⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
FR EN BG CS DA DE EL ES ET FI GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Responsabilité de l’organe de direction au titre de NIS2 : éléments probants ISO 27001

Igor Petreski
14 min read
#Gestion des risques #Audit #SMSI #Réponse aux incidents #Continuité d’activité #Gestion des fournisseurs
Schéma de la responsabilité de l’organe de direction au titre de NIS2 et des éléments probants de gouvernance ISO 27001

Le courriel est arrivé dans la boîte de réception de Maria à 08:15, un lundi matin. En tant que RSSI d’un fournisseur européen de services cloud en forte croissance, elle était habituée aux messages urgents, mais celui-ci avait une portée différente.

Le DAF avait transmis un questionnaire de sécurité client au directeur général, au secrétaire de l’organe de direction et à Maria. L’objet était bref : « Éléments probants requis avant renouvellement concernant la responsabilité de l’organe de direction au titre de NIS2 ».

Le client ne demandait pas un rapport de test d’intrusion supplémentaire. Il voulait savoir si l’organe de direction avait approuvé les mesures de gestion des risques de cybersécurité, comment leur mise en œuvre était supervisée, si les dirigeants avaient reçu une formation au risque cyber, comment les incidents significatifs étaient escaladés et comment les risques fournisseurs étaient examinés au niveau de la direction. Le directeur général a ajouté une ligne : « Maria, quelle est notre exposition et comment démontrons-nous notre diligence raisonnable ? L’organe de direction en a besoin la semaine prochaine. »

C’est à ce moment que NIS2 devient concrète pour de nombreux fournisseurs SaaS, cloud, MSP, MSSP, centres de données, fintechs et prestataires d’infrastructures numériques. La directive (UE) 2022/2555 ne traite pas la cybersécurité comme un problème réservé aux équipes techniques. Elle transforme le risque cyber en sujet de responsabilité de l’organe de direction.

NIS2 Article 20 impose aux organes de direction des entités essentielles et importantes d’approuver les mesures de gestion des risques de cybersécurité, d’en superviser la mise en œuvre et de suivre une formation. Il permet également aux États membres d’établir un régime de responsabilité en cas de manquement. Article 21 définit ensuite le socle opérationnel : analyse des risques, politiques de sécurité, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, acquisition et développement sécurisés, évaluation de l’efficacité, hygiène cyber, formation, cryptographie, sécurité RH, contrôle d’accès, gestion des actifs et authentification.

Pour les organisations qui utilisent déjà ISO/IEC 27001:2022, la structure est familière. La différence tient à l’audience et à la charge probatoire. La question n’est plus seulement : « Avons-nous des contrôles de sécurité ? » Elle devient : « L’organe de direction peut-il démontrer qu’il a approuvé, compris, financé, revu, challengé et amélioré ces contrôles ? »

C’est là qu’ISO/IEC 27001:2022 devient un système de gouvernance défendable. L’approche Clarysec consiste à utiliser ISO/IEC 27001:2022 comme colonne vertébrale des éléments probants, Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint comme parcours de mise en œuvre, les politiques Clarysec comme livrables prêts pour l’organe de direction, et Zenith Controls: The Cross-Compliance Guide Zenith Controls comme guide de cartographie inter-référentiels pour NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 et les attentes d’audit.

Pourquoi la responsabilité de l’organe de direction au titre de NIS2 change le dialogue sur la cybersécurité

NIS2 ne demande pas aux administrateurs de devenir des ingénieurs pare-feu. Elle leur demande d’exercer une gouvernance. Cette distinction est essentielle.

Un RSSI peut présenter des rapports de vulnérabilités, la couverture MFA, des tableaux de bord de protection des terminaux et des scores de posture de sécurité cloud. Ce sont des signaux opérationnels utiles, mais ils ne prouvent pas automatiquement la supervision exercée par l’organe de direction. Une autorité de régulation, un client entreprise, un auditeur de certification ou un évaluateur du secteur financier recherchera une chaîne d’éléments probants de gouvernance :

  1. L’organisation a évalué si NIS2 s’applique et a documenté le fondement de son analyse.
  2. Le conseil d’administration ou la direction générale a approuvé le cadre de gestion des risques de cybersécurité.
  3. L’appétence au risque et les seuils de tolérance ont été définis.
  4. Les risques cyber élevés ont été escaladés et revus.
  5. Les décisions de traitement des risques ont été approuvées, y compris l’acceptation du risque résiduel.
  6. Les procédures de notification des incidents tiennent compte, le cas échéant, des obligations à 24 heures, 72 heures et de rapport final.
  7. Les dépendances fournisseurs et cloud sont cartographiées et gouvernées.
  8. La revue de direction inclut les constats d’audit, les tendances des incidents, les indicateurs et les actions d’amélioration.
  9. Les dirigeants ont reçu une formation adaptée à leurs responsabilités.
  10. Les décisions, exceptions et escalades sont traçables.

