Évaluation des risques NIS2 : Un cadre structuré pour identifier et hiérarchiser vos cyber-écarts

L'article 21 de la NIS2 impose aux entités essentielles et importantes d'adopter une approche de la cybersécurité fondée sur les risques. Mais la directive ne prescrit pas de méthodologie spécifique. Les organisations doivent choisir et mettre en œuvre un cadre adapté à leur taille, à leur exposition et à leur secteur. Ce guide présente une méthodologie structurée en six étapes, alignée sur la norme ISO 27005:2022 (Gestion des risques liés à la sécurité de l'information) et sur les orientations de l'ENISA, adaptée aux organisations soumises à la NIS2.

L'importance d'un cadre structuré

Les mesures de sécurité ad hoc, même si elles sont bien intentionnées, ne répondent pas à la norme NIS2. L'article 21 exige des mesures appropriées et proportionnées, ce qui implique une justification documentée pour chaque décision de sécurité. Un cadre structuré d'évaluation des risques fournit cette justification. Il garantit que les ressources sont allouées aux risques les plus importants, que les risques résiduels sont consciemment acceptés par la direction et que la conformité peut être démontrée aux autorités de contrôle.

Le cadre présenté ici suit six étapes séquentielles. Chaque étape produit des résultats documentés qui alimentent la suivante, créant ainsi un processus de gestion des risques complet et vérifiable.

Étape 1 : Identification et évaluation des actifs

Avant de pouvoir évaluer les risques, vous devez savoir ce que vous protégez. L'identification des actifs permet de dresser un inventaire complet des actifs informationnels, des réseaux et des systèmes d'information, ainsi que de l'infrastructure de soutien dans le cadre de votre NIS2.

Catégories de biens à inventorier :

• Actifs informationnels : bases de données clients, propriété intellectuelle, dossiers des employés, données financières, données opérationnelles.
• Actifs matériels : serveurs, postes de travail, équipements réseau, appareils IoT, appareils mobiles.
• Actifs logiciels : systèmes d'exploitation, applications, logiciels intermédiaires, microprogrammes.
• Actifs du réseau : Infrastructure LAN/WAN, pare-feu, VPN, connectivité en nuage
• Actifs de services : services en nuage, plateformes SaaS, services gérés, API de tiers
• Personnel : rôles clés et niveaux d'accès

Chaque actif doit être évalué en fonction de sa criticité pour vos opérations et de la sensibilité des données qu'il contient. La norme ISO 27005 recommande d'attribuer une valeur d'impact sur l'entreprise (par exemple, faible, moyen, élevé, critique) en fonction des conséquences potentielles d'une compromission de la confidentialité, de l'intégrité et de la disponibilité.

Étape 2 : Analyse de la menace

L'analyse des menaces permet d'identifier les sources et les événements potentiels susceptibles de compromettre vos actifs. Les menaces peuvent être classées en différentes catégories :

• Délibéré : cyberattaques ciblées, ransomware, menaces internes, espionnage, hacktivisme
• Accidentelle : erreur humaine, mauvaise configuration, bogues logiciels, défaillances matérielles.
• Environnement : catastrophes naturelles, pannes d'électricité, perturbations de la chaîne d'approvisionnement

Utilisez les sources de renseignements sur les menaces pour calibrer votre analyse. L'ENISA publie un rapport annuel sur le paysage des menaces qui identifie les principales menaces auxquelles sont confrontées les organisations européennes. Les ISAC (centres d'analyse et de partage de l'information) sectoriels fournissent des renseignements pertinents pour l'industrie. Votre analyse doit tenir compte à la fois de la probabilité de chaque menace et des capacités des acteurs concernés.

Étape 3 : Évaluation de la vulnérabilité

L'évaluation des vulnérabilités permet d'identifier les faiblesses de vos systèmes, processus et contrôles qui pourraient être exploitées par les menaces identifiées à l'étape 2. Il s'agit notamment de

• Vulnérabilités techniques : logiciels non corrigés, configurations faibles, ports ouverts, chiffrement manquant.
• Vulnérabilités organisationnelles : politiques de sécurité inadéquates, formation insuffisante, responsabilités mal définies.
• Vulnérabilités physiques : contrôles d'accès inadéquats, absence de protection de l'environnement
• Vulnérabilités de la chaîne d'approvisionnement : logiciels tiers non vérifiés, API non sécurisées, pratiques de sécurité insuffisantes des fournisseurs

Les outils automatisés d'analyse des vulnérabilités constituent une base de référence, mais ils doivent être complétés par des tests manuels (tests de pénétration) et des examens des processus. L'article 21, paragraphe 2, point e), de la NIS2 exige spécifiquement des capacités de traitement et de divulgation des vulnérabilités.

