ISMS Copilot
La directive NIS2 avec l'IA

Comment créer des politiques de cybersécurité NIS2 à l'aide de l'IA

Aperçu

Vous apprendrez comment utiliser l'IA pour créer des politiques de cybersécurité complètes pour chacun des dix domaines de mesures requis par l'article 21(2) de NIS2. Ce guide passe en revue chaque type de politique, fournit des invites (prompts) spécifiques pour ISMS Copilot afin de générer chacune d'elles, explique ce que les auditeurs et les autorités de surveillance attendent, et montre comment structurer votre documentation de politique pour qu'elle soit prête pour un audit.

À qui s'adresse ce guide

Ce guide s'adresse aux :

  • Responsables de la sécurité des systèmes d'information (RSSI/CISO) et aux responsables de la conformité chargés de l'élaboration de la documentation de politique conforme à NIS2

  • Consultants en sécurité rédigeant des ensembles de politiques pour des clients dans les secteurs régulés par NIS2

  • Équipes GRC gérant la création de politiques parallèlement à la documentation existante ISO 27001, DORA ou RGPD

  • Responsables IT qui ont besoin de politiques pratiques et applicables plutôt que de modèles génériques

  • Membres des organes de direction qui doivent approuver ces politiques en vertu de l'article 20

Avant de commencer

Vous aurez besoin de :

  • Un compte ISMS Copilot (essai gratuit disponible)

  • Vos résultats d'analyse d'écarts NIS2 identifiant les politiques manquantes ou insuffisantes -- voir Comment débuter l'implémentation de NIS2 à l'aide de l'IA

  • Vos plans d'évaluation et de traitement des risques terminés -- voir Comment mener une évaluation des risques NIS2 à l'aide de l'IA

  • Une compréhension de la taille, du secteur et du contexte opérationnel de votre organisation

  • Vos politiques existantes (le cas échéant) à télécharger pour l'analyse d'écarts et l'alignement

L'article 21(2) de NIS2 énumère dix domaines de mesures spécifiques que vos mesures de gestion des risques de cybersécurité doivent inclure « au moins ». Cela signifie que ces dix domaines sont le minimum — les lois nationales de transposition peuvent ajouter des exigences supplémentaires. Votre ensemble de politiques doit couvrir les dix domaines pour satisfaire les autorités de surveillance.

Comprendre les exigences de politique NIS2

Ce que l'article 21(2) exige

L'article 21(2) stipule que les mesures de gestion des risques visées au paragraphe 1 comprennent au moins les éléments suivants :

Référence Article 21(2)

Domaine de mesure

Documents de politique nécessaires

(a)

Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information

Politique de sécurité de l'information, Politique d'évaluation des risques

(b)

Gestion des incidents

Politique de réponse aux incidents, Procédure de classification des incidents

(c)

Continuité des activités, gestion des sauvegardes, rétablissement après sinistre, gestion de crise

Politique de continuité d'activité, Plan de reprise après sinistre (DRP), Politique de sauvegarde, Plan de gestion de crise

(d)

Sécurité de la chaîne d'approvisionnement

Politique de sécurité de la chaîne d'approvisionnement, Procédure d'évaluation des fournisseurs

(e)

Sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information ; gestion et divulgation des vulnérabilités

Politique de développement sécurisé, Politique de gestion des vulnérabilités

(f)

Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques

Politique de test et d'évaluation de la sécurité, Procédure d'audit interne

(g)

Pratiques d'hygiène informatique de base et formation à la cybersécurité

Politique d'hygiène et de sensibilisation informatique, Programme de formation

(h)

Politiques et procédures relatives à la cryptographie et au chiffrement

Politique de cryptographie et de chiffrement

(i)

Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs

Politique de sécurité RH, Politique de contrôle d'accès, Politique de gestion des actifs

(j)

MFA ou authentification continue, communications voix/vidéo/texte sécurisées, communications d'urgence sécurisées

Politique d'authentification, Politique de communications sécurisées

Politique contre procédure : Les autorités de surveillance distinguent les politiques (déclarations d'intention et d'exigences de haut niveau) des procédures (instructions opérationnelles détaillées étape par étape). Vous avez besoin des deux. Les politiques fixent les règles ; les procédures décrivent comment les suivre. ISMS Copilot génère les deux lorsque vous spécifiez le type de document.