C’est là que de nombreux anciens playbooks de sécurité échouent. Acheter un outil « conforme NIS2 » ne prouve pas la supervision de l’organe de direction. Signer une politique et la classer ne démontre pas sa mise en œuvre. Déléguer entièrement la cybersécurité au RSSI ne satisfait pas l’obligation de supervision d’un organe de direction.

ISO/IEC 27001:2022 résout ce problème en présentant la sécurité de l’information comme un système de management stratégique, fondé sur les risques et intégré aux processus de l’organisation. Ses clauses relatives au contexte, aux parties intéressées, aux obligations légales, au domaine d’application, au leadership, à l’appréciation des risques, au traitement des risques, à la maîtrise opérationnelle, à l’évaluation des performances, à l’audit interne, à la revue de direction et à l’amélioration continue créent la structure dont un organe de direction a besoin pour démontrer sa diligence raisonnable.

Zenith Blueprint rend cela opérationnel dans la phase de fondation et de leadership du SMSI, étape 3 :

« Clause 5.1 porte entièrement sur le leadership et l’engagement. ISO 27001 exige que la haute direction démontre son leadership en approuvant le SMSI, en fournissant les ressources, en promouvant la sensibilisation, en s’assurant que les rôles sont attribués, en intégrant le SMSI dans les processus métier et en soutenant l’amélioration continue. »

C’est le modèle opérationnel qui sous-tend NIS2 Article 20. L’organe de direction n’a pas besoin d’approuver chaque ticket technique, mais il doit approuver le modèle de gouvernance, comprendre les risques matériels, s’assurer de la disponibilité des ressources et superviser la mise en œuvre.

Le dossier d’éléments probants que NIS2 exige réellement de l’organe de direction

Une erreur fréquente consiste à traiter les éléments probants NIS2 comme une note juridique accompagnée d’un dossier de politiques. Cela satisfait rarement un évaluateur sérieux. La responsabilité de l’organe de direction exige la preuve d’une gouvernance active, et non d’une documentation passive.

Un dossier solide d’éléments probants NIS2 destiné à l’organe de direction doit relier les obligations légales aux décisions de l’organe de direction, aux contrôles et aux cycles de revue.

Livrable probantQuestion de responsabilité de l’organe de direction traitéeAncrage ISO/IEC 27001:2022Source Clarysec
Analyse d’applicabilité NIS2Sommes-nous essentiels, importants, indirectement exposés ou hors champ ?Clauses 4.1 à 4.4Zenith Blueprint, étape 1 et étape 2
Domaine d’application du SMSI et cartographie des dépendancesQuels services, sites, fournisseurs, interfaces et processus sont gouvernés ?Clauses 4.1 à 4.4Zenith Blueprint, phase de fondation du SMSI
Registre des risques cyberQuels sont nos principaux risques cyber et qui en est propriétaire ?Clauses 6.1.1 et 6.1.2Politique de gestion des risques
Plan de traitement des risques et SoAQuels contrôles sont sélectionnés, pourquoi, et qui a approuvé le risque résiduel ?Clause 6.1.3Zenith Blueprint, étape 13
Comptes rendus de l’organe de direction et journal des décisionsLa direction a-t-elle approuvé, challengé et supervisé les mesures ?Clauses 5.1, 5.3, 9.3Politique relative aux rôles et responsabilités de gouvernance
Procédure d’escalade et de notification des incidentsPouvons-nous respecter les délais de notification échelonnés de NIS2 ?Clauses 8.1, 9.1, contrôles d’incident de l’Annexe AKit de réponse aux incidents et revue de direction
Tableau de bord des risques fournisseursLes fournisseurs critiques et les dépendances cloud sont-ils gouvernés ?Clause 8.1 et contrôles fournisseurs de l’Annexe ACartographie inter-référentiels Zenith Controls
Enregistrements de formation des dirigeantsLes membres de l’organe de direction ont-ils suivi une formation appropriée ?Clause 7.2 et contrôles de sensibilisationPolitique de sensibilisation et de formation à la sécurité de l’information
Résultats de l’audit interne et de la revue de directionLa mise en œuvre est-elle vérifiée de manière indépendante et améliorée ?Clauses 9.2, 9.3, 10.1Politique d’audit et de surveillance de la conformité - PME

La force de ce dossier tient à sa traçabilité. Chaque livrable justificatif répond à une question de gouvernance et renvoie à un mécanisme ISO/IEC 27001:2022. Cela donne au RSSI, au directeur général et à l’organe de direction un récit défendable : la cybersécurité n’est pas une collection d’outils, c’est un système gouverné.

