La réglementation NIS porte sur la protection des réseaux et systèmes d'information des infrastructures essentielles et importantes. A partir d'octobre 2024, la directive NIS2 remplacera la précédente directive NIS1. La nouvelle réglementation concerne davantage de secteurs, élargit le scope au "supply chain", exige des mesures de sécurité plus détaillées et prévoit des sanctions plus strictes aux entreprises concernées qui ne s'y conforment pas.
L'objectif de ce webinaire, organisé en collaboration avec l'Infopole, était d'analyser plus en détails les changements apportés par NIS2 et d'apporter des éclaircissements, tant sur les aspects légaux que pratiques pour sa mise en oeuvre au sein des entreprises.
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fevrier 2024
1.
2. Green Mirror – Episode 1 – 22/02/24 2
Mapping Innovation Networking
International Knowledge Partnerships
3. Green Mirror – Episode 1 – 22/02/24 3
Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
4. Green Mirror – Episode 1 – 22/02/24 4
6 épisodes pour puiser de l’inspiration
au-delà de nos frontières
#1 - 14/03 - WhatsUpp In… France, regarding energy communities ?
#2 – 16/05 - WhatsUpp In… our neighboring countries
(FR, NL, DE) regarding green molecule certification ?
#3 - 06/06 – WhatsUpp In… the Netherlands
regarding drilling and geothermal projects ?
#4 – 29/08 – WhatsUpp In… Nordic countries regarding
renewable energy communities ?
#5 – 10/10 – WhatsUpp In… European Hydrogen Valleys ?
#6 – 12/12 – WhatsUpp In… Switzerland regarding district heating ?
5. Green Mirror – Episode 1 – 22/02/24 5
5 épisodes pour explorer la digitalisation et les technologies
émergentes dans le secteur de l’énergie et de l’eau
#1 - 22/02 La nouvelle réglementation NIS2
#2 - 25/04 Smart contracts and virtual power and heat
purchase agreement - leurs utilisations dans le domaine
de l’eau, de l’électricité et de la chaleur
#3 – 06/06 No Lithium World – le stockage et la mobilité
sans Lithium : comment fait-on ?
#4 - 12/09 - Big Brother is metering you – quid de la
collecte des données vs protection de la vie privée ?
#5 – 28/11 - E-fuels, quel avenir ?
Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
6. Green Mirror – Episode 1 – 22/02/24 6
Green Mirror #1
La nouvelle réglementation cybersécurité NIS2
Réseaux électriques
• Environnements à haut risque cyber
• Echange d’informations sensibles entre sites
• Vulnérabilité des compteurs communicants
Nécessité de protéger cette sensibilité
et d’assurer la sécurité énergétique
Directive européenne NIS
7. Green Mirror – Episode 1 – 22/02/24 7
La nouvelle réglementation cybersécurité NIS2
11:00 -11:05 Introduction - Mise en contexte par TWEED
11:05 - 11:35 Aspect Légal - Implications légales de la directive NIS 2,
avec Philippe Laurent, expert juridique de l’Infopôle
11:35 - 11:50 Use Cases - Tour d’horizons de cas pratiques démontrant l’importance
du pentesting, avec Giannino Cuignet, CEO de RedSystem
11:50 - 12:05 Et en pratique : quelles implications pour les PME et acteurs de l'énergie ?
avec Vincent Ceriani, Head of cyber risk at NRB
12:05- 12 :10 Service aux PME & Appel à compétences – Infopôle
12 :10-12:30 Q&A modérées et mots de conclusion – Tweed
8. Green Mirror – Episode 1 – 22/02/24 8
Posez vos questions via le chatbox !
