Éléments probants d’hygiène cyber NIS2 alignés sur ISO 27001
Il est 08 h 40 un lundi. Sarah, RSSI d’un fournisseur SaaS B2B en forte croissance, rejoint l’appel de la direction en s’attendant à une revue de routine des actions ouvertes liées aux risques. À la place, le directeur juridique ouvre la réunion par une question plus directe :
« Si l’autorité nationale compétente nous demande demain de prouver l’hygiène cyber et la formation à la cybersécurité prévues par l’Article 21 de NIS2, que lui transmettons-nous exactement ? »
La directrice RH indique que chaque employé a suivi la formation annuelle de sensibilisation. Le responsable SOC indique que les simulations d’hameçonnage s’améliorent. Le responsable des opérations IT indique que la MFA est appliquée, que les sauvegardes sont testées et que l’application des correctifs est suivie. Le responsable conformité indique que le dossier d’audit ISO/IEC 27001:2022 contient les enregistrements de formation, mais que l’équipe projet DORA dispose de ses propres éléments probants de formation à la résilience, tandis que le dossier GDPR contient des journaux distincts de sensibilisation à la protection de la vie privée.
Le travail a été fait. Mais personne n’est certain que les éléments probants racontent une histoire cohérente.
C’est le véritable enjeu de l’Article 21 de NIS2 pour les entités essentielles et importantes. L’exigence ne consiste pas simplement à « former les utilisateurs ». L’Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer le risque cyber. Son socle minimal de mesures comprend l’hygiène cyber et la formation à la cybersécurité, mais aussi la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, le traitement des vulnérabilités, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs, la MFA ou l’authentification continue, les communications sécurisées et les procédures d’évaluation de l’efficacité.
L’hygiène cyber n’est pas une campagne de sensibilisation. C’est la discipline opérationnelle quotidienne qui relie les personnes, les contrôles, les éléments probants et la responsabilité de la direction.
Pour les RSSI, responsables conformité, MSP, fournisseurs SaaS, opérateurs cloud et fournisseurs de services numériques, la réponse pratique ne consiste pas à créer un « projet de formation NIS2 » distinct. L’approche la plus robuste consiste à construire, au sein d’un SMSI ISO/IEC 27001:2022, une chaîne unique d’éléments probants exploitables en audit, appuyée par les pratiques de contrôle ISO/IEC 27002:2022, pilotée par les risques selon ISO/IEC 27005:2022 et mise en correspondance avec NIS2, DORA, GDPR, les attentes d’assurance de type NIST et les attentes de gouvernance COBIT 2019.
Pourquoi l’Article 21 de NIS2 fait de la formation un élément probant pour le conseil
NIS2 s’applique à de nombreuses entités moyennes et grandes des secteurs des Annexes I et II qui fournissent des services ou exercent des activités dans l’Union. Pour les entreprises technologiques, le champ d’application peut être plus large que ne l’anticipent de nombreuses équipes dirigeantes. L’Annexe I couvre l’infrastructure numérique, notamment les fournisseurs de services cloud, les prestataires de centres de données, les fournisseurs de réseaux de diffusion de contenu, les prestataires de services de confiance, les prestataires de services DNS et les registres TLD. L’Annexe I couvre également la gestion de services TIC B2B, notamment les prestataires de services managés et les prestataires de services de sécurité managés. L’Annexe II inclut les fournisseurs numériques tels que les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de services de réseaux sociaux.
Certaines entités peuvent relever du champ d’application indépendamment de leur taille, notamment certains prestataires de services DNS et registres TLD. Les décisions nationales relatives à la criticité peuvent également faire entrer des fournisseurs plus petits dans le champ d’application lorsqu’une interruption pourrait affecter la sécurité publique, créer un risque systémique ou perturber des services essentiels.
Article 21(1) impose aux entités essentielles et importantes de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques pesant sur les réseaux et systèmes d’information utilisés pour leurs opérations ou pour la fourniture de services, et afin de prévenir ou de réduire au minimum l’impact des incidents. Article 21(2) énumère les mesures minimales, notamment les politiques d’analyse des risques et de sécurité des systèmes d’information, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’acquisition et la maintenance sécurisées, l’évaluation de l’efficacité, les pratiques de base d’hygiène cyber et la formation à la cybersécurité, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs et la MFA ou l’authentification continue lorsque cela est approprié.
L’Article 20 élève les enjeux. Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et peuvent être tenus responsables des manquements. Les membres des organes de direction doivent suivre une formation, et les entités sont encouragées à fournir une formation régulière similaire aux employés afin qu’ils puissent identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité ainsi que leur impact sur les services.
L’Article 34 ajoute une pression financière. Les manquements à Article 21 ou Article 23 peuvent entraîner des amendes administratives atteignant au moins 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et au moins 7 000 000 EUR ou 1,4 % pour les entités importantes, le montant le plus élevé étant retenu.
C’est pourquoi « nous avons organisé la formation annuelle de sensibilisation » ne suffit pas. Une autorité de régulation, un auditeur ISO, un évaluateur de sécurité client ou un cyberassureur attendra des éléments probants démontrant que la formation est fondée sur les rôles, basée sur les risques, à jour, mesurée, reliée aux incidents et comprise par la direction.