Transformer les politiques en responsabilité au niveau de l’organe de direction

Dans le scénario initial, le directeur général de Maria pourrait être tenté de répondre au client avec un certificat ISO et quelques politiques. Ce n’est pas suffisant pour la responsabilité de l’organe de direction au titre de NIS2. L’organisation doit disposer d’éléments probants montrant que les responsabilités sont attribuées, que les décisions sont enregistrées et que les risques sont escaladés objectivement.

Les politiques Clarysec sont conçues pour créer cette traçabilité.

Pour les organisations de plus petite taille, Politique de sécurité de l’information - PME Politique de sécurité de l’information - PME, clause 4.1.1, indique que la haute direction :

« Conserve la responsabilité globale de la sécurité de l’information. »

Cette phrase est importante. Elle évite un anti-modèle fréquent dans lequel des fondateurs, des directeurs généraux ou des équipes de direction délèguent informellement toute responsabilité de sécurité à l’informatique sans conserver de supervision réelle.

Pour les organisations plus grandes, Politique de gestion des risques Politique de gestion des risques, clause 4.1.1, indique que la direction :

« Approuve le cadre de gestion des risques et définit l’appétence au risque acceptable ainsi que les seuils de tolérance. »

C’est un élément probant prêt pour l’organe de direction au titre de NIS2 Article 20. Une déclaration d’appétence au risque, des seuils de tolérance et un modèle formel d’autorité en matière de risques montrent comment l’approbation et l’escalade fonctionnent en pratique.

La clause 5.6 de la même politique ajoute :

« La Matrice d’autorité des risques doit définir clairement les seuils d’escalade vers le Top Management ou le conseil. »

C’est l’un des livrables les plus importants pour la gouvernance NIS2. Sans seuils d’escalade, l’organe de direction ne voit que ce que quelqu’un choisit de lui remonter. Avec des seuils, les risques résiduels élevés, les vulnérabilités critiques non résolues, les concentrations significatives de fournisseurs, les incidents majeurs, les constats d’audit et les exceptions au-delà de la tolérance entrent automatiquement dans le champ de supervision des dirigeants.

La Politique relative aux rôles et responsabilités de gouvernance Politique relative aux rôles et responsabilités de gouvernance renforce la chaîne probatoire :

« La gouvernance doit soutenir l’intégration avec d’autres disciplines (par ex. risques, juridique, informatique, RH), et les décisions relatives au SMSI doivent être traçables jusqu’à leur source (par ex. enregistrements d’audit, journaux de revue, comptes rendus de réunion). »

Pour les PME, Politique relative aux rôles et responsabilités de gouvernance - PME Politique relative aux rôles et responsabilités de gouvernance - PME indique :

« Toutes les décisions de sécurité significatives, exceptions et escalades doivent être enregistrées et traçables. »

Ces clauses transforment la supervision de l’organe de direction d’une simple discussion en piste d’audit.

La chaîne d’éléments probants ISO/IEC 27001:2022 pour NIS2 Article 20

Un organe de direction peut opérationnaliser NIS2 Article 20 au moyen d’une chaîne claire d’éléments probants ISO/IEC 27001:2022.

Premièrement, établir le contexte et le domaine d’application. ISO/IEC 27001:2022 exige que l’organisation détermine les enjeux internes et externes, les parties intéressées, les exigences légales, réglementaires et contractuelles, les limites du SMSI, les interfaces, les dépendances et les processus en interaction. Pour un fournisseur SaaS ou cloud, le domaine d’application du SMSI doit identifier explicitement les services de l’UE, les environnements cloud, les opérations de support, les fournisseurs critiques, les segments de clients réglementés et l’exposition à NIS2.

Deuxièmement, démontrer le leadership. ISO/IEC 27001:2022 exige de la haute direction qu’elle aligne les objectifs de sécurité sur l’orientation stratégique, intègre les exigences du SMSI dans les processus métier, fournisse les ressources, communique l’importance du sujet, attribue les responsabilités et promeuve l’amélioration continue. Pour NIS2, cela devient l’élément probant que l’organe de direction a approuvé et supervisé les mesures de gestion des risques de cybersécurité.

Troisièmement, exécuter une appréciation et un traitement des risques répétables. ISO/IEC 27001:2022 exige des critères de risque, l’identification des risques, des propriétaires du risque, une analyse de la vraisemblance et des conséquences, des options de traitement, la sélection des contrôles, la comparaison avec l’Annexe A, une Déclaration d’applicabilité, un plan de traitement des risques et l’approbation du risque résiduel.

