transfert de fichiers géré
VulnérabilitéVersion affectée, interface exposée, configuration faible, correctif manquant
ActifPlateforme d’échange de données clients
ConséquenceInterruption de service, accès non autorisé aux données, reporting réglementaire, impact sur la confiance client
VraisemblanceAccrue en raison d’une exploitation active dans le monde réel
Contrôles existantsMFA, WAF, protection des terminaux, surveillance SIEM, sauvegarde, SLA fournisseur
Lacunes de contrôleCorrectif non confirmé, détection non ajustée, éléments probants fournisseur en attente
TraitementCorrectif d’urgence, restriction réseau temporaire, recherche d’IOC, attestation fournisseur, évaluation de l’impact client
Propriétaire du risque résiduelRSSI et responsable des opérations plateforme

Cela se rattache directement aux clauses 6.1.1-6.1.3 d’ISO/IEC 27001:2022. L’organisation identifie le risque, analyse la vraisemblance et les conséquences, priorise le traitement, sélectionne les contrôles, maintient la Déclaration d’applicabilité, crée un plan de traitement et obtient l’approbation du risque résiduel.

3. Prioriser le traitement des vulnérabilités à l’aide du renseignement sur l’exploitation

Le Zenith Blueprint, phase Controls in Action, étape 19, Technological Controls I, explique pourquoi la gestion des vulnérabilités est au cœur de l’hygiène cyber :

La gestion des vulnérabilités est l’un des domaines les plus critiques de l’hygiène cyber moderne. Même si les pare-feu et les outils antivirus fournissent une protection, celle-ci peut être contournée si des systèmes non corrigés ou des services mal configurés restent exposés. Pour satisfaire à ce contrôle, les organisations doivent mettre en œuvre un processus structuré et répétable permettant d’identifier, d’évaluer et de traiter les vulnérabilités.

Le score CVSS ne suffit pas. Une vulnérabilité de gravité moyenne activement exploitée sur un système exposé à Internet peut être plus urgente qu’une vulnérabilité de gravité élevée située dans un laboratoire segmenté.

FacteurQuestionÉlément probant
Activité d’exploitationL’exploitation est-elle observée ou signalée par des sources de confiance ?Alerte CERT, référence CISA KEV, bulletin fournisseur, rapport MDR
ExpositionL’actif est-il exposé à Internet ou accessible par des fournisseurs ?Inventaire des actifs, posture de sécurité cloud, scan réseau
Criticité métierSoutient-il des services essentiels ou des fonctions critiques ?Analyse d’impact sur l’activité, cartographie des fonctions DORA
Sensibilité des donnéesTraite-t-il des données à caractère personnel, des données financières réglementées ou des données client confidentielles ?Inventaire des données, DPIA, registres des traitements
Contrôles compensatoiresDes règles WAF, règles de pare-feu, la segmentation, l’EDR ou la désactivation de fonctionnalités peuvent-ils réduire le risque ?Ticket de changement, règle de pare-feu, politique EDR
Risque opérationnelL’application d’un correctif d’urgence pourrait-elle perturber la fourniture d’un service critique ?Évaluation du changement, plan de retour arrière, plan de continuité

Cela produit une décision défendable. Cela soutient également NIS2 Article 21(2)(e) pour la gestion des vulnérabilités, NIS2 Article 21(2)(g) pour l’hygiène cyber et les attentes DORA en matière de gestion des risques liés aux TIC.

4. Convertir le renseignement en surveillance et détection

Le renseignement sur les menaces doit alimenter la journalisation et la surveillance. La Logging and Monitoring Policy Logging and Monitoring Policy - SME indique dans la clause 6.2.1 des Exigences de mise en œuvre de la politique :

Les outils de sécurité (par exemple antivirus, pare-feu, VPN) doivent être configurés pour générer des alertes sur des scénarios de menace définis, notamment :

L’extrait fixe clairement l’intention du contrôle : des scénarios de menace définis doivent piloter l’alerte.

