PolySécure Podcast - Spécial

Parce que… c’est l’épisode 0x618!

Préambule

Shameless plug

10 et 11 septembre 2025 - GoSec 2025
- Code rabais de 15% - GSPOL25
13 septembre 2025 - BSides Montreal 2025
12 au 17 octobre 2025 - Objective by the sea v8
14 et 15 octobre 2025 - Forum inCyber Canada
- Code rabais de 30% - CA25KDUX92
10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
17 au 20 novembre 2025 - European Cyber Week
25 et 26 février 2026 - SéQCure 2026

Description

Introduction et contexte

Charlotte Trudelle, consultante en gouvernance, risque et conformité chez Cyblex Consulting, présente la directive européenne NIS 2, qui constitue la suite de NIS 1. Cette réglementation vise à protéger les entités critiques européennes dans un contexte d’augmentation des cyberattaques et d’omniprésence des systèmes d’information. Contrairement au RGPD qui a des applications extraterritoriales, NIS 2 se concentre principalement sur le territoire européen, mais suivra un modèle de transposition similaire dans chaque pays membre.

Objectifs et philosophie de NIS 2

L’objectif principal n’est pas d’atteindre une sécurité absolue, mais d’améliorer la résilience et la capacité de réaction aux incidents. La directive vise à “effacer le bruit ambiant” et empêcher les attaques opportunistes, particulièrement les ransomwares facilement déployables. Il s’agit d’établir une hygiène de base en cybersécurité plutôt que de se prémunir contre des attaques étatiques sophistiquées.

La directive prône une approche par les risques, reconnaissant que les 18 secteurs d’activité couverts ont des profils de risque variables. L’Europe souhaite également créer un écosystème résilient global, incluant le partage des menaces et vulnérabilités, ainsi que la mise en place du UVD (pendant européen des bases CVE) par l’agence ENISA.

Périmètre d’application considérablement élargi

NIS 2 couvre 18 secteurs d’activité, répartis entre entités essentielles et entités importantes. Les entités essentielles incluent l’énergie, le transport, l’eau potable (déjà dans NIS 1), auxquels s’ajoutent les eaux usées, la santé, l’espace et les administrations publiques. Le secteur bancaire bénéficie d’un traitement spécial avec le référentiel DORA.

Les entités importantes comprennent les services postaux, la gestion des déchets, et la fabrication alimentaire. L’impact est considérable : en France, on passe de 300 entités concernées par NIS 1 à potentiellement 15 000 avec NIS 2, avec des seuils démarrant à 50 employés.

Effet de cascade et impact sur les tiers

Une différence majeure avec le RGPD réside dans l’effet de cascade sur les fournisseurs et prestataires. Toutes les entreprises travaillant avec les entités régulées devront également se conformer à NIS 2, même si elles n’atteignent pas les seuils de taille requis. Cette approche vise à sécuriser l’ensemble de la chaîne d’approvisionnement, reconnue comme un vecteur d’attaque privilégié.

Mesures et exigences techniques

Les mesures s’appuient largement sur la norme ISO 27001, évitant de “réinventer la roue”. Les exigences incluent :

Inventaire des actifs (retour aux fondamentaux)
Gestion des ressources humaines (approche transverse)
Gestion des tiers et prestataires
Gestion des incidents avec critères précis de déclaration
Supervision et revues régulières

La directive fixe des critères quantitatifs précis pour les incidents, éliminant l’interprétation subjective. Contrairement à NIS 1 qui ne réglementait que les systèmes critiques, NIS 2 s’applique à l’ensemble du système d’information, sauf isolation prouvée des systèmes critiques.

Sanctions et modèle de contrôle

Les sanctions suivent le modèle RGPD : 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles, 7 millions ou 1,4% pour les entités importantes. Le modèle de contrôle ressemble également au RGPD, avec des autorités nationales (ANSSI en France) effectuant des audits et contrôles, sans certification obligatoire prévue.

Défis de transposition et accompagnement

La transposition française accuse du retard, adoptée par le Sénat en mars et en cours d’examen à l’Assemblée nationale. Le projet “Résilience” transpose simultanément NIS 2, DORA et CER (Critical Entities Resilience), créant une complexité réglementaire supplémentaire.