Normes de qualité des politiques pour NIS2

Chaque document de politique doit inclure :

  • Objectif et portée : Ce que la politique couvre et à qui elle s'applique

  • Référence NIS2 : Quel(s) domaine(s) de mesure de l'article 21(2) la politique traite

  • Définitions : Termes clés utilisés tout au long du document

  • Énoncés de politique : Exigences claires et applicables

  • Rôles et responsabilités : Qui est responsable de quoi

  • Exigences de mise en œuvre : Contrôles et mesures spécifiques

  • Suivi et examen : Comment l'efficacité est évaluée

  • Conséquences du non-respect : Dispositions d'application

  • Approbation et contrôle des versions : Gestion du document avec signature de l'organe de direction

Étape 1 : Générer la politique de sécurité de l'information globale

Article 21(2)(a) -- Analyse des risques et sécurité des systèmes d'information

La politique globale de sécurité de l'information est le document fondateur qui établit l'engagement de votre organisation envers la cybersécurité et fournit le cadre pour toutes les autres politiques. Elle traite du premier domaine de mesure et lie toutes les politiques ultérieures.

  1. Générer la politique centrale :

    "Créez une politique de sécurité de l'information complète alignée sur l'article 21(2)(a) de NIS2 pour une organisation du secteur [secteur] classée comme entité [essentielle/importante] avec [nombre d'employés] employés. La politique doit couvrir : l'objectif de la politique et le contexte réglementaire NIS2, le périmètre des réseaux et systèmes d'information couverts, l'engagement de l'organe de direction et les obligations de surveillance selon l'article 20, un aperçu du cadre de gestion des risques, les principes de sécurité (confidentialité, intégrité, disponibilité), la référence aux dix domaines de mesures de l'article 21 et aux politiques de soutien, les rôles et responsabilités (organe de direction, RSSI, propriétaires de risques, tous les employés), les exigences de conformité et conséquences du non-respect, le cycle de révision et l'amélioration continue. Incluez une section de contrôle de document avec approbation par l'organe de direction."

  2. Générer la politique d'évaluation des risques de soutien :

    "Créez une politique d'évaluation des risques alignée sur l'article 21(2)(a) de NIS2 pour notre organisation. Couvrez : la méthodologie d'évaluation des risques (approche 'tous risques' selon l'article 21(1)), les processus d'identification, d'analyse et d'évaluation des risques, les critères d'acceptation des risques et l'autorité d'approbation, les options de traitement des risques et les exigences de documentation, l'intégration avec la gestion des actifs et le renseignement sur les menaces (threat intelligence), la fréquence de révision et les événements déclencheurs de réévaluation, et les exigences d'approbation par l'organe de direction. Faites un renvoi vers notre document de méthodologie d'évaluation des risques."

Approche par couches : Générez d'abord la politique de sécurité de l'information globale, puis utilisez-la comme contexte pour toutes les politiques suivantes. Demandez à ISMS Copilot : "Utilisez notre politique de sécurité de l'information comme document parent et assurez-vous que cette politique [spécifique] est cohérente avec ses principes et sa structure."

Étape 2 : Générer la politique de gestion des incidents

Article 21(2)(b) -- Gestion des incidents

NIS2 impose des exigences strictes en matière de gestion des incidents, incluant la détection, la prévention, la réponse et le rétablissement, ainsi que les délais de signalement de l'article 23. Votre politique doit traiter à la fois de la réponse interne et des obligations de notification externe.

  1. Générer la politique de réponse aux incidents :

    "Créez une politique de réponse aux incidents alignée sur l'article 21(2)(b) de NIS2 et les exigences de signalement de l'article 23 pour notre organisation du secteur [secteur]. Incluez : la définition des incidents et les critères de classification alignés sur les seuils de significativité de NIS2, les exigences de détection et de surveillance des incidents, les phases de réponse aux incidents (préparation, identification, confinement, éradication, rétablissement, leçons apprises), les obligations de signalement NIS2 -- alerte précoce sous 24h au CSIRT, notification d'incident sous 72h avec indicateurs de compromission, rapport final sous un mois avec analyse des causes profondes, matrice d'escalade de l'équipe opérationnelle vers l'organe de direction, rôles et responsabilités (gestionnaire d'incidents, équipe de réponse, liaison CSIRT, juridique, communication), préservation des preuves et chaîne de possession, signalement volontaire des quasi-incidents et des menaces, et processus de revue post-incident."