Le Zenith Blueprint, phase Controls in Action, étape 19, décrit les activités de surveillance ainsi :

Si la journalisation consiste à enregistrer ce qui se produit dans votre environnement, la surveillance consiste à observer, comprendre et répondre à ces événements. Ce contrôle vise à observer activement les réseaux, systèmes et applications afin de détecter une activité inhabituelle, non pas uniquement après coup, mais en temps réel ou quasi réel lorsque cela est possible.

Pour le scénario de transfert de fichiers, le SOC ou le prestataire informatique doit :

  • Ajouter ou valider les IOC issus du CERT et de l’avis fournisseur.
  • Rechercher dans les journaux les chemins d’exploitation connus, les téléversements suspects, les indicateurs de web shell, les exécutions de processus inhabituelles et les connexions sortantes inattendues.
  • Confirmer que les journaux d’authentification, d’activité administrateur, d’accès aux fichiers, d’API et de réseau sont conservés.
  • Ajuster les alertes SIEM au schéma d’exploitation.
  • Créer une note de dossier expliquant ce qui a été recherché, ce qui a été trouvé et qui l’a revu.
  • Escalader vers la classification d’incident si les indicateurs montrent une compromission, une exposition de données ou un impact sur le service.

C’est ici que le signalement des incidents devient concret. NIS2 Article 23 exige un signalement par étapes des incidents significatifs, incluant une alerte précoce dans les 24 heures, une notification dans les 72 heures, des mises à jour intermédiaires sur demande et un rapport final au plus tard un mois après la notification. DORA exige des entités financières qu’elles détectent, gèrent, classifient et signalent les incidents majeurs liés aux TIC selon le processus par étapes défini par le règlement et les normes techniques associées.

Le renseignement sur les menaces aide à déterminer si l’organisation est encore en réponse à une vulnérabilité, en évaluation d’événement de sécurité ou en signalement réglementé d’incident.

Un seul workflow, plusieurs obligations de conformité

Le renseignement sur les menaces est un workflow de conformité intégré idéal, car les mêmes éléments probants soutiennent plusieurs régimes.

Référentiel ou réglementationCe qui est attenduÉléments probants de renseignement sur les menaces
ISO/IEC 27001:2022SMSI tenant compte du contexte, appréciation des risques, sélection des contrôles, planification du traitement, amélioration continueDomaine d’application du SMSI, registre des risques, Déclaration d’applicabilité, plan de traitement, entrées de revue de direction
ISO/IEC 27002:2022Renseignement sur les menaces, gestion des vulnérabilités, journalisation, surveillance, évaluation des incidents, protection contre les logiciels malveillantsRegistre de renseignement sur les menaces, mises à jour des IOC, règles SIEM, tickets de correctifs, notes de triage des incidents
NIS2Gestion des risques, gestion des incidents, hygiène cyber, gestion des vulnérabilités, sécurité de la chaîne d’approvisionnement, supervision de la gouvernanceÉléments probants Articles 20 et 21, notes d’information à la direction, workflow CSIRT, suivi des avis fournisseurs
DORACadre de gestion des risques liés aux TIC, détection, continuité, cycle de vie des incidents, tests de résilience, risque lié aux prestataires tiers de services TICClassification des actifs TIC, dossiers de détection, enregistrements de classification des incidents, entrées de tests de résilience, enregistrements fournisseurs TIC
GDPRSécurité du traitement, responsabilité, soutien à la détection et à la notification des violationsÉvaluation d’impact sur les données, journaux des accès, éléments probants de surveillance, enregistrement d’évaluation de violation
NIST CSF 2.0Résultats Govern, Identify, Protect, Detect, Respond, RecoverProfil actuel, profil cible, plan d’action priorisé, communications sur les risques
Vision d’audit COBIT 2019Gouvernance des risques, des contrôles, de la performance, de l’assurance et de la responsabilitéPropriété des contrôles, indicateurs de gestion, éléments probants d’assurance, suivi de la remédiation des problèmes