La Politique de sensibilisation et de formation à la sécurité de l’information d’entreprise de Clarysec, clause 5.1.1.3, exige que la formation :
Couvre des thèmes tels que le phishing, l’hygiène des mots de passe, le signalement et la gestion des incidents, la sécurité physique, ainsi que la protection et la minimisation des données
La même politique, clause 8.3.1.1, identifie la ligne d’éléments probants que les auditeurs demandent généralement en premier :
Enregistrements de l’attribution, de l’attestation de prise de connaissance et de l’achèvement des formations
Pour les PME, la Politique de sensibilisation et de formation à la sécurité de l’information - PME de Clarysec, clause 8.4.1, est encore plus directe sur l’auditabilité :
Les enregistrements de formation sont soumis à l’audit interne et à la revue externe. Les enregistrements doivent être exacts, complets et démontrables sur demande (par exemple pour une certification ISO, un audit GDPR ou une validation d’assurance).
Cette phrase illustre la différence entre la sensibilisation en tant qu’activité RH et la sensibilisation en tant que contrôle de conformité. Si les enregistrements sont incomplets, invérifiables ou non reliés au risque associé au rôle, le contrôle peut exister opérationnellement mais échouer en audit.
Utiliser ISO/IEC 27001:2022 comme colonne vertébrale des éléments probants
ISO/IEC 27001:2022 constitue l’ossature naturelle de l’Article 21 de NIS2, car elle oblige l’organisation à définir le périmètre, les parties intéressées, les risques, les contrôles, les objectifs, les éléments probants, l’audit interne, la revue de direction et l’amélioration continue.
Les clauses 4.1 à 4.4 imposent à l’organisation de comprendre les enjeux internes et externes, de déterminer les parties intéressées et leurs exigences, de définir le périmètre du SMSI, de prendre en compte les interfaces et dépendances avec les activités réalisées par d’autres organisations, et de maintenir le SMSI comme un ensemble de processus en interaction. Pour un fournisseur SaaS ou un MSP, le périmètre du SMSI doit explicitement inclure les obligations NIS2, les obligations contractuelles clients, les dépendances aux prestataires cloud, la couverture par un SOC externalisé, les rôles de traitement des données et les engagements de disponibilité des services.
Les clauses 5.1 à 5.3 introduisent la responsabilité de gouvernance. La direction doit aligner la politique de sécurité de l’information et les objectifs sur l’orientation stratégique, intégrer les exigences du SMSI dans les processus opérationnels, fournir les ressources, attribuer les responsabilités et assurer le reporting de performance. Cela s’aligne directement sur l’Article 20 de NIS2, dans lequel les organes de direction approuvent et supervisent les mesures de gestion des risques de cybersécurité.
Les clauses 6.1.1 à 6.1.3 et 6.2 transforment les attentes légales en traitement des risques. L’organisation doit planifier les actions relatives aux risques et opportunités, exploiter un processus reproductible d’appréciation des risques de sécurité de l’information, déterminer les propriétaires du risque, sélectionner les options de traitement, comparer les contrôles avec l’Annexe A, créer une Déclaration d’applicabilité, formaliser un plan de traitement des risques, obtenir l’approbation du propriétaire du risque et définir des objectifs de sécurité mesurables.
C’est à ce stade que l’Article 21 de NIS2 devient maîtrisable. Vous n’avez pas besoin d’un programme de sensibilisation NIS2 déconnecté. Vous avez besoin d’un récit des risques et des contrôles mis en correspondance.
| Domaine d’exigence NIS2 | Mécanisme d’éléments probants ISO/IEC 27001:2022 | Éléments probants pratiques |
|---|---|---|
| Approbation et supervision par la direction | Clauses 5.1, 5.3, 9.3 | Comptes rendus du conseil, dossier de revue de direction, attribution des rôles, approbations budgétaires |
| Hygiène cyber et formation | Clause 7.2, Clause 7.3, contrôles relatifs aux personnes et contrôles technologiques de l’Annexe A | Plan de formation, exports LMS, matrice de rôles, résultats de phishing, attestations de prise de connaissance des politiques |
| Analyse des risques et politique de sécurité | Clauses 6.1.2, 6.1.3, 6.2 | Appréciation des risques, plan de traitement des risques, Déclaration d’applicabilité, objectifs de sécurité |
| Évaluation de l’efficacité | Clauses 9.1, 9.2, 10.2 | KPI, résultats d’audit interne, actions correctives, résultats des tests de contrôles |
| Gestion des incidents et préparation au signalement | Contrôles de gestion des incidents de l’Annexe A | Procédures opérationnelles d’incident, journaux d’escalade, rapports d’exercices sur table, enregistrements de conservation des éléments probants |
| Chaîne d’approvisionnement et dépendance cloud | Contrôles fournisseurs et services cloud de l’Annexe A | Registre des fournisseurs, diligences préalables, contrats, plans de sortie, revues de service |
| Accès, gestion des actifs et MFA | Contrôles d’accès, d’actifs et d’identité de l’Annexe A | Inventaire des actifs, revues d’accès, rapports MFA, éléments probants d’accès à privilèges |
Les clauses 8.1 à 8.3, 9.1 à 9.3 et 10.1 à 10.2 complètent la boucle opérationnelle. Elles exigent un contrôle opérationnel planifié, la réévaluation des risques, la mise en œuvre des plans de traitement, la surveillance et la mesure, l’audit interne, la revue de direction, l’amélioration continue et l’action corrective. ISO/IEC 27001:2022 devient le moteur d’éléments probants de l’Article 21 de NIS2, et non un simple badge de certification.
