Exigences de continuité d'activité NIS 2
La continuité d'activité et la gestion de crise sont des exigences fondamentales de NIS 2. L'Article 21(2)(c) impose spécifiquement aux organisations de mettre en œuvre des mesures de continuité d'activité, incluant la gestion des sauvegardes, la reprise après sinistre et les procédures de gestion de crise. Ces exigences garantissent que les services critiques peuvent être maintenus ou rapidement restaurés après un incident de cybersécurité.
Points clés
| Point | Résumé |
|---|---|
| Exigence fondamentale | L'Article 21(2)(c) impose la continuité d'activité, la gestion des sauvegardes et la reprise après sinistre |
| Gestion de crise | Les organisations doivent avoir des structures et procédures de gestion de crise |
| Tests | Les plans doivent être régulièrement testés et mis à jour |
| Proportionnée | Les mesures doivent correspondre au profil de risque et à la criticité de l'organisation |
| Intégration | La continuité d'activité doit être intégrée à la réponse aux incidents et à la gestion des risques |
Réponse rapide : NIS 2 exige des organisations qu'elles mettent en œuvre des mesures complètes de continuité d'activité incluant la gestion des sauvegardes, les plans de reprise après sinistre et les procédures de gestion de crise. Celles-ci doivent être proportionnées au profil de risque de l'entité, régulièrement testées et maintenues à jour.
Ce que NIS 2 exige
Gestion des sauvegardes
Les organisations doivent mettre en œuvre des procédures de sauvegarde robustes :
| Exigence | Bonne pratique |
|---|---|
| Sauvegardes régulières | Sauvegardes automatisées et planifiées des systèmes et données critiques |
| Tests de sauvegarde | Tests réguliers de restauration pour vérifier l'intégrité des sauvegardes |
| Stockage sécurisé | Stockage de sauvegarde hors site ou isolé pour se protéger contre les ransomwares |
| Politiques de rétention | Périodes de rétention définies alignées sur les objectifs de récupération |
| Chiffrement | Chiffrer les sauvegardes pour protéger la confidentialité |
Reprise après sinistre
La planification de la reprise après sinistre garantit que les systèmes peuvent être restaurés après une perturbation majeure :
| Composante | Description |
|---|---|
| Objectif de temps de reprise (RTO) | Temps d'arrêt maximal acceptable pour chaque service critique |
| Objectif de point de reprise (RPO) | Perte de données maximale acceptable mesurée en temps |
| Procédures de récupération | Processus de restauration documentés étape par étape |
| Redondance d'infrastructure | Capacités de basculement pour les systèmes critiques |
| Plans de communication | Comment coordonner les activités de récupération |
Gestion de crise
Les organisations doivent avoir des structures pour gérer les crises :
- Équipe de gestion de crise : Rôles et responsabilités définis pendant une crise
- Autorité décisionnelle : Processus d'escalade et d'autorisation clairs
- Protocoles de communication : Communication interne et externe pendant les crises
- Coordination avec les autorités : Processus d'engagement avec les CSIRT nationaux et les autorités compétentes
- Gestion des parties prenantes : Communication avec les clients, partenaires et le public
Développer un programme de continuité d'activité
Étape 1 : Analyse d'impact sur l'activité
Identifiez vos services critiques et évaluez l'impact d'une perturbation :
| Question | Objectif |
|---|---|
| Quels services sont les plus critiques ? | Prioriser les efforts de récupération |
| Quel est l'impact financier d'un temps d'arrêt ? | Justifier l'investissement dans les mesures de continuité |
| Quelles dépendances sont les plus vulnérables ? | Identifier les points de défaillance uniques |
| Quel est le temps d'arrêt maximal tolérable ? | Définir les objectifs de temps de reprise |
| Qui sont les parties prenantes clés ? | Planifier la communication et la coordination |
Étape 2 : Développer les plans de continuité
Créez des plans pour chaque service critique :
- Documenter les opérations normales et les dépendances clés
- Définir les critères de déclenchement pour activer le plan de continuité d'activité
- Spécifier les procédures de récupération et le personnel responsable
