Accueil de l'Académie
Blogs
Gestion de la continuité dans le NIS2 : Mesures de référence pour la continuité des activités et les sauvegardes selon la norme ISO 27001
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Gestion de la continuité dans le NIS2 : Mesures de référence pour la continuité des activités et les sauvegardes selon la norme ISO 27001

Collection ISO 27001
Gestion de la continuité dans le NIS2 : Mesures de référence pour la continuité des activités et les sauvegardes selon la norme ISO 27001
Collection NIS2
Gestion de la continuité dans le NIS2 : Mesures de référence pour la continuité des activités et les sauvegardes selon la norme ISO 27001
Cyberday blog
Gestion de la continuité dans le NIS2 : Mesures de référence pour la continuité des activités et les sauvegardes selon la norme ISO 27001

En tant que décideur dans le monde hautement numérique d'aujourd'hui, vous n'êtes que trop conscient de l'importance de la cybersécurité. Un aspect important de tout programme de sécurité de l'information consiste à se préparer à des événements défavorables grâce à un bon plan de continuité et à des sauvegardes. Il s'agit d'un sujet exigé par la directive NIS2 de l'UE et largement couvert par la norme ISO 27001.

Nous sommes là pour vous guider et pour démystifier ce sujet de sécurité. Cet article vous guide dans la création de vos procédures NIS2 requises pour la continuité des activités et les sauvegardes en tirant parti des meilleures pratiques éprouvées de la norme ISO 27001.

Brève introduction à la continuité des activités et aux sauvegardes

Qu'est-ce que la planification de la continuité ?

La planification de la continuité est le processus d'élaboration de systèmes de prévention et de récupération visant à garantir que les opérations clés de l'entreprise restent ininterrompues ou reprennent rapidement après des événements défavorables. Un plan efficace permet de minimiser l'impact de scénarios potentiels tels que les pannes de courant, les cyberattaques ou les catastrophes naturelles.

En matière de sécurité de l'information, la continuité désigne également le maintien de la sécurité de l'information à un niveau approprié en cas de perturbations ou d'autres événements indésirables.

Que signifient les sauvegardes ?

Dans le cadre de la continuité des activités, les sauvegardes désignent le processus de création de copies de vos données, systèmes et logiciels, stockées en toute sécurité à l'écart du site principal de l'entreprise. L'objectif est de s'assurer qu'en cas d'événements catastrophiques, de violations de données, de dysfonctionnements opérationnels ou de pannes de système, votre entreprise est en mesure de remettre rapidement ses systèmes en ligne, réduisant ainsi de manière significative les temps d'arrêt et les pertes potentielles associées à de tels incidents.

Plan de continuité et sauvegardes

Dans la directive NIS2, la planification de la continuité et les sauvegardes ont été regroupées dans la même section. C'est logique car les deux approches ont un objectif similaire : une reprise efficace après un événement indésirable. Cependant, dans de nombreux autres cadres de sécurité, ces sujets sont considérés comme distincts, car les sauvegardes adoptent un point de vue très axé sur les données et la technologie par rapport à la continuité. Il est important de comprendre le lien entre ces deux approches, même si vous les mettez en œuvre séparément dans vos propres opérations.

Plan de continuité 101

La planification de la continuité des activités dans le domaine de la sécurité de l'information ne consiste pas seulement à disposer d'un plan de secours en cas de défaillance d'un système ou de cyberattaque. Il s'agit de s'assurer de manière proactive que vos processus et systèmes sont résilients et qu'ils peuvent rebondir rapidement après n'importe quel type de perturbation.

Comprendre les exigences relatives à la continuité de vos opérations

La continuité de vos opérations dépend de la disponibilité de nombreux éléments : personnes, technologies, partenaires, sites physiques, données...

La planification de la continuité commence par la compréhension des exigences de continuité pour les différentes parties de votre environnement de traitement des données. Pouvez-vous rester deux heures sans système de données ? Pour certains, c'est certainement possible, mais pour d'autres, cela pourrait être très préjudiciable.

Avant de se lancer dans la création de plans de continuité, il convient de hiérarchiser les éléments clés de vos actifs et autres environnements de traitement des données, afin de s'assurer que vous planifiez les bonnes choses.

Quels sont les exemples d'événements indésirables auxquels il faut se préparer ?

Vous devriez élaborer des plans de continuité, par exemple pour ce type d'événements indésirables (qui pourraient mettre en péril votre continuité) :

  • Catastrophes externes: Catastrophes biologiques / chimiques / naturelles, activités criminelles / attaques terroristes, pandémies
  • Catastrophes techniques internes: Fuite de données / violation de données, défaillance de la base de données, autres cyberattaques
  • Catastrophes physiques internes : Incendie dans un établissement disposant de ressources critiques, personne clé hors de portée pendant une longue période.  
  • Catastrophes liées aux partenaires: Faillite d'un partenaire clé, interruption de service d'un autre partenaire, interruption prolongée d'un système de données clé, panne d'électricité d'un centre de données clé.