Traduire l’hygiène cyber en points d’ancrage de contrôle ISO
L’« hygiène cyber » est volontairement large. Pour les auditeurs, elle doit être traduite en contrôles spécifiques et testables. Clarysec démarre généralement les éléments probants d’hygiène cyber de l’Article 21 de NIS2 avec trois points d’ancrage pratiques issus d’ISO/IEC 27002:2022, interprétés au moyen de Zenith Controls: The Cross-Compliance Guide.
Le premier point d’ancrage est le contrôle ISO/IEC 27002:2022 6.3, sensibilisation, éducation et formation à la sécurité de l’information. Dans Zenith Controls, 6.3 est traité comme un contrôle préventif soutenant la confidentialité, l’intégrité et la disponibilité. Sa capacité opérationnelle est la sécurité des ressources humaines, et son concept de cybersécurité est la protection. Cela positionne la sensibilisation comme un contrôle de protection, et non comme un exercice de communication.
Zenith Controls montre également comment 6.3 dépend d’autres contrôles et les renforce. Il est lié à 5.2 rôles et responsabilités en sécurité de l’information, car la formation doit refléter les responsabilités attribuées. Il est lié à 6.8 signalement des événements de sécurité de l’information, car le personnel ne peut pas signaler ce qu’il ne reconnaît pas. Il est lié à 8.16 activités de surveillance, car les analystes SOC et le personnel d’exploitation doivent être formés à reconnaître les anomalies et à suivre les protocoles de réponse. Il est lié à 5.36 conformité aux politiques, règles et normes de sécurité de l’information, car les politiques ne fonctionnent que lorsque les personnes les comprennent.
Comme l’indique Zenith Controls pour le contrôle ISO/IEC 27002:2022 6.3 :
La conformité dépend de la sensibilisation. 6.3 garantit que les employés connaissent les politiques de sécurité et comprennent leur responsabilité personnelle dans leur respect. Une éducation et une formation régulières réduisent le risque de manquements involontaires aux politiques dus à une méconnaissance.
Le deuxième point d’ancrage est le contrôle ISO/IEC 27002:2022 5.10, utilisation acceptable de l’information et des autres actifs associés. L’hygiène cyber dépend de la compréhension, par les personnes, de ce qu’elles peuvent faire avec les terminaux, les lecteurs cloud, les outils SaaS, les plateformes collaboratives, les supports amovibles, les données de production, les données de test et les outils intégrant l’IA. Zenith Controls cartographie 5.10 comme un contrôle préventif couvrant la gestion des actifs et la protection de l’information. En pratique, les éléments probants d’utilisation acceptable ne se limitent pas à une politique signée. Ils incluent la preuve que la politique couvre le parc réel d’actifs, que l’intégration comprend une attestation de prise de connaissance, que la surveillance soutient l’application effective et que les exceptions sont traitées.
Le troisième point d’ancrage est le contrôle ISO/IEC 27002:2022 5.36, conformité aux politiques, règles et normes de sécurité de l’information. C’est le pont d’audit. Zenith Controls cartographie 5.36 comme un contrôle préventif de gouvernance et d’assurance. Il est lié à 5.1 politiques de sécurité de l’information, 6.4 processus disciplinaire, 5.35 revue indépendante de la sécurité de l’information, 5.2 rôles et responsabilités, 5.25 évaluation et décision relatives aux événements de sécurité de l’information, 8.15 journalisation, 8.16 activités de surveillance et 5.33 protection des enregistrements.
Pour l’Article 21 de NIS2, ce point est essentiel. Les autorités de régulation et les auditeurs ne demandent pas seulement si une politique existe. Ils demandent si son respect est surveillé, si les manquements sont détectés, si les éléments probants sont protégés, si des actions correctives sont engagées et si la direction en voit les résultats.
Construire un dossier d’éléments probants d’hygiène cyber et de formation NIS2
Prenons le cas d’un fournisseur SaaS de taille intermédiaire qui se prépare à la fois à la mise en conformité NIS2 et à un audit de surveillance ISO/IEC 27001:2022. L’organisation compte 310 employés, dont des développeurs, des SRE, des agents de support, des collaborateurs commerciaux, des sous-traitants et des dirigeants. Elle fournit des services de workflow cloud à des clients de l’UE et s’appuie sur un fournisseur cloud hyperscale, deux plateformes d’identité, un fournisseur MDR externalisé et plusieurs outils de support sous-traités.
Le responsable conformité dispose d’exports de formation du LMS, mais ils ne sont pas mis en correspondance avec l’Article 21 de NIS2, les contrôles ISO, les rôles métier ou les scénarios de risque. Un sprint de remédiation pratique produit un dossier d’éléments probants d’hygiène cyber et de formation composé de six éléments.
| Composant d’élément probant | Ce qu’il démontre | Responsable | Test d’audit |
|---|---|---|---|
| Matrice de formation fondée sur les rôles | La formation est adaptée aux responsabilités et à l’exposition aux risques | Responsable du SMSI et RH | Échantillonner les rôles et vérifier que les modules requis ont été attribués |
| Plan de formation annuel | Les compétences et la sensibilisation sont planifiées, et non ad hoc | Responsable du SMSI | Vérifier les dates, thèmes, publics, approbations et objectifs d’achèvement |
| Export d’achèvement LMS | Le personnel a terminé les formations attribuées | RH ou People Operations | Rapprocher la liste des employés avec le rapport d’achèvement, les arrivées et les départs |
| Rapport de simulation de phishing | L’efficacité de la sensibilisation est mesurée | Équipe des opérations de sécurité | Revoir les résultats de campagne, les cliqueurs récurrents et la formation de remédiation |
| Journal des attestations de prise de connaissance des politiques | Le personnel a accepté les règles et responsabilités | RH et conformité | Confirmer l’attestation des politiques de sécurité, d’utilisation acceptable et de signalement des incidents |
| Synthèse de revue de direction | La direction supervise les tendances et les actions correctives | RSSI et sponsor exécutif | Vérifier que les comptes rendus incluent les métriques, exceptions, risques et décisions |
La clé est la traçabilité.
