Une exigence fondamentale de la NIS2 est de s’assurer que tous les employés connaissent les meilleures pratiques en matière de cybersécurité et reçoivent une formation adéquate dans ce domaine.

Hygiène cybernétique

Votre organisation doit maintenir un niveau approprié de cybersécurité en mettant en œuvre des mesures fondamentales et en formant les employés aux meilleures pratiques.

Exigence

Votre organisation doit s’assurer que les pratiques de base en matière de cyber-hygiène sont mises en œuvre et s’appuient sur la politique de sécurité du système d’information. La cyberhygiène couvre les mesures essentielles, les routines quotidiennes, les pratiques et les procédures qui protègent vos réseaux, vos systèmes et vos données contre les menaces courantes.

Il s’agit d’une série de mesures fondamentales telles que

• préparer un ensemble minimal de politiques de sécurité de base,
• sauvegarder régulièrement les données pertinentes, tester les sauvegardes (contrôles d’intégrité) et tester les procédures de restauration,
• planifier les capacités et les ressources (personnel et ressources informatiques) pour éviter les goulets d’étranglement,
• l’élaboration d’un plan d’intervention en cas d’incident,
• évaluer régulièrement la cybersécurité de votre chaîne d’approvisionnement informatique,
• créer desaccords de niveau de service (SLA) basés sur le risque avec les fournisseurs et les prestataires de services,
• en appliquant régulièrement des correctifs et en mettant à jour les systèmes d’exploitation et les applications,
• l’installation et la mise à jour d’un logiciel anti-malware sur les actifs concernés,
• segmenter les réseaux en fonction de la criticité des actifs,
• en effectuant régulièrement des analyses automatisées de la vulnérabilité,
• effectuer régulièrement des tests de sécurité,
• créer une culture de sensibilisation à la cybersécurité par une formation régulière des utilisateurs,
• le cryptage des données au repos et en transit, conformément aux niveaux de classification des actifs,
• restreindre les droits d’administration,
• l’application de mots de passe robustes,
• en utilisant l’authentification multifactorielle conformément aux niveaux de classification des actifs,
• limiter les ports et les services du réseau au strict nécessaire pour les besoins de l’entreprise,
• tenir à jour l’inventaire du matériel et des logiciels,

Un grand nombre de ces pratiques d’hygiène cybernétique sont déjà mises en œuvre si vous suivez notre guide de mise en œuvre des exigences minimales de NIS2.

Documentation

Vous devez documenter vos pratiques en matière d’hygiène cybernétique.

Formation à la cybersécurité

Tous les employés qui travaillent en relation avec la fourniture de services critiques par votre organisation doivent être conscients des risques de sécurité pertinents, recevoir une formation appropriée et appliquer des pratiques courantes de cyber-hygiène.

Exigences

Votre organisation doit disposer d’une politique de formation du personnel pour s’assurer que les employés reçoivent les connaissances et les compétences nécessaires pour gérer les risques de sécurité et protéger les réseaux et les systèmes d’information. La formation doit s’aligner sur la politique de sécurité des systèmes d’information de l’organisation, sur toute politique spécifique et sur les procédures pertinentes.

La politique peut décrire les rôles qui requièrent des compétences et une expertise spécifiques en matière de sécurité. Un programme de formation structuré peut être mis en place pour définir la formation dont les employés ont besoin. La formation doit être spécifique à la fonction de l’employé et l’efficacité du programme doit être évaluée régulièrement.

La formation à la cybersécurité doit être régulière, documentée et adaptée aux mesures générales de l’organisation. Votre programme de formation peut comprendre

• des instructions et une formation aux pratiques courantes de cyber-hygiène, telles que le contrôle d’accès, la mise à jour des dispositifs et la sécurité des mots de passe,
• des mises à jour régulières sur les menaces pertinentes, y compris les méthodes d’attaque et les vulnérabilités humaines, qui devraient être adaptées aux rôles des employés,
• une formation sur la manière de gérer un incident à l’aide d’exercices pratiques et de scénarios fondés sur l’évaluation des risques et les mesures prises par l’organisation,

Une formation de base doit être dispensée aux nouveaux employés et à ceux qui occupent des fonctions dont les exigences en matière de sécurité sont différentes.

Vos cadres supérieurs sont également tenus de participer à des cours de cybersécurité pertinents et doivent encourager les autres employés à suivre une formation similaire. La formation de la direction peut comprendre des cours généraux sur la cybersécurité, des ateliers sur la gestion des cyberrisques, des programmes de certification et des normes de sécurité internationales, ou encore des cours et des séminaires internes à l’organisation.

Documentation

Le programme de formation doit être mis à jour et exécuté régulièrement. La formation doit tenir compte des politiques et des règles en vigueur, des rôles et des responsabilités attribués, des menaces connues et des évolutions technologiques.