NIST CSF 2.0 est particulièrement utile pour la communication avec la haute direction. Ses fonctions principales, Govern, Identify, Protect, Detect, Respond et Recover, transforment le renseignement technique en récit lisible par l’organe de direction :

  • Govern : les sources de renseignement sur les menaces, les responsables et les lignes de reporting sont définis.
  • Identify : les actifs, fournisseurs, services métier et données affectés sont cartographiés.
  • Protect : les correctifs, le durcissement, la segmentation et les signatures des terminaux sont mis à jour.
  • Detect : les règles de surveillance, les IOC et les activités de threat hunting sont déployés.
  • Respond : les playbooks d’incident, les règles de triage et les seuils de notification sont revus.
  • Recover : les sauvegardes, les priorités de restauration et les enseignements tirés sont validés.

Cela transforme le renseignement brut sur les cybermenaces en gouvernance des risques.

Le point de vue de l’auditeur : ce qu’il demandera

Un processus solide de renseignement sur les menaces doit résister à différents styles d’audit. Un auditeur ISO, un évaluateur NIS2, une autorité de contrôle DORA, un évaluateur NIST CSF, un auditeur orienté COBIT 2019, un professionnel ISACA ou un réviseur Protection des données peut utiliser un vocabulaire différent, mais tous convergent vers les éléments probants.

Angle de l’auditeurQuestion d’audit probableÉléments probants permettant d’y répondre
Auditeur ISO/IEC 27001:2022Comment le contexte externe et interne influence-t-il les risques et contrôles du SMSI ?Registre de renseignement sur les menaces, méthodologie de risque, registre des risques mis à jour, justification de la Déclaration d’applicabilité
Réviseur de contrôles ISO/IEC 27002:2022Comment les mesures 5.7, 8.8, 8.16, 8.15, 8.7 et 5.25 sont-elles reliées ?Liste des sources, triage des vulnérabilités, ajustement SIEM, mises à jour des signatures antimalware, enregistrements d’évaluation des événements
Évaluateur NIS2Comment répondez-vous aux exigences de supervision par la direction, d’hygiène cyber, de gestion des vulnérabilités, de gestion des incidents et de sécurité de la chaîne d’approvisionnement ?Cartographie Articles 20 et 21, notes d’information à la direction, procédure de signalement CSIRT, workflow d’avis fournisseurs
Autorité de contrôle DORAComment le renseignement sur les menaces met-il à jour les risques liés aux TIC, la détection, les tests de résilience et la classification des incidents ?Cadre de gestion des risques liés aux TIC, cartographie des fonctions critiques, dossiers de détection, enregistrements de classification des incidents, périmètre des tests de résilience
Évaluateur NIST CSFQuels sont votre profil actuel, votre profil cible et votre plan d’action priorisé ?Profil CSF, évaluation des écarts, plan d’action, journal de mise à jour continue
Auditeur COBIT 2019 ou ISACAQui est responsable du contrôle, comment la performance est-elle mesurée et comment les exceptions sont-elles remédiées ?RACI, KPI, KRI, registre des exceptions, tickets de remédiation, validation formelle de la direction
Auditeur GDPR ou réviseur Protection des donnéesComment la surveillance et la gestion des vulnérabilités ont-elles protégé les données à caractère personnel et soutenu l’évaluation des violations ?Cartographie des traitements, journaux, évaluation de violation, éléments probants relatifs aux mesures techniques et organisationnelles

Zenith Controls fournit l’interprétation de conformité croisée pour ces échanges. Pour la mesure 8.16, Activités de surveillance, le guide relie la surveillance à la sécurité GDPR et à la responsabilité en matière de violation, à la gestion et au signalement des incidents NIS2, ainsi qu’aux attentes DORA de détection et de réponse. Pour la mesure 8.8, Gestion des vulnérabilités techniques, il relie la gestion des vulnérabilités à la sécurité du traitement GDPR, à NIS2 Article 21(2)(e) et à la gestion proactive des risques liés aux TIC DORA.

C’est cette convergence des éléments probants que les auditeurs veulent voir.