10. Green Mirror – Episode 1 – 22/02/24 10
WhatsUpp In… France, regarding energy
communities in the thermal and electric sectors
Programme préliminaire
Introduction - Mise en contexte par TWEED
Aspect légal - La transposition française des dispositions européennes relatives aux communautés d'énergie
Par Clément Lacombe, chercheur spécialisé en sciences juridiques et droit public, Université de Pau et des Pays de l'Adour (tbc)
Case study 1 - Retour d'expérience d'une initiative citoyenne
A Nous l'Energie!,
Par Capucine Marzet, Coordinatrice Energie Citoyenne, A Nous l'Energie! Renouvelable et solidaire 17.
Case study 2 - Retour d'expérience d'une initiative d'entreprises
Parc Industriel de la Plaine de l'Ain (PIPA),
Par Audrey Ayrinhac, responsable environnement et sécurité, Syndicat Mixte du Parc Industriel de la Plaine de l'Ain.
Q&A modérées et mots de conclusion
Rendez-vous le jeudi 14 mars !
Inscrivez via le site de TWEED => https://clusters.wallonie.be/tweed/fr/agenda
13. IT : Tsunami législatif
Factsheet sur
KAIZENNER.EU
14. ENISA (agence UE cybersécurité)
Certification cybersécurité
Projets
Centre de compétence UE
Centres nationaux
Réseau => communauté
Abroge et remplace NIS1
Sécurité de l’info au
sein des institutions UE
Cybersécurité au
sein des institutions UE
Cybersécurité des
produits avec éléments
digitaux
(hardware/software)
Coopération et
coordination des efforts
en UE
15. NIS 1 & 2
• Directives : Cybersécurité
• Protection des réseaux et systèmes
d’information des infrastructures
essentielles/importantes
• NIS 1 : Directive (UE) 2016/1148
=> abrogée le 18 octobre 2024
=> remplacée par
• NIS 2 : Directive (UE) 2022/2555
=> transposition pour 17 octobre 2024
=> BE : consultation publique sur avant-projet
de loi achevée en décembre 2023
Obligations : Etats Membres
Entreprises
16. «réseau et système d’information»:
a) un réseau de communications électroniques au sens de l’article
2, point 1), de la directive (UE) 2018/1972;
b) tout dispositif ou tout ensemble de dispositifs interconnectés
ou apparentés, dont un ou plusieurs éléments assurent, en exécution
d’un programme, un traitement automatisé de données numériques;
ou
c) les données numériques stockées, traitées, récupérées ou
transmises par les éléments visés aux points a) et b) en vue de leur
fonctionnement, utilisation, protection et maintenance;
17. «sécurité des réseaux et des systèmes d’information»:
la capacité des réseaux et des systèmes d’information de
résister, à un niveau de confiance donné, à tout événement
susceptible de compromettre la disponibilité, l’authenticité,
l’intégrité ou la confidentialité de données stockées,
transmises ou faisant l’objet d’un traitement, ou des services
que ces réseaux et systèmes d’information offrent ou rendent
accessibles
18. • «produit TIC», un élément ou un groupe d’éléments appartenant à un
réseau ou à un schéma d’information;
• «service TIC», un service consistant intégralement ou principalement
à transmettre, stocker, récupérer ou traiter des informations au
moyen de réseaux et de systèmes d’information;
• «processus TIC», un ensemble d’activités exécutées pour concevoir,
développer ou fournir un produit TIC ou service TIC ou en assurer la
maintenance;
19. Obligations des Etats membres
• stratégie nationale en matière de cybersécurité
(ex: politiques cybersécurité dans les chaînes d’approvisionnement, spécifications dans les
marchés publics,…)
• mise en place des autorités compétentes:
• points de contact uniques en matière de cybersécurité (coop. Transfrontière)
• autorités chargées de la gestion des cybercrises
• centres de réponse aux incidents de sécurité informatique (CSIRT) (surveillance,
assistance, alerte, scan proactif, divulgation de vulnérabilités…)
=> En Belgique:
CCB : Centre for Cybersecurity Belgium
NCCN : National Crisis Centrum
CERT : Cyber Emergency Response Team
• NIS 1 & 2 = Directives => Transposition
• Listes entités essentielles / importantes / enregistrement noms de domaine
• Supervision, exécution, sanction.