Zenith Blueprint, phase Gestion des risques, étape 13, explicite le point d’approbation :

« Approbation par la direction : les décisions de traitement des risques et la SoA doivent être revues et approuvées par la haute direction. La direction doit être informée des principaux risques et traitements proposés, des risques proposés à l’acceptation et des contrôles prévus pour la mise en œuvre. »

Pour NIS2, cette information ne doit pas être ponctuelle. Le dossier destiné à l’organe de direction doit présenter les principaux risques actuels, leur tendance, l’avancement du traitement, les risques résiduels acceptés, les actions en retard, l’exposition aux fournisseurs critiques, les thèmes d’incidents et les principaux indicateurs d’efficacité.

Quatrièmement, exploiter et conserver les éléments probants. ISO/IEC 27001:2022 clause 8.1 exige la planification et la maîtrise opérationnelles. Les contrôles de l’Annexe A soutiennent la sécurité des fournisseurs, la gouvernance cloud, la réponse aux incidents, la continuité d’activité, la gestion des vulnérabilités, les sauvegardes, la journalisation, la surveillance, le développement sécurisé, la sécurité des applications, l’architecture, les tests, l’externalisation, la séparation des tâches et la gestion des changements.

Cinquièmement, évaluer et améliorer. L’audit interne, la mesure, la revue de direction, l’action corrective et l’amélioration continue transforment un catalogue de contrôles en système gouverné.

La Politique de sécurité de l’information d’entreprise Politique de sécurité de l’information intègre cette exigence de revue de direction :

« Les activités de revue de direction (conformément à ISO/IEC 27001 Clause 9.3) doivent être réalisées au moins une fois par an et doivent inclure : »

La valeur ne réside pas uniquement dans la tenue d’une réunion. Elle réside dans les éléments probants que produit la revue : intrants, décisions, actions, propriétaires, échéances et suivi.

La Politique d’audit et de surveillance de la conformité - PME Politique d’audit et de surveillance de la conformité - PME, clause 5.4.3, boucle le dispositif :

« Les constats d’audit et les mises à jour de statut doivent être inclus dans le processus de revue de direction du SMSI. »

C’est la différence entre « nous avons eu un audit » et « la direction a revu les résultats d’audit et piloté la remédiation ».

Cartographie inter-conformité : NIS2, DORA, GDPR, NIST CSF 2.0 et COBIT 2019

NIS2 arrive rarement seule. Un fournisseur cloud peut traiter des données à caractère personnel au titre du GDPR. Un client fintech peut imposer des exigences fournisseurs découlant de DORA. Un client entreprise américain peut demander un alignement avec NIST CSF 2.0. Un comité d’audit du conseil peut utiliser le vocabulaire de COBIT 2019.

La réponse n’est pas de créer des dossiers de conformité séparés. Elle consiste à utiliser ISO/IEC 27001:2022 comme système central d’éléments probants.

Zenith Controls aide les équipes à consolider leur approche en cartographiant le contrôle ISO/IEC 27002:2022 5.4, Responsabilités de la direction, entre les normes, réglementations et méthodes d’audit.

Dans Zenith Controls, l’entrée relative au contrôle ISO/IEC 27002:2022 5.4 « Responsabilités de la direction » classe le type de contrôle comme « Préventif », le relie à la confidentialité, à l’intégrité et à la disponibilité, et le place dans une capacité opérationnelle centrée sur la gouvernance.

C’est important, car NIS2 Article 20 relève d’une gouvernance préventive. L’approbation et la supervision par la direction réduisent la probabilité que le risque cyber devienne invisible, sous-financé ou non maîtrisé.

Zenith Controls relie également les responsabilités de la direction à des contrôles ISO/IEC 27002:2022 associés : 5.1 Politiques de sécurité de l’information, 5.2 Rôles et responsabilités en sécurité de l’information, 5.35 Revue indépendante de la sécurité de l’information, 5.36 Conformité aux politiques, règles et normes de sécurité de l’information, et 5.8 Sécurité dans la gestion de projet. La responsabilité de l’organe de direction ne peut pas être isolée. Elle nécessite des politiques, des rôles, de l’assurance, une surveillance de la conformité et une intégration au niveau des projets.

La cartographie plus large est particulièrement utile pour le reporting exécutif.