Reporting de direction : la note trimestrielle sur les tendances des menaces

Le registre de renseignement sur les menaces ne doit pas s’arrêter au SOC. Le Zenith Blueprint recommande une courte note trimestrielle sur les tendances des menaces à destination des principales parties prenantes. Clarysec recommande un rapport de direction d’une page composé de cinq sections :

  1. Les trois principales tendances de menace pertinentes par impact métier.
  2. Les technologies ou fournisseurs les plus exposés.
  3. Les vulnérabilités critiques corrigées, atténuées ou acceptées.
  4. Les améliorations apportées à la détection et à la réponse.
  5. Les décisions requises de la direction.

Une note de direction solide ne liste pas 400 CVE. Elle explique l’évolution du risque. Par exemple :

  • Les rançongiciels ciblant les prestataires de services gérés ont accru la priorité des revues fournisseurs.
  • L’exploitation de plateformes de transfert de fichiers a déclenché l’application d’un correctif d’urgence et une règle de pare-feu compensatoire.
  • Les attaques contre les identités cloud ont entraîné une revue des dérogations MFA et un durcissement de l’accès conditionnel.
  • Le renseignement d’un ISAC sectoriel a conduit à de nouvelles simulations d’hameçonnage pour les équipes finance et support.
  • La cartographie des fonctions critiques DORA a révélé une lacune de surveillance dans un workflow tiers.

Cette note soutient la responsabilité de la direction au titre de NIS2, la gouvernance des risques liés aux TIC DORA, la revue de direction ISO/IEC 27001:2022 et l’assurance demandée par les clients.

Schémas d’échec courants

Les programmes de renseignement sur les menaces paraissent souvent matures sur les diapositives, mais faibles lors d’un audit. Les schémas d’échec les plus fréquents sont :

  • Trop de flux et aucun critère de validation.
  • Aucun lien entre le renseignement et l’inventaire des actifs.
  • Aucune mise à jour documentée des risques après des avis majeurs.
  • Priorité des correctifs fondée uniquement sur la gravité du scanner.
  • Avis fournisseurs traités en dehors du SMSI.
  • Règles SOC mises à jour sans enregistrements de changement.
  • Seuils d’incident non alignés sur les workflows de reporting NIS2 ou DORA.
  • Reporting à l’organe de direction centré sur le volume d’alertes plutôt que sur le risque métier.
  • Aucun élément probant montrant que les enseignements tirés ont modifié les contrôles.
  • Aucun responsable de la tenue du registre de renseignement sur les menaces.

La solution n’est pas d’acheter un autre flux. La solution est l’intégration des contrôles.

Liste de contrôle de préparation en 10 points pour 2026

Utilisez cette liste comme revue interne pratique.

Question de préparationOui ou non
Maintenons-nous un registre de renseignement sur les menaces approuvé, avec responsables de sources et règles de validation ?
Les avis CERT, CSIRT, ISAC, fournisseurs, cloud, MDR et fournisseurs tiers sont-ils transmis à des rôles nommément désignés ?
Les avis significatifs déclenchent-ils une revue du registre des risques en dehors du cycle trimestriel ?
La priorisation des vulnérabilités prend-elle en compte l’activité d’exploitation, la criticité des actifs, la sensibilité des données et l’exposition ?
Les IOC et scénarios de menace sont-ils convertis en règles de surveillance ou en activités de threat hunting ?
L’actualité des signatures des terminaux, des détections cloud et des flux dynamiques de renseignement sur les menaces est-elle vérifiée ?
Les notifications fournisseurs sont-elles évaluées au regard du risque lié à la chaîne d’approvisionnement et des obligations contractuelles ?
Les critères de classification des incidents sont-ils alignés sur les workflows de reporting NIS2 et DORA lorsque cela s’applique ?
La direction reçoit-elle une note trimestrielle sur les tendances des menaces ?
Pouvons-nous produire un dossier d’éléments probants pour un auditeur, une autorité de régulation ou un client en un jour ouvré ?

Si la réponse à l’une de ces questions est « non », l’organisation n’a pas simplement un problème de renseignement sur les menaces. Elle a un problème d’intégration au SMSI.

