Formation Maîtrisez NIS v2 : sécurisez vos infrastructures et respectez les nouvelles normes européennes

Introduction : cadrage – acteurs de la cyber sécurité en EU

• Le rôle des agences d’état de l’ANSSI, de l’ENISA, de la commission Européenne
• Les missions en coopération EU – le groupe de coopération
• Les CERTs et CSIRT en France et en Europe
• Les prestataires qualifiés (PDIS, PRIS, PASSI)

Le domaine d’application de NIS 2

• Les Entités Essentielles / Entités Importantes
• Les règles d’inclusion NIS 2 applicables par défaut
• La régulation des administrations publiques et des collectivités territoriales
• L’application de NIS2 aux organismes ayant des activités dans plusieurs pays
• Le processus déclaratif vers l’homologation/conformité des SI NIS2 compliant
• Les exclusions recevables (critères, équivalence et respect autres actes EU »)
• Les éco systèmes numériques ; l’enrôlement des ESN
• Les cas particuliers – les critères spécifiques à la France
• Les exclusions de sauvegarde de sécurité nationale et fonctions essentielles / régaliennes

Les réglementations européennes

• Les directives sur la résilience (CER, DORA, CRA)
• Le cas particulier de la LPM en France – sa révision en cours
• Les interactions possibles, voire obligatoire entre ces directives
• Le projet de loi relatif à la résilience des OIV, à la protection des infrastructures critiques, à la cybersécurité (NIS) et à la résilience DORA
• De la nécessité de technologies / services souverains – l’application du cybersecurity Act
• La directive NISv2 comme socle de « GPRD » pour les activités critiques, essentielles et vitales

Les mesures de sécurité de Gouvernance / Protection

• De l’obligation à analyser les risques cyber et les menaces de type APT
• La sécurité de la chaine d’approvisionnement – les exigences de sécurité sur l’éco système fournisseurs de rang 1 et plus …
• La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information
• La gestion des vulnérabilités et le MCS ; de l’usage d’un référentiel de vulnérabilités EU
• L’évaluation de l’efficacité des mesures de gestion des risques en matière de cybersécurité – la pratiques des audits ; les revues de codes et les tests d’intrusion
• La « cyber hygiène » : sensibilisation et formation à la cybersécurité
• La protection du patrimoine informationnel – les conditions d’’utilisation de la cryptographie robuste et des choix algorithmiques
• La sécurité des ressources humaines : le recrutement sécurisé, la gestion des privilèges, le processus disciplinaire
• Les contrôles d’accès logiques et physiques avec authentification MFA et gestion du moindre privilège / besoin d’en connaitre – les revues/ suppressions des droits
• L’application d’un principe de proportionnalité sur la réalisation des mesures de sécurité en fonction du statut EE / EI / ESN, public / privé

La gestion des incidents et des crises (Défense / Résilience)

• La gestion des incidents, de la détection au traitement résilient, – la détection sur base de technologies souveraines FR / EU
• Les critères de classification de gravité d’incident (majeur / mineur)
• Les incidents obligatoires à déclarer auprès des autorités
• La règles de notifications, le processus imposé de notification auprès des CSIRT
• Les délais clé de 24h et 72h, les acteurs concernés, la remise d’un rapport officiel dans le mois
• De la nécessité à des prestataires qualifiés de la cyber sécurité (PDIS, PRIS, …)
• La coopération en matière de gestion de crise cyber, le réseau CyCLONe
• PCA / PRA et gestion des crises cyber ; les objectifs de résilience nécessaires, les communications d’urgence en cas de crise
• La mise en œuvre d’un plan de résilience incluant les tiers
• La création d’une base d’incidents anonymisée au niveau de l’ENISA

La supervision

• De la recherche et constatation des manquements
• Les audits de conformité/homologation « ex-ante » et « ex post »
• Les pouvoirs de l’ANSSI : « ce qui doit être présenté à l’autorité compétente »
• Le régime de sanctions applicables si obstacle à la demande de l’autorité
• Les types d’audit et demandes préventives ; leurs couts
• Les mesures consécutives aux contrôles ; actions suite au contrôle mise en demeure
• Les sanctions : principe de la proportionnalité / Chiffre d’affaires
• Les commissions des sanctions, les responsabilités engagées des dirigeants

La gestion d’un projet NIS 2 et des réglementations sur la résilience

• Gouvernance projet – feuille de route
• Analyse des risques cyber – de l’intérêt de EBIOS RM
• La mise en œuvre des mesures de sécurité (connues par décret)
• Le modèle utilisé par la loi belge : du l’usage référentiel NIST ou ISO 27001
• Les niveaux d’exigences graduées du modèle Cyber Fundamental (basic à Essentiel)
• Gestion des incidents (détection / traitement / notification)
• Audits de sécurité – pen tests – revues
• PCA / PRA – Gestion de crise
• La modèle de communication avec les autorités compétentes et les CSIRT (l’ANSSI en France, le CCB en Belgique, …)