Prix
Essai

Continuité des activités

La fourniture de services critiques aux utilisateurs finaux est la principale préoccupation du NIS2, et la continuité des activités est donc une exigence qui nécessite un plan, des procédures de sauvegarde, de redondance et de gestion de crise.

Continuité des activités

La fourniture de services critiques aux utilisateurs finaux est la principale préoccupation du NIS2, et la continuité des activités est donc une exigence. Ce point sera expliqué plus en détail dans la section suivante.

Procédures de continuité des activités

Les organisations doivent s’assurer que leurs opérations peuvent se poursuivre et que la cybersécurité est maintenue pendant un incident ou une crise de grande ampleur, et que les opérations normales peuvent être rétablies une fois l’incident ou la crise terminé(e).

Lors d’un incident ou d’une crise de grande ampleur, les organisations doivent être en mesure de continuer à fournir des services aux utilisateurs finaux, de maintenir la cybersécurité et de rétablir les opérations normales une fois l’incident ou la crise terminé(e).

Exigences

Votre organisation doit établir et maintenir des procédures de continuité des activités à appliquer en cas d’incident de cybersécurité. Cette procédure doit comprendre un plan de poursuite des activités et un plan de reprise après une crise, que votre organisation doit suivre pour rétablir les activités conformément à la procédure.

La procédure de continuité des activités doit être fondée sur une évaluation des risques et peut comprendre les éléments suivants :

  • l’objectif, la portée et le public visé par la procédure,
  • les rôles et les responsabilités en cas de crise,
  • Le personnel interne et externe et une liste des canaux de communication à utiliser en cas d’urgence,
  • les conditions d’activation et de désactivation des mesures d’urgence de l’organisation,
  • une description des ressources nécessaires pour maintenir les opérations en cas de crise, telles que la sauvegarde, le rechargement et la redondance,
  • une description de la manière dont l’organisation se coordonnera avec les responsables de la gestion de l’incident, par exemple en ce qui concerne les opérations qui peuvent se poursuivre sans interférer avec les efforts déployés pour contenir une attaque.

Le plan de redressement peut comprendre

  • des plans de reprise pour des systèmes opérationnels spécifiques et des objectifs de reprise, tels que l’état de fonctionnement des systèmes et les données à restaurer en priorité,
  • la séquence de rétablissement des opérations, par exemple quels services doivent être rétablis en premier en raison d’interdépendances, et comment des mesures temporaires peuvent être utilisées, telles que des processus manuels ou des méthodes de communication alternatives,
  • un plan permettant de vérifier que la confidentialité et l’intégrité n’ont pas été compromises lors de la récupération.

Documentation

Votre procédure de continuité des activités doit être réexaminée et testée à intervalles réguliers et planifiés, ainsi qu’après des incidents majeurs ou des changements importants dans l’environnement opérationnel ou la situation de risque. Vos examens doivent permettre de vérifier que la procédure fonctionne comme prévu et qu’elle est suffisamment à jour pour les conditions actuelles de l’organisation, et toute modification des procédures doit être documentée.

Sauvegarde

Vous devez disposer de procédures de sauvegarde pour garantir que les données pertinentes de l’organisation sont sauvegardées de manière à pouvoir être restaurées en cas de perte, d’endommagement ou de toute autre perturbation.

Exigences

Votre organisation doit disposer de procédures pour s’assurer que toutes les données pertinentes, y compris les données de configuration, sont sauvegardées de manière à assurer la continuité de l’activité.

Vos plans de sauvegarde doivent être basés sur votre évaluation des risques et vos plans de continuité des activités et peuvent prendre en compte les éléments suivants :

  • Délai maximum acceptable pour la restauration des données,
  • Assurez-vous que les sauvegardes sont complètes et exactes, y compris les données de configuration et les données stockées dans les services en nuage,
  • Stockez les copies de sauvegarde en toute sécurité, en ligne ou hors ligne, à un ou plusieurs endroits situés en dehors du réseau du système principal et suffisamment éloignés pour éviter tout dommage dû à des incidents sur le site principal,
  • Appliquez des contrôles d’accès physiques et logiques rigoureux pour les sauvegardes, y compris pendant le transport, tels que des salles de serveurs verrouillées, un transport scellé, des sauvegardes cryptées avec une gestion externe des clés, des contrôles d’accès basés sur les rôles (RBAC) ou une authentification multifactorielle (MFA),
  • Définissez la durée de conservation des sauvegardes, en fonction des exigences commerciales, légales et réglementaires,
  • Précisez quand et comment les données peuvent être restaurées, y compris qui doit approuver le processus,
  • Effectuez des contrôles et des tests réguliers pour confirmer que les sauvegardes sont exactes, complètes et restaurables,
  • Testez les procédures de sauvegarde et de restauration à intervalles réguliers.