  2. Générer la procédure de classification des incidents :

    "Créez une procédure détaillée de classification des incidents pour la conformité NIS2. Incluez : les critères de classification pour déterminer si un incident est 'important' selon l'article 23(3) de NIS2 -- en considérant (a) une perturbation opérationnelle grave ou une perte financière, (b) l'impact sur d'autres personnes physiques ou morales en causant un dommage matériel ou immatériel considérable. Fournissez une matrice de classification avec des niveaux de gravité, des critères d'évaluation d'impact et des arbres de décision clairs pour déclencher l'alerte précoce de 24 heures. Incluez des exemples spécifiques à notre secteur [secteur]."

Pour un examen approfondi des flux de travail, modèles et playbooks de signalement d'incidents NIS2, consultez Comment mettre en œuvre le signalement d'incidents NIS2 à l'aide de l'IA -- le prochain guide de cette série.

Étape 3 : Générer les politiques de continuité d'activité et de reprise après sinistre

Article 21(2)(c) -- Continuité des activités, gestion des sauvegardes, rétablissement après sinistre, gestion de crise

Ce domaine de mesure nécessite une suite complète de documents traitant de la manière dont votre organisation maintient et restaure ses services pendant et après des perturbations.

  1. Générer la politique de continuité d'activité :

    "Créez une politique de continuité d'activité alignée sur l'article 21(2)(c) de NIS2 pour une entité [essentielle/importante] du secteur [secteur]. Incluez : la méthodologie et les exigences de l'analyse d'impact sur l'activité (BIA), les objectifs de temps de rétablissement (RTO) et les objectifs de point de rétablissement (RPO) pour les services essentiels/importants, les critères et procédures d'activation du plan de continuité d'activité, la gouvernance et l'escalade de la gestion de crise, les protocoles de communication pendant les perturbations (interne, externe, autorités, médias), l'intégration avec le signalement d'incidents NIS2 (déclenchement de l'alerte précoce 24h lors de perturbations majeures), les exigences de test et d'exercice (minimum annuel), les considérations de continuité de la chaîne d'approvisionnement, et les obligations de surveillance de l'organe de direction."

  2. Générer le plan de reprise après sinistre (DRP) :

    "Créez un modèle de plan de reprise après sinistre aligné sur l'article 21(2)(c) de NIS2 pour notre infrastructure informatique. Couvrez : les scénarios de sinistre spécifiques à notre secteur [secteur] (ransomware, panne de centre de données, interruption du fournisseur cloud, catastrophe naturelle), la stratégie de rétablissement par niveau de criticité du système, les procédures de rétablissement détaillées pour les systèmes critiques (étape par étape), les procédures de basculement et de retour arrière, la restauration des données à partir de sauvegardes, les protocoles de communication et de coordination, le calendrier de test de rétablissement et les exigences de documentation, et les dépendances vis-à-vis des fournisseurs et services tiers."

  3. Générer la politique de gestion des sauvegardes :

    "Créez une politique de gestion des sauvegardes alignée sur l'article 21(2)(c) de NIS2. Couvrez : le périmètre de sauvegarde (tous les systèmes, données et configurations critiques), la fréquence de sauvegarde selon la classification des données et les exigences RPO, les méthodes de sauvegarde (complète, incrémentielle, différentielle), les exigences de sauvegarde hors ligne et déconnectée (résilience au ransomware), le chiffrement et le contrôle d'accès aux sauvegardes, les emplacements de stockage des sauvegardes (sur site, hors site, cloud) avec considérations géographiques, le calendrier des tests de restauration et les critères de succès, la surveillance et les alertes de sauvegarde, les périodes de rétention, et les rôles et responsabilités."