Comment Clarysec aide à transformer le renseignement sur les menaces en éléments probants

La méthode Clarysec est conçue pour les organisations qui ont besoin simultanément d’une sécurité opérationnelle et d’une conformité crédible.

Zenith Blueprint fournit le parcours de mise en œuvre en 30 étapes, notamment l’étape 22 pour le registre de renseignement sur les menaces et l’étape 19 pour la gestion des vulnérabilités et les activités de surveillance. Les politiques entreprise et PME de Clarysec transforment ces attentes en procédures fondées sur les rôles pour la gestion des risques, la gestion des vulnérabilités, la protection des terminaux, la journalisation, la surveillance et les éléments probants d’audit. Zenith Controls fournit ensuite l’interprétation de conformité croisée, en montrant comment les mesures ISO/IEC 27002:2022 se relient à NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 et aux éléments probants d’audit.

Pour le RSSI du mardi matin, la réponse au directeur financier devient claire :

« Nous avons reçu l’avis, validé l’exposition, mis à jour le registre des risques, priorisé les correctifs sur la base de l’exploitation active, ajusté la surveillance, vérifié la dépendance fournisseur, évalué les seuils de reporting d’incident, informé la direction et conservé les éléments probants. Nous ne faisons pas d’hypothèses. Nous suivons notre SMSI. »

Voilà à quoi doit ressembler, en 2026, le renseignement sur les menaces ISO 27001 appliqué à l’hygiène cyber NIS2 et aux éléments probants de risques liés aux TIC DORA.

Prochaines étapes

Si votre organisation reçoit du renseignement sur les menaces mais ne peut pas démontrer comment il modifie les décisions de risque, les contrôles, la détection, la réponse aux incidents, la gestion des fournisseurs et les éléments probants réglementaires, commencez par trois actions cette semaine :

  1. Créez ou actualisez votre registre de renseignement sur les menaces à l’aide de Zenith Blueprint, phase Controls in Action, étape 22.
  2. Cartographiez votre processus actuel avec les mesures ISO/IEC 27002:2022 5.7, 8.8, 8.15, 8.16, 8.7 et 5.25 à l’aide de Zenith Controls.
  3. Alignez vos politiques, en particulier Risk Management Policy, Vulnerability and Patch Management Policy, Logging and Monitoring Policy et Audit and Compliance Monitoring Policy, afin que chaque avis puisse devenir un élément probant défendable.

Clarysec peut vous aider à transformer les flux de menaces, les avis, les notifications fournisseurs, le renseignement sur les vulnérabilités et les signaux de détection en un modèle opérationnel aligné sur ISO/IEC 27001:2022, prêt pour NIS2 et tenant compte de DORA.

Téléchargez les toolkits Clarysec, demandez une présentation guidée ou réservez une évaluation de préparation afin de vérifier comment votre processus actuel de renseignement sur les menaces résisterait face à un auditeur ISO, un évaluateur NIS2, une autorité de contrôle DORA ou une demande d’assurance client.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026 : ISO 27001 pour NIS2 et le CRA

ENISA EUVD 2026 : ISO 27001 pour NIS2 et le CRA

ENISA EUVD va modifier la manière dont les organisations de l’UE consomment le renseignement sur les vulnérabilités, gèrent la CVD, coordonnent les fournisseurs et documentent les décisions de déclaration au titre de NIS2, DORA, GDPR et du CRA. Ce guide montre comment ISO/IEC 27001:2022, les politiques Clarysec, Zenith Blueprint et Zenith Controls transforment les alertes de vulnérabilité en modèle opérationnel auditable.

Les SBOM au service de l’assurance ISO 27001, NIS2 et DORA

Les SBOM au service de l’assurance ISO 27001, NIS2 et DORA

Les SBOM sont désormais des éléments de preuve essentiels pour l’assurance de la chaîne d’approvisionnement logicielle. Ce guide montre comment les opérationnaliser à travers ISO 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 et les politiques Clarysec.