Dans les environnements OT (Operational Technology), où le temps de fonctionnement est critique, d’autres méthodes de récupération peuvent également être utilisées, comme le stockage des fichiers de configuration pour un rechargement rapide, l’utilisation de la redondance du système ou le basculement vers des dispositifs préconfigurés.

Documentation

Votre organisation doit documenter le fait qu’elle teste régulièrement les sauvegardes ou les méthodes alternatives de récupération pour confirmer qu’elles sont complètes et disponibles comme décrit dans les procédures de sauvegarde. Vous devez vous assurer que les sauvegardes présentent l’intégrité nécessaire, même si elles semblent complètes. Les résultats de ces tests doivent être documentés et approuvés par la direction concernée.

Redondance

La mise en œuvre de mesures de redondance a pour but de garantir que votre organisation a accès à des ressources suffisantes en cas de besoin, y compris des installations, du personnel, des réseaux et des systèmes d’information, ainsi que des composants.

Exigences

Votre organisation doit évaluer s’il est nécessaire de mettre en place une redondance, par exemple en disposant d’équipements informatiques de rechange ou de sites alternatifs. Cette évaluation doit être basée sur la politique de sécurité de l’information, la politique de gestion des risques et le plan de continuité de votre organisation.

Lors de l’évaluation de la nécessité d’un licenciement, prenez en compte, par exemple, les éléments suivants :

  • le réseau et les systèmes d’information, y compris le matériel, les logiciels, les services et les données,
  • les actifs non humains, y compris les installations, les équipements et les fournitures,
  • le personnel ayant les responsabilités, l’autorité et les compétences nécessaires,
  • des canaux de communication supplémentaires ou alternatifs appropriés.

Votre organisation peut mettre en place une redondance interne ou conclure des accords avec des tiers pour garantir une redondance adéquate.

Votre organisation doit également veiller à ce que les personnes chargées du suivi et de la gestion des ressources soient informées des exigences en matière de licenciements, afin que les attentes soient claires et qu’elles puissent s’assurer que les ressources nécessaires sont disponibles.

Documentation

Vous devez régulièrement évaluer vos besoins en matière de redondance du matériel, des logiciels, des services, des installations et d’autres ressources afin de vous assurer que les ressources adéquates sont disponibles en cas de perturbations opérationnelles. La manière d’utiliser les ressources redondantes doit être documentée afin que le personnel concerné sache comment y accéder et les utiliser en cas de besoin.

Gestion de crise

La mise en place de procédures de gestion de crise a pour but de garantir que votre organisation dispose de processus permettant de gérer les crises en cas d’un ou de plusieurs incidents majeurs simultanés.

Exigences

Votre organisation doit évaluer s’il est nécessaire de mettre en place un plan d’urgence avec des procédures de gestion de crise. Si un tel besoin est identifié, votre organisation doit créer et documenter les procédures requises pour gérer les incidents très graves.

Ces procédures de gestion de crise peuvent porter sur les points suivants :

  • La cybersécurité doit être maintenue pendant une crise en utilisant des mesures appropriées telles que des systèmes de soutien, des processus définis et des capacités supplémentaires.
  • Les rôles et les responsabilités du personnel, des fournisseurs et des prestataires de services doivent être clairement définis, et ils doivent connaître leurs responsabilités et les procédures spécifiques à suivre en cas de crise.
  • Il convient de mettre en place des méthodes et des canaux de communication appropriés avec les autorités sectorielles compétentes. Cela doit inclure la communication obligatoire, telle que la déclaration d’incidents dans les délais requis, ainsi que d’autres communications pertinentes.

Votre organisation doit également mettre en place un processus de traitement et d’utilisation des informations reçues du CSIRT national, telles que les incidents de sécurité, les vulnérabilités, les menaces et les mesures recommandées.

Documentation

Votre plan de gestion des crises doit être documenté et revu à intervalles réguliers afin de s’assurer qu’il reste suffisant et à jour par rapport à la situation actuelle de votre organisation. Des exercices réguliers doivent également être effectués pour vérifier si le plan fonctionne comme prévu. En fonction des résultats, il convient d’apporter les modifications nécessaires au plan et de les documenter.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.