Pouvez-vous survivre à NIS 2 si votre informatique la plus critique ne peut pas prendre en charge l'authentification multifacteur ou la journalisation ?
L'informatique traditionnelle est un éléphant que tout le monde voit, mais que peu de gens souhaitent posséder. Que vous approvisionniez en eau des villes, alimentiez des usines en électricité ou exploitiez des équipements cliniques, votre organisation dépend presque certainement de terminaux ou de serveurs qui n'ont pas reçu de correctif de sécurité depuis des années. La triste réalité : La norme NIS 2 met en lumière ces actifs « non migrables » du contexte opérationnel, en attribuant un risque personnel à chaque cycle de vie non géré et à chaque lacune de contrôle. (ENISA, 2023). Il ne suffit plus d'expliquer ces problèmes par des contraintes liées à la continuité des activités ou aux fournisseurs existants. La réglementation exige une gouvernance active et des contrôles exécutoires, même lorsque les fondamentaux de la sécurité comme l'authentification multifacteur (AMF) ou les journaux d'événements exploitables ne sont pas techniquement possibles.
Vous en avez déjà constaté l'impact : les renouvellements sont bloqués, les demandes d'assurance se multiplient, les conseils d'administration sont inquiets et les clients réclament des preuves. Soudain, la feuille de calcul comptabilisant les « anciens serveurs » ressemble moins à une dette technique qu'à une pénalité d'audit à venir. Le paradoxe central est clair : Comment sécuriser et prouver le contrôle des actifs que vous avez le plus de mal à modifier ?
Chaque risque hérité est une question ouverte exigeant une réponse documentée, et non une excuse passive.
Les enjeux ne sont pas théoriques. L'incapacité à démontrer la gouvernance des risques liés aux systèmes existants n'entraîne pas seulement des amendes réglementaires ; elle peut également nuire à la réputation de l'entreprise, faire échouer des transactions lors des due diligences ou invalider une assurance après un incident. Et à mesure que la responsabilité de ces risques passe de l'équipe informatique au conseil d'administration, les anciennes zones de confort disparaissent. NIS 2 s’attaque à chaque appareil, à chaque système et à chaque feuille de calcul fantôme qui semblait en sécurité dans l’obscurité, nécessitant un manuel où « irréparable » ne devient pas un angle mort, mais un appel au leadership, à la décision et à une avancée crédible.
Pourquoi les exceptions traditionnelles ne vous font plus gagner du temps ni de la confiance
Si vous gérez des cadres de conformité depuis plus d'un an, vous connaissez probablement cette danse : exposer les lacunes héritées, les consigner dans un registre, proposer une future mise à niveau théorique et espérer que les régulateurs, les assureurs ou les clients acceptent l'excuse de la nécessité. NIS 2 transforme cette danse en une chorégraphie de responsabilisation. L'article 21(2) est explicite : Chaque risque, y compris ceux dus à des systèmes hérités ou obsolètes, doit être attribué à un propriétaire, formellement examiné au niveau du conseil d'administration et prouvé comme étant activement atténué ou doté de ressources pour sa fermeture. (EUR-Lex). Si vous ne pouvez pas afficher ce fil de discussion,exception soulevé, propriétaire nommé, contrôles cartographié, plan connecté, examiné par le conseil d'administration - votre posture de conformité est objectivement inadaptée.
Le nouvel objectif : Les exceptions ne sont plus des « permissions de rester immobiles » : elles sont des fusibles qui brûlent.Les assureurs l'ont remarqué, tout comme les équipes d'approvisionnement et les examinateurs. Si vous présentez un actif patrimonial à haut risque sans nouvelle étape ni évaluation certifiée par le conseil d'administration, attendez-vous à des primes et des clauses de couverture plus élevées, voire à une perte d'activité pure et simple. La raison est simple : sans structure, le risque patrimonial est présumé non géré, et un risque non géré est inassurable (AGCS).
Le régulateur considère le journal des exceptions comme une promesse vivante, et non comme un cimetière d’inaction.
