Analyse de risque basée sur la gestion des actifs : un pilier de la conformité NIS 2

L’un des fondements de cette conformité repose sur une analyse de risque rigoureuse, centrée sur la gestion des actifs informationnels.

 

Pourquoi une analyse de risque est-elle indispensable ?

La directive NIS 2 impose une approche basée sur les risques pour déterminer les mesures de sécurité à mettre en œuvre.

Cela signifie que les entités doivent :

• Identifier leurs actifs critiques (systèmes, données, infrastructures).
• Évaluer les menaces et vulnérabilités susceptibles de les affecter.
• Mesurer les impacts potentiels en cas d’incident.
• Prioriser les risques pour allouer les ressources de manière optimale.

Cette démarche permet de garantir que les efforts de cybersécurité sont proportionnés aux enjeux réels de l’organisation.

 

La gestion des actifs : point de départ de l’analyse

La cartographie des actifs est une étape incontournable. Elle consiste à :

• Recenser les systèmes d’information, les données sensibles, les services critiques.
• Identifier les dépendances internes et externes (fournisseurs, sous-traitants).
• Évaluer la criticité de chaque actif en fonction de son rôle dans la continuité des opérations.

Sans cette vision claire, il est impossible de mener une analyse de risque pertinente.

 

Des mesures adaptées aux risques identifiés

Une fois les risques évalués, NIS 2 exige la mise en œuvre de mesures techniques et organisationnelles adaptées :

• Sécurisation des accès et des identités.
• Chiffrement des données sensibles.
• Surveillance des systèmes et détection des intrusions.
• Sauvegardes régulières et plans de continuité.

Ces mesures doivent être documentées, révisées régulièrement et communiquées à l’ensemble du personnel.

 

Mesures à intégrer dans l’analyse

L’analyse de risque doit couvrir les domaines suivants :

• Gestion des incidents et notification à l’ILR.
• Continuité d’activité et gestion de crise.
• Sécurité des ressources humaines, des accès et des identités.
• Cryptographie et sécurité des communications.
• Sécurité de la chaîne d’approvisionnement.
• Développement sécurisé des systèmes et gestion des vulnérabilités.

 

Recommandations clés de l’ILR

Au Luxembourg, l’Institut Luxembourgeois de Régulation (ILR) est l’autorité compétente en matière de sécurité des réseaux et des systèmes d’information et recommande une approche structurée et documentée, incluant :

• Cartographie des actifs : recenser les systèmes, données et infrastructures critiques.
• Approche “tous risques” : considérer les risques cyber, physiques, organisationnels et liés à la chaîne d’approvisionnement.
• Utilisation d’outils spécialisés : l’ILR recommande l’usage de MONARC, un outil d’analyse de risque intégré à la plateforme SERIMA, pour faciliter la formalisation et la traçabilité des évaluations.
• Formation et sensibilisation : les membres des organes de direction doivent être formés pour comprendre et superviser les mesures de cybersécurité.
• Documentation des mesures : les entités essentielles doivent fournir régulièrement des livrables (analyse de risque, politiques de sécurité, etc.) à l’ILR dans le cadre de la supervision ex ante.