Commencez par Article 21(2)(g), pratiques de base d’hygiène cyber et formation à la cybersécurité. Reliez-le aux clauses ISO/IEC 27001:2022 7.2 et 7.3 relatives à la compétence et à la sensibilisation, aux clauses 9.1 et 9.2 relatives à la surveillance et à l’audit, ainsi qu’aux contrôles de l’Annexe A comprenant la sensibilisation, l’utilisation acceptable, la gestion des vulnérabilités, la gestion des configurations, les sauvegardes, la journalisation, la surveillance, la cryptographie, le contrôle d’accès et la gestion des incidents. Reliez ensuite les éléments probants au registre des risques.
| Groupe de rôles | Risque d’hygiène cyber NIS2 | Formation requise | Éléments probants |
|---|---|---|---|
| Tous les employés | Phishing, mots de passe faibles, signalement insuffisant des incidents, mauvais traitement des données | Formation de base à la sécurité, hygiène des mots de passe, MFA, protection des données, signalement des incidents | Achèvement LMS, score au quiz, attestation de prise de connaissance des politiques |
| Dirigeants | Acceptation du risque, responsabilité juridique, décisions de crise, supervision du reporting | Devoirs de gouvernance, responsabilités de direction NIS2, escalade des incidents, appétence au risque | Présence à l’atelier exécutif, dossier du conseil, journal des décisions |
| Développeurs | Vulnérabilités, code non sécurisé, exposition de secrets, données de test non sécurisées | Développement sécurisé, gestion des dépendances, divulgation des vulnérabilités, minimisation des données | Enregistrement de formation, liste de contrôle SDLC sécurisé, échantillons de revue de code |
| SRE et opérations IT | Mauvaise configuration, retard d’application des correctifs, échec de sauvegarde, lacunes de journalisation | Gestion des correctifs, configuration sécurisée, restauration des sauvegardes, surveillance, réponse aux incidents | Rapport de correctifs, test de sauvegarde, éléments probants d’alerte SIEM, rapport d’exercice sur table |
| Support client | Ingénierie sociale, divulgation non autorisée, violation de la vie privée | Vérification d’identité, traitement des données, escalade, notification de violation | Revue d’accès CRM, enregistrement de formation, échantillon QA support |
| Sous-traitants disposant d’un accès | Obligations imprécises, accès non maîtrisés, fuite de données | Intégration sécurité condensée, utilisation acceptable, circuit de signalement | Attestation du sous-traitant, approbation d’accès, éléments probants de départ |
La Politique de sensibilisation et de formation à la sécurité de l’information d’entreprise soutient cette structure. La clause 5.1.2.4 inclut explicitement les thèmes de formation des dirigeants :
Dirigeants (par exemple gouvernance, acceptation du risque, obligations légales)
Cette ligne est importante au regard de l’Article 20 de NIS2, car la formation de la direction n’est pas facultative. Si le conseil approuve les mesures de gestion des risques mais ne peut pas expliquer l’acceptation du risque, les seuils d’incident ou les routines de supervision, la chaîne d’éléments probants se rompt.
La Politique de sécurité de l’information - PME de Clarysec, clause 6.4.1, montre comment l’hygiène cyber devient un comportement de contrôle quotidien :
Les contrôles de sécurité obligatoires doivent être appliqués de manière cohérente, notamment les sauvegardes régulières, les mises à jour antivirus, les mots de passe robustes et l’élimination sécurisée des documents sensibles.
C’est une formulation PME concise de l’hygiène cyber pratique. L’auditeur demandera toujours des éléments probants, tels que les rapports d’exécution des sauvegardes, la couverture EDR, la configuration des mots de passe ou de la MFA et les journaux d’élimination sécurisée, mais la politique établit le comportement attendu.
Cartographier l’Article 21 de NIS2 avec les éléments probants d’audit
Les auditeurs testent le fonctionnement des contrôles, pas les slogans. Ils suivront le fil conducteur entre l’exigence légale, le périmètre du SMSI, l’appréciation des risques, la Déclaration d’applicabilité, la politique, la procédure, les éléments probants et la revue de direction.