Étape 4 : Analyse d'impact

Pour chaque paire menace-vulnérabilité plausible, évaluez l'impact potentiel si le risque se concrétise. L'évaluation de l'impact doit porter sur plusieurs aspects :

• Impact opérationnel : interruption de service, temps de récupération, perte de capacités critiques.
• Impact financier : coûts directs (réponse à l'incident, remédiation), coûts indirects (perte de revenus, pénalités contractuelles).
• Impact réglementaire : Pénalités NIS2 (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires pour les entités essentielles), amendes GDPR si des données personnelles sont impliquées.
• Impact sur la réputation : confiance des clients, exposition aux médias, positionnement concurrentiel
• Impact sur la sécurité : dommages physiques (pertinent pour les secteurs de la santé, de l'énergie et des transports)

Utilisez une échelle d'impact cohérente (par exemple, négligeable, mineur, modéré, majeur, catastrophique) avec des critères définis pour chaque niveau. Cela permet de comparer les risques entre eux et de les classer par ordre de priorité.

Étape 5 : Évaluation et hiérarchisation des risques

Le risque est la combinaison de la probabilité qu'une menace exploite une vulnérabilité et de l'impact si elle le fait. Utilisez une matrice des risques pour représenter chaque risque identifié :

Niveau de risque = Probabilité x Impact. Classez les risques dans les catégories suivantes : Critique (action immédiate requise), Élevé (action requise dans un délai défini), Moyen (surveiller et programmer des mesures correctives), Faible (accepter ou surveiller).

C'est à l'étape de l'évaluation des risques que se concrétise la responsabilité de la direction au titre de l'article 20 du NIS2. L'organe de direction doit examiner et approuver officiellement l'évaluation des risques, en acceptant les risques résiduels en étant pleinement conscient de leurs conséquences potentielles.

Étape 6 : Planification du traitement des risques

Pour chaque risque dépassant l'appétit pour le risque défini par votre organisation, sélectionnez une option de traitement :

• Atténuer : Mettre en œuvre des contrôles pour réduire la probabilité ou l'impact (traitement le plus courant).
• Transférer : Transférer le risque à un tiers, généralement par le biais d'une cyber-assurance ou d'une externalisation auprès d'un prestataire spécialisé.
• Éviter : Éliminer le risque en interrompant l'activité qui le génère.
• Accepter : Accepter consciemment le risque lorsque les coûts de traitement dépassent l'impact potentiel (doit être documenté et approuvé par la direction).

Pour chaque mesure d'atténuation, documentez la réduction des risques attendue, le calendrier de mise en œuvre, le responsable et les ressources nécessaires. Cela devient votre plan de traitement des risques, un document évolutif qui oriente vos investissements et vos priorités en matière de cybersécurité.

Structure du registre des risques

Le registre des risques est l'élément central de votre évaluation des risques. Il doit contenir les champs suivants pour chaque risque identifié :

• Identifiant de risque : Identifiant unique
• Actif : le(s) actif(s) menacé(s)
• Menace : La source et l'événement de la menace
• Vulnérabilité : La faiblesse exploitée
• Contrôles existants : Mesures actuelles déjà en place
• Probabilité : Probabilité évaluée (par exemple, sur une échelle de 1 à 5)
• Impact : Conséquence évaluée (par exemple, sur une échelle de 1 à 5)
• Niveau de risque inhérent : Avant traitement supplémentaire
• Option de traitement : Atténuer, transférer, éviter ou accepter
• Contrôles prévus : Mesures supplémentaires à mettre en œuvre
• Niveau de risque résiduel : Après le traitement prévu
• Propriétaire du risque : personne responsable de la gestion de ce risque
• Date de révision : prochaine réévaluation prévue

Alignement sur la norme ISO 27005 et les orientations de l'ENISA

Cette méthodologie en six étapes s'aligne étroitement sur la norme ISO 27005:2022, qui fournit le cadre de référence pour la gestion des risques liés à la sécurité de l'information au sein d'un système de gestion ISO 27001. Les organisations qui cherchent à obtenir la certification ISO 27001 constateront qu'une évaluation des risques bien menée selon cette méthodologie satisfait aux exigences de la clause 6.1.2 de la norme ISO 27001.

L'ENISA a publié plusieurs ressources d'appui, notamment le guide de mise en œuvre du NIS2 et le cadre interopérable de gestion des risques. Ces ressources fournissent des scénarios de risque spécifiques au secteur, des catalogues de menaces et des cartographies de contrôle qui peuvent être utilisés pour accélérer votre évaluation des risques.

Amélioration continue

Une évaluation des risques n'est pas un exercice ponctuel. L'article 21, paragraphe 2, point f), de la NIS2 exige des politiques et des procédures permettant d'évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité. Cela signifie que :

• Réévaluer les risques au moins une fois par an et après tout changement important (nouveaux systèmes, changements organisationnels, nouvelles menaces).
• Contrôler l'efficacité des contrôles mis en œuvre au moyen d'indicateurs clés de performance et de mesures de sécurité.
• Effectuer des exercices et des simulations sur table pour tester vos scénarios de risque
• Mettez régulièrement à jour les informations sur les menaces
• de communiquer les résultats de l'évaluation des risques à la direction dans le cadre du cycle de gouvernance du système d'information géographique (NIS2)

Une évaluation des risques structurée, documentée et régulièrement mise à jour n'est pas un simple exercice de conformité. Elle constitue le fondement d'un programme de cybersécurité efficace qui protège votre organisation, vos clients et votre position concurrentielle dans un paysage de menaces de plus en plus hostile.