- Identifier les procédures d'exploitation alternatives pendant la perturbation
- Documenter les besoins en ressources pour la récupération
Étape 3 : Mettre en œuvre les mesures techniques
Déployez l'infrastructure nécessaire pour soutenir la continuité :
- Systèmes de sauvegarde automatisés avec restauration vérifiée
- Infrastructure redondante pour les systèmes critiques
- Mécanismes de basculement (actif-passif, actif-actif)
- Résilience réseau (plusieurs FAI, distribution géographique)
- Systèmes de communication d'urgence
Étape 4 : Tester et exercer
Des tests réguliers valident que les plans fonctionnent en pratique :
| Type de test | Fréquence | Portée |
|---|---|---|
| Restauration de sauvegarde | Mensuel | Vérifier que les données peuvent être restaurées depuis les sauvegardes |
| Exercice sur table | Trimestriel | Parcourir les scénarios avec le personnel clé |
| Exercice de simulation | Annuel | Tester les procédures de récupération dans un environnement contrôlé |
| Test de basculement complet | Annuel | Tester le basculement réel vers les systèmes de secours |
Étape 5 : Maintenir et améliorer
La continuité d'activité n'est pas un effort ponctuel :
- Revoir et mettre à jour les plans après chaque test ou incident réel
- Incorporer les leçons apprises des exercices et événements réels
- Mettre à jour les plans lorsque les systèmes, services ou structures organisationnelles changent
- S'assurer que les nouveaux employés comprennent leurs rôles dans les plans de continuité
Intégration avec la réponse aux incidents NIS 2
La continuité d'activité et la réponse aux incidents sont étroitement liées sous NIS 2 :
| Phase | Réponse aux incidents | Continuité d'activité |
|---|---|---|
| Détection | Identifier l'incident | Évaluer l'impact sur les services critiques |
| Réponse | Contenir et enquêter | Activer les mesures de continuité |
| Récupération | Remédier à la cause profonde | Restaurer les services à la normale |
| Signalement | Soumettre les rapports NIS 2 (24h/72h/1 mois) | Rapporter sur le statut de restauration des services |
| Revue | Analyser l'incident et la réponse | Mettre à jour les plans de continuité basés sur les leçons apprises |
Considérations de proportionnalité
NIS 2 exige que les mesures soient proportionnées. Lors de la conception de la continuité d'activité :
| Facteur | Exigences plus faibles | Exigences plus élevées |
|---|---|---|
| Classification de l'entité | Entités importantes | Entités essentielles |
| Criticité du service | Services de support | Services critiques de base |
| Impact utilisateur | Base d'utilisateurs limitée | Large population affectée |
| Dépendances sectorielles | Services autonomes | Dépendances sectorielles |
| Complexité de récupération | Systèmes simples et reproductibles | Systèmes complexes et interconnectés |
Questions fréquentes
Quels objectifs de temps de reprise sont acceptables sous NIS 2 ?
NIS 2 ne prescrit pas de RTO spécifiques. Les objectifs de récupération doivent être proportionnés à la criticité du service et à l'impact potentiel d'une perturbation. Les entités essentielles fournissant des services dont la société dépend (énergie, santé, transport) devraient viser des temps de récupération plus courts que les entités fournissant des services moins critiques.
Avons-nous besoin d'un site de reprise après sinistre dédié ?
Pas nécessairement. L'approche dépend de votre évaluation des risques et de la criticité de vos services. La reprise après sinistre basée sur le cloud, les déploiements multi-régions et les services DR managés peuvent fournir des alternatives efficaces aux sites physiques dédiés. L'essentiel est que vos capacités de récupération correspondent à vos RTO et RPO définis.
Comment la continuité d'activité se rapporte-t-elle à ISO 27001 ?
ISO 27001 inclut des exigences de continuité d'activité dans les contrôles de l'Annexe A A.5.29 (Préparation TIC pour la continuité d'activité) et A.5.30 (Préparation TIC pour la continuité d'activité). Les organisations certifiées ISO 27001 auront une base solide, bien que NIS 2 puisse exiger des structures de gestion de crise et des régimes de tests plus explicites que ceux mis en œuvre sous ISO 27001 seul.