Évaluation des risques NIS 2 : comment évaluer les risques de cybersécurité
L'évaluation des risques est le fondement de la conformité NIS 2. L'Article 21 exige des organisations qu'elles adoptent une approche basée sur les risques en matière de cybersécurité, ce qui signifie que toutes les mesures de sécurité doivent être proportionnées aux risques identifiés. Un processus structuré d'évaluation des risques vous aide à identifier les menaces, évaluer les vulnérabilités et prioriser efficacement vos investissements en cybersécurité.
Points clés
| Point | Résumé |
|---|---|
| Obligatoire | L'analyse des risques est la première des 10 mesures de cybersécurité requises par l'Article 21 |
| Approche tous risques | NIS 2 impose de considérer toutes les menaces pertinentes, y compris physiques et environnementales |
| Proportionnée | Les mesures doivent être proportionnées aux risques, à la taille de l'entité et à l'impact sociétal potentiel |
| Revue régulière | Les évaluations des risques doivent être mises à jour périodiquement et après des changements significatifs |
| Alignement ISO 27001 | L'évaluation des risques NIS 2 s'aligne étroitement avec la méthodologie d'évaluation des risques ISO 27001 |
Réponse rapide : NIS 2 exige des organisations qu'elles mènent des évaluations complètes des risques couvrant leurs réseaux et systèmes d'information. L'évaluation doit identifier les menaces et vulnérabilités, évaluer l'impact potentiel et orienter des mesures de cybersécurité proportionnées. Elle doit être revue régulièrement et mise à jour après des changements significatifs.
L'approche tous risques
NIS 2 introduit une "approche tous risques" pour l'évaluation des risques. Cela signifie que les organisations doivent considérer des menaces au-delà des menaces cyber traditionnelles :
| Catégorie de menace | Exemples |
|---|---|
| Menaces cyber | Malware, ransomware, phishing, menaces persistantes avancées, DDoS |
| Menaces physiques | Catastrophes naturelles, incendies, inondations, pannes de courant |
| Menaces humaines | Menaces internes, ingénierie sociale, erreur humaine |
| Menaces de la chaîne d'approvisionnement | Fournisseurs compromis, vulnérabilités des prestataires, interruptions de service |
| Défaillances techniques | Pannes matérielles, bugs logiciels, obsolescence des systèmes |
| Environnementales | Événements climatiques, pandémies, perturbations géopolitiques |
Cette approche globale garantit que les organisations ne négligent pas les menaces non numériques qui peuvent avoir des implications significatives en matière de cybersécurité.
Méthodologie d'évaluation des risques
Étape 1 : Définir le périmètre et le contexte
Établissez les limites de votre évaluation des risques :
- Identifier les réseaux et systèmes d'information dans le périmètre
- Comprendre le contexte métier et les services critiques fournis
- Déterminer l'environnement réglementaire (quelles exigences NIS 2 s'appliquent)
- Considérer le rôle de l'entité dans la chaîne d'approvisionnement et le secteur plus large
- Documenter la méthodologie et les critères d'évaluation des risques
Étape 2 : Identification des actifs
Créez un inventaire complet des actifs :
- Matériel (serveurs, équipements réseau, endpoints, appareils IoT)
- Logiciels (systèmes d'exploitation, applications, bases de données)
- Données (données clients, propriété intellectuelle, données opérationnelles)
- Services (services cloud, services managés, intégrations tierces)
- Personnel (employés, prestataires, accès tiers)
- Installations (centres de données, bureaux, environnements de travail à distance)
Étape 3 : Identification des menaces
Identifiez les menaces potentielles pour chaque catégorie d'actif :
- Examiner les sources de renseignement sur les menaces pertinentes pour votre secteur
- Considérer les incidents historiques dans votre organisation et votre secteur
- Évaluer le paysage des menaces spécifique à votre localisation géographique
- Évaluer les menaces provenant de la chaîne d'approvisionnement
- Inclure les menaces émergentes et les vecteurs d'attaque en évolution
Étape 4 : Évaluation des vulnérabilités
Identifiez les faiblesses que les menaces pourraient exploiter :
- Mener des scans techniques de vulnérabilités des systèmes et réseaux
- Examiner les configurations par rapport aux référentiels de sécurité
- Évaluer les faiblesses des processus et procédures
- Évaluer les facteurs humains (niveaux de sensibilisation, lacunes de formation)
- Examiner les vulnérabilités des tiers et de la chaîne d'approvisionnement
Étape 5 : Analyse d'impact
Évaluez les conséquences potentielles d'une attaque réussie :
| Dimension d'impact | Questions à considérer |
|---|---|
| Opérationnel | Comment l'incident perturberait-il la prestation de services ? |
| Financier | Quels coûts directs et indirects résulteraient ? |
| Réputationnel | Comment la confiance des parties prenantes serait-elle affectée ? |
| Juridique/Réglementaire | Quelles violations de conformité pourraient en résulter ? |
| Sociétal | Quel impact plus large pourrait se produire sur la sécurité ou le bien-être public ? |
NIS 2 exige explicitement de considérer la dimension sociétale, reflétant l'accent de la directive sur la protection des infrastructures et services critiques.
Étape 6 : Évaluation de la probabilité
Estimez la probabilité que chaque risque identifié se matérialise :
| Niveau de probabilité | Description |
|---|---|
| Très élevée | Attendu plusieurs fois par an |
| Élevée | Susceptible de se produire au moins une fois par an |
| Moyenne | Possible dans un délai de 1-3 ans |
| Faible | Peu probable mais possible dans les 5 ans |
| Très faible | Rare, circonstances exceptionnelles |
Étape 7 : Évaluation des risques
Combinez l'impact et la probabilité pour déterminer les niveaux de risque globaux :
| Impact faible | Impact moyen | Impact élevé | Impact critique | |
|---|---|---|---|---|
| Probabilité très élevée | Moyen | Élevé | Critique | Critique |
| Probabilité élevée | Faible | Moyen | Élevé | Critique |
| Probabilité moyenne | Faible | Moyen | Élevé | Élevé |
| Probabilité faible | Faible | Faible | Moyen | Élevé |
| Probabilité très faible | Faible | Faible | Faible | Moyen |
Étape 8 : Traitement des risques
Pour chaque risque identifié, décidez d'une approche de traitement :
| Traitement | Quand l'utiliser |
|---|---|
| Atténuer | Mettre en œuvre des contrôles pour réduire le risque à un niveau acceptable |
| Transférer | Transférer le risque par l'assurance ou des arrangements contractuels |
| Accepter | Accepter le risque résiduel lorsqu'il est dans l'appétit pour le risque |
| Éviter | Éliminer l'activité ou l'actif qui crée le risque |
Documentez la justification de chaque décision de traitement et assurez l'approbation de la direction.
La proportionnalité en pratique
NIS 2 exige que les mesures soient proportionnées. Lors de l'application des résultats de votre évaluation des risques, considérez :
- Taille de l'entité : Une entreprise de 50 personnes mettra en œuvre des mesures différemment d'une organisation de 5 000 personnes
- Exposition : Un service exposé sur Internet a des profils de risque différents d'un système interne uniquement
- Importance du secteur : Les entités dans des secteurs hautement critiques font face à des attentes plus élevées
- Rapport coût-efficacité : Les investissements de sécurité doivent être proportionnés à la réduction des risques obtenue
- État de l'art : Considérer les meilleures pratiques actuelles et les technologies disponibles
Alignement avec ISO 27001
Les organisations avec une certification ISO 27001 trouveront un chevauchement significatif entre ses exigences d'évaluation des risques et NIS 2 :
| Aspect | ISO 27001 | NIS 2 |
|---|---|---|
| Méthodologie d'évaluation des risques | Requise (Clause 6.1.2) | Requise (Article 21) |
| Approche basée sur les actifs | Pratique courante | Encouragée |
| Plan de traitement des risques | Requis (Clause 6.1.3) | Requis (Article 21) |
| Approbation de la direction | Requise | Requise |
| Revue régulière | Requise | Requise |
| Approche tous risques | Recommandée | Obligatoire |
L'ajout clé dans NIS 2 est l'approche tous risques explicite et la considération de l'impact sociétal, ce qui peut nécessiter d'étendre une évaluation des risques ISO 27001 existante.
Questions fréquentes
À quelle fréquence devons-nous mener des évaluations des risques ?
NIS 2 ne spécifie pas de fréquence fixe, mais les évaluations des risques doivent être revues au moins annuellement et mises à jour après des changements significatifs dans l'organisation, le paysage des menaces ou l'environnement technologique. ISO 27001 recommande de mener des évaluations complètes des risques au moins annuellement, ce qui est un référentiel raisonnable pour la conformité NIS 2 également.
Qui doit être impliqué dans l'évaluation des risques ?
Les évaluations des risques doivent impliquer des parties prenantes de toute l'organisation, y compris l'IT, la sécurité, les opérations, le juridique et la direction. L'implication de la direction est particulièrement importante compte tenu des exigences de responsabilité de la direction de NIS 2. Une expertise externe peut être précieuse pour identifier les angles morts et se comparer aux pratiques du secteur.
Pouvons-nous utiliser notre cadre d'évaluation des risques existant ?
Oui. NIS 2 n'impose pas de méthodologie spécifique. Si vous avez déjà un processus d'évaluation des risques (basé sur ISO 27005, NIST, OCTAVE ou un autre cadre reconnu), vous pouvez l'adapter pour couvrir les exigences NIS 2. L'essentiel est de s'assurer qu'il couvre l'approche tous risques et considère les facteurs de proportionnalité définis dans la directive.