L’ANSSI privilégie l’accompagnement à la sanction, reconnaissant que de nombreuses entités découvrent la réglementation cyber. Des outils d’auto-évaluation et de suivi sont déjà disponibles pour faciliter la transition.

Impact sur les différents types d’organisations

Pour les grandes entreprises internationales, déjà familières avec l’ISO 27001, l’adaptation devrait être relativement aisée. La principale préoccupation concerne le “millefeuille réglementaire” et la conformité administrative.

Les PME et administrations publiques, notamment les collectivités et hôpitaux, font face à des défis plus importants : manque de personnel spécialisé, budgets contraints, et cybersécurité éloignée du cœur de métier. Des initiatives de mutualisation émergent dans certains secteurs.

Perspective et enjeux futurs

NIS 2 représente un changement culturel majeur, intégrant la cyberattaque dans la gestion de crise standard. La philosophie du directeur de l’ANSSI résume bien l’approche : “ce n’est pas si vous allez être attaqué, mais quand”. L’objectif est la résilience - continuer à fonctionner malgré l’incident.

Cette réglementation s’inscrit dans la volonté européenne d’uniformiser le marché, créant une prévisibilité similaire à celle du marché américain. Bien que la période d’adaptation puisse être inconfortable, elle devrait considérablement renforcer la résilience collective face aux cybermenaces.

La réussite de NIS 2 dépendra de sa capacité à éviter la “conformité pour la conformité” et à véritablement améliorer la maturité cybersécuritaire de l’écosystème européen.

Collaborateurs

Crédits

Montage par Intrasecure inc
Locaux virtuels par Riverside.fm

Télécharger .m4a (46.1M) Télécharger .mp3 (37.3M)

Tags: conformite, europe, loi, nis2

PME - Les formulaires 12 octobre 2025 Parce que... c'est l'épisode 0x661!

Spécial - L'importance d'un product manager 13 septembre 2025 Parce que... c'est l'épisode 0x660!

Actu - 10 novembre 2025 10 novembre 2025 Parce que... c'est l'épisode 0x659!

Spécial - Si demain, tout tombait 15 septembre 2025 Parce que... c'est l'épisode 0x658!

Teknik - La guerre Red Team vs EDR - l’aspect business et non technique du problème 29 octobre 2025 Parce que... c'est l'épisode 0x657!

Teknik - Double-Tap Campaign - Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations 13 octobre 2025 Parce que... c'est l'épisode 0x656!

Actu - 2 novembre 2025 02 novembre 2025 Parce que... c'est l'épisode 0x655!

Teknik - Dans le feu des tranchés, opérer le SOC au Hackfest 23 octobre 2025 Parce que... c'est l'épisode 0x654!

PME - NotPetya, l'histoire des dommages collatéraux 17 septembre 2025 Parce que... c'est l'épisode 0x653!

Le monde selon Cyber Citoyen et Polysécure collab no9 22 octobre 2025 Parce que... c'est l'épisode 0x652!

Actu - 26 octobre 2025 26 octobre 2025 Parce que... c'est l'épisode 0x651!

Teknik - The Overlooked Playground - An Attacker’s Journey Through GCP 13 septembre 2025 Parce que... c'est l'épisode 0x650!

PME - Balayage de vulnérabilités vs test d'intrusion avec des ninjas 17 septembre 2025 Parce que... c'est l'épisode 0x649!

Spécial - Entretiens avec Miguel De Bruycker du Centre pour la Cybersécurité Belgique 14 octobre 2025 Parce que... c'est l'épisode 0x648!

Actu - 19 ocotbre 2025 19 octobre 2025 Parce que... c'est l'épisode 0x647!

Spécial - Structurer l'expatriation 07 juillet 2025 Parce que... c'est l'épisode 0x646!

Teknik - Browser Detection and Response 10 juillet 2025 Parce que... c'est l'épisode 0x645!

PME - Les certifications 17 septembre 2025 Parce que... c'est l'épisode 0x644!

Actu - 12 octobre 2025 12 ocotbre 2025 Parce que... c'est l'épisode 0x643!