  4. Générer le plan de gestion de crise :

    "Créez un plan de gestion de crise aligné sur l'article 21(2)(c) de NIS2 pour notre organisation. Couvrez : la définition de la crise et les critères d'activation, la composition de l'équipe de gestion de crise et les coordonnées, l'autorité de prise de décision pendant la crise, les protocoles de communication interne et externe, la coordination avec le CSIRT national et l'autorité compétente, les directives de communication média et publique, les procédures d'escalade et de désescalade de crise, le processus de revue post-crise et de leçons apprises, et l'intégration avec les délais de signalement d'incidents NIS2."

Étape 4 : Générer la politique de sécurité de la chaîne d'approvisionnement

Article 21(2)(d) -- Sécurité de la chaîne d'approvisionnement

NIS2 met l'accent sur la sécurité de la chaîne d'approvisionnement. Votre politique doit aborder les aspects liés à la sécurité des relations avec les fournisseurs directs et les prestataires de services.

  1. Générer la politique de sécurité de la chaîne d'approvisionnement :

    "Créez une politique de sécurité de la chaîne d'approvisionnement alignée sur l'article 21(2)(d) de NIS2 pour notre organisation du secteur [secteur]. Incluez : la méthodologie et les critères d'évaluation des risques fournisseurs, les exigences de sécurité pour les différents niveaux de risque fournisseur, les exigences de diligence raisonnable en matière de sécurité avant contrat, les clauses de sécurité obligatoires pour les contrats (droits d'audit, notification d'incident, normes de sécurité, contrôles des sous-traitants), le calendrier de surveillance et de revue continue des fournisseurs, la gestion des vulnérabilités dans la chaîne d'approvisionnement, les procédures de réponse aux incidents liés aux fournisseurs, les exigences de sortie et de transition des fournisseurs, et la coordination avec les évaluations des risques de la chaîne d'approvisionnement spécifiques au secteur. Faites référence aux directives de l'ENISA sur la sécurité de la chaîne d'approvisionnement."

Pour des conseils complets sur la mise en œuvre de la sécurité de la chaîne d'approvisionnement NIS2, y compris les questionnaires, les cadres d'évaluation des fournisseurs et les exigences contractuelles, consultez Comment gérer la sécurité de la chaîne d'approvisionnement NIS2 à l'aide de l'IA dans cette série.

Étape 5 : Générer les politiques de sécurité réseau et de gestion des vulnérabilités

Article 21(2)(e) -- Sécurité dans l'acquisition, le développement et la maintenance ; gestion des vulnérabilités

Ce domaine de mesure couvre la sécurité de vos réseaux et systèmes d'information tout au long de leur cycle de vie, ainsi que la gestion et la divulgation des vulnérabilités.

  1. Générer la politique de développement et d'acquisition sécurisés :

    "Créez une politique de développement et d'acquisition sécurisés alignée sur l'article 21(2)(e) de NIS2 pour notre organisation. Couvrez : les exigences de sécurité dans les spécifications d'achat, l'évaluation de la sécurité des fournisseurs avant l'acquisition, les exigences du cycle de vie de développement logiciel sécurisé (SDLC), les tests de sécurité avant déploiement (revue de code, SAST, DAST, tests d'intrusion), la gestion du changement et l'évaluation de l'impact sur la sécurité, les procédures de gestion des correctifs et de mise à jour, les normes de configuration sécurisée et les directives de durcissement (hardening), les procédures de mise hors service et d'élimination sécurisée, et la gestion de la sécurité des logiciels open-source."

  2. Générer la politique de gestion des vulnérabilités :

    "Créez une politique de gestion des vulnérabilités alignée sur l'article 21(2)(e) de NIS2 pour notre organisation du secteur [secteur]. Couvrez : les sources d'identification des vulnérabilités (scans, threat intelligence, avis fournisseurs, alertes CERT), le périmètre et la fréquence des scans de vulnérabilités (hebdomadaire pour les systèmes critiques, mensuel pour les autres), la classification et la priorisation des vulnérabilités (score CVSS, exploitabilité, contexte métier), les délais de remédiation par gravité (critique : 24-72 heures, élevée : 7 jours, moyenne : 30 jours, faible : 90 jours), les exceptions et le processus d'acceptation du risque pour les correctifs différés, la politique de divulgation coordonnée des vulnérabilités (CVD), le signalement des vulnérabilités par les employés et les chercheurs externes, les procédures de correction d'urgence, et les considérations de gestion des vulnérabilités spécifiques aux OT/ICS pour le secteur [secteur]."

