Formation Directive NIS 2 :
Nouvelles normes de cybersécurité européennes

Programme de notre formation Directive NIS 2

[Jour 1 – Matin]

Introduction à la CyberSécurité Européenne

• Genèse : de NIS1 à NIS2, pourquoi cette évolution ?
• Champ d’application et secteurs critiques couverts par NIS2
• Terminologie clé : entités essentielles vs entités importantes
• Obligations principales imposées aux organisations (techniques, organisationnelles, juridiques)
• Enjeux actuels : cybervols, espionnage, sabotage
• Dynamiques géopolitiques : tensions Est/Ouest, USA/Chine, Occident/Russie
• Acteurs de la cybermenace : hackers, agences de renseignement, APT et ransomwares
• Vers une coopération européenne renforcée : l’idée d’un cyber-Schengen
• Exercice pratique : Identification des obligations NIS2 de son organisation en fonction de son secteur et de sa taille.

[Jour 1 – Après-midi]

Rôle et Responsabilités du RSSI sous NIS 2

• Gouvernance imposée par NIS2 : responsabilité du top management et du RSSI
• Ciblage des entités : critères pour les entités essentielles et importantes
• Secteurs affectés et écosystèmes concernés
• Réglementation : évolutions depuis NIS 1 et nouvelles exigences
• Calendrier d’application : de 2024 à 2026
• Processus de reporting obligatoire (notification d’incident en 24h / 72h / un mois)
• Mise en œuvre : processus de gouvernance et certification
• Sanctions potentielles : modèle inspiré du RGPD
• Exercice pratique : Étude de cas d’une fuite de données : quelles notifications et quelles sanctions ?

[Jour 2 – Matin]

Implémentation des Mesures de Sécurité

• Revue des politiques de NIS 1 : gouvernance, protection, défense, résilience
• Analyse de risques et sécurité des systèmes d’information
• Gestion des incidents et continuité des opérations
• Sécurité dans la chaîne d’approvisionnement et dans le développement des systèmes
• Évaluation et amélioration continue de la cybersécurité
• Cartographie et mise en place d’un plan de conformité sécurité
• Mesures pratiques : cyberhygiène, utilisation de la cryptographie et de l’authentification multi-facteurs
• Étude de cas Log4Shell : analyser la gestion de dépendances logicielles non maîtrisées.
• Exercice pratique : Construction d’une checklist NIS2 pour auditer son organisation

[Jour 2 – Après-midi]

Gestion du Projet de Conformité NIS2

• Méthodologie d’intégration NIS2 dans une organisation (gap analysis, roadmap, gouvernance par le risque)
• De l’analyse préliminaire à la conformité : intégration des évaluations EBIOS RM
• Adaptation des mesures de sécurité préexistantes et gouvernance par le risque
• Adaptation des mesures existantes : articulation avec ISO 27001/27002
• Rôle de l’ANSSI et articulation avec la LPM (pour les OIV)
• Processus d’homologation spécifique à NIS 2 et rôle de l’ANSSI
• Planification et ressources nécessaires pour son projet de conformité NIS 2
• Exercice pratique :Élaboration d’un plan d’action NIS2 priorisé (court, moyen, long terme) pour son projet de mise en conformité.

Conclusion : Vers l’Homologation et au-delà

• Intégration des normes ISO 27001 et bonnes pratiques ISO 27002:2022
• Cyberrésilience et alignement avec les directives DORA et CER
• Transposition nationale : évolution de la LPM et régulation des OIV
• Gestion des contrôles et sanctions étatiques : approches et gradation des sanctions
• Sécurisation de l’écosystème et interactions avec les parties prenantes
• Exercice pratique : Analyse de cas français : identifier les obligations spécifiques pour un OIV dans le secteur énergie.