Obtenez une première simulation de votre conformité avec la directive NIS 2
Obtenez une première simulation de votre conformité avec la directive NIS 2
Si vous ne souhaitez pas utiliser le scan, veuillez laisser le champ ci-dessous vide.
Les organes de direction Ce terme global couvre différents types d'entités de gouvernance incluant les holdings et les départements exécutifs. Selon l'article 29, §6, les autorités compétentes veillent à la conformité avec les dispositions de la directive NIS 2. Ces autorités ont comme devoir de prendre des mesures de sécurité, suivre une formation et peuvent être tenues responsables si elles ne remplissent pas ces obligations. reçoivent-ils une formation leur permettant d'acquérir des connaissances et des compétences suffisantes pour reconnaître les risques en matière de cybersécurité et évaluer leurs impacts sur les services fournis par l'organisation ?
Effectuez-vous périodiquement Par "périodique", on entend : au moins une fois par an et lorsqu'un incident de cybersécurité s'est produit, qu'il y a eu des changements dans l'environnement opérationnel ou des modifications apportées à l'infrastructure informatique. une analyse des risques et une application des mesures de gestion des risques en matière de cybersécurité adaptées aux risques encourus ?
Votre organisation dispose-t-elle de politique et procédures en place pour suivre de manière appropriée Par 'approprié', on entend que la réponse à un incident doit être proportionnelle à la gravité et la nature de cet incident. les incidents affectant la sécurité des réseaux et des systèmes d'information ?
Votre organisation dispose-t-elle de politiques, de procédures et de mesures en place pour garantir la continuité des activités en cas de circonstances imprévues ou sinistres ? Cela inclut : la gestion des sauvegardes, les dispositions d'urgence, les plans de continuité d'activités et les plans de réponse aux incidents.
Avez-vous une visibilité sur l'état et le niveau des mesures de cybersécurité de vos fournisseurs et prestataires de services, et suivez-vous activement Par 'activement', il est entendu que vous évaluez et suivez l'état de vos fournisseurs et prestataires de services, par exemple à travers des audits ou évaluations périodiques, en demandant des rapports sur la sécurité et les incidents, et en surveillant les mesures de sécurité et des performances, conformément aux exigences de NIS 2. cette situation ?
La cybersécurité est-elle intégrée de manière structurelle Par "structurelle", on entend que la cybersécurité n'est pas simplement une action ponctuelle, mais qu'elle fait partie intégrante de la manière de travailler standard et qu'elle est intégrée dans tous les processus liés à l'acquisition, au développement et à la maintenance des systèmes de réseaux et d'information. Par exemple, les risques de sécurité sont-ils déjà pris en compte lors de la conception, de la construction et/ou de l'acquisition des systèmes ? dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information ?
En fonction du nom de domaine que vous avez fourni, nous avons trouvé les sous-domaines listés dans le tableau ci-dessous. Êtes-vous bien au courant de tous ces noms de domaine ?
| Domaines trouvés | ||
|---|---|---|
| Vous n'avez pas (encore) entré de nom de domaine. | ||
Votre organisation dispose-t-elle de procédures et de politiques pour identifier et traiter les vulnérabilités Une « vulnérabilité » est une faiblesse d’un actif (comme un ordinateur, un réseau ou un autre système) ou d’une mesure de sécurité susceptible d'être exploitée par une ou plusieurs menaces (comme un cybercriminel). ?
Votre organisation évalue-t-elle régulièrement BPar « régulièrement », on entend par exemple une fois par an, par trimestre ou par mois, et après qu'un incident de cybersécurité s'est produit, que des changements ont eu lieu dans l'environnement de l'entreprise ou que des modifications ont été apportées à l'infrastructure informatique. Il est important d'adapter la fréquence des évaluations aux risques auxquels votre organisation est confrontée et à la vitesse à laquelle les menaces se développent. si les mesures de cybersécurité choisies sont opérationnelles Par « opérationelle », on entend que les mesures de cybersécurité ne sont pas seulement conçues et mises en œuvre (conception et existence), mais qu'elles assurent également la protection prévue (fonctionnement). Les mesures de contrôle prises doivent être précises dans leurs méthodes de détection et de prévention (exactitude), ainsi que couvrir tous les risques et vulnérabilités pertinents (exhaustivité). ?
Votre entreprise dispose-t-elle d’une politique appropriée Par « appropriée », on entend que la politique est à jour, régulièrement évaluée et proportionnée aux risques auxquels votre organisation est confrontée. Par exemple, si votre organisation travaille avec des informations sensibles, la politique relative à la cryptographie et au chiffrement doit également être conforme aux normes de protection des informations traitées au sein de l'organisation. en matière de cryptographie La cryptographie permet la transformation, au moyen d’un algorithme de chiffrement, d’un message clair en un message chiffré dans le but d’assurer la la confidentialité, l'authenticité et l’intégrité des données échangées et de chiffrement Le « chiffrement » est une technique de cryptographie dans laquelle des données lisibles sont converties en une forme illisible (un code) sans la clé de déchiffrement. ?