Quels sont les éléments à inclure dans vos plans de continuité ?

Les plans de continuité constituent le niveau concret de la planification de la continuité. Vos plans de continuité doivent comprendre

  • Objectifs du plan : L'analyse d'impact sur l'entreprise (BIA) permet de confirmer les délais de réaction et de rétablissement nécessaires en identifiant les effets des perturbations sur les fonctions et les processus de l'entreprise. Votre organisation doit donner la priorité aux fonctions les plus sensibles au temps ou les plus critiques dans les plans de continuité.
  • Personnes responsables et partenaires : Qui sont les responsables et qui sont nécessaires à la mise en œuvre du plan.
  • Mesures d'intervention immédiate : Votre plan doit décrire étape par étape les actions qui seront entreprises immédiatement pour réduire l'impact de l'événement indésirable et prévenir les dommages les plus catastrophiques.
  • Les étapes de la reprise : Votre plan doit décrire des tactiques spécifiques pour récupérer les systèmes, les ressources et les processus critiques. Ces tactiques peuvent nécessiter des dispositions telles que le recours à des prestataires de services tiers, à des sites de travail alternatifs ou à d'autres modes de fonctionnement.
  • Tests, exercices et formation : Des scénarios de perturbation simulés peuvent permettre de tester l'état de préparation de votre entreprise et l'efficacité du plan. Ils doivent être suivis d'une formation appropriée du personnel afin de s'assurer qu'il est bien équipé pour réagir en cas de perturbation.

Vous êtes en train de mettre en place un élément essentiel de la résilience de votre entreprise. L'intégration de ces éléments permettra à votre entreprise de naviguer habilement et de se remettre rapidement d'une perturbation.

Sauvegardes 101

Dans le monde numérique des technologies de l'information, les sauvegardes sont l'équivalent de filets de sécurité. Elles représentent des copies de vos données précieuses et sensibles, stockées en toute sécurité à différents endroits, offrant un moyen infaillible de restaurer ces données si elles sont perdues ou compromises. Les sauvegardes sont absolument essentielles à tout plan de continuité des activités, car elles garantissent qu'en cas d'événements défavorables, le temps d'arrêt de votre entreprise est considérablement réduit et que les activités peuvent reprendre rapidement sans perte importante d'informations.

Quelles sont les questions clés pour chaque processus de sauvegarde ?

Pour vous assurer que vos processus de sauvegarde sont proportionnés, vous devez tenir compte de plusieurs aspects essentiels. Assurez-vous de pouvoir répondre aux questions suivantes :

  • Quelles sont les données à sauvegarder ? La réponse dépend en grande partie de votre entreprise, mais en règle générale, toutes les données nécessaires à la reprise des activités de l'entreprise doivent être incluses.
  • Où les sauvegardes seront-elles stockées ? Une bonne pratique consiste à stocker vos sauvegardes dans un endroit distinct de vos données principales. Il peut s'agir d'une zone hors site ou d'un système de stockage basé sur l'informatique en nuage. N'oubliez pas que l'emplacement choisi doit être conforme aux exigences en matière de résidence des données et aux promesses que vous avez faites à vos clients.
  • Quelle est la fréquence des sauvegardes ? La fréquence des sauvegardes dépend de la fréquence des modifications des données et du risque de perte de données. Si aucune donnée ne peut être perdue, vous devrez envisager une réplication en temps réel de la base de données. Dans certains cas, des sauvegardes hebdomadaires peuvent suffire.
  • Combien de temps les sauvegardes doivent-elles être conservées ? Les données personnelles en particulier ne doivent pas être conservées sans raison valable. Quel est le délai réaliste pour avoir besoin des sauvegardes ?
  • Qui est responsable de la gestion des sauvegardes ? Il convient d'établir des lignes de responsabilité claires, qui définissent qui est responsable de la mise en place, de la supervision et de la restauration des sauvegardes en cas de besoin. Il peut s'agir d'une équipe dédiée ou d'une personne, en fonction de la taille et de la complexité de votre entreprise.
  • Comment les sauvegardes seront-elles testées ? Il est essentiel de tester régulièrement les sauvegardes pour s'assurer qu'elles peuvent être restaurées avec succès en cas de besoin. Un plan doit être mis en place pour préciser comment et quand ces tests auront lieu.

Défis courants dans la mise en œuvre du plan de continuité et des sauvegardes

Voici quelques questions que vous pouvez vous efforcer d'éviter en ce qui concerne le plan de continuité et les sauvegardes.