| Domaine NIS2 Article 21 | Correspondance ISO/IEC 27001:2022 ou ISO/IEC 27002:2022 | Référence Clarysec | Principaux éléments probants d’audit |
|---|---|---|---|
| Formation à la cybersécurité | Clause 7.2, Clause 7.3, A.6.3 sensibilisation, éducation et formation à la sécurité de l’information | Politique de sensibilisation et de formation à la sécurité de l’information | Politique de formation, plan annuel, enregistrements LMS, résultats de phishing, liste de contrôle d’intégration, comptes rendus de formation du conseil |
| Comportement acceptable d’hygiène cyber | A.5.10 utilisation acceptable de l’information et des autres actifs associés | Politique de sécurité de l’information - PME | Attestation d’utilisation acceptable, enregistrements d’intégration, enregistrements d’exceptions, éléments probants de surveillance |
| Hygiène des vulnérabilités et des correctifs | A.8.8 gestion des vulnérabilités techniques | Zenith Blueprint, étape 19 | Scans de vulnérabilités, rapports de correctifs, tickets de remédiation, enregistrements d’acceptation du risque |
| Configuration sécurisée | A.8.9 gestion des configurations | Zenith Blueprint, étape 19 | Référentiels de sécurité, revues de configuration, approbations de changement, rapports de dérive |
| Résilience et reprise | A.8.13 sauvegarde de l’information | Politique de sécurité de l’information - PME | Journaux de sauvegarde, tests de restauration, revues d’échecs de sauvegarde, éléments probants de reprise |
| Détection et réponse | A.8.15 journalisation, A.8.16 activités de surveillance, A.6.8 signalement des événements de sécurité de l’information | Zenith Controls | Alertes SIEM, procédures de surveillance, formation au signalement des incidents, résultats d’exercices sur table |
| Protection cryptographique | A.8.24 utilisation de la cryptographie | ISO/IEC 27001:2022 Annexe A | Normes de chiffrement, éléments probants de gestion des clés, configuration TLS, rapports de chiffrement du stockage |
| Intégrité des éléments probants | A.5.33 protection des enregistrements | Zenith Controls | Dossiers d’audit contrôlés, horodatages d’export, règles de conservation, journaux des accès |
Une autorité de régulation n’utilisera pas nécessairement la terminologie ISO, mais le cheminement des éléments probants reste le même. Montrez que l’exigence est identifiée, appréciée au regard des risques, traitée, mise en œuvre, surveillée, remontée à la direction et améliorée.
Utiliser Zenith Blueprint pour passer du plan aux éléments probants
Le Zenith Blueprint: An Auditor’s 30-Step Roadmap donne aux équipes un parcours pratique pour passer de l’intention aux éléments probants. Dans la phase « Fondations et leadership du SMSI », étape 5, communication, sensibilisation et compétence, le Blueprint demande aux organisations d’identifier les compétences requises, d’évaluer les compétences actuelles, de fournir une formation pour combler les lacunes, de conserver les enregistrements de compétence et de traiter la compétence comme un processus continu.
L’action du Blueprint est volontairement opérationnelle :
Réaliser une analyse rapide des besoins de formation. Listez vos principaux rôles SMSI (issus de l’étape 4) et, pour chacun, notez les formations ou certifications connues, ainsi que les formations supplémentaires qui pourraient être utiles. Listez également les thèmes généraux de sensibilisation à la sécurité nécessaires pour tous les employés. Sur cette base, rédigez un plan de formation simple pour l’année suivante – par exemple : « T1 : sensibilisation à la sécurité pour tout le personnel ; T2 : formation avancée à la réponse aux incidents pour l’IT ; T3 : formation d’auditeur interne ISO 27001 pour deux membres de l’équipe ; … ».
Dans la phase « Contrôles en action », étape 15, contrôles relatifs aux personnes I, Zenith Blueprint recommande une formation annuelle obligatoire pour tous les employés, des modules spécifiques aux rôles, une intégration sécurité des nouveaux arrivants au cours de la première semaine, des campagnes d’hameçonnage simulées, des lettres d’information, des briefings d’équipe, des éléments probants de participation, des bulletins de sécurité ciblés après l’apparition de menaces émergentes, ainsi qu’une formation pour les sous-traitants ou tiers disposant d’un accès.
L’étape 16, contrôles relatifs aux personnes II, rappelle que les auditeurs testeront la mise en œuvre, et non seulement la documentation. Pour le télétravail, les auditeurs peuvent demander la politique de télétravail, les éléments probants VPN ou de chiffrement des terminaux, la mise en œuvre MDM, les restrictions BYOD et les enregistrements de formation montrant les précautions liées au travail à distance. Si le travail hybride fait partie du modèle opérationnel, les éléments probants de formation NIS2 doivent inclure l’utilisation sécurisée du Wi‑Fi, le verrouillage des appareils, le stockage approuvé, la MFA et le signalement des activités suspectes depuis les environnements domestiques.
L’étape 19, contrôles technologiques I, relie l’hygiène cyber à la couche de contrôle technique. Zenith Blueprint recommande de revoir les rapports de correctifs, les scans de vulnérabilités, les référentiels sécurisés, la couverture EDR, les journaux de logiciels malveillants, les alertes DLP, les restaurations de sauvegardes, les éléments probants de redondance, les améliorations de journalisation et la synchronisation temporelle. Article 21(2)(g) ne peut pas être évalué isolément. Une main-d’œuvre formée a toujours besoin de terminaux corrigés, de journaux surveillés, de sauvegardes testées et de configurations sécurisées.
Rendre le plan de formation fondé sur les risques avec ISO/IEC 27005:2022
Une faiblesse fréquente en audit est un plan de formation générique identique pour les développeurs, la finance, le support, les dirigeants et les sous-traitants. ISO/IEC 27005:2022 aide à éviter cette faiblesse en intégrant la formation au traitement des risques.
La clause 6.2 recommande d’identifier les exigences de base des parties intéressées pertinentes et le statut de conformité, notamment ISO/IEC 27001:2022 Annexe A, les autres normes SMSI, les exigences sectorielles, les réglementations nationales et internationales, les règles de sécurité internes, les contrôles de sécurité contractuels et les contrôles déjà mis en œuvre par des traitements de risques antérieurs. Cela soutient un registre unique des exigences plutôt que des tableurs séparés NIS2, ISO, DORA, GDPR, clients et assurance.