Les échecs d'audit réels dépendent de plus en plus d'un manque de clarté : qui est responsable du risque, quel est le contrôle intérimaire et comment la dynamique est forcée vers la clôture. Prenons l'exemple de cet aperçu de l'inventaire des risques :
| Actif hérité | Propriétaire | Score de risque | Plan de remédiation/migration | Examen du conseil d'administration/Signé |
|---|---|---|---|---|
| 2008 de Windows Serveur | IT Ops | Haute | « Déclassement au deuxième trimestre 2025 » | Oui (minutes) |
| PLC en fin de vie | Direction de l'usine | Moyen-élevé | Segment de réseau + moniteur | Oui (2024) |
| PC à rayons X non corrigé | Clinique | Haute | Double signature, remplacez « 26 » | Marqué |
Toute ligne manquant de propriétaire désigné, de plan viable ou d'approbation constitue désormais un facteur déclencheur immédiat de déficience d'audit. Aucune justification technique ne saurait compenser un vide en matière de gouvernance.
Maîtrisez NIS 2 sans le chaos des feuilles de calcul
Centralisez les risques, les incidents, les fournisseurs et les preuves dans une seule plateforme propre.
Ce qui compte et ce qui échoue lorsque des contrôles comme l'authentification multifacteur ou la journalisation ne sont pas possibles
La réglementation moderne n'est pas indifférente aux contraintes des technologies opérationnelles (OT), de la santé, des services publics et de l'industrie manufacturière. On ne s'attend pas à ce que chaque actif existant prenne automatiquement en charge l'authentification multifacteur (MFA), l'intégration SIEM complète ou un retrait immédiat. Cependant, Les directives NIS 2 et ENISA sont claires : si vous ne pouvez pas déployer un contrôle standard (comme l'authentification multifacteur ou la journalisation), vous êtes tenu de documenter un contrôle compensatoire temporaire et multicouche et de définir une date d'expiration prouvant la gouvernance active au lieu d'une reddition technique. (ENISA).
Pièges d’audit courants :
- Journaux d'accès manuels sans réviseur : « Les chefs de quart signent une feuille de papier. » Les laissez-passer ne sont valables que pour une courte durée. if il y a des preuves que ce projet est en cours de vérification, de signature et qu'il sera progressivement supprimé.
- Isolation du réseau sans surveillance : « Nous l'avons déplacé vers un VLAN. » Cela ne fonctionne que si cela est documenté, régulièrement validé et associé aux entrées du registre des risques.
- Registres d'exceptions non examinés : « Nous tenons une feuille de calcul. » Échec sans cycles de révision clairs, attribution de propriété et étapes de clôture.
Contrôles compensatoires essentiels lorsque le « moderne » ne convient pas :
- *Segmentation du réseau avec audit régulier et examen des accès.*
- *Double contrôle (signature à deux personnes) pour toutes les modifications ou accès privilégiés.*
- *Surveillance vidéo des zones d'accès, notamment en salle d'opération.*
- *Journaux de bord manuels, révisés et signés par la direction à intervalles prescrits.*
- *Contrôles en couches : ne vous fiez jamais à une seule solution provisoire.*
| Asset | AMF ? | Enregistrement? | Contrôle de compensation | Date de l'avis | Plan de fermeture |
|---|---|---|---|---|---|
| Application de facturation héritée | Non | Non | Journal de bord + double signature | Q2 2024 | Remplacer le premier trimestre 2025 |
| Automate programmable industriel | Non | Partiel | Journaux d'accès segmentés du superviseur | Mensuel | Mise à jour du firmware en 25 |
Se souvenir Les contrôles manuels ou alternatifs sont toujours « temporaires et sujets à révision obligatoire ». La position de l'ENISA est claire : les solutions de contournement permettent de gagner du temps, et non d'obtenir l'absolution en matière de conformité. Plus l'actif est ancien ou vulnérable, plus l'examen est rigoureux et plus le plan de fermeture est urgent.
Une solution provisoire est un compte à rebours, pas un filet de sécurité. Son signal est l'ambition du management, et non l'inertie opérationnelle.