Le manque d'implication et de soutien de la direction : Vous devez faire de votre mieux pour sensibiliser aux avantages du plan de continuité et encourager la collaboration, afin que les événements indésirables importants puissent être identifiés de tous les points de vue.

Ressources limitées (temps, budget, personnel) et travail d'équipe: Lorsque l'on comprend les catastrophes que le plan de continuité tente de contrôler, on commence à comprendre sa pertinence. Décidez séparément des ressources suffisantes et des personnes nécessaires au travail - avec le soutien de la direction générale.

Sentiment de complexité dans l'infrastructure informatique: La complexité de l'environnement peut donner l'impression qu'il est difficile de maîtriser les processus de sauvegarde, par exemple. Mais si vous progressez pas à pas - d'abord en documentant les processus de sauvegarde, puis en catégorisant les responsabilités en matière de sauvegarde pour les systèmes de données - vous ferez des progrès constants et bientôt le sujet ne vous semblera plus si complexe.

L'insuffisance des tests et de la maintenance des plans de continuité: Un plan n'est pas trop efficace s'il est mis en œuvre pour la première fois dans une situation réelle. Tous les cadres de sécurité recommandent de pratiquer régulièrement les plans de continuité et la restauration des sauvegardes, afin que la mise en œuvre dans une situation réelle stressante soit couronnée de succès.

ISO 27001 : Meilleures pratiques de planification de la continuité à mettre en œuvre

La norme ISO 27001 aborde la continuité dans plusieurs contrôles, relatifs à des aspects tels que la protection des informations lors d'événements perturbateurs, la préparation des TIC de l'organisation à la continuité et la redondance des installations de traitement de l'information.

Il existe également une autre norme ISO, l'ISO 22301, qui est exclusivement consacrée à la gestion de la continuité des activités. Cette norme soutient la planification, la réaction et la reprise après des incidents perturbateurs en offrant un cadre plus global pour la planification de la continuité. Si vous considérez qu'il s'agit d'un aspect essentiel de votre programme de sécurité de l'information, vous pourriez vouloir vous familiariser avec cette norme également.

5.29 : Sécurité de l'information en cas de perturbation

Ce contrôle met l'accent sur la nécessité de créer des plans de continuité pour garantir que la sécurité de l'information reste à un niveau approprié même en cas de perturbations, afin de protéger les informations et les actifs connexes dans des circonstances difficiles.

Ces plans de continuité doivent avoir des responsables clairs et doivent être testés et révisés régulièrement pour maintenir ou rétablir la sécurité de l'information dans les processus commerciaux critiques après l'interruption.

5.30 : Préparation aux TIC pour la continuité des activités

Ce contrôle vise à s'assurer que l'état de préparation de l'organisation en matière de TIC est suffisamment élevé pour pouvoir faire correspondre les objectifs de continuité des activités et les exigences en matière de continuité des TIC. Cela signifie, par exemple, que les systèmes de données nécessaires aux opérations critiques doivent pouvoir être restaurés dans les mêmes délais que ceux requis pour le processus principal.

L'organisation doit identifier les délais et les points de reprise que les différents services TIC doivent pouvoir atteindre, en tenant compte des objectifs de reprise définis pour les processus connexes, et s'assurer de la capacité à les atteindre. En ce qui concerne le contrôle précédent, des plans de continuité, en particulier pour les services TIC, doivent être élaborés, approuvés et testés régulièrement.

8.6 : Gestion des capacités

Les organisations doivent contrôler l'utilisation des TIC et des autres ressources clés. Cela leur permet de s'assurer qu'elles disposent de suffisamment d'installations de traitement de l'information, de ressources humaines, de bureaux et d'autres installations, compte tenu de la criticité des systèmes et processus concernés. Il est utile de disposer de systèmes de détection précoce et d'alerte, afin de pouvoir repérer les problèmes et d'aligner les projections de capacité future sur la croissance de l'entreprise et les tendances technologiques, par exemple.

8.14 : Redondance des installations de traitement de l'information

Ce contrôle met l'accent sur la nécessité de disposer de ressources informatiques de rechange pour répondre aux besoins de disponibilité et assurer le bon déroulement des opérations. L'organisation doit planifier et mettre en place des procédures pour l'utilisation de pièces et d'installations redondantes. Les procédures doivent déterminer si les pièces redondantes sont toujours actives ou si elles sont activées automatiquement ou manuellement en cas d'urgence. Il est important que les parties et installations redondantes aient le même niveau de sécurité que les parties et installations principales.

