Quand la norme ISO 27001 à elle seule peut ne pas suffire
La norme ISO/IEC 27001:2022 est une norme internationale, et non une loi. La certification ISO 27001 ne garantit pas la conformité à la directive NIS2. Trois domaines – la sécurité de la chaîne d’approvisionnement, la responsabilité de la direction et l’obligation légale de signaler les incidents de sécurité – nécessitent généralement des mesures et des preuves qui vont au-delà de ce que peut démontrer à elle seule une certification ISO 27001.
La norme ISO 27001 est une norme internationale volontaire, tandis que la directive NIS2 est une législation européenne contraignante. La certification ne remplace donc pas automatiquement le respect de toutes les obligations de la directive NIS2, notamment en ce qui concerne la sécurité de la chaîne d’approvisionnement, les obligations de signalement et la responsabilité de la direction.
L’article 21, paragraphe 2, de la directive NIS 2 définit dix catégories de mesures de gestion des risques liés à la cybersécurité que les organisations concernées sont légalement tenues de mettre en œuvre. Le contenu de la norme ISO/IEC 27001:2022 et les contrôles énumérés à l’annexe A peuvent être mis en correspondance avec la plupart de ces catégories – sans toutefois leur correspondre de manière biunivoque en tant qu’exigences légales :
Sécurité de la chaîne d’approvisionnement
La directive NIS2 impose aux organisations d’évaluer et de gérer les risques de cybersécurité sur l’ensemble de leur chaîne d’approvisionnement – et pas seulement au sein de leurs propres limites organisationnelles.
Des incidents récents de cybersécurité ont montré à maintes reprises que les attaquants exploitent la chaîne d’approvisionnement pour obtenir un accès non autorisé à des réseaux clients plus vastes. Après tout, le principe d’efficacité – « atteindre une portée maximale avec un minimum d’efforts ! » – s’applique ici aussi.
Par conséquent, l’article 21, paragraphe 2, point d), de la directive NIS2 impose la sécurité de la chaîne d’approvisionnement, ce qui est conforme aux exigences 5.19 à 5.23 de l’annexe A de la norme ISO 27001 :
- Sécurité de l’information dans les relations avec les fournisseurs
- Prise en compte de la sécurité de l’information dans les contrats avec les fournisseurs
- Gestion de la sécurité de l’information dans la chaîne d’approvisionnement des TIC
- Suivi, audit et gestion des changements concernant les services des fournisseurs
- Sécurité de l’information dans le cadre de l’utilisation des services cloud
Responsabilité des dirigeants
En vertu de la directive NIS2, la cybersécurité n’est plus considérée comme une question purement technique pouvant être déléguée au service informatique.
La directive stipule que l’organe de direction de l’organisation doit assumer la responsabilité d’approuver, de surveiller et de réexaminer régulièrement la mise en œuvre des mesures de gestion des risques liés à la cybersécurité. Dans la pratique, la direction est censée :
- Comprendre les risques cybernétiques et s’y intéresser activement,
- Participer aux activités de gouvernance et aux processus décisionnels liés à la cybersécurité,
- Fournir des ressources adéquates pour les mesures de résilience, et
- Surveiller l’état de préparation à la réponse aux incidents et le respect des obligations de signalement.
En fonction de la mise en œuvre nationale de la directive NIS2 et des réglementations applicables en matière d’entreprise et de responsabilité, les membres de l’organe de direction peuvent également encourir des conséquences personnelles s’ils ne s’acquittent pas correctement de leurs obligations en matière de cybersécurité. La gouvernance de la cybersécurité devient ainsi une responsabilité clé de la direction, avec des implications réglementaires et financières potentielles si une surveillance suffisante n’est pas démontrée de manière convaincante.
Signalement des incidents
La directive NIS2 introduit des délais juridiquement contraignants : les organisations doivent transmettre une première notification d’alerte précoce à l’autorité compétente dans les 24 heures suivant la prise de connaissance d’un incident significatif, suivie d’un rapport plus détaillé dans les 72 heures et d’un rapport final à un stade ultérieur, tel que défini par la législation.
De nombreuses organisations ne disposent actuellement ni des processus documentés, ni des responsabilités clairement attribuées, ni des procédures testées nécessaires pour respecter ces délais de manière fiable. Les cadres de gestion des incidents existants au sein d’un SMSI nécessitent souvent des ajustements ciblés afin de refléter les délais réglementaires et les obligations de déclaration externes introduites par la directive NIS2.
Dans la pratique, cela implique généralement de combler trois lacunes spécifiques. Premièrement, définir et documenter un critère de déclenchement clair indiquant à quel moment la « prise de connaissance » d’un incident significatif lance le délai de 24 heures – la plupart des procédures des SMSI se concentrent sur la classification interne de la gravité plutôt que sur les délais réglementaires. Deuxièmement, désigner un rôle spécifique chargé de la notification d’alerte précoce et de la liaison directe avec le CSIRT national ou l’autorité compétente, distinct du rôle qui dirige la réponse interne. Troisièmement, il faut établir une piste d’audit vérifiable – comprenant des journaux horodatés, des copies des notifications et la justification de l’évaluation initiale de la gravité – qui puisse être produite si une autorité de contrôle examine ultérieurement le respect des délais de 24 et 72 heures prévus par la directive NIS2.
Résilience opérationnelle
Les régulateurs et les clients s’attendent de plus en plus à obtenir la preuve que les mesures de résilience ont été testées — et non pas simplement consignées sur papier.
Les organisations sont donc tenues de démontrer qu’elles sont en mesure de maintenir ou de rétablir rapidement leurs opérations critiques en cas d’incident perturbateur, plutôt que de se contenter de présenter des plans écrits. Cela comprend généralement :
- Une planification de la continuité des activités et des tests réguliers
- Des exercices de reprise après sinistre pour les systèmes et les données critiques
- Des simulations réalistes de réponse aux incidents
- Des procédures de gestion de crise définies et mises en pratique
Ensemble, ces éléments permettent de déterminer si la résilience est véritablement intégrée dans les opérations quotidiennes.