Teknik - Tendance pour terminer 2025 01 octobre 2025 Parce que... c'est l'épisode 0x642!

PME - La sécurité, trop cher? 17 septembre 2025 Parce que... c'est l'épisode 0x641!

Teknik - BloodHound et OpenGraph 13 septmbre 2025 Parce que... c'est l'épisode 0x640!

Actu - 5 octobre 2025 05 octobre 2025 Parce que... c'est l'épisode 0x639!

Spécial - Responsabilité IA 22 mai 2025 Parce que... c'est l'épisode 0x638!

PME - Petit quiz PME ou que ce que vous avez toujours voulu savoir 26 juillet 2025 Parce que... c'est l'épisode 0x637!

Le monde selon Cyber Citoyen et Polysécure édition GoSec (collab no8) 11 septembre 2025 Parce que... c'est l'épisode 0x636!

Actu - 28 septembre 2025 28 septembre 2025 Parce que... c'est l'épisode 0x635!

Spécial - Reconversion en cybersécurité 22 juillet 2025 Parce que... c'est l'épisode 0x634!

PME - Protection des renseignements personelles 26 juillet 2025 Parce que... c'est l'épisode 0x633!

Actu - 21 septembre 2025 21 septembre 2025 Parce que... c'est l'épisode 0x632!

Spécial - Les boeufs sont lents mais la terre est patiente (Panel au BSides Montréal 2025) 13 septembre 2025 Parce que... c'est l'épisode 0x631!

Spécial - Hommage à Michel Cusin 13 septembre 2025 Parce que... c'est l'épisode 0x630!

Actu - 14 septembre 2025 14 septembre 2025 Parce que... c'est l'épisode 0x629!

PME - Questions sur l'IA 26 juillet 2025 Parce que... c'est l'épisode 0x628!

Teknik - Sécurité physique 18 juin 2025 Parce que... c'est l'épisode 0x627!

Actu - 7 septembre 07 septembre 2025 Parce que... c'est l'épisode 0x626!

PME - Programme FORCE (cybersécurité) de l'UQTR destiné aux PME 03 septembre 2025 Parce que... c'est l'épisode 0x625!

Teknik - Résilience OT 12 juin 2025 Parce que... c'est l'épisode 0x624!

Actu - 1er septembre 2025 01 septembre 2025 Parce que... c'est l'épisode 0x623!

Teknik - CTI 12 juin 2025 Parce que... c'est l'épisode 0x622!

Spécial - Être freelance à l'international 26 mai 2025 Parce que... c'est l'épisode 0x621!

Spécial - L'enflure des titres sur LinkedIn 02 mai 2025 Parce que... c'est l'épisode 0x620!

Conspiration Cyber Citoyen au 13 août 2025 13 août 2025 Parce que... c'est l'épisode 0x619!

Spécial - NIS2 18 juin 2025 Parce que... c'est l'épisode 0x618!

Parce que… c’est l’épisode 0x618!

Préambule

Shameless plug

Description

Introduction et contexte

Objectifs et philosophie de NIS 2

Périmètre d’application considérablement élargi

Effet de cascade et impact sur les tiers

Mesures et exigences techniques

Sanctions et modèle de contrôle

Défis de transposition et accompagnement

Impact sur les différents types d’organisations

Perspective et enjeux futurs

Collaborateurs

Crédits

Spécial - Nice to meet you! That will be 20 million please 16 mai 2025 Parce que... c'est l'épisode 0x617!

Spécial - Gérer le bruit dans la détection d'événements de cybersécurité à la grandeur du Canada 16 mai 2025 Parce que... c'est l'épisode 0x616!

Spécial - Red teaming et évolution de la cybersécurité 16 mai 2025 Parce que... c'est l'épisode 0x615!

Spécial - IA, GenAI et la confusion généralisée 04 juillet 2025 Parce que... c'est l'épisode 0x614!

Spécial - RETEX sur une première expérience en pentest physique 11 mai 2025 Parce que... c'est l'épisode 0x613!

Juridik - Effet sur la protection des renseignements personnels de C-2 et C-8 14 juillet 2025 Parce que... c'est l'épisode 0x612!