Comment structurer les contrôles compensatoires : correspondance avec les normes ISO 27001 et NIS 2
Il est tentant de raccourcir les choses et de déclarer une exception « acceptée » lorsque le service informatique ne peut pas mettre en œuvre l'authentification multifacteur (MFA) ou la journalisation. Mais en pratique, le contrôle réglementaire et celui des assurances portent essentiellement sur structure. ISMS.online et ISO 27001:2022 vous donnent un plan directeur : chaque écart de contrôle doit correspondre à :
- Une entrée dans le registre des risques (décrivant explicitement l’actif, l’écart et l’impact probable).
- Une entrée de déclaration d'applicabilité (SoA) (identifier le contrôle affecté et pourquoi il n'est pas respecté).
- Contrôle(s) compensatoire(s) appliqué(s), documenté(s) et stratifié(s) (plus d'une ligne de défense).
- Propriétaire d'actifs désigné et auditeur ou gestionnaire examinateur.
- Preuve d’un examen régulier, de progrès et de mesures correctives finales ou d’acceptation des risques au niveau du conseil d’administration.
Exemple de pont ISO 27001 :
| Attente | Opérationnalisation | ISO 27001 / Annexe A Réf. |
|---|---|---|
| Responsabilité du conseil d'administration | Approbation nommée, notation des risques | 5.3, A.5.4, A.5.36 |
| Suivi des risques spécifiques aux actifs | état du système + propriétaire explicite dans le registre | 6.1, A.5.9, A.8.10 |
| Commandes compensatoires | Documenté, stratifié, temporaire | 6.1.3, A.8.15, A.8.34 |
| Cycle de révision et de clôture | Enregistrer une étape importante, des preuves examinées par le conseil | A.5.35, A.8.34 |
| Sentier des preuves | Journaux d'approbation, mise à jour du SoA, enregistrement de clôture | A.5.19–A.5.21 |
Mini-tableau de traçabilité :
| Gâchette | Mise à jour des risques | Lien Contrôle/SoA | Preuves enregistrées |
|---|---|---|---|
| Article NIS 2, audit | Exception ouverte | A.5.19, A.8.15 | Exception, signature |
| Le personnel bouge, le système se renforce | Changement de propriétaire | Registre des risques, SoA | Procès-verbal du conseil d'administration, plan |
| Actif mis à niveau | Exception fermée | Mise à jour SoA | Plan de migration, signe |
Un contrôle fort n’est pas tant une question de perfection technique que de progression documentée et examinée vers la fermeture du risque, avec des preuves à chaque lien pour les auditeurs, les assureurs et les conseils d’administration.
Soyez prêt pour NIS 2 dès le premier jour
Lancez-vous avec un espace de travail et des modèles éprouvés : personnalisez, attribuez et c'est parti.
Survie pratique à l'audit : de l'exception à la preuve
Aucune histoire de conformité informatique héritée ne se termine par une déclaration d’intention claire et nette. La préparation à l'audit est la somme d'une série de preuves vivantes qui prouvent que chaque exception est détenue, examinée, dotée de ressources et forcée vers la clôture à une cadence définie. (BSI). ISMS.online intègre ce cycle directement dans les espaces de travail et les tableaux de bord de la plateforme :
1. Identification et propriété
- Chaque actif hérité est enregistré dans un registre traçable, étiqueté par le propriétaire technique et le réviseur du conseil.
- Les contrôles compensatoires, même manuels, sont explicitement attribués et superposés.
2. Documentation et contrôles temporels
- Tous les contrôles sont répertoriés comme « temporaires » avec des dates d’expiration, de révision et d’escalade codées dans la plateforme.
- Le SoA est lié à chaque exception, avec des références à l'actif, au risque et aux preuves.
3. Examen actif et signature
- L’approbation de la direction est requise, non seulement lors de la mise à jour des risques, mais également à chaque cycle de révision – pas de journaux « silencieux ».
- Chaque exception doit avoir un plan de fermeture ; les exceptions indéfinies par défaut sont signalées et non masquées.
4. Clôture ou acceptation du risque
- La migration ou la mise hors service des actifs est enregistrée avec preuve.