Thème d’exigenceNIS2DORAGDPRNIST CSF 2.0COBIT 2019Focalisation des éléments probants Clarysec
Responsabilité de la directionArticle 20 approbation, supervision, formation, responsabilitéArticles 5 et 6 responsabilité de l’organe de direction et cadre de gestion des risques ICTArticle 5(2) responsabilité et Article 24 responsabilitéGOVERN, en particulier GV.RR, GV.RM et GV.OVEDM03 optimisation des risquesComptes rendus de l’organe de direction, chartes de rôles, enregistrements de formation
Mesures de gestion des risquesArticle 21 mesures techniques, opérationnelles et organisationnellesCadre de gestion des risques ICTArticle 32 sécurité du traitementGOVERN, IDENTIFY, PROTECTAPO13 sécurité géréeRegistre des risques, plan de traitement, SoA
Notification des incidentsArticle 23 alerte précoce, notification d’incident, rapport finalArticles 17 à 20 notification des incidents majeurs liés aux ICTArticles 33 et 34 notification de violation de données à caractère personnel le cas échéantRESPOND et RECOVERDSS02 demandes de service et incidents gérésMatrice d’escalade, playbooks, simulations
Gouvernance des fournisseursArticle 21(2)(d) sécurité de la chaîne d’approvisionnementArticles 28 à 30 risque lié aux tiers ICTObligations des sous-traitants et de sécuritéGV.SC gestion des risques de cybersécurité de la chaîne d’approvisionnementAPO10 fournisseurs gérésRegistre des fournisseurs, diligence raisonnable, contrôles contractuels
Efficacité et assuranceArticle 21(2)(f) politiques et procédures d’évaluation de l’efficacitéArticle 6 revue du cadre de gestion des risques ICT et attentes d’auditArticle 32(1)(d) tests et évaluations réguliersGV.OV supervision, ID.RA appréciation des risques, DE.CM surveillance continueMEA01 et MEA03 surveillance et conformitéAudit interne, revue de direction, actions correctives

DORA mérite une attention particulière. NIS2 Article 4 reconnaît que des actes juridiques sectoriels de l’UE peuvent remplacer des dispositions NIS2 qui se recoupent lorsque des mesures équivalentes de gestion des risques de cybersécurité ou de notification des incidents s’appliquent. DORA en est l’exemple clé pour les entités financières. Il s’applique à compter du 17 janvier 2025 et crée un cadre uniforme de gestion des risques ICT, de notification des incidents, de tests de résilience, de gestion des risques liés aux tiers et de supervision pour les services financiers.

Un fournisseur SaaS ou cloud peut ne pas être directement réglementé comme une banque, mais DORA peut tout de même s’imposer par les contrats clients. Les entités financières doivent gérer les risques liés aux tiers ICT, tenir des registres des contrats de services ICT, réaliser des diligences raisonnables, évaluer le risque de concentration, inclure des droits d’audit et d’inspection, définir des droits de résiliation et maintenir des stratégies de sortie. Cela signifie que les fournisseurs qui servent des clients financiers doivent s’attendre à des demandes d’éléments probants très proches des questions de gouvernance de l’organe de direction au titre de NIS2.

Le GDPR ajoute la responsabilité pour les données à caractère personnel. Article 5(2) exige des responsables du traitement qu’ils soient responsables et en mesure de démontrer la conformité. Article 32 exige la sécurité du traitement, y compris des tests, appréciations et évaluations réguliers de l’efficacité des mesures techniques et organisationnelles. Lorsque des données à caractère personnel sont affectées, les flux de travail liés aux incidents doivent intégrer l’évaluation de violation GDPR avec l’escalade des incidents significatifs NIS2.

NIST CSF 2.0 apporte un langage adapté aux dirigeants grâce à la fonction GOVERN. Il met l’accent sur le contexte organisationnel, la stratégie de gestion des risques, les rôles et responsabilités, les politiques, la supervision et la gestion des risques de la chaîne d’approvisionnement. COBIT 2019 apporte un vocabulaire de gouvernance familier aux comités d’audit, notamment à travers EDM03 pour l’optimisation des risques et les objectifs MEA pour la surveillance et l’assurance.

Un sprint de 90 jours pour constituer les éléments probants NIS2 de l’organe de direction

Un sprint pratique sur les éléments probants peut aider les organisations à avancer rapidement sans créer une bureaucratie parallèle.

Jours 1 à 30 : établir la responsabilité

Commencez par un registre de responsabilité NIS2 qui consigne :

  • L’analyse de classification de l’entité, y compris le fondement du caractère essentiel, important, de l’exposition indirecte ou de l’exclusion du champ.
  • Les services dans le périmètre, tels que SaaS, cloud, services managés, centre de données, DNS, services de confiance ou services liés aux communications.
  • Les États membres de l’UE dans lesquels les services sont fournis.
  • Les secteurs clients concernés, en particulier les services financiers, la santé, les transports, l’énergie, l’administration publique et les infrastructures numériques.
  • Les obligations applicables, notamment NIS2 Article 20, Article 21 et Article 23.
  • Les obligations associées issues de DORA, du GDPR, des contrats clients et de l’assurance cyber.
  • Le propriétaire côté direction et la fréquence de reporting à l’organe de direction.

Rattachez ce registre au contexte ISO/IEC 27001:2022, aux parties intéressées, au registre des obligations et au domaine d’application du SMSI. Mettez ensuite à jour la Matrice d’autorité des risques en appliquant l’exigence de la Politique de gestion des risques selon laquelle des seuils d’escalade doivent être définis pour la haute direction ou l’organe de direction.