Actualités Cyber Citoyen au 17 juillet 2025 17 juillet 2025 Parce que... c'est l'épisode 0x611!

Teknik - Signaux (xDR) dans l'univers des OT 10 avril 2025 Parce que... c'est l'épisode 0x610!

Spécial - L’internet mondial est-il en train de mourir ? 21 avril 2025 Parce que... c'est l'épisode 0x609!

Spécial - L'outillage dans le cadre d'analyse de risque 18 avril 2025 Parce que... c'est l'épisode 0x608!

Spécial - leHACK 2025 28 juin 2025 Parce que... c'est l'épisode 0x607!

Spécial - Un brin de nostalgie durant le Northsec 15 mai 2025 Parce que... c'est l'épisode 0x606!

Spécial - Outrunning the Red Queen - Analysis of Ransomware Scripts 09 avril 2025 Parce que... c'est l'épisode 0x605!

Teknik - Al Trust - Apprentissage automatique - Détection des modèles empoisonnés après entrainement 09 avril 2025 Parce que... c'est l'épisode 0x604!

Actualités Cyber Citoyen au 17 juin 2025 17 juin 2025 Parce que... c'est l'épisode 0x603!

Teknik - Living Off the Pipeline - From Supply Chain 0-Days to Predicting the next XZ-like attacks 15 mai 2025 Parce que... c'est l'épisode 0x602!

Spécial - Panel Propolys - Innovation en cybersécurité - part 3 14 mai 2025 Parce que... c'est l'épisode 0x601!

Spécial - Panel du 600e - Notre gestion de risque personnel / OPSEC 27 mai 2025 Parce que... c'est l'épisode 0x600!

Spécial - Panel Propolys - Innovation en cybersécurité - part 2 14 mai 2025 Parce que... c'est l'épisode 0x599!

Teknik - Résultat de l'usage de l'IA dans le contexte d'un CtF (Northsec) 30 mai 2025 Parce que... c'est l'épisode 0x598!

Teknik - Vivez votre Première Key Ceremony - La Clé pour Sécuriser les Données Stratégiques de votre Entreprise 09 avril 2025 Parce que... c'est l'épisode 0x597!

PME - Les formulaires 12 octobre 2025
Parce que... c'est l'épisode 0x661!

Spécial - L'importance d'un product manager 13 septembre 2025
Parce que... c'est l'épisode 0x660!

Actu - 10 novembre 2025 10 novembre 2025
Parce que... c'est l'épisode 0x659!

Spécial - Si demain, tout tombait 15 septembre 2025
Parce que... c'est l'épisode 0x658!

Teknik - La guerre Red Team vs EDR - l’aspect business et non technique du problème 29 octobre 2025
Parce que... c'est l'épisode 0x657!

Teknik - Double-Tap Campaign - Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations 13 octobre 2025
Parce que... c'est l'épisode 0x656!

Actu - 2 novembre 2025 02 novembre 2025
Parce que... c'est l'épisode 0x655!

Teknik - Dans le feu des tranchés, opérer le SOC au Hackfest 23 octobre 2025
Parce que... c'est l'épisode 0x654!

PME - NotPetya, l'histoire des dommages collatéraux 17 septembre 2025
Parce que... c'est l'épisode 0x653!

Le monde selon Cyber Citoyen et Polysécure collab no9 22 octobre 2025
Parce que... c'est l'épisode 0x652!

Actu - 26 octobre 2025 26 octobre 2025
Parce que... c'est l'épisode 0x651!

Teknik - The Overlooked Playground - An Attacker’s Journey Through GCP 13 septembre 2025
Parce que... c'est l'épisode 0x650!

PME - Balayage de vulnérabilités vs test d'intrusion avec des ninjas 17 septembre 2025
Parce que... c'est l'épisode 0x649!

Spécial - Entretiens avec Miguel De Bruycker du Centre pour la Cybersécurité Belgique 14 octobre 2025
Parce que... c'est l'épisode 0x648!

Actu - 19 ocotbre 2025 19 octobre 2025
Parce que... c'est l'épisode 0x647!

Spécial - Structurer l'expatriation 07 juillet 2025
Parce que... c'est l'épisode 0x646!

Teknik - Browser Detection and Response 10 juillet 2025
Parce que... c'est l'épisode 0x645!

PME - Les certifications 17 septembre 2025
Parce que... c'est l'épisode 0x644!

Actu - 12 octobre 2025 12 ocotbre 2025
Parce que... c'est l'épisode 0x643!

Teknik - Tendance pour terminer 2025 01 octobre 2025
Parce que... c'est l'épisode 0x642!

PME - La sécurité, trop cher? 17 septembre 2025
Parce que... c'est l'épisode 0x641!

Teknik - BloodHound et OpenGraph 13 septmbre 2025
Parce que... c'est l'épisode 0x640!

Actu - 5 octobre 2025 05 octobre 2025
Parce que... c'est l'épisode 0x639!

Spécial - Responsabilité IA 22 mai 2025
Parce que... c'est l'épisode 0x638!

PME - Petit quiz PME ou que ce que vous avez toujours voulu savoir 26 juillet 2025
Parce que... c'est l'épisode 0x637!

Le monde selon Cyber Citoyen et Polysécure édition GoSec (collab no8) 11 septembre 2025
Parce que... c'est l'épisode 0x636!

Actu - 28 septembre 2025 28 septembre 2025
Parce que... c'est l'épisode 0x635!

Spécial - Reconversion en cybersécurité 22 juillet 2025
Parce que... c'est l'épisode 0x634!

PME - Protection des renseignements personelles 26 juillet 2025
Parce que... c'est l'épisode 0x633!

Actu - 21 septembre 2025 21 septembre 2025
Parce que... c'est l'épisode 0x632!

Spécial - Les boeufs sont lents mais la terre est patiente (Panel au BSides Montréal 2025) 13 septembre 2025
Parce que... c'est l'épisode 0x631!

Spécial - Hommage à Michel Cusin 13 septembre 2025
Parce que... c'est l'épisode 0x630!

Actu - 14 septembre 2025 14 septembre 2025
Parce que... c'est l'épisode 0x629!

PME - Questions sur l'IA 26 juillet 2025
Parce que... c'est l'épisode 0x628!

Teknik - Sécurité physique 18 juin 2025
Parce que... c'est l'épisode 0x627!

Actu - 7 septembre 07 septembre 2025
Parce que... c'est l'épisode 0x626!

PME - Programme FORCE (cybersécurité) de l'UQTR destiné aux PME 03 septembre 2025
Parce que... c'est l'épisode 0x625!

Teknik - Résilience OT 12 juin 2025
Parce que... c'est l'épisode 0x624!

Actu - 1er septembre 2025 01 septembre 2025
Parce que... c'est l'épisode 0x623!

Teknik - CTI 12 juin 2025
Parce que... c'est l'épisode 0x622!

Spécial - Être freelance à l'international 26 mai 2025
Parce que... c'est l'épisode 0x621!

Spécial - L'enflure des titres sur LinkedIn 02 mai 2025
Parce que... c'est l'épisode 0x620!

Conspiration Cyber Citoyen au 13 août 2025 13 août 2025
Parce que... c'est l'épisode 0x619!

Spécial - NIS2 18 juin 2025
Parce que... c'est l'épisode 0x618!

Spécial - Nice to meet you! That will be 20 million please 16 mai 2025
Parce que... c'est l'épisode 0x617!

Spécial - Gérer le bruit dans la détection d'événements de cybersécurité à la grandeur du Canada 16 mai 2025
Parce que... c'est l'épisode 0x616!

Spécial - Red teaming et évolution de la cybersécurité 16 mai 2025
Parce que... c'est l'épisode 0x615!

Spécial - IA, GenAI et la confusion généralisée 04 juillet 2025
Parce que... c'est l'épisode 0x614!

Spécial - RETEX sur une première expérience en pentest physique 11 mai 2025
Parce que... c'est l'épisode 0x613!

Juridik - Effet sur la protection des renseignements personnels de C-2 et C-8 14 juillet 2025
Parce que... c'est l'épisode 0x612!

Actualités Cyber Citoyen au 17 juillet 2025 17 juillet 2025
Parce que... c'est l'épisode 0x611!