20. Obligations des entreprises
• Mesure de gestion des risques en matière de cybersécurité
• Obligations d’information (/notification)
21. NIS1 => NIS2
• Secteurs : six secteurs de NIS-1 + douze nouveaux secteurs (dont services publics, industries alimentaire,
chimique et de fabrication, autres types d’organisations dans les secteurs de l’énergie et de la santé,
infrastructures TIC, services de gestion du numérique, fournisseurs numériques).
• Taille : Toutes les grandes et moyennes organisations (+ de 50 collaborateurs / + 10 millions d’euros de
chiffre d’affaires annuel) => en Belgique : 100 => 2500 entités
+ cas particuliers => toutes tailles (réseaux télécom publics, registres DNS, prestataires de confiance + services
essentiels, critiques, risques systémiques… + entités critiques visées par directive (UE) 2022/2557 + Possibilité
d’extention par E.M.)
• Distinctions : entités « essentielles » et « importantes »
(voir tableau suivant)
- même * gestion de la cybersécurité et * obligations de reporting
- différents * régimes de supervisions et * de sanctions
• Due diligence au niveau des fournisseurs IT
=> NIS 2 élargit le scope au « supply chain »
• Mesures de sécurité plus détaillées
• Sanctions plus strictes (max 2% C.A. annuel / 10 mio EUR)
24. Comparaison RGPD NIS / NIS 2
Concerne • Les données à caractère personnel
• traitées par
• tout responsable de traitement
• Les réseaux et systèmes d’information de
• certaines entreprises dans
• certains secteurs d’activité
Types d’obligations
(pour les entreprises)
Nombreuses DONT mesures de sécurité
et notification des violations
1) Prendre des mesures de sécurité
2) Notifier les incidents
Mesures de sécurité Protection de données, obligation de moyen, analyse de risques => formulation similaire («compte tenu
de l’état des connaissances», «mesures techniques et organisationnelles», «adapté au
risque»,«confidentialité»,«intégrité»,«disponibilité».
Appropriées / compte tenu des coûts de mises
en œuvre + de la nature, de la portée, du
contexte et des finalités de traitement
nécessaires/proportionnées (critères : voir texte)
=> NIS 2 : détaillé (cfr. Infra)
Notification : - quoi
- condition
- quand
- à quelle autorité
- aux “victimes” ?
- violation de données à caractère personnel
- risque pour droits et liberté des personnes
- 72h après prise de connaissance de l’incident
- Autorité de Protection des Données
- Si risque élevé : notification aux personnes
concernées dans les meilleurs délais
- toute brèche de sécurité/ violation de données
- impact important sur les réseaux et systèmes ou les
utilisateurs + dommage matériel, corporel ou moral
considérable.
- NIS : ASAP (« sans retard ») / NIS2 : 24h (puis suivi
72h, intermédiaire et rapport final 1 mois)
- CCB + NCCN + CSIRT (via 1 seule déclaration online)
- aux destinataires des services dans les meilleurs
délais (+ mesure de correction à prendre !)
25. Quelles mesures de sécurité?
• Gouvernance:
• Décisions sur mesures de sécurité au niveau des organes de direction
• Obligation de formation des entités et de leur personnel
• Mesures techniques, opérationnelles et organisationnelles appropriées et
proportionnées / « tous risques »
Au moins:
a) les politiques relatives à l’analyse des risques et à la sécurité des systèmes
d’information;
b) la gestion des incidents;
c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise
des activités, et la gestion des crises;
26. d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité
concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services
directs;
e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des
systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
f) des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des
risques en matière de cybersécurité;
g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas
échéant, du chiffrement;
i) la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des
actifs;
j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification
continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes
sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
27. Attention aux actes d’exécution de la commission
• Commission adopte des actes d’exécution => exigences techniques et
méthodologiques (liste d’activités domaine IT/Internet)
• Commission PEUT adopter des actes d’exécution pour les autres secteurs.