Les déclencheurs d’escalade utiles comprennent le risque résiduel supérieur à l’appétence, les vulnérabilités critiques non acceptées au-delà du SLA, le risque de concentration fournisseur, les constats d’audit élevés non résolus, les incidents susceptibles de déclencher une notification NIS2, les exceptions aux exigences MFA, de sauvegarde, de journalisation, de chiffrement ou de réponse aux incidents, ainsi que les changements matériels d’architecture cloud.

Jours 31 à 60 : approuver le traitement des risques

Utilisez l’étape 13 de Zenith Blueprint pour préparer un dossier de décision destiné à l’organe de direction relatif au plan de traitement des risques et à la Déclaration d’applicabilité. Ce dossier doit inclure :

  • Les 10 principaux risques cyber.
  • L’option de traitement proposée pour chaque risque.
  • Les groupes de contrôles sélectionnés.
  • Le risque résiduel après traitement.
  • Les risques proposés pour acceptation.
  • Les décisions budgétaires ou de ressources requises.
  • Les dépendances envers les fournisseurs, le juridique, les RH, le produit et l’informatique.
  • La décision de direction demandée.

Le résultat attendu doit être une approbation signée ou consignée au procès-verbal. Un jeu de diapositives seul ne suffit pas.

Cartographiez également les mesures NIS2 Article 21 avec les clauses ISO/IEC 27001:2022 et les contrôles de l’Annexe A. Cela permet à l’organisation de montrer que NIS2 est traité au travers du SMSI plutôt qu’au moyen d’une liste de contrôle déconnectée.

Jours 61 à 90 : tester la notification des incidents et revoir les éléments probants

NIS2 Article 23 impose une notification échelonnée pour les incidents significatifs : alerte précoce dans les 24 heures, notification d’incident dans les 72 heures, mises à jour intermédiaires lorsque cela est requis ou demandé, et rapport final au plus tard un mois après la notification.

Organisez un exercice de crise sur table avec le sponsor de l’organe de direction, le directeur général, le RSSI, le juridique, les communications, la réussite client et les opérations. Utilisez un scénario réaliste, par exemple une mauvaise configuration cloud exposant des métadonnées clients, perturbant la disponibilité du service et affectant un client réglementé.

Testez qui décide si l’incident peut être significatif, qui contacte le conseil juridique, qui notifie les autorités compétentes ou le CSIRT lorsque requis, qui approuve les communications clients, comment les éléments probants sont préservés, comment les obligations de violation GDPR sont évaluées en parallèle et comment l’organe de direction est informé pendant les 24 premières heures.

Tenez ensuite une revue de direction formelle. Zenith Blueprint, phase Audit, revue et amélioration, étape 28, explique pourquoi :

« La revue de direction n’est pas seulement une présentation ; elle consiste à prendre des décisions. »

Cette revue doit inclure les constats d’audit, l’avancement du traitement des risques, la préparation à la gestion des incidents, les risques fournisseurs, les indicateurs, les décisions, les actions attribuées et les propriétaires du suivi.

La réunion de revue de direction qui fonctionne réellement

De nombreuses revues de direction échouent parce qu’elles sont structurées comme des points d’avancement. Une revue de direction prête pour NIS2 doit être une réunion de décision.

L’ordre du jour doit inclure :

  1. Les évolutions des exigences NIS2, DORA, GDPR, contractuelles et clients.
  2. Les changements du contexte métier, des services, des acquisitions, des fournisseurs, de l’architecture cloud et des segments de clients réglementés.
  3. Le statut des principaux risques de sécurité de l’information et du risque résiduel par rapport à l’appétence.
  4. L’avancement du plan de traitement des risques et les actions en retard.
  5. Les tendances des incidents, événements significatifs, quasi-accidents et niveau de préparation aux notifications.
  6. Les risques liés aux fournisseurs et aux dépendances ICT, y compris les enjeux de concentration et de sortie.
  7. Les résultats des audits internes, audits externes, évaluations clients et tests d’intrusion.
  8. L’achèvement de la sensibilisation à la sécurité et de la formation des dirigeants.
  9. Les indicateurs relatifs au contrôle d’accès, à la gestion des vulnérabilités, aux sauvegardes, à la journalisation, à la surveillance, au développement sécurisé et aux tests de continuité.
  10. Les décisions requises, notamment l’acceptation du risque, le budget, les effectifs, les dérogations à la politique, la remédiation fournisseur et les améliorations des contrôles.

La formation des dirigeants est particulièrement importante. NIS2 Article 20 exige que les membres de l’organe de direction suivent une formation. La Politique de sensibilisation et de formation à la sécurité de l’information Politique de sensibilisation et de formation à la sécurité de l’information, clause 5.1.2.4, inclut explicitement des thèmes de formation pour les dirigeants :

« Dirigeants (par ex. gouvernance, acceptation du risque, obligations légales) »

La formation cyber des dirigeants doit porter sur les droits de décision, la responsabilité, l’escalade, l’appétence au risque, la gouvernance de crise, la notification des incidents et les obligations réglementaires. Elle ne doit pas se limiter à la sensibilisation au phishing.

Comment les auditeurs et les clients testeront la supervision de l’organe de direction

Les évaluateurs utiliseront des termes différents, mais testeront la même question sous-jacente : la cybersécurité est-elle gouvernée ?

Zenith Controls est utile parce qu’il inclut des cartographies de méthodologies d’audit. Pour les responsabilités de la direction, il référence les principes et la conduite d’audit ISO/IEC 19011:2018, les pratiques d’audit SMSI ISO/IEC 27007:2020, ISO/IEC 27001:2022 clause 5.1, COBIT 2019 EDM01 et EDM03, ISACA ITAF Section 1401, ainsi que NIST SP 800-53A PM-1 et PM-2. Pour la revue indépendante, il cartographie les clauses ISO/IEC 27001:2022 9.2 et 9.3, les pratiques de planification d’audit et de collecte des éléments probants ISO/IEC 27007, ISACA ITAF Section 2400 et les méthodes d’évaluation NIST. Pour la conformité aux politiques, il cartographie les clauses ISO/IEC 27001:2022 9.1, 9.2 et 10.1, la collecte des éléments probants ISO/IEC 19011, COBIT 2019 MEA01 et l’évaluation de surveillance continue NIST.

Angle d’auditCe qu’ils demanderontÉléments probants attendusDéfaillance fréquente
Auditeur ISO/IEC 27001:2022Comment la haute direction démontre-t-elle son leadership, approuve-t-elle le traitement des risques et revoit-elle la performance du SMSI ?Approbations de politiques, registre des risques, approbation de la SoA, comptes rendus de revue de direction, résultats d’audit interneLa revue de direction existe, mais sans décisions ni suivi des actions
Évaluateur centré sur NIS2L’organe de direction a-t-il approuvé les mesures de cybersécurité et supervisé leur mise en œuvre ?Comptes rendus de l’organe de direction, matrice d’escalade, enregistrements de formation des dirigeants, cartographie du socle minimal Article 21Mesures de sécurité approuvées uniquement par le RSSI, sans traçabilité au niveau de l’organe de direction
Évaluateur NIST CSF 2.0Les résultats de gouvernance, l’appétence au risque, les rôles, les ressources, la supervision et le risque de chaîne d’approvisionnement sont-ils intégrés à la gestion des risques de l’organisation ?Profils actuel et cible, plan de traitement des écarts, reporting à la direction, indicateursNIST utilisé comme liste de contrôle sans propriété de gouvernance
Auditeur COBIT 2019 ou ISACALa gouvernance évalue-t-elle, dirige-t-elle et surveille-t-elle la gestion du risque cyber ?Chartes de gouvernance, appétence au risque, reporting de direction, résultats d’assuranceL’organe de direction reçoit des indicateurs techniques sans contexte de décision sur les risques
Client DORA ou évaluateur du secteur financierLes risques ICT, les incidents, la résilience et les dépendances vis-à-vis de tiers sont-ils gouvernés et documentés ?Cartographie des dépendances ICT, registre des fournisseurs, diligence raisonnable, droits d’audit, cycle de vie des incidentsLe risque fournisseur se limite à des questionnaires, sans analyse de concentration ni de sortie
Auditeur GDPR ou évaluateur Protection des donnéesL’organisation peut-elle démontrer la sécurité et la responsabilité pour le traitement des données à caractère personnel ?Cartographies des données, modèle de base légale, processus d’évaluation des violations, contrôles de sécuritéLes éléments probants de protection des données et de sécurité sont séparés et incohérents

La leçon est simple. La responsabilité de l’organe de direction ne se démontre pas par la seule présence en réunion. Elle se démontre par des décisions éclairées, des approbations documentées, une priorisation fondée sur les risques, l’allocation de ressources et le suivi.

Pièges fréquents qui rompent la chaîne probatoire

Les organisations qui rencontrent des difficultés avec la responsabilité de l’organe de direction au titre de NIS2 tombent généralement dans des schémas prévisibles.

Premièrement, elles confondent l’exploitation technique des contrôles avec la gouvernance. La couverture MFA, les alertes SIEM, le déploiement EDR et les taux de réussite des sauvegardes comptent, mais l’organe de direction a besoin de contexte de risque, de décisions de traitement et d’assurance sur l’efficacité des contrôles.

Deuxièmement, elles approuvent des politiques, mais pas le traitement des risques. Une politique de sécurité signée ne prouve pas que l’organe de direction a approuvé des mesures de cybersécurité proportionnées. Le plan de traitement des risques et la SoA constituent des éléments probants plus solides, car ils relient les risques, les contrôles, le risque résiduel et l’approbation de la direction.

Troisièmement, elles n’ont pas de seuils d’escalade. Sans Matrice d’autorité des risques, l’escalade dépend des personnes. La gouvernance NIS2 exige des déclencheurs objectifs.

Quatrièmement, elles séparent la réponse aux incidents du reporting réglementaire. Les flux de travail de notification NIS2, DORA et GDPR doivent être intégrés avant une crise.

Cinquièmement, elles ignorent la gouvernance des fournisseurs. NIS2 Article 21 inclut la sécurité de la chaîne d’approvisionnement et les considérations relatives aux vulnérabilités des fournisseurs. Les clients soumis à DORA peuvent attendre une gouvernance plus approfondie des tiers ICT, incluant diligence raisonnable, droits d’audit, risque de concentration, droits de résiliation et stratégies de sortie.

Sixièmement, elles ne forment pas les dirigeants. La formation cyber des dirigeants n’est pas un habillage facultatif au titre de NIS2. Elle fait partie de la chaîne probatoire de gouvernance.

À quoi ressemble un dispositif satisfaisant

Au bout de 90 jours, un dossier crédible d’éléments probants NIS2 destiné à l’organe de direction doit contenir :

  • Une analyse d’applicabilité.
  • Le domaine d’application du SMSI et le registre des obligations.
  • Une déclaration d’engagement de la direction.
  • L’appétence au risque et les seuils de tolérance.
  • La Matrice d’autorité des risques.
  • Le registre des risques cyber.
  • Le plan de traitement des risques.
  • La Déclaration d’applicabilité.
  • Les comptes rendus d’approbation de l’organe de direction.
  • Les enregistrements de formation des dirigeants.
  • Le rapport d’exercice de crise sur table.
  • Le tableau de bord des risques fournisseurs.
  • Le rapport d’audit interne.
  • Les comptes rendus de revue de direction et le suivi des actions.

Ce dossier répond au questionnaire client reçu par Maria le lundi matin. Plus important encore, il aide l’organe de direction à gouverner le risque cyber avant qu’un incident, un audit ou une autorité de régulation ne mette publiquement l’organisation à l’épreuve.

Transformer la responsabilité de l’organe de direction au titre de NIS2 en gouvernance compatible avec les exigences d’audit

NIS2 a changé le dialogue sur la cybersécurité. Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et suivre une formation. Article 21 exige un ensemble intégré de mesures techniques, opérationnelles et organisationnelles. Article 23 comprime la notification des incidents dans un calendrier échelonné qui impose une préparation avant la crise.

ISO/IEC 27001:2022 vous apporte le système de management. Clarysec vous apporte le parcours de mise en œuvre, le langage des politiques, les cartographies inter-conformité et le modèle d’éléments probants d’audit.

Si votre organe de direction demande : « Que devons-nous approuver et comment démontrons-nous notre supervision ? », commencez par trois actions :

  1. Utilisez Zenith Blueprint étape 3, étape 13 et étape 28 pour structurer l’engagement de la direction, l’approbation du traitement des risques et la revue de direction.
  2. Utilisez les politiques Clarysec telles que la Politique de gestion des risques, la Politique relative aux rôles et responsabilités de gouvernance, la Politique de sécurité de l’information et leurs équivalents PME pour formaliser la responsabilité et la traçabilité.
  3. Utilisez Zenith Controls pour cartographier la supervision exercée par l’organe de direction au titre de NIS2 avec ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, GDPR, NIST CSF 2.0, COBIT 2019 et les attentes des méthodologies d’audit.

Clarysec peut vous aider à constituer le dossier destiné à l’organe de direction, mettre à jour la chaîne d’éléments probants du SMSI, préparer la revue de direction et transformer la responsabilité NIS2 en processus répétable de gouvernance du risque cyber, compréhensible par les auditeurs, les clients et les dirigeants. Téléchargez les kits Clarysec pertinents ou demandez une évaluation pour transformer la responsabilité de l’organe de direction en éléments probants compatibles avec les exigences d’audit.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ISO 27001 comme ossature des éléments probants pour NIS2 et DORA

ISO 27001 comme ossature des éléments probants pour NIS2 et DORA

Utilisez ISO 27001:2022, la Déclaration d’applicabilité et la cartographie des politiques Clarysec pour construire une ossature d’éléments probants prête pour l’audit couvrant NIS2, DORA, GDPR, les fournisseurs, les incidents et la supervision par le conseil d’administration.