Les clauses 6.4.1 à 6.4.3 expliquent que les critères d’acceptation et d’appréciation des risques doivent tenir compte des aspects juridiques et réglementaires, des activités opérationnelles, des relations fournisseurs, des contraintes technologiques et financières, de la vie privée, du préjudice réputationnel, des violations contractuelles, des violations d’accords de niveau de service et des impacts sur les tiers. Un incident de phishing affectant un système interne de lettre d’information diffère d’une compromission d’identifiants touchant un service de sécurité managé, une plateforme de support client, une intégration de paiement ou une opération DNS.
Les clauses 7.1 à 7.2.2 exigent une appréciation des risques cohérente et reproductible, incluant les risques de confidentialité, d’intégrité et de disponibilité, ainsi que des propriétaires du risque nommés. Les clauses 8.2 à 8.6 guident ensuite la sélection du traitement, la détermination des contrôles, la comparaison avec l’Annexe A, la documentation de la Déclaration d’applicabilité et le détail du plan de traitement.
La formation est un traitement, mais pas le seul. Si des simulations répétées de phishing montrent que les utilisateurs de la finance sont vulnérables à la fraude à la facture, le plan de traitement peut inclure une formation de recyclage, un processus d’approbation des paiements plus robuste, un accès conditionnel, la surveillance des règles de boîte aux lettres et des exercices exécutifs fondés sur des scénarios de fraude.
Les clauses 9.1, 9.2, 10.4.2, 10.5.1 et 10.5.2 mettent l’accent sur la réévaluation planifiée, les méthodes documentées, la surveillance de l’efficacité et les mises à jour lorsque de nouvelles vulnérabilités, de nouveaux actifs, de nouveaux usages technologiques, des lois, des incidents ou des changements d’appétence au risque surviennent. Cela démontre que l’organisation ne fige pas son plan de formation une fois par an.
Réutiliser les mêmes éléments probants pour NIS2, DORA, GDPR, NIST et COBIT
Le dossier d’éléments probants NIS2 le plus robuste doit servir plusieurs conversations d’assurance.
L’Article 4 de NIS2 reconnaît que les actes juridiques sectoriels de l’Union peuvent remplacer les obligations correspondantes de gestion des risques et de reporting NIS2 lorsqu’ils ont un effet au moins équivalent. Le considérant 28 identifie DORA comme le régime sectoriel applicable aux entités financières relevant de son champ. Pour les entités financières couvertes, les règles DORA relatives à la gestion des risques ICT, à la gestion des incidents, aux tests de résilience, au partage d’informations et au risque lié aux tiers ICT s’appliquent à la place des dispositions NIS2 correspondantes. NIS2 reste hautement pertinente pour les entités hors DORA et pour les prestataires tiers ICT tels que les fournisseurs cloud, les MSP et les MSSP.
DORA renforce la même logique de système de management. Articles 4 à 6 exigent une gestion proportionnée des risques ICT, la responsabilité de l’organe de direction, des rôles ICT clairs, une stratégie de résilience opérationnelle numérique, des plans d’audit ICT, des budgets et des ressources de sensibilisation ou de formation. Articles 8 à 13 exigent l’identification des actifs et des dépendances, la protection et la prévention, les contrôles d’accès, l’authentification forte, les sauvegardes, la continuité, la réponse et le rétablissement, les enseignements post-incident, le reporting ICT à la haute direction ainsi que la sensibilisation à la sécurité ICT et la formation obligatoire à la résilience opérationnelle numérique. Articles 17 à 23 exigent une gestion des incidents structurée, la classification, l’escalade et les communications clients. Articles 24 à 30 relient les tests à la gouvernance des fournisseurs, aux diligences préalables, aux contrats, aux droits d’audit et aux stratégies de sortie.
GDPR ajoute la couche de responsabilité en matière de vie privée. Article 5 exige l’intégrité et la confidentialité au moyen de mesures techniques et organisationnelles appropriées, et Article 5(2) impose aux responsables du traitement de démontrer la conformité. Article 6 exige une base légale pour le traitement, tandis que Articles 9 et 10 imposent des garanties renforcées pour les catégories particulières de données et les données relatives aux infractions pénales. Pour un fournisseur SaaS, les éléments probants de formation doivent inclure la vie privée, la minimisation des données, la divulgation sécurisée, l’escalade des violations et le traitement des données clients propre au rôle.
Les approches d’audit de type NIST et COBIT 2019 apparaissent souvent dans l’assurance client, l’audit interne et le reporting au conseil. Un évaluateur de type NIST demandera généralement si la sensibilisation et la formation sont fondées sur les risques, basées sur les rôles, mesurées et connectées à la réponse aux incidents, à l’identité, à la gestion des actifs et à la surveillance continue. Un auditeur COBIT 2019 ou de type ISACA se concentrera sur la gouvernance, la responsabilité, les indicateurs de performance, la supervision par la direction, la propriété des processus et l’alignement sur les objectifs d’entreprise.