28. Conformité
• Certification (art.24)
Etat membre (et/ou commission par voie d’actes délégués) peut
prescrire des certifications dans le cadre de schémas européens de
certification de cybersécurité adoptés conformément à l’article 49 du
règlement (UE) 2019/881
• Normalisation (art.25)
Encouragement à avoir recours à des normes et des spécifications
techniques européennes et internationales pour la sécurité des réseaux
et des systèmes d’information
29. Notification
• Un incident est considéré comme important si:
a) il a causé ou est susceptible de causer une perturbation
opérationnelle grave des services ou des pertes financières pour l’entité
concernée;
b) il a affecté ou est susceptible d’affecter d’autres personnes physiques
ou morales en causant des dommages matériels, corporels ou moraux
considérables.
• Timeline (cfr supra)
• NB: « Le simple fait de notifier un incident n’accroît pas la responsabilité de
l’entité qui est à l’origine de la notification » (art. 23, 1)
Attention aussi aux actes d’exécution de la commission (délais
et critère d’importance)
30. Sensibilisation du public (!)
Lorsque la sensibilisation du public est nécessaire pour prévenir un
incident important ou pour faire face à un incident important en cours,
ou lorsque la divulgation de l’incident important est par ailleurs dans
l’intérêt public, le CSIRT d’un État membre ou, selon le cas, son autorité
compétente et, le cas échéant, les CSIRT ou les autorités compétentes
des autres États membres concernés peuvent, après avoir consulté
l’entité concernée, informer le public de l’incident important ou exiger
de l’entité qu’elle le fasse.
31. Coopération, etc…
• Possibilité d’échanger des infos:
communautés d’entités essentielles et importantes ainsi que, le cas
échéant, de leurs fournisseurs ou prestataires de services
=> accords de partage d’information
• Notification volontaire d’infos pertinentes
32. Autorités : pouvoirs / sanctions
• Supervision
• Etablir les Priorités
• Coopération avec APD (si violation de données à caractère personnel)
• Mesure de supervision et exécution : Voir art. 31 et suivants
=>…
33. Entités essentielles
Mesures d’exécution et supervision : au minimum:
a) des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires
effectués par des professionnels formés;
b) des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une
autorité compétente;
c) des audits ad hoc, notamment lorsqu’ils sont justifiés en raison d’un incident important ou
d’une violation de la présente directive par l’entité essentielle;
d) des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non
discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité
concernée;
e) des demandes d’informations nécessaires à l’évaluation des mesures de gestion des risques
en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de
cybersécurité consignées par écrit, ainsi que du respect de l’obligation de soumettre des
informations aux autorités compétentes conformément à l’article 27;
f) des demandes d’accès à des données, à des documents et à toutes informations nécessaires
à l’accomplissement de leurs tâches de supervision;
g) des demandes de preuves de la mise en œuvre de politiques de cybersécurité, telles que les
résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve
sous-jacents correspondants.
34. au minimum, pouvoir:
a) d’émettre des avertissements concernant les violations de la présente directive par les entités concernées;
b) d’adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter
un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et rendre compte de cette
mise en œuvre, ou une injonction exigeant des entités concernées qu’elles remédient aux insuffisances
constatées ou aux violations de la présente directive;
c) d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et
de ne pas le réitérer;
d) d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en
matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information énoncées à l’article 23,
de manière spécifique et dans un délai déterminé;
e) d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles
fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace
importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces
personnes physiques ou morales pourraient prendre en réponse à cette menace;
f) d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit
de sécurité dans un délai raisonnable;
g) de désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour
superviser le respect, par les entités concernées, des articles 21 et 23;
h) d’ordonner aux entités concernées de rendre publics les aspects de violations de la présente directive de
manière spécifique;
i) d’imposer ou de demander aux organes compétents ou aux juridictions d’imposer, conformément au droit
national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux
points a) à h) du présent paragraphe.
+ poss. suspension certificat, interdiction temporaire etc.
35. Critères d’évaluation : voir texte de la directive
NB: !!!
….toute personne physique responsable d’une entité essentielle ou agissant en
qualité de représentant légal d’une entité essentielle sur la base du pouvoir de la
représenter, de prendre des décisions en son nom ou d’exercer son contrôle ait le
pouvoir de veiller au respect, par l’entité, de la présente directive.
Les États membres veillent à ce que ces personnes physiques puissent être tenues
responsables des manquements à leur devoir de veiller au respect de la présente
directive.
36. Un peu moins contraignant pour les entités importantes…
37. Amendes administratives
• entités essentielles :
montant maximal 10 000 000 EUR / 2% du chiffre d’affaires annuel mondial total de
l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le
montant le plus élevé étant retenu;
• entités importantes :
montant maximal 7 000 000 EUR / 1,4% du chiffre d’affaires annuel mondial total
de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le
montant le plus élevé étant retenu.
• Si amendes RGPD : mesures limitant le cumul (art. 35)
39. DATA ACT
• Règlement (projet adopté par le
conseil le 27 novembre 2023)
• Entrée en vigueur : dans +- 20 mois
• Accès et utilisation équitables des
données
• Objets connectés (IoT) et services
connexes
• Services de traitement de données
(cloud/SaaS)
40. NB
• Technical protection measures on the unauthorised use or disclosure of
data 1. A data holder may apply appropriate technical protection
measures, including smart contracts and encryption, to prevent
unauthorised access to data, including metadata, and to ensure
compliance with Articles 4, 5, 6, 8 and 9, as well as with the agreed
contractual terms for making data available. Such technical protection
measures shall not discriminate between data recipients or hinder a user’s
right to obtain a copy of, retrieve, use or access data, to provide data to
third parties pursuant to Article 5 or any right of a third party under Union
law or national legislation adopted in accordance with Union law. Users,
third parties and data recipients shall not alter or remove such technical
protection measures unless agreed by the data holder.
41. DATA
GOVERNANCE
ACT
• Règlement (EU) 2022/868
• Entrée en vigueur : 23 juin 2022
• Applicable : 24 septembre 2023
• processus et structures pour faciliter
les échanges de données
• les conditions de réutilisation de certaines
catégories de données détenues par des
organismes du secteur public;
• cadre de notification et de surveillance pour la
fourniture de services d’intermédiation de
données;
• cadre pour l’enregistrement volontaire des entités
qui collectent et traitent les données mises à
disposition à des fins altruistes; et
• un cadre pour l’établissement d’un comité
européen de l’innovation dans le domaine des
données.
42. Réutilisation de données protégées détenues
par des organismes du secteur public
• Données protégées (confidentielles, secrets, P.I., DCP).
• Interdiction des accords d’exclusivité
• Conditions publiques, transparentes, non-discriminatoires, proportionnées,…
• Mesures pour préserver le caractère protégé des données.
Exemples
• Anonymisation des DCP / modification/agrégation/traitement des autres
• Accès à distance, environnement sécurisé
• Accès présentiel, normes de sécurité élevées
• NDA
• Aide à obtenir le consentement
• Transferts hors UE : conditions supplémentaires (contrat, etc.)
• Redevances
• Organisme competent (aide à la mise en place)
• Point d’info unique
• Procédure de demande (réponse dans les 2 mois)
43. Service d’intermédiation de données
• modèle commercial : fourniture d’un environnement sécurisé de partage de données
=> plateformes numériques d’échange de données entre entreprises.