Considérations OT/ICS : Si votre organisation opère dans les secteurs de l'énergie, de l'eau, des transports ou de la fabrication, votre politique de gestion des vulnérabilités doit répondre aux défis uniques du déploiement de correctifs sur les systèmes de technologie opérationnelle (OT) où la disponibilité est prioritaire et les fenêtres de maintenance restreintes. Demandez à ISMS Copilot d'inclure des dispositions spécifiques à l'OT.

Étape 6 : Générer la politique d'évaluation de l'efficacité

Article 21(2)(f) -- Politiques et procédures pour évaluer l'efficacité

NIS2 exige que vous évaluiez régulièrement si vos mesures de cybersécurité sont réellement efficaces. Cela va au-delà de la simple mise en place de contrôles — vous devez tester et vérifier leur efficacité.

  1. Générer la politique de test et d'évaluation de la sécurité :

    "Créez une politique de test de sécurité et d'évaluation de l'efficacité alignée sur l'article 21(2)(f) de NIS2 pour notre entité [essentielle/importante]. Couvrez : les types d'évaluations d'efficacité (évaluations de vulnérabilités, tests d'intrusion, exercices de red team, exercices sur table, tests de contrôle), le périmètre et la fréquence d'évaluation (minimum annuel pour les tests complets, trimestriel pour les zones à haut risque), les exigences de tests internes vs externes, la méthodologie et les normes de test (OWASP, PTES, NIST SP 800-115), les mesures et KPI pour mesurer l'efficacité de la cybersécurité, le signalement des résultats d'évaluation à l'organe de direction, le suivi des actions correctives et la vérification de la remédiation, l'intégration avec les mises à jour de l'évaluation des risques, et les exigences de surveillance continue."

  2. Générer la procédure d'audit interne de cybersécurité :

    "Créez une procédure d'audit interne de cybersécurité pour la conformité NIS2. Couvrez : le périmètre de l'audit couvrant les dix domaines de mesure de l'article 21(2), la planification et le calendrier de l'audit (cycle annuel), les exigences d'indépendance et de compétence de l'auditeur, la méthodologie d'audit (revue documentaire, entretiens, tests techniques, échantillonnage de preuves), le format du rapport d'audit avec les constatations classées par gravité, les exigences de réponse de la direction et d'actions correctives, la vérification du suivi des actions correctives, et le signalement des résultats d'audit à l'organe de direction."

Étape 7 : Générer la politique d'hygiène informatique et de formation

Article 21(2)(g) -- Pratiques d'hygiène informatique de base et formation à la cybersécurité

L'article 20 de NIS2 exige spécifiquement que les membres de l'organe de direction suivent une formation en cybersécurité et que les entités encouragent tous les employés à participer à des formations régulières. L'article 21(2)(g) étend cela aux pratiques d'hygiène informatique de base.

  1. Générer la politique d'hygiène et de sensibilisation informatique :

    "Créez une politique de formation à l'hygiène informatique et à la sensibilisation alignée sur l'article 21(2)(g) de NIS2 et les exigences de formation de l'article 20. Couvrez : la formation obligatoire à la cybersécurité pour les membres de l'organe de direction (contenu, fréquence, preuves), la formation par rôle pour tous les employés (IT/sécurité, personnel général, prestataires), les exigences d'intégration de sécurité pour les nouveaux arrivants, les pratiques d'hygiène informatique de base à adopter à l'échelle de l'organisation (gestion des mots de passe, sensibilisation au phishing, bureau propre, sécurité des appareils, navigation sécurisée, supports amovibles), les simulations de phishing et tests d'ingénierie sociale, la mesure et l'évaluation de l'efficacité de la formation, les activités de sensibilisation continues (newsletters, alertes, champions de la sécurité), la sensibilisation à la sécurité spécifique au secteur pour les opérations [secteur], les registres de formation et la documentation des preuves, et le plan annuel de formation avec calendrier."

Preuve de formation de l'organe de direction : Les autorités de surveillance vérifieront spécifiquement si les membres de l'organe de direction ont suivi la formation en cybersécurité comme requis par l'article 20(2). Générez un programme de formation au niveau du conseil d'administration et conservez les registres de présence. C'est l'un des premiers éléments que les auditeurs vérifient lors des inspections NIS2.

