nis²insights.com

En vigueur depuis le 17 oct. 2024·Jour 565·

Gestion des risques2 avr. 20256 min

Modèle pragmatique de registre des risques pour l’article 21 NIS2

La plupart des organisations tiennent déjà un registre des risques. Voici comment retravailler le vôtre pour qu’il colle vraiment aux exigences NIS2.

Modèle pragmatique de registre des risques pour l’article 21 NIS2Gestion des risques

L'article 21, paragraphe 1, de la directive (UE) 2022/2555 impose aux entités essentielles et importantes de prendre « les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information ». L'article 21, paragraphe 2, énumère les dix catégories que ces mesures doivent couvrir.

L'expression qui fait tout le travail est fondées sur le risque. Le considérant 79 de la directive cadre le chapitre entier comme un exercice de gestion du risque : les mesures doivent être calibrées sur le risque encouru par l'entité et ses services. L'artefact qui opérationnalise ce calibrage est le registre des risques.

La plupart des entités dans le périmètre NIS2 en tiennent déjà un. La plupart, dans leur forme actuelle, ne passent pas le test du régulateur. L'écart n'est que rarement le volume de risques consignés — c'est l'absence de cinq champs précis que tout inspecteur s'attend à trouver. Voici le guide de mise à niveau.

Champ 1 — Actif, rattaché au périmètre NIS2

Chaque entrée du registre nécessite un actif — la chose à risque. Pour NIS2, l'actif doit être rattaché au périmètre NIS2 de l'entité : les réseaux et systèmes d'information qui soutiennent les services qu'elle fournit en tant qu'entité essentielle ou importante.

Un risque sur le parc d'imprimantes du bureau n'est pas dans le périmètre. Un risque sur le SIEM qui surveille la plateforme de paiement de production l'est. La distinction n'est pas académique — c'est ce qui permet à l'inspecteur de mettre le registre en regard de la classification de l'entité au titre de l'article 3 et des règles de cadrage sectorielles.

La mise à niveau : ajoutez une colonne « Périmètre NIS2 » à votre registre existant. Marquez chaque entrée Dans le périmètre, Hors périmètre ou Adjacent (touche le périmètre sans héberger de données de service). Les inspecteurs regardent le sous-ensemble en périmètre ; le reste est informatif.

Champ 2 — Menace et vulnérabilité, en paire

NIS2 ne nomme pas de méthodologie. Le cadre de gestion du risque publié par l'ENISA, qui s'appuie sur l'ISO/IEC 27005 et l'ISO 31000, traite le risque comme une paire menace–vulnérabilité : un acteur malveillant (ou un événement naturel) qui pourrait exploiter une vulnérabilité spécifique pour causer un préjudice.

Consigner « rançongiciel » comme risque ne suffit pas. L'entrée doit l'apparier à la vulnérabilité qu'il exploiterait — par exemple « rançongiciel exploitant un appliance VPN de bordure non patchée » — parce que le traitement diffère entièrement de « rançongiciel livré par phishing du personnel finance ».

La mise à niveau : scindez votre colonne « risque » unique en deux colonnes, menace et vulnérabilité. Certaines entrées se replieront proprement ; d'autres se déploieront en deux ou trois. Les deux résultats sont des signes que le registre devient exploitable.

Champ 3 — Vraisemblance × impact, méthode documentée

L'article 21, paragraphe 2, point a) exige explicitement des « politiques d'analyse des risques ». Analyse implique une méthode. Le registre doit afficher, pour chaque entrée, une vraisemblance et un impact estimés, dérivés d'une méthode documentée qui ne change pas d'une entrée à l'autre.

Trois méthodes sont acceptées par les autorités nationales compétentes européennes :

  • Une matrice qualitative 5×5 (Très faible → Très élevé sur chaque axe), avec des définitions de bandes écrites une seule fois pour tout le registre.
  • Une méthode quantitative à 3 bandes pour l'impact (perte financière en bandes en €) combinée à une vraisemblance qualitative.
  • Une méthode alignée FAIR pour les organisations qui ont la maturité pour la soutenir.

Ce qui n'est pas accepté : une colonne « criticité » seule, sans dérivation. La mise à niveau : choisissez une des trois méthodes, écrivez ses définitions sur une page qui vit à côté du registre, et re-cotez chaque entrée existante avec la méthode choisie. Oui, c'est fastidieux. C'est aussi la plus petite action atomique qui fait passer le registre de « liste » à « analyse ».

Champ 4 — Traitement, avec propriétaire et échéance

Le considérant 78 de la directive cadre le choix des mesures comme proportionnel au risque. En termes de registre, c'est la décision de traitement : Accepter, Atténuer, Transférer ou Éviter.

Pour Atténuer — le cas le plus fréquent — le registre doit consigner :

  • la mesure déployée (rattachée à l'article 21, paragraphe 2 — voir champ 5),
  • le propriétaire (un rôle nommé, pas une équipe),
  • l'échéance pour que la mesure soit en place,
  • le risque résiduel attendu après mesure (re-coté sur la même méthode vraisemblance × impact).

Pour Accepter, l'entrée doit afficher l'autorité d'acceptation — le rôle nommé qui a la séniorité pour formellement accepter le risque résiduel au nom de l'entité. Pour la plupart des risques en périmètre NIS2, c'est l'organe de direction lui-même, au titre de l'article 20, paragraphe 1.

La mise à niveau : ajoutez les colonnes Traitement, Propriétaire, Échéance, Résiduel. Pour les entrées préexistantes sans traitement, marquez-les Revue en attente et mettez-les à l'ordre du jour du prochain comité des risques.

Champ 5 — Rattachement aux catégories de l'article 21, paragraphe 2

C'est le champ qui transforme un registre générique en registre NIS2. L'article 21, paragraphe 2, liste dix catégories de mesures :

  1. politiques d'analyse des risques et de sécurité des systèmes d'information,
  2. gestion des incidents,
  3. continuité d'activité (sauvegardes, reprise après sinistre, gestion de crise),
  4. sécurité de la chaîne d'approvisionnement,
  5. sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information,
  6. politiques et procédures d'évaluation de l'efficacité,
  7. pratiques de base en matière de cyberhygiène et formation à la cybersécurité,
  8. cryptographie,
  9. sécurité des ressources humaines, politiques de contrôle d'accès, gestion des actifs,
  10. authentification multifacteur, communications voix/vidéo/texte sécurisées, communications d'urgence sécurisées.

Chaque entrée du registre dans le périmètre NIS2 doit être rattachée à au moins une de ces catégories. Le rattachement est ce qui permet à l'inspecteur de vérifier, en un seul passage, que le registre couvre les dix catégories — et inversement, qu'aucune n'est muette.

La mise à niveau : ajoutez une dernière colonne « Catégorie article 21(2) ». Étiquetez chaque entrée en périmètre. Si une catégorie a zéro entrée, c'est en soi une remontée à porter au prochain comité des risques.

Ce à quoi ça ressemble quand c'est bien fait

Dans les notes d'inspection publiées par les autorités nationales compétentes européennes, trois signaux reviennent systématiquement :

  1. Le registre a un historique de versions daté. Chaque version est signée — typiquement chaque trimestre — par le comité sécurité, avec information de l'organe de direction.
  2. Chaque entrée en périmètre a les cinq champs ci-dessus, renseignés. Les cellules vides sont un drapeau rouge ; « À déterminer » avec une échéance est acceptable.
  3. Le rattachement aux catégories de l'article 21, paragraphe 2 montre une couverture non nulle des dix. Un registre où la catégorie 7 (cyberhygiène de base) est vide est, en termes régulatoires, un registre qui n'a pas vraiment été fait.

Le registre n'est pas le programme de sécurité. C'est le document qui prouve que le programme existe, qu'il est calibré sur le risque, et qu'il est porté au bon niveau. La mise à niveau, bien faite, prend trois à quatre semaines à une équipe compétente. L'alternative, faite au moment de l'inspection, prend une remontée réglementaire.

Sources

  1. Directive (UE) 2022/2555, article 21, paragraphes 1 et 2 (mesures de gestion des risques en matière de cybersécurité).
  2. Directive (UE) 2022/2555, considérants 78 et 79 (mesures fondées sur le risque, proportionnées).
  3. Directive (UE) 2022/2555, article 20, paragraphe 1 (approbation et supervision par l'organe de direction).
  4. ISO/IEC 27005 (gestion des risques liés à la sécurité de l'information) et ISO 31000 (management du risque — principes et lignes directrices).
  5. ENISA, Risk Management Methodology et NIS2 Implementation Guidance.
  6. Lignes directrices publiées des autorités nationales compétentes : ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE).

Autres articles

Article 20 NIS2 : 5 responsabilités du conseil que les administrateurs ne peuvent déléguerGouvernance

Article 20 NIS2 : 5 responsabilités du conseil que les administrateurs ne peuvent déléguer

18 avr. 2025·Lire · 10 min
Notification d’incident NIS2 : le guide pratique des 72 heuresGestion des incidents

Notification d’incident NIS2 : le guide pratique des 72 heures

11 avr. 2025·Lire · 9 min
Sécurité de la chaîne d’approvisionnement NIS2 : 5 clauses à exiger de vos fournisseursChaîne d’approvisionnement

Sécurité de la chaîne d’approvisionnement NIS2 : 5 clauses à exiger de vos fournisseurs

9 avr. 2025·Lire · 7 min