| Référentiel d’analyse | Ce qui intéresse l’auditeur | Éléments probants à préparer |
|---|---|---|
| NIS2 Article 21 | Mesures proportionnées de risque cyber, hygiène cyber, formation, supervision par la direction | Cartographie Article 21, approbation du conseil, plan de formation, KPI d’hygiène cyber, éléments probants de préparation aux incidents |
| ISO/IEC 27001:2022 | Périmètre du SMSI, traitement des risques, compétence, sensibilisation, surveillance, audit interne, amélioration | Périmètre, registre des risques, SoA, matrice de compétences, enregistrements de formation, rapport d’audit, actions correctives |
| DORA | Cycle de vie du risque ICT, formation à la résilience, tests, classification des incidents, risque ICT lié aux tiers | Cadre de risque ICT, formation à la résilience, résultats des tests, procédure d’incident, registre des fournisseurs |
| GDPR | Responsabilité, protection des données, sensibilisation aux violations de la vie privée, confidentialité, minimisation | Formation à la vie privée, cartographie des rôles de traitement, éléments probants d’escalade des violations, procédures de traitement des données |
| Revue de type NIST | Sensibilisation basée sur les rôles, fonctionnement mesurable des contrôles, surveillance, réponse | Matrice de rôles, métriques de simulation, éléments probants d’accès, éléments probants de journalisation, résultats d’exercices sur table |
| Revue COBIT 2019 ou ISACA | Gouvernance, propriété des processus, performance, assurance des contrôles, reporting de direction | RACI, tableau de bord KPI, comptes rendus de revue de direction, programme d’audit interne, suivi de la remédiation |
Le bénéfice pratique est simple : un seul dossier d’éléments probants, plusieurs récits d’audit.
Comment les auditeurs testeront le même contrôle
Un auditeur ISO/IEC 27001:2022 commencera par le SMSI. Il demandera si les exigences de compétence et de sensibilisation sont déterminées, si le personnel comprend ses responsabilités, si les enregistrements sont conservés, si les audits internes testent le processus et si la revue de direction examine la performance et l’amélioration. Il pourra échantillonner des employés et leur demander comment signaler un incident, comment la MFA est utilisée, quelles sont les règles d’utilisation acceptable ou que faire après la réception d’un courriel suspect.
Une revue de supervision NIS2 sera davantage axée sur les résultats et les risques pour les services. Le réviseur pourra demander comment l’hygiène cyber réduit le risque pesant sur la fourniture des services, comment la direction a approuvé les mesures, comment la formation est adaptée aux services essentiels, comment le personnel des tiers est couvert, comment l’efficacité est évaluée et comment l’organisation communiquerait les cybermenaces ou incidents significatifs au titre de Article 23. Étant donné que Article 23 prévoit une alerte précoce dans les 24 heures et une notification d’incident dans les 72 heures pour les incidents significatifs, la formation doit inclure la reconnaissance des incidents et la rapidité d’escalade.
Un auditeur DORA pour une entité financière reliera la sensibilisation à la résilience opérationnelle numérique. Il pourra demander si la sensibilisation à la sécurité ICT et la formation à la résilience sont obligatoires, si le reporting ICT à la haute direction atteint l’organe de direction, si les critères de classification des incidents sont compris, si les communications de crise ont été exercées et si les prestataires tiers participent à la formation lorsque cela est pertinent contractuellement.
Un auditeur GDPR ou évaluateur vie privée se concentrera sur la compréhension par le personnel des données à caractère personnel, des rôles de traitement, de la confidentialité, de l’identification des violations, de l’escalade des violations, de la minimisation des données et de la divulgation sécurisée. Il attendra que la formation varie pour le support, les RH, les développeurs et les administrateurs, car ces rôles créent des risques différents pour la vie privée.
Un auditeur interne COBIT 2019 ou ISACA demandera qui est propriétaire du processus, quels objectifs il soutient, comment la performance est mesurée, quelles exceptions existent, si les actions correctives sont suivies et si la direction reçoit un reporting significatif plutôt que des métriques de façade.
Constats fréquents de préparation à la formation NIS2
Le constat le plus fréquent est une couverture incomplète de la population. Le rapport LMS indique 94 % d’achèvement, mais les 6 % manquants incluent des administrateurs à privilèges, des sous-traitants ou de nouveaux arrivants. Les auditeurs n’accepteront pas un pourcentage sans comprendre qui manque et pourquoi.
Le deuxième constat est l’absence de prise en compte des rôles. Tout le monde reçoit le même module annuel, mais les développeurs ne sont pas formés au développement sécurisé, les agents de support ne sont pas formés à la vérification d’identité et les dirigeants ne sont pas formés aux devoirs de gouvernance ou aux décisions de crise. NIS2 Article 20 et Article 21 rendent cette situation difficile à défendre.
Le troisième constat est la faiblesse des éléments probants d’efficacité. L’achèvement n’est pas synonyme de compréhension ni de changement de comportement. Les auditeurs attendent de plus en plus les scores de quiz, les tendances de phishing, les tendances de signalement des incidents, les enseignements des exercices sur table, la réduction des échecs répétés et les actions correctives.
Le quatrième constat est une hygiène technique déconnectée. La formation dit « signalez les activités suspectes », mais aucun canal de signalement n’est testé. La formation dit « utilisez la MFA », mais les comptes de service contournent la MFA. La formation dit « protégez les données », mais des données de production apparaissent dans des environnements de test. Article 21 attend un système de contrôle, pas des slogans.
Le cinquième constat est la mauvaise intégrité des enregistrements. Les éléments probants sont stockés dans une feuille de calcul modifiable sans responsable, horodatage d’export, contrôle d’accès ni rapprochement avec les enregistrements RH. Les relations de contrôle ISO/IEC 27002:2022 dans Zenith Controls renvoient à la protection des enregistrements pour une raison précise. Les éléments probants doivent être fiables.