Votre organisation dispose-t-elle de procédures de gestion d'accès et des ressources ? Cela comprend : la politique d'accès physique et logique, la cartographie des actifs, les procédures d'entrée, de mobilité et de départ des employés.
L’authentification multifactorielle L'authentification multifacteur (MFA) est une méthode de sécurité utilisée pour vérifier qu'un utilisateur est bien celui qu'il prétend être. Au lieu d'utiliser uniquement un nom d'utilisateur et un mot de passe, l'authentification multifacteur nécessite au moins deux formes d'authentification différentes. Par exemple, en plus d'un mot de passe, une carte doit être utilisée ou un code de confirmation envoyé sur le téléphone mobile doit être saisi. est-elle appliquée lorsque cela est possible ?
L’organisation dispose-t-elle d’une procédure appropriée Par « appropriée », on entend que la procédure est à jour et régulièrement évaluée pour garantir qu'elle est toujours efficace pour signaler les cyber incidents aux régulateurs dans les délais prescrits. De plus, la procédure doit être claire et compréhensible pour tous les employés chargés de signaler les cyber incidents. Savez-vous qui est l'organisme de réglementation ? pour signaler les cyber incidents aux régulateurs dans les délais prescrits TLes délais suivants sont prévus pour signaler les incidents cybernétiques à l'autorité de contrôle: Dans les 24 heures : une première alerte et suspicion initiale sur le type d'incident; Dans les 72 heures : Un rapport de notification complet avec l’évaluation de l’incident, sa gravité et son impact, ainsi que les indicateurs de danger; Sur demande : Un rapport intermédiaire; Dans un délai d'un mois : Un rapport final. De plus, vous devez également informer vos clients des incidents susceptibles d'avoir un impact négatif sur les services fournis. ?
Excellent ! D'après les réponses que vous avez fournies, il semble que votre organisation disposerait d'une bonne base répondant aux attentes de la nouvelle règlementation NIS 2. C'est formidable de constater que vous donnez la priorité à la sécurité numérique dans votre organisation. Cela constitue une fondation pour renforcer votre résilience face aux menaces numériques.
Les directives NIS 2 (Sécurité des réseaux et de l'information) ont été créées pour aider les organisations à faire face efficacement aux menaces croissantes de cyberattaques et à améliorer la sécurité numérique en Europe. Il est essentiel de protéger votre organisation ainsi que l'infrastructure numérique dans son ensemble.
Même si votre organisation semble être en bonne voie avec les directives NIS 2, il est important de se rappeler que les menaces numériques évoluent constamment. Il ne suffit pas de maintenir le statu quo ; il faut continuer à s'améliorer. Si vous avez besoin d'aide à ce sujet ou si vous souhaitez approfondir NIS 2, n'hésitez pas à remplir notre formulaire de contact. Nos experts sont prêts à vous accompagner.
Avez-vous des questions, souhaitez-vous obtenir plus d'informations ou avez-vous besoin de soutien ? Remplissez le formulaire ci-dessous avec vos coordonnées afin que nous puissions vous contacter et vous fournir des mises à jour et des conseils pertinents concernant NIS 2.
Malheureusement, il semble que votre organisation ne soit pas encore pleinement conforme aux directives NIS 2. Il est important non seulement d'un point de vue juridique d'évaluer votre organisation par rapport à la directive NIS 2, mais aussi de renforcer la sécurité numérique de votre organisation et de considérer les communications de l'autorité notamment sur les règles de sécurité. Ne vous inquiétez pas, vous avez encore le temps de mettre en œuvre ces changements. Bien que le décret NIS 2 soit bientôt introduit, nous sommes encore dans une phase de transition. Plus tôt vous commencerez à sécuriser votre organisation conformément aux directives NIS 2, mieux vous serez préparé lorsque la directive sera transposée.
D'après vos réponses complétées, il est relevé les premiers domaines d'attention suivants:
Cliquez sur le bouton ci-dessous pour recevoir un résumé et nos conseils sur la manière de devenir conforme par e-mail.
Les recommandations NIS 2 (Cybersécurité des réseaux et des systèmes d'information) ont été créées pour aider les organisations à faire face efficacement aux menaces croissantes des cyberattaques et à améliorer la sécurité numérique en Europe. Il est crucial de protéger votre organisation ainsi que toute l'infrastructure numérique.
Bien que le résultat semble être en dessous des attentes, il offre l'opportunité de revoir, améliorer et renforcer vos mesures de sécurité. Nous comprenons l'importance d'adopter une approche proactive dans votre stratégie de sécurité. Notre équipe dédiée est prête à vous accompagner dans l'élaboration d'une approche de sécurité par les risques qui respecte les exigences de NIS 2.
© BDO Canada LLP. 2024 . Tous droits réservés. Politique de confidentialité Avertissement : Les informations contenues sur ce site Web sont fournies exclusivement à titre informatif. Le contenu du site Web et les résultats de l'analyse sont indicatifs et basés sur les informations renseignées et la publication des guides pratiques NIS2 du 14 décembre 2022. Ils ne sont pas destinés à remplacer une évaluation professionnelle.