• Notification de l’activité auprès de l’autorité compétente … => LABEL
https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services
• Respect de 15 conditions (art.12) dont :
• Ne pas utiliser soi-même les données
• Conditions relatives aux formats, services additionnels, accès, interopérabilité…
• procédures anti-fraude et anti-abus
• Mesure de sécurité appropriées pour stockage, traitement, transmission
DCP : => Mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits
services, et notamment pour permettre l’exercice des droits des personnes concernées prévus par le RGPD
44. AI ACT
• Projet de règlement – adopté en trilogue
(« deal » 8 décembre 2023)
• Version consolidée : fév.?
• Doit être formellement adopté par le Conseil
(fév./mars?) et par le parlement (avril?)
• Application progressive (24 mois après entrée en
vigueur)
• mise sur le marché et l'utilisation de produits
et services d'IA dans les pays de l'UE
• Protection des droits fondamentaux (non-
discrimination, liberté d’expression, vie privée/
données personnelles, procès équitable…)
• Normalisation (sécurité, gouvernance, fiabilité,
sécurité juridique)
• Classification des IA en fonction du risque
• Sanctions : < 40 mio eur / 7% C.A annuel
45. Haut risque
Exigences
• établissement, mise en œuvre et maintenance d'un système de gestion des risques ;
• entraînement, validation et contrôle des données, ainsi que la gouvernance des données ;
• documentation technique avant la mise sur le marché d'un système afin de démontrer que le
système d'IA à haut risque est conforme aux exigences imposées par le règlement ;
• tenue de registres afin d'assurer un niveau de traçabilité du fonctionnement du système d'IA
tout au long de sa durée de vie ;
• transparence, afin de permettre aux utilisateurs d'interpréter les résultats du système et de les
utiliser de manière appropriée ;
• la surveillance humaine ;
• un niveau approprié de précision, de robustesse et de cybersécurité.
56. en pratique : quelles implications pour les PME et acteurs de l'énergie
VERS LA DIRECTIVE NIS 2
Vincent Ceriani – Head of CyberRisk Services
vincent.ceriani@nrb.be
57. 2
La directive NIS initiale a imposé un changement significatif vers
l'amélioration de la cybersécurité, mais le cadre nécessite une
révision constante pour refléter l'évolution du paysage des menaces.
C'est pourquoi la directive NIS2 a été publiée afin d'aligner ses
attentes et ses recommandations.
L'intention de la Commission européenne avec la mise à jour de la
législation est de :
Renforcer le cadre réglementaire en matière de cybersécurité
Obliger les autorités nationales à consacrer l'attention nécessaire
à la cybersécurité
Assurer une application uniforme dans les États membres
Mettre en place une gouvernance efficace au niveau européen
Renforcer la coopération européenne entre les autorités de
cybersécurité
Imposer aux principaux opérateurs des secteurs clés de notre
société la prise de mesures de sécurité et la notification
d’incidents
CyberSécurité : la nouvelle normalité
vincent.ceriani@nrb.be
58. 3
Analyser et évaluer les risques de sécurité pour les systèmes
informatiques
Gestion des cyberattaques : prévention, détection, identification,
confinement, atténuation et réponse
Assurer la continuité des activités et la gestion des crises
Assurer la sécurité de la chaîne d'approvisionnement en vérifiant
les exigences de sécurité des fournisseurs et en empêchant qu'une
attaque sur le réseau principal ne se propage à ces fournisseurs
Assurer la sécurité dans le développement et la maintenance
des systèmes d'information
Assurer la sécurité des réseaux et des systèmes d'information
par l'évaluation des vulnérabilités, les tests de pénétration, les
simulations d'attaques et d'autres activités similaires
Tester et évaluer l'efficacité des mesures de gestion des
