NIS2 (Directive Network and Information Security 2) est une directive de l’Union européenne qui vise à renforcer les mesures de cybersécurité des organisations actives dans l’UE en introduisant des exigences de cybersécurité plus strictes pour un plus grand nombre d’organisations, en particulier celles des infrastructures critiques et des services essentiels.

Dans notre blog, Kaïs Albassir, formateur et consultant ITIL, explique comment ITIL peut aider votre organisation à s’adapter de manière fluide au RGPD, à la NIS2 et aux évolutions légales à venir, en garantissant efficacité, sécurité et conformité avec simplicité.

Dans notre interview avec Kaïs, nous explorons comment ITIL peut soutenir la mise en œuvre de la NIS2 dans votre entreprise.

Pouvez-vous nous dire ce que vous faites et comment vous êtes arrivé à la NIS2 ? Qu’est-ce que la NIS2 et pourquoi est-elle importante pour les professionnels de l’IT ?

Depuis 15 ans, j’accompagne des organisations dans la mise en œuvre des bonnes pratiques ITIL. Je suis tombé sur la NIS2 à travers des concepts tels que les incidents de sécurité, la CMDB (Configuration Management Database) et d’autres.

La NIS2 est une directive européenne, dans laquelle l’Europe demande aux organisations de renforcer leur posture de cybersécurité afin de répondre à certains critères. La sécurité de l’information est une responsabilité très importante des professionnels de l’IT.

Comment ITIL peut-il aider les entreprises à être conformes à la NIS2 ?

Le chemin le plus simple vers la conformité NIS2 passe par une certification ISO 27001 ou Cyber Fundamentals. Pour réussir une telle certification, une organisation doit être capable de démontrer sa conformité à plusieurs exigences. La définition du périmètre de ce qu’une organisation doit protéger se fait via la pratique ITIL de Configuration Management.

La gestion des incidents (Incident Management), une autre pratique ITIL, permet aux organisations d’être conformes à l’exigence NIS2 de communiquer tout incident de sécurité significatif à l’autorité nationale compétente en cybersécurité : en Belgique, le Center for Cybersecurity Belgium (CCB) dans les 24 heures.

Je rencontre de plus en plus ces concepts dans les hôpitaux et autres organisations de santé.

Quelle est votre expérience avec les hôpitaux qui doivent s’adapter à la NIS2 ?

La maturité ITIL dans les hôpitaux varie fortement d’un établissement à l’autre. Certains, souvent liés aux universités, sont certifiés ISO 27001, ce qui garantit de facto environ 80% de conformité NIS2. Dans d’autres hôpitaux, la maturité est souvent beaucoup plus faible, voire inexistante. La plupart des hôpitaux sont catégorisés comme essentiels par la NIS2 et doivent donc respecter les critères les plus stricts d’ici avril 2027.

Pouvez-vous partager des exemples pertinents issus de votre expérience dans les hôpitaux ?

Les hôpitaux sont organisés en départements comme la radiologie, l’oncologie, la pédiatrie, etc. L’expérience montre que chacun de ces départements est en réalité une PME à part entière, avec son propre responsable et son propre budget. Il peut être difficile de convaincre les responsables de ces « PME » de s’aligner sur les efforts de l’hôpital pour respecter les standards de sécurité de l’information attendus.

Comment des pratiques ITIL comme Configuration Management, Incident Management et Change Management peuvent-elles soutenir la conformité NIS2 ?

La gestion de configuration (Configuration Management) aide une organisation à mettre en place et maintenir une CMDB. Dans cette base de données, on retrouve tout le matériel, les logiciels, les plateformes SaaS, les espaces de stockage et autres utilisés par l’organisation. Cela répond à l’exigence NIS2 de définir le périmètre de ce que nous devons protéger.

Afin de réagir aux incidents de sécurité et respecter les exigences NIS2, la première étape est de capturer tous les incidents, de distinguer les incidents d’autres éléments comme les demandes de service ou les événements. Cela est réalisé via la gestion des incidents (Incident Management).

La NIS2 stipule explicitement que toute modification de l’environnement IT doit faire l’objet d’une analyse de sécurité. La mise en place du Change Management dans ITIL dans votre organisation permet non seulement de capturer chaque changement, mais aussi de guider votre équipe dans un processus de traitement efficace, sans oublier cette étape essentielle.

L’un des sujets majeurs émergents est la manière dont l’IA peut aider dans un workflow ITIL ?

De plusieurs façons, l’IA va fluidifier la communication entre les acteurs d’un workflow et donc faciliter les interactions entre individus.

Des chatbots intelligents peuvent améliorer drastiquement la qualité de la collecte d’informations lors de l’enregistrement des incidents et demandes de service.

L’évaluation des risques (au cœur de la NIS2 et du Change Management) peut être partiellement automatisée, accélérée et améliorée si l’IA s’appuie sur la CMDB.

Et bien plus encore !

Vous souhaitez avoir une vue d’ensemble complète d’ITIL ? Téléchargez notre infographie « Le panorama d’ITIL » pour découvrir comment ITIL peut soutenir vos besoins.

Pour plus d’informations, visitez notre page ITIL ou contactez-nous !