Teknik - Signaux (xDR) dans l'univers des OT 10 avril 2025
Parce que... c'est l'épisode 0x610!

Spécial - L’internet mondial est-il en train de mourir ? 21 avril 2025
Parce que... c'est l'épisode 0x609!

Spécial - L'outillage dans le cadre d'analyse de risque 18 avril 2025
Parce que... c'est l'épisode 0x608!

Spécial - leHACK 2025 28 juin 2025
Parce que... c'est l'épisode 0x607!

Spécial - Un brin de nostalgie durant le Northsec 15 mai 2025
Parce que... c'est l'épisode 0x606!

Spécial - Outrunning the Red Queen - Analysis of Ransomware Scripts 09 avril 2025
Parce que... c'est l'épisode 0x605!

Teknik - Al Trust - Apprentissage automatique - Détection des modèles empoisonnés après entrainement 09 avril 2025
Parce que... c'est l'épisode 0x604!

Actualités Cyber Citoyen au 17 juin 2025 17 juin 2025
Parce que... c'est l'épisode 0x603!

Teknik - Living Off the Pipeline - From Supply Chain 0-Days to Predicting the next XZ-like attacks 15 mai 2025
Parce que... c'est l'épisode 0x602!

Spécial - Panel Propolys - Innovation en cybersécurité - part 3 14 mai 2025
Parce que... c'est l'épisode 0x601!

Spécial - Panel du 600e - Notre gestion de risque personnel / OPSEC 27 mai 2025
Parce que... c'est l'épisode 0x600!

Spécial - Panel Propolys - Innovation en cybersécurité - part 2 14 mai 2025
Parce que... c'est l'épisode 0x599!

Teknik - Résultat de l'usage de l'IA dans le contexte d'un CtF (Northsec) 30 mai 2025
Parce que... c'est l'épisode 0x598!

Teknik - Vivez votre Première Key Ceremony - La Clé pour Sécuriser les Données Stratégiques de votre Entreprise 09 avril 2025
Parce que... c'est l'épisode 0x597!

Spécial - Souveraineté numérique - part 3 (SecNumCloud) 28 mai 2025
Parce que... c'est l'épisode 0x596!

Spécial - Panel Propolys - Innovation en cybersécurité - part 1 14 mai 2025
Parce que... c'est l'épisode 0x595!

Teknik - Tout ce que vous avez toujours voulu savoir sur la cryptographie post-quantique sans jamais oser le demander 09 avril 2025
Parce que... c'est l'épisode 0x594!

Spécial - NorthSec 2025 Panel 15 mai 2025
Parce que... c'est l'épisode 0x593!

H'umain - Ingénierie sociale et IA - Une menace ou un atout pour la défense ? 09 avril 2025
Parce que... c'est l'épisode 0x592!

Actualités Cyber Citoyen au 20 mai 2025 20 mai 2025
Parce que... c'est l'épisode 0x591!

Teknik - L'IA dans le contexte d'un CtF (Northsec) 16 mai 2025
Parce que... c'est l'épisode 0x590!

Spécial - Cybersécurité dans le secteur de la santé 08 avril 2025
Parce que... c'est l'épisode 0x589!

SéQCure/Spécial - Histoires d’erreurs 08 avril 2025
Parce que... c'est l'épisode 0x588!

Spécial - Souveraineté numérique - part 2 07 mai 2025
Parce que... c'est l'épisode 0x587!

Teknik - Revue de code - ChatGPT face aux vulnérabilités OWASP Top 10 08 avril 2025
Parce que... c'est l'épisode 0x586!

Spécial - Cyberchill numéro 4 - Des questions 24 avril 2025
Parce que... c'est l'épisode 0x585!

Teknik - Cyberdéfense en profondeur - Naviguer dans les défis de cybersécurité des technologies multi-environnements 08 avril 2025
Parce que... c'est l'épisode 0x584!

SéQCure/H'main - Vous avez dit IA? Et si nous parlions plutôt d'IH? - Récit d'une ex-CPO 28 mars 2025
Parce que... c'est l'épisode 0x583!

SéQCure/Teknik - Analyse et enseignements d’attaques sur le Cloud 27 mars 2025
Parce que... c'est l'épisode 0x582!