Étape 8 : Générer la politique de cryptographie et de chiffrement

Article 21(2)(h) -- Cryptographie et chiffrement

NIS2 exige des politiques sur l'utilisation de la cryptographie et, le cas échéant, du chiffrement pour protéger la confidentialité et l'intégrité des données.

  1. Générer la politique de cryptographie et de chiffrement :

    "Créez une politique de cryptographie et de chiffrement alignée sur l'article 21(2)(h) de NIS2 pour notre organisation du secteur [secteur]. Couvrez : les algorithmes cryptographiques et longueurs de clés approuvés (alignés sur l'ENISA et les recommandations nationales), les exigences de chiffrement des données par classification (données au repos, en transit, en cours d'utilisation), les normes de configuration TLS/SSL (minimum TLS 1.2, préférence TLS 1.3), le chiffrement des emails et les signatures numériques, les exigences de chiffrement complet du disque pour les postes de travail et appareils mobiles, les normes de chiffrement des bases de données, le cycle de vie de la gestion des clés cryptographiques (génération, distribution, stockage, rotation, révocation, destruction), l'utilisation de modules de sécurité matériels (HSM) le cas échéant, la gestion des certificats et la gouvernance PKI, la sensibilisation et planification de la transition vers la cryptographie post-quantique, les exigences de cryptographie spécifiques au secteur [secteur], et les algorithmes et protocoles interdits (MD5, SHA-1, DES, SSL 3.0, TLS 1.0/1.1)."

Étape 9 : Générer les politiques de sécurité RH, de contrôle d'accès et de gestion des actifs

Article 21(2)(i) -- Sécurité des ressources humaines, contrôle d'accès et gestion des actifs

Ce domaine de mesure combiné couvre trois domaines interdépendants. Vous devriez créer des politiques distinctes pour chacun afin de maintenir clarté et gérabilité.

  1. Générer la politique de sécurité des ressources humaines :

    "Créez une politique de sécurité des ressources humaines alignée sur l'article 21(2)(i) de NIS2 pour notre organisation. Couvrez : le filtrage de sécurité avant l'embauche (vérification des antécédents, vérification des références), les clauses de sécurité dans les contrats de travail, la sensibilisation à la sécurité pendant l'onboarding, les responsabilités de sécurité pendant l'emploi, le processus disciplinaire pour les violations de sécurité, les procédures de fin de contrat et de changement de rôle (révocation des accès, retour des actifs, transfert de connaissances), les exigences de sécurité pour le personnel prestataire et tiers, et les accords de confidentialité et de non-divulgation."

  2. Générer la politique de contrôle d'accès :

    "Créez une politique de contrôle d'accès alignée sur l'article 21(2)(i) de NIS2 pour notre organisation du secteur [secteur]. Couvrez : les principes de contrôle d'accès (moindre privilège, besoin d'en connaître, séparation des tâches), les procédures d'octroi et de révocation des accès utilisateurs, le calendrier de révision et de recertification des accès (trimestriel pour les accès privilégiés, semestriel pour le standard), les exigences de gestion des accès privilégiés (PAM), les exigences de sécurité pour l'accès à distance, les contrôles d'accès pour les tiers et prestataires, les exigences de journalisation et de surveillance des accès, la gestion des comptes de service, la mise en œuvre du contrôle d'accès basé sur les rôles (RBAC), et les procédures d'accès d'urgence."

  3. Générer la politique de gestion des actifs :

    "Créez une politique de gestion des actifs alignée sur l'article 21(2)(i) de NIS2 pour notre organisation. Couvrez : les exigences d'inventaire des actifs (matériel, logiciel, information, services, personnes), les critères de classification des actifs et les règles de manipulation, les affectations de propriété et de garde des actifs, la gestion du cycle de vie des actifs (acquisition, déploiement, maintenance, élimination), l'utilisation acceptable des actifs, la politique BYOD (apportez votre propre appareil), les contrôles des supports amovibles, et les procédures d'élimination et de destruction sécurisées."

Étape 10 : Générer la politique d'authentification et de communications sécurisées

Article 21(2)(j) -- MFA, authentification continue et communications sécurisées

NIS2 mentionne spécifiquement l'authentification multifacteur, les solutions d'authentification continue, les communications voix/vidéo/texte sécurisées et les systèmes de communication d'urgence sécurisés.

  1. Générer la politique d'authentification :

    "Créez une politique d'authentification alignée sur l'article 21(2)(j) de NIS2 pour notre entité [essentielle/importante]. Couvrez : les exigences d'authentification multifacteur (MFA) -- obligatoire pour tous les accès à distance, les comptes privilégiés, les systèmes critiques et les services cloud, les méthodes MFA approuvées (jetons matériels, applications d'authentification, FIDO2) avec préférence pour les méthodes résistantes au phishing, les considérations d'authentification continue et d'accès adaptatif, la politique de mots de passe (longueur minimale, complexité, rotation, interdiction de réutilisation), les directives de mise en œuvre de l'authentification unique (SSO), l'authentification de service à service (clés API, certificats, comptes de service), la gouvernance de l'authentification biométrique, l'authentification pour les environnements OT/ICS le cas échéant, et la journalisation de l'authentification et détection d'anomalies."

  2. Générer la politique de communications sécurisées :

    "Créez une politique de communications sécurisées alignée sur l'article 21(2)(j) de NIS2 pour notre organisation. Couvrez : les exigences de communication vocale sécurisée (VoIP chiffrée, communications mobiles sécurisées), les normes de visioconférence sécurisée (plateformes approuvées, exigences de chiffrement), le texte et la messagerie sécurisés (plateformes de messagerie d'entreprise approuvées, interdiction de la messagerie grand public pour les données sensibles), la sécurité des emails (application de TLS, S/MIME ou PGP pour les communications sensibles), les systèmes de communication d'urgence sécurisés (canaux de communication hors bande pour la réponse aux incidents, outils de communication de crise fonctionnant quand les systèmes primaires sont compromis), et les contrôles de prévention des pertes de données (DLP) pour les canaux de communication."

Communications d'urgence : NIS2 exige spécifiquement des systèmes de communication d'urgence sécurisés. Cela signifie que vous avez besoin d'un canal de communication qui reste opérationnel même lorsque votre réseau primaire ou vos systèmes d'information sont compromis. Documentez votre plan de communication hors bande et testez-le régulièrement.

Étape 11 : Réviser, aligner et approuver votre ensemble de politiques

Assurer la cohérence à travers toutes les politiques

Une fois les dix domaines de mesure couverts, examinez l'ensemble complet des politiques pour en vérifier la cohérence, les renvois et l'exhaustivité.

  1. Effectuer une vérification de cohérence :

    "Examinez les documents de politique NIS2 suivants pour en vérifier la cohérence. Vérifiez : (1) que la terminologie est utilisée de manière cohérente dans toutes les politiques, (2) que les rôles et responsabilités ne sont pas en conflit, (3) que les renvois entre les politiques sont corrects, (4) que les dix domaines de mesures de l'article 21(2) sont entièrement couverts, (5) que toutes les politiques font référence à la politique de sécurité de l'information globale, (6) que les cycles de révision et les processus d'approbation sont cohérents, (7) qu'il n'existe aucune lacune entre les politiques où une exigence pourrait être oubliée."

  2. Créer un index du cadre de politiques :

    "Créez un index du cadre de politiques de cybersécurité NIS2 qui cartographie : chaque domaine de mesure de l'article 21(2) par rapport au(x) document(s) de politique qui s'y rapporte(nt), le propriétaire du document, l'autorité d'approbation (organe de direction vs RSSI), la fréquence de révision, la version actuelle, la date de dernière révision et la date de prochaine révision. Formatez sous forme de tableau adapté aux preuves d'audit."

  3. Préparer le dossier d'approbation pour l'organe de direction :

    "Créez un dossier d'approbation pour l'organe de direction pour notre ensemble de politiques de cybersécurité NIS2. Incluez : un résumé exécutif de toutes les politiques créées, la manière dont elles répondent collectivement aux exigences de l'article 21(2), un résumé d'une page des dispositions clés de chaque politique, les obligations spécifiques d'approbation et de surveillance de l'organe de direction selon l'article 20, le calendrier proposé de révision et de mise à jour, et un modèle de résolution du conseil pour l'adoption formelle des politiques."

Validation de l'organe de direction : En vertu de l'article 20, l'organe de direction doit approuver les mesures de gestion des risques de cybersécurité. Cela inclut l'ensemble des politiques. Planifiez une session dédiée du conseil pour examiner et approuver formellement le cadre de politiques. Consignez l'approbation dans les procès-verbaux du conseil et conservez-les comme preuve d'audit. L'organe de direction peut déléguer la surveillance quotidienne mais ne peut pas déléguer la responsabilité finale.

Maintenir et mettre à jour vos politiques

Gestion du cycle de vie des politiques

Les politiques NIS2 sont des documents vivants qui doivent être mis à jour lorsque :

  • Les résultats de l'évaluation des risques changent

  • Des incidents révèlent des lacunes dans les politiques

  • De nouvelles menaces apparaissent nécessitant des contrôles mis à jour

  • Des changements organisationnels affectent le périmètre ou les responsabilités

  • Les lois nationales de transposition sont mises à jour

  • Des changements technologiques exigent des contrôles techniques actualisés

  • Des évaluations d'efficacité identifient des domaines d'amélioration

"Créez une procédure de révision et de mise à jour des politiques pour notre ensemble de politiques NIS2. Incluez : un cycle de révision planifié (minimum annuel pour toutes les politiques), les événements déclencheurs pour les révisions imprévues, le processus de révision (revue du contenu, consultation des parties prenantes, approbation par l'organe de direction), le contrôle des versions et les procédures de suivi des modifications, la communication des mises à jour des politiques au personnel concerné, et les exigences d'archivage pour les versions remplacées."

Prochaines étapes

Avec votre ensemble complet de politiques NIS2 créé et approuvé, vous disposez maintenant du socle documentaire pour la conformité.

Continuez avec les prochains guides de cette série :

  • Signalement d'incidents : Voir Comment mettre en œuvre le signalement d'incidents NIS2 à l'aide de l'IA pour construire les flux de travail opérationnels, les modèles et les playbooks qui opérationnalisent votre politique de réponse aux incidents

  • Sécurité de la chaîne d'approvisionnement : Voir Comment gérer la sécurité de la chaîne d'approvisionnement NIS2 à l'aide de l'IA pour mettre en œuvre les évaluations de fournisseurs et les questionnaires décrits dans votre politique de sécurité de la chaîne d'approvisionnement

Si vous n'avez pas encore terminé l'évaluation des risques, voir Comment mener une évaluation des risques NIS2 à l'aide de l'IA -- vos politiques doivent être fondées sur les résultats de votre évaluation des risques. Pour la configuration initiale et la définition du périmètre, commencez par Comment débuter l'implémentation de NIS2 à l'aide de l'IA.

Pour des invites de génération de politiques prêtes à l'emploi, explorez la Bibliothèque d'invites pour la directive NIS2. Pour un aperçu complet de toutes les exigences NIS2, consultez le Guide de conformité NIS2 pour les entreprises concernées.

Obtenir de l'aide

Pour une assistance supplémentaire dans la création de politiques NIS2 :

  • Demander à ISMS Copilot : Utilisez votre espace de travail NIS2 pour vos questions continues sur les politiques, la personnalisation et les mises à jour

  • Télécharger des politiques existantes : Obtenez une analyse d'écarts par IA pour identifier ce qui doit être créé, mis à jour ou renforcé

  • Personnalisation sectorielle : Demandez des dispositions spécifiques à votre secteur à ajouter aux modèles de politiques génériques (particulièrement important pour les secteurs de l'énergie, de la santé, des transports et des infrastructures numériques)

  • Alignement sur la transposition nationale : Interrogez sur les exigences supplémentaires que votre État membre pourrait avoir imposées au-delà de la base de référence de la directive

Prêt à générer votre ensemble de politiques NIS2 ? Ouvrez votre espace de travail NIS2 sur chat.ismscopilot.com et commencez par la politique de sécurité de l'information globale. Travaillez ensuite systématiquement sur chaque domaine de mesure. Avec ISMS Copilot, vous pouvez générer un ensemble de politiques complet et prêt pour un audit en quelques jours plutôt qu'en plusieurs mois.

Cela vous a-t-il été utile ?