- Lorsque la migration est impossible, l'acceptation des risques doit être approuvée par le conseil d'administration ou la direction, enregistrée à la fois dans le SoA et dans le registre des risques pour la traçabilité de l'audit.
Liste de contrôle pour survivre à un audit ou à une revue d'assurance :
- Chaque lacune dans le registre des risques, le SoA et le journal d'approbation est-elleet les dates, les signatures et les étapes importantes correspondent-elles ?
- Les journaux manuels ou les solutions de contournement sont-ils examinés, signés et limités par une date d’expiration prévue ?
- Pouvez-vous exporter instantanément ces preuves vers les auditeurs, les assureurs ou les clients ?
L’histoire de conformité la plus solide est celle qui part des preuves, et non de l’intention.
Gestion de la durée de conservation des journaux manuels et des compensations
Les journaux manuels, les feuilles de calcul et les feuilles de badges ne sont pas des plans de conformité, mais des comptes à rebours. Leur durée de conservation est déterminée par la visibilité, l’examen et la force de fermeture.
Acceptabilité contrôlée par audit pour les preuves manuelles :
| Type de preuve manuelle | Audit de la durée de conservation | Condition d'acceptation |
|---|---|---|
| Journal de bord signé | ≤ 12 mois (max) | Lié au contrôle des risques, révisé, plan de clôture |
| Fiches d'accès/badges | ≤ 6 mois | Double vérification, examen régulier, clôture programmée |
| Liste de contrôle de la feuille de calcul | 1 cycle d'audit | Mis à jour, signé, appliqué à chaque révision |
| Journaux/fichiers non révisés | Aucun | Drapeau rouge/échec immédiat |
Chaque fois qu'une exception est examinée et n'est pas clôturée – ou du moins progressée vers sa clôture – sa valeur probante diminue. Un contrôle compensatoire non examiné passe d'un actif à un passif en seulement un trimestre. La « preuve » réside toujours dans la mesure où vous êtes proche de la conclusion, et non dans la façon dont vous justifiez l’inaction.
En cas de doute, demandez-vous : si notre réclamation d’assurance ou notre accord client reposait sur ce journal, un examinateur externe verrait-il le cheminement vers la clôture ?
Tous vos NIS 2, tout en un seul endroit
Des articles 20 à 23 aux plans d’audit, exécutez et prouvez la conformité, de bout en bout.
Superpositions sectorielles et nationales : lorsque le NIS 2 n'est que la référence
La réalité est simple : les règles sectorielles et nationales éclipsent souvent les mandats de base de l'UEPour l'énergie, la santé, la fabrication critique et certains fournisseurs nationaux (Allemagne, Espagne, Royaume-Uni), la barre est nettement plus haute. Votre journal des exceptions doit refléter à la fois modèle local le plus strict et noyau NIS 2.
Exemples de superpositions nationales :
| Secteur | Règle nationale | Fréquence d'examen des exceptions | Propriétaire | Source du modèle |
|---|---|---|---|---|
| NHS (Royaume-Uni) | NCSC NHS Digital | Rapport annuel min., approbation du conseil d'administration | CIO | nhsdigital.nhs.uk |
| Énergie allemande | BSI IT-SiG3 | Contrôle annuel + mensuel | CISO | bsi.bund.de |
| Services publics espagnols | Arrêté royal 43/2021 | Mensuel, responsable réglementaire | Réglementation | mincotur.gob.es |
Votre SMSI doit importer, compléter ou s'adapter à ces structures, en plus des exigences européennes fondamentales. Partez du principe que les audits et les assureurs appliqueront les normes locales les plus strictes, et pas seulement la norme NIS 2 par défaut.
Élaboration d'une feuille de route informatique héritée défendable : remplacer, isoler ou documenter l'atténuation
Un plan de gestion des risques hérités moderne est un système vivant, et non un tableau de fin d'année. La discipline opérationnelle requise :
- Cataloguer tous les actifs : Par propriétaire, risque, contrôle compensatoire, calendrier de révision et plan de clôture.
- Carte des commandes : Reliez chaque actif et exception aux références ISO 27001 ou NIS 2 Article 21(2).
- Cadence de révision des forces : La vérification, l'allocation de ressources ou la migration doivent être imposées au niveau du conseil d'administration à l'aide de rappels pilotés par le système.
- Automatiser l'enregistrement des preuves : Chaque signature du propriétaire, chaque marque du réviseur ou chaque mise à jour du plan est visible dans un journal d'audit numérique, et non enfouie dans des e-mails ou des fichiers dispersés.
- Mises à jour du modèle : Les plans nationaux de superposition et les rapports sectoriels spécifiques doivent être liés à votre SMSI et ne pas exister en tant que processus fantômes.
Lorsque les examens du conseil d'administration ou du régulateur ont lieu, votre feuille de route doit se dérouler sous la forme d'une série d'exceptions en direct, attribuées par le propriétaire et motivées par la fermeture, prouvant ainsi l'élan et la responsabilité. L’héritage non possédé est désormais un passif contractuel, financier et stratégique.
Rendre le tableau de la boucle de risque visible et résilient : l'avantage d'ISMS.online
Il existe une différence opérationnelle entre « conforme sur papier » et « prêt pour l’audit en action ». ISMS.online fournit plus qu'un registre des risques : il automatise les croisements entre les actifs, les propriétaires, les étapes d'atténuation, les journaux d'approbation, les entrées SoA et les preuves de clôture, bloquant la responsabilité et faisant des exceptions une pièce maîtresse de la boucle de conformité plutôt qu'un angle mort..
Bénéfices dans la pratique quotidienne :
- Les tableaux de bord font apparaître l'état de chaque actif : migré, atténué ou en attente d'acceptation.
- Le conseil d'administration ou le régulateur peut retracer chaque exception par propriétaire, risque, contrôles en place et cycle de révision, avec toutes les signatures et tous les jalons horodatés et disponibles instantanément.
- Les superpositions de secteurs de passage pour piétons et NIS 2 sont gérées via des registres liés, des banques de preuves et des notifications pilotées par des modèles.
- Les audits et les revues d’assurance passent de la panique à la vitrine – une carte de résilience, et non une excuse pour les exceptions.
Appel à l'action final :
Votre infrastructure informatique existante n'est pas seulement tolérée, elle est essentielle à la réputation et à l'image de votre entreprise. Maîtrisez la boucle des exceptions. Assurez-vous que chaque risque est responsable, visible et clôturé, sans être bloqué en maintenance indéfiniment. Prouvez à chaque auditeur, client et membre du conseil d'administration que votre gestion des exceptions est opérationnelle, structurée et qu'elle intègre les risques à chaque cycle. La conformité moderne ne se mesure pas par une utopie technique, mais par votre parcours auditable depuis l'écart jusqu'à la fermeture - rendez ce parcours réel, mesurable et visible par le conseil d'administration avec ISMS.online.
Lorsque l'héritage n'est pas maîtrisé, le risque domine l'entreprise. Lorsque vous maîtrisez la boucle d'exception, le risque devient votre preuve de contrôle.
Foire aux questions
Qui est responsable des lacunes de conformité informatique héritées dans le cadre de la NIS 2 et quels changements pour les conseils d’administration et la direction ?
La directive NIS 2 attribue la responsabilité directe des risques informatiques hérités au conseil d'administration et à la direction générale, et non plus seulement à la direction informatique. Chaque problème non résolu devient alors une préoccupation du conseil d'administration. L'article 21(2) de la directive stipule que chaque actif hérité « irréparable » (serveurs non pris en charge, automates programmables obsolètes, équipements réseau hérités) doit avoir un propriétaire désigné, une fréquence de révision et un plan d'atténuation ou d'acceptation des risques, formellement consigné au niveau de la direction. Il ne s'agit pas seulement d'une question de procédure : si la propriété ou l'état d'avancement sont flous, les régulateurs et les auditeurs s'attendent désormais à ce que la direction, et non l'informatique, soit interrogée sur les risques persistants.
Le leadership ne se mesure plus en termes de signatures sur une politique, mais en termes de progrès transparents sur chaque écart ouvert.
La gestion des risques hérités est devenue un test de leadership visible. Les feuilles de calcul ou les journaux non signés ne suffisent plus : chaque exception doit être rattachée à une responsabilité spécifique de la direction, avec des plans d'action régulièrement documentés et révisés. Les conseils d'administration sont désormais censés passer d'une validation passive des exceptions à une évaluation proactive, la clôture des exceptions et les progrès en matière d'atténuation faisant partie intégrante de la performance continue en matière de conformité.
Tableau de propriété des actifs hérités
| Actif hérité | Propriétaire | Prochaine critique | Plan d'atténuation |
|---|---|---|---|
| Serveur de paiement 2010 | CTO | 2024-10-01 | Ségrégation ; pas d'AMF possible |
| API d'usine (Ligne 2) | Chef des opérations | 2024-07-15 | Retraite prévue T1 2025 |
| Routeur hérité | Responsable réseau | 2024-09-01 | Accès par badge uniquement, isolation du réseau |
Le point à retenir ? Les conseils d'administration doivent maintenir des plans d'action et de propriété traçables et révisables pour chaque exception, sous peine d'être directement exposés lors des audits ou des analyses d'incidents.
Quels contrôles compensatoires sont considérés comme suffisamment puissants pour les systèmes existants et quelles en sont les limites ?
De véritables contrôles compensatoires ne sont acceptés pour les actifs existants que s'ils sont considérés comme des passerelles temporaires, et non comme des failles permanentes. Les auditeurs et les régulateurs exigent désormais une approche multidimensionnelle et défendable, incluant (mais sans s'y limiter) :
- Contrôles d’accès physiques stricts (badges, biométrie, salles verrouillées),
- Segmentation renforcée du réseau (VLAN isolés avec restrictions de pare-feu),
- Approbation à deux personnes (double) pour les actions administratives critiques,
- Journaux de bord manuels avec revue et signature programmées par la direction,
- Changements périodiques de mot de passe imposés,
- Examens planifiés au niveau du conseil d’administration et comptes rendus des mises à jour sur chaque exception.
Toutefois, ces contrôles ne sont acceptés que si les preuves montrent :
- Chaque exception est formellement justifiée, et pas seulement administrée par le service informatique,
- Les contrôles sont examinés et soit avancés, soit supprimés à des intervalles planifiés,
- Des plans de fermeture ou de migration sont en place et suivis,
- La surveillance de la gestion est vérifiable et non implicite.
Les auditeurs font confiance à ce qu’ils peuvent retracer : les contrôles compensatoires sans limite de temps deviennent des faiblesses de conformité.
Instantané de contrôle de compensation
| Asset | Contrôle appliqué | Emplacement des preuves d'audit | Prochaine critique |
|---|---|---|---|
| Serveur de paie (hérité) | Salle de serveurs verrouillée | Journal des badges, déconnexion | 2024-11-01 |
| Interrupteur obsolète | VLAN segmenté | Documents de configuration réseau | 2024-09-15 |
| PLC (Ligne 2) | Journal de bord manuel | Enregistrement de quart de travail, signé | 2024-07-15 |
Les conseils d’administration doivent s’attendre à ce que les contrôles compensatoires soient remis en question et doivent démontrer une évolution régulière vers la fermeture des risques ou la migration des actifs.
Comment les exceptions pour les technologies héritées doivent-elles être documentées pour les audits NIS 2 et les examens de cyberassurance ?
La gestion des exceptions sous NIS 2 est désormais un test de traçabilité et de sécurité. Plutôt que des journaux d'approbation statiques ou des exceptions générales, on s'attend à un enregistrement évolutif :
- Chaque système hérité doit être répertorié dans votre registre des risques,
- L’écart technique et la justification commerciale doivent être clairs,
- Des contrôles compensatoires spécifiques sont documentés et testés,
- La propriété nommée est attribuée (idéalement avec une visibilité du conseil d'administration/de la direction),
- Les dates de révision et les étapes d'avancement sont planifiées et justifiées (signatures, comptes rendus de réunion, journaux exportés),
- Les objectifs de fermeture ou de migration sont explicites et ne se limitent pas au langage de la « feuille de route ».
Tout cela est lié à votre déclaration d'applicabilité (DdA), reliant les exceptions à des contrôles tels que l'annexe A.8.8 de la norme ISO 27001:2022 ou des clauses analogues (ISO/IEC 27001:2022). Des plateformes intégrées comme ISMS.online peuvent automatiser ce processus en centralisant les données sur les actifs, les journaux des risques, les enregistrements des contrôles compensatoires, les approbations et les justificatifs, rendant ainsi les exceptions immédiatement prêtes pour l'audit.
La conformité mature est mesurée par le nombre d’exceptions fermées, et non par le nombre d’excuses enregistrées.
Tableau de traçabilité des exceptions
| Gâchette | Référence du journal des risques | Lien SoA | Contrôle appliqué | Preuve |
|---|---|---|---|---|
| Fin de vie des actifs | A.8.8 écart | Actif_x123 | VLAN, journaux manuels | Conseil d'administration, dossier d'audit T2 |
L'absence de dossiers d'exceptions actifs et vérifiés est désormais un signal d'alarme pour les auditeurs et les cyberassureurs. Chaque exception doit indiquer une date de clôture ou de migration programmée.
Comment les règles nationales ou industrielles modifient-elles la conformité du système hérité NIS 2 ?
La conformité ne s'arrête pas aux frontières de l'UE : la plupart des pays et des secteurs réglementés ajoutent désormais des superpositions ou des règles plus strictes à la norme NIS 2. Voici quelques exemples clés :
- NHS numérique au Royaume-Uni : Exige une approbation annuelle au niveau du conseil d'administration, des plans de déclassement et une documentation complète des actifs/progrès pour les systèmes de santé.
- BSI en Allemagne : Nécessite des preuves mensuelles examinées par le conseil d’administration et une affectation unique du propriétaire pour les secteurs de l’énergie et des infrastructures.
- Décret royal espagnol 43/2021 : Impose un examen mensuel des exceptions et des preuves réglementaires pour les services publics/fournisseurs.
La réussite d'un pays peut être un échec ailleurs, notamment si les revues sectorielles exigent une fréquence accrue, une documentation supplémentaire ou des modèles de rapport spécifiques. Maintenez des packs de versions contrôlées pour satisfaire aux audits européens et sectoriels/nationaux, et consultez régulièrement les évolutions réglementaires à venir.
Les superpositions nationales ne sont pas des options de conformité facultatives : elles constituent désormais un territoire de risque majeur.
Tableau de comparaison des superpositions
| Asset | Pays | Secteur | Cycle de révision | Modèle réglementaire |
|---|---|---|---|---|
| Scanner IRM | UK | Santé | annuelle | Conformité numérique du NHS |
| Ordinateur central SCADA | Allemagne | Énergie | Mensuel | BSI KritisV |
| Serveur utilitaire | Espagne | Utilitaires | Mensuel | Arrêté royal 43/2021 |
Pour les organisations multinationales, l'intégration des superpositions doit faire partie de votre SoA et de votre cycle de révision interne.
Les journaux manuels ou les feuilles de calcul sont-ils toujours acceptés comme preuve du contrôle hérité et quel est le seuil d'audit ?
Les journaux manuels et les feuilles de calcul sont acceptés sous NIS 2 uniquement preuves de transition à court terme-jamais comme mesures de conformité permanentes. Les auditeurs exigent :
- Lien direct avec le registre des risques et le SoA,
- Approbation et examen par la direction (et pas seulement par le service informatique) à chaque intervalle défini (au minimum trimestriellement),
- Un plan de clôture défini avec une échéance concrète pour la migration vers des solutions automatisées et sécurisées,
- Journaux et preuves régulièrement examinés et mis à jour (BSI Group, 2024).
Les feuilles de calcul non révisées et perpétuelles constituent désormais un obstacle à la conformité, et non une solution de contournement. Leur durée de conservation habituelle est d'un cycle d'audit, soit de 6 à 12 mois. L'expiration des feuilles, leur révision et leur évolution vers une solution plus robuste doivent être documentées et les preuves rendues visibles par le conseil d'administration.
