Programme Directive NIS 2 : Nouvelles normes de cybersécurité européennes
Durée : 2 jours - 14 heures
Tarif : Nous contacter pour une formation INTER – INTRA ou en COURS PARTICULIER
La formation est délivrée en présentiel ou distanciel (e-learning, classe virtuelle, présentiel et à distance). Le formateur alterne entre méthodes démonstrative, interrogative et active (via des travaux pratiques et/ou des mises en situation). La validation des acquis peut se faire via des études de cas, des quiz et/ou une certification.
Cette formation est animée par un consultant-formateur dont les compétences techniques, professionnelles et pédagogiques ont été validées par des diplômes et/ou testées et approuvées par l’éditeur et/ou par Audit Conseil Formation.
Les objectifs
pré-requis
Moyens pédagogiques, techniques et d'encadrement
- 1 poste de travail complet par personne
- De nombreux exercices d'application
- Mise en place d'ateliers pratiques
- Remise d'un support de cours
- Remise d'une attestation de stage
Modalités d'évaluation des acquis
- Evaluation des besoins et objectifs en pré et post formation
- Evaluation technique des connaissances en pré et post formation
- Evaluation générale du stage
Accessibilité handicapés
- Au centre d’affaires ELITE partenaire d’ACF à 20 m.
- Guide d’accessibilité à l’accueil.
Le Programme
Jour 1 – Matin Introduction à la CyberSécurité Européenne
Genèse : de NIS1 à NIS2, pourquoi cette évolution ?
Champ d’application et secteurs critiques couverts par NIS2
Terminologie clé : entités essentielles vs entités importantes
Obligations principales imposées aux organisations (techniques, organisationnelles, juridiques)
Enjeux actuels : cybervols, espionnage, sabotage
Dynamiques géopolitiques : tensions Est/Ouest, USA/Chine, Occident/Russie
Acteurs de la cybermenace : hackers, agences de renseignement, APT et ransomwares
Vers une coopération européenne renforcée : l’idée d’un cyber-Schengen
Exercice pratique : Identification des obligations NIS2 de son organisation en fonction de son secteur et de sa taille.
Jour 1 – Après-midi Rôle et Responsabilités du RSSI sous NIS 2
Gouvernance imposée par NIS2 : responsabilité du top management et du RSSI
Ciblage des entités : critères pour les entités essentielles et importantes
Secteurs affectés et écosystèmes concernés
Réglementation : évolutions depuis NIS 1 et nouvelles exigences
Calendrier d’application : de 2024 à 2026
Processus de reporting obligatoire (notification d’incident en 24h / 72h / un mois)
Mise en œuvre : processus de gouvernance et certification
Sanctions potentielles : modèle inspiré du RGPD
Exercice pratique : Étude de cas d’une fuite de données : quelles notifications et quelles sanctions ?
Jour 2 – Matin Implémentation des Mesures de Sécurité
Revue des politiques de NIS 1 : gouvernance, protection, défense, résilience
Analyse de risques et sécurité des systèmes d’information
Gestion des incidents et continuité des opérations
Sécurité dans la chaîne d’approvisionnement et dans le développement des systèmes
Évaluation et amélioration continue de la cybersécurité
Cartographie et mise en place d’un plan de conformité sécurité
Mesures pratiques : cyberhygiène, utilisation de la cryptographie et de l’authentification multi-facteurs
Étude de cas Log4Shell : analyser la gestion de dépendances logicielles non maîtrisées.
Exercice pratique : Construction d’une checklist NIS2 pour auditer son organisation
Jour 2 – Après-midi Gestion du Projet de Conformité NIS2
Méthodologie d’intégration NIS2 dans une organisation (gap analysis, roadmap, gouvernance par le risque)
De l’analyse préliminaire à la conformité : intégration des évaluations EBIOS RM
Adaptation des mesures de sécurité préexistantes et gouvernance par le risque
Adaptation des mesures existantes : articulation avec ISO 27001/27002
Rôle de l’ANSSI et articulation avec la LPM (pour les OIV)
Processus d’homologation spécifique à NIS 2 et rôle de l’ANSSI
Planification et ressources nécessaires pour son projet de conformité NIS 2
Exercice pratique :Élaboration d’un plan d’action NIS2 priorisé (court, moyen, long terme) pour son projet de mise en conformité.
Conclusion : Vers l’Homologation et au-delà
Intégration des normes ISO 27001 et bonnes pratiques ISO 27002:2022
Cyberrésilience et alignement avec les directives DORA et CER
Transposition nationale : évolution de la LPM et régulation des OIV
Gestion des contrôles et sanctions étatiques : approches et gradation des sanctions
Sécurisation de l’écosystème et interactions avec les parties prenantes
Exercice pratique : Analyse de cas français : identifier les obligations spécifiques pour un OIV dans le secteur énergie.