Un sprint de remédiation de 10 jours pour des éléments probants exploitables en audit
Si votre organisation est sous pression, commencez par un sprint ciblé.
| Jour | Action | Résultat |
|---|---|---|
| Jour 1 | Confirmer l’applicabilité NIS2 et le périmètre des services | Décision d’entité essentielle ou importante, services dans le périmètre, fonctions de support |
| Jour 2 | Construire le registre des exigences | NIS2 Articles 20, 21, 23, clauses ISO, contrôles de l’Annexe A, GDPR, DORA, contrats, exigences d’assurance |
| Jour 3 | Créer la matrice de formation fondée sur les rôles | Formation cartographiée avec les familles de postes, les accès à privilèges, les développeurs, le support, les sous-traitants, les dirigeants |
| Jour 4 | Cartographier la formation avec les scénarios de risque | Phishing, compromission d’identifiants, fuite de données, rançongiciel, mauvaise configuration, compromission fournisseur, violation de la vie privée |
| Jour 5 | Collecter les éléments probants | Exports LMS, attestations de prise de connaissance, rapports de phishing, enregistrements d’intégration, enregistrements des sous-traitants, présence des dirigeants |
| Jour 6 | Rapprocher les éléments probants | Population de formation vérifiée par rapport aux enregistrements RH, groupes d’identité, comptes à privilèges, listes de sous-traitants |
| Jour 7 | Tester la compréhension des employés | Notes d’entretien montrant que le personnel connaît le signalement des incidents, les attentes MFA, le traitement des courriels suspects et les règles relatives aux données |
| Jour 8 | Revoir les contrôles d’hygiène technique | MFA, sauvegardes, EDR, application des correctifs, scan de vulnérabilités, journalisation, surveillance, éléments probants de configuration sécurisée |
| Jour 9 | Produire le dossier de revue de direction | Achèvement, exceptions, tendances de phishing, actions ouvertes, rôles à haut risque, incidents, besoins budgétaires |
| Jour 10 | Mettre à jour le plan de traitement des risques et la SoA | Risque résiduel, responsables, échéances, mesures d’efficacité, mises à jour de la Déclaration d’applicabilité |
Ce sprint fournit une base d’éléments probants défendable. Il ne remplace pas l’exploitation continue du SMSI, mais crée la structure attendue par les autorités de régulation et les auditeurs.
Ce qu’il faut viser
Un programme mature d’hygiène cyber et de formation au titre de l’Article 21 de NIS2 présente cinq caractéristiques.
Premièrement, il est visible au niveau du conseil. La direction approuve l’approche, consulte des métriques pertinentes, comprend le risque résiduel et finance l’amélioration.
Deuxièmement, il est fondé sur les risques. La formation varie selon le rôle, la criticité du service, le niveau d’accès, l’exposition aux données et la responsabilité en matière d’incident.
Troisièmement, il est piloté par les éléments probants. Les enregistrements d’achèvement, les attestations de prise de connaissance, les simulations, les exercices sur table, les rapports d’hygiène technique et les actions correctives sont complets, rapprochés et protégés.
Quatrièmement, il prend en compte les exigences croisées de conformité. Les mêmes éléments probants soutiennent NIS2, ISO/IEC 27001:2022, DORA, GDPR, l’assurance de type NIST et le reporting de gouvernance COBIT 2019.
Cinquièmement, il s’améliore. Les incidents, constats d’audit, évolutions législatives, changements de fournisseurs, nouvelles technologies et menaces émergentes mettent à jour le plan de formation.
Ce dernier point fait la différence entre la mise en scène de la conformité et la résilience opérationnelle.
Prochaines étapes avec Clarysec
Si votre équipe dirigeante demande : « Pouvons-nous prouver demain l’hygiène cyber et la formation à la cybersécurité prévues par l’Article 21 de NIS2 ? », Clarysec peut vous aider à passer d’éléments probants dispersés à un dossier d’éléments probants SMSI exploitable en audit.
Commencez par le Zenith Blueprint afin de structurer la compétence, la sensibilisation, les contrôles relatifs aux personnes, les pratiques de télétravail, la gestion des vulnérabilités, les sauvegardes, la journalisation, la surveillance et les actions d’hygiène technique sur l’ensemble de la feuille de route en 30 étapes.
Utilisez Zenith Controls pour référencer les attentes ISO/IEC 27002:2022 relatives à la sensibilisation, à l’utilisation acceptable, à la conformité, à la surveillance, aux enregistrements et à l’assurance dans les conversations d’audit NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST et COBIT 2019.
Opérationnalisez ensuite les exigences au moyen de la Politique de sensibilisation et de formation à la sécurité de l’information, de la Politique de sensibilisation et de formation à la sécurité de l’information - PME et de la Politique de sécurité de l’information - PME de Clarysec.
Votre action immédiate est simple : construisez cette semaine une cartographie d’une page des éléments probants de formation pour l’Article 21 de NIS2. Listez les rôles dans le périmètre, les formations attribuées, les éléments probants d’achèvement, les attestations de prise de connaissance des politiques, les métriques de phishing, les éléments probants d’hygiène cyber technique, la date de revue de direction et les actions correctives. Si une cellule est vide, vous avez trouvé votre prochaine tâche de remédiation d’audit.
Pour aller plus vite, téléchargez les modèles de politiques Clarysec, utilisez la feuille de route Zenith Blueprint et planifiez une évaluation de préparation des éléments probants NIS2 afin de transformer vos enregistrements de formation actuels, vos contrôles d’hygiène cyber et votre SMSI ISO/IEC 27001:2022 en un dossier d’audit unique et défendable.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