Les feuilles de calcul qui deviennent permanentes héritent de la responsabilité de chaque journal manqué et de chaque approbation non signée.
Tableau des preuves manuelles
| Type de preuve | Intervalle de révision | Déclencheur de fermeture planifiée |
|---|---|---|
| Feuille de journal des badges | 3 – 6 mois | Migration programmée |
| Feuille de risques Excel | Cycle d'audit | Journaux automatisés déployés |
| Journal de bord signé | <12 mois | Actif mis hors service |
Pour chacun d’entre eux, liez l’expiration à une migration ou à un changement d’actif ; ne laissez jamais cette mesure ouverte.
Quel est le processus au niveau du conseil d'administration pour la clôture des risques informatiques hérités et comment ISMS.online opérationnalise-t-il l'action NIS 2/ISO 27001 ?
Une feuille de route défendable du conseil d’administration pour les risques liés aux technologies de l’information héritées combine :
- Catalogue complet des actifs avec un score d'écart/criticité,
- Affectation claire du propriétaire technique et exécutif à chaque système hérité,
- Mappage des exceptions aux contrôles spécifiques de la norme ISO 27001 / Annexe A et de l'article 21(2) de la norme NIS 2,
- Flux de travail des preuves- examiner les jalons, les journaux d'actions, le suivi des clôtures et les exportations prêtes pour l'audit/l'assureur,
- Automatisation-avec des plateformes comme ISMS.online fournissant des tableaux de bord pour la fermeture active des exceptions, des rappels programmés et des preuves de progression exportables ((https://fr.isms.online/solutions/legacy-systems-and-isms/)).
La conformité dirigée par le conseil d'administration signifie que chaque actif à risque a un nom, une date d'examen, une action et un journal de clôture qui fait avancer chaque audit.
Tableau des jalons de conformité
| Etape | Sortie |
|---|---|
| Inventaire des actifs | Actifs enregistrés, lacunes critiques |
| Affectation du propriétaire | Matrice en direct avec des révisions programmées |
| Mappage des exceptions | Lien SoA/risque pour chaque exception |
| Suivi des preuves | Réviser les journaux, exporter pour un audit |
| Progrès de la fermeture | Statut + dates, signé par la direction |
ISMS.online rend chaque étape traçable, sans papier et prête pour l'examen du conseil d'administration ou de l'audit - plus d'exceptions manquées dans le bruit.
Comment les normes ISO 27001:2022 et NIS 2 transforment-elles la gestion des exceptions en un processus exploitable et prêt pour l'audit ?
Les normes ISO 27001:2022 et NIS 2 exigent toutes deux une traçabilité, une responsabilisation basée sur les rôles et des preuves pour chaque écart technologique et exception. Commencez par associer les exceptions et les enregistrements d'actifs en temps réel à leurs points de contrôle de l'Annexe A et de la norme NIS 2, attribuez des propriétaires, définissez des cycles de révision automatisés et associez chaque action aux journaux de validation/d'exportation. L'objectif est de créer une chaîne de preuves pouvant instantanément passer de l'actif à l'exception jusqu'à la date de clôture, prête à être examinée lors de toute réunion d'audit, de conseil d'administration ou d'assureur (ISO/IEC 27001:2022).
Votre prochaine étape : déployer (ou mettre à jour) un registre des exceptions mappé à tous les contrôles pertinents, l'intégrer aux flux de travail de preuve et aux calendriers d'examen du conseil, et automatiser les rappels afin que le statut des exceptions ne devienne jamais obsolète. ISMS.online fournit des outils prêts à l'emploi pour relier chaque écart, validation et action à un suivi unique et visible par le conseil.
Chaque exception fermée transforme le risque hérité en leadership de conformité : chaque action est une preuve.
Exposez votre processus d'exception, associez-le aux calendriers du conseil d'administration et démontrez une progression continue axée sur la clôture. C'est la nouvelle référence pour les audits et la confiance des assureurs selon les normes NIS 2 et ISO 27001:2022.