risques liés à la sécurité informatique
vincent.ceriani@nrb.be
Transition vers NIS2
Exigences minimales
59. 4
• prévention, détection, identification, confinement,
atténuation et réponse – SOC/SIEM - CSIRT
Gestion des cyberattaques
• Plan de continuité des activités (BCP / ISO22301)
Continuité des activités
•DevSecOps - OWASP
Sécurité développement
et la maintenance
• Evaluation des vulnérabilités, les tests de
pénétration, les simulations d'attaques et
d'autres activités similaires
Sécurité des réseaux et
des systèmes
d'information
•Analyse de risques, plans de mitigation,
tableTop, Audit interne
Tester et évaluer
l'efficacité des mesures de
gestion des risques liés à
la sécurité informatique
vincent.ceriani@nrb.be
Transition vers NIS2
60. 5
Phase de découverte
Analyse environnement IT
Analyse de risque
Audit Technique
Identification des risques
Analyse vulnérabilités/Pentest
➔ niveau de maturité / roadmap
En pratique vers NIS2
Avec CyberFundamentals et ISO27001
vincent.ceriani@nrb.be
62. 7
Etablir les mesures de sécurité
Définir les lignes de défense
Sécuriser les données
Gestion des accès
Correction vulnérabilités / patching
Garantir la continuité
Visibilité sur les services critiques
En pratique vers NIS2
Avec CyberFundamentals et ISO27001
vincent.ceriani@nrb.be
63. 8
Les rapports d'incident doivent contenir suffisamment de détails sur
l'attaque elle-même. À l'aide d'outils et de technologies appropriés, l'équipe
doit retracer les événements sur le réseau, les points finaux et les journaux des
systèmes afin d'identifier toutes les données et métadonnées pertinentes pour
aider à reconstituer la chaîne d'attaque, le scénario, l'entité et toute autre
information pertinente.
Le délai de soumission des rapports est généralement de quelques
heures et dépend du type d'attaque et des spécifications de la législation
nationale de chaque pays.
Après l'incident, l'entreprise concernée doit envoyer un rapport final
contenant une description détaillée et complète de ce qui s'est passé,
ainsi que des dommages directs et indirects causés à l'entreprise ou à
des tiers.
Le rapport doit également contenir une description technique de l'attaque,
les causes possibles, les mesures mises en œuvre pour en atténuer les
effets et le plan d'amélioration à mettre en place pour réduire le risque
de récurrence.
vincent.ceriani@nrb.be
Le signalement d’incident
Le rapport
64. 9
Identifier les risques
Evaluer la maturité
Définir les lignes de défense
Détection d’incident
Assurer la continuité
Signalement d’incident
Outils :
CyberFundamentals
Sensibilisation du personnel
En pratique
vincent.ceriani@nrb.be
73. Chèque Cybersécurité
▪ KEEP IT SECURE 2017
Dispositif porté par l’AdN composé de la Grappe Cybersecurité de l’Infopole et deux CRA (Cetic
et Multitel):
• Aides et incitants financiers
• Cadre méthodologique et conseils
▪ Objectif : Améliorer le niveau de sécurité informatique des entreprises wallonnes
▪ Quoi ? : Audit / Diagnostic portant sur la cybersécurité de votre entreprise
+ accompagnement et suivi de la mise en place de la politique de
cybersécurité
▪ Intervention : 75% de max 50.000€ HTVA sur 3 ans
74. • PME* (inf à 250 ETP et 50Mio de CA ou 43 Mio bilan)
• Siège d’exploitation principal en RW
* Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole
Pour qui ?
75. • Prestataires labellisés chèques
entreprises
Via la plateforme :
https://www.cheques-
entreprises.be
Le client ne finance que sa cote
part.
* Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole
Comment ?
76. • En janvier 2022, 126 bénéficiaires ont pu être accompagnés par 32
experts pour un montant total de 818.000 €.
• Le Chèque cybersécurité un audit ou un diagnostic
77. Mail de phishing ?
• hello@infopole.be
• cyber@adn.be
Vous ne savez pas par où commencer ?
• suspect@safeonweb.be