ISO 27001 : Meilleures pratiques de sauvegarde à mettre en œuvre

La norme ISO 27001 aborde les sauvegardes principalement dans un seul contrôle, le contrôle 8.13. Ce contrôle exige des sauvegardes régulièrement maintenues et testées, mais fournit également de nombreux conseils importants dans ses orientations de mise en œuvre, par exemple en ce qui concerne la compréhension des exigences commerciales en matière de sauvegarde, les emplacements de stockage des sauvegardes, la protection appropriée des sauvegardes et le cryptage.

8.13 : Sauvegarde des informations

L'organisation doit veiller à ce que des copies de sauvegarde des informations, des logiciels et des systèmes soient régulièrement conservées et testées, conformément à la politique établie en matière de sauvegardes. Cette pratique est importante pour récupérer les données ou les systèmes en cas de perte.

Vous devez définir vos processus de sauvegarde actuels et vous assurer que vous disposez de réponses proportionnées aux questions clés : Quelles sont les données sauvegardées ? Où sont stockées les sauvegardes ? Quelle est la fréquence des sauvegardes ? Combien de temps les sauvegardes doivent-elles être conservées ? Qui est responsable ?

Une fois que vous êtes satisfait de la description de votre processus de sauvegarde, le plus dur est fait. Il ne vous reste plus qu'à vous assurer que les sauvegardes fonctionnent, à vérifier leur exhaustivité et à tester régulièrement la restauration.

8.24 : Utilisation de la cryptographie

Ce contrôle concerne davantage la configuration sécurisée en général, mais l'établissement et l'application de règles claires pour le cryptage et la gestion des clés liées aux sauvegardes constituent un élément important d'une stratégie de sauvegarde solide.

5.23 : Sécurité de l'information pour l'utilisation des services en nuage

Lorsqu'elle utilise des services en nuage, l'organisation doit veiller à ce que les responsabilités en matière de sécurité soient clairement réparties. La sauvegarde des données relève souvent de la responsabilité du fournisseur de services, mais des éléments tels que le plan choisi et le type d'hébergement peuvent influer sur les détails de la sauvegarde. Assurez-vous de bien connaître l'exhaustivité des sauvegardes fournies pour les systèmes importants.

Conclusion

Pour vous conformer à la NIS2 en ce qui concerne la continuité des activités et les sauvegardes, vous devrez disposer de mesures proportionnées, clairement documentées et mises en œuvre pour ces thèmes de sécurité. En alignant vos actions sur les meilleures pratiques éprouvées de la norme ISO 27001, vous pouvez être sûr que vous avez mis en œuvre le sujet de manière appropriée et que vous améliorez votre résilience et votre préparation globales dans le processus.

N'oubliez pas que le plan de continuité ne consiste pas seulement à cocher une liste. Il s'agit de créer une structure solide capable de résister à des événements défavorables et de garantir le bon déroulement des opérations. Les choses peuvent mal tourner ; l'essentiel est de disposer d'une stratégie bien pensée pour se rétablir et continuer. Bien que les techniques de sauvegarde soient plus ou moins complexes, la première chose à faire est de mettre en place un système fiable et sécurisé qui garantisse que vos données importantes restent accessibles même pendant les périodes critiques.

Par conséquent, la planification de la continuité et les sauvegardes sont des mesures de prévention et de contrôle des catastrophes les plus terribles en rapport avec vos activités ! De ce point de vue, on peut affirmer qu'il s'agit de l'un des domaines clés de tout programme de sécurité de l'information résilient.

Rédigé par
Aleksi Pulkkanen
12.4.2024
@
apulkkanen
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Partager l'article

Autres contenus similaires de Academy

Blogs

Les 10 non-conformités les plus fréquentes lors des audits ISO 27001

Les audits et les non-conformités poussent les organisations à l'amélioration continue. Mais avant votre première certification ISO 27001, il est bon de connaître les non-conformités les plus courantes, afin de les éviter lors de votre audit de certification.
18.2.2025

J'ai reçu une demande d'entretien pour un audit ISO 27001 - à quoi dois-je m'attendre ?

Dans ce blog, nous parlerons de l'importance de la participation des employés dans le processus d'entretien d'audit, des raisons pour lesquelles les auditeurs apprécient les points de vue des employés, et nous examinerons les questions qui peuvent être posées lors d'un entretien ISO 27001.
13.2.2025

Liste de contrôle de la conformité et de la certification ISO 27001

Vous souhaitez vous assurer que vous répondez aux exigences de la norme ISO 27001 ? Cette liste de contrôle présente des étapes clés clairement ordonnées qui guident votre organisation dans la mise en place d'un SMSI et la mise en conformité avec la norme ISO 27001.
6.2.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuRésumés hebdomadaires d'informationsS'abonner à l'AcadémieLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité