Résilience NIS2

SMSI & continuité intégrées — préparation ISO/IEC 27001 & ISO 22301

Méthodologie – PECB IMS2

(Integrated Implementation Methodology for Management Systems and Standards)

Objectif

Construire une organisation robuste et résiliente face aux crises (cyber, panne, indisponibilité fournisseur), avec une conformité NIS2 démontrable, en intégrant un SMSI (ISO/IEC 27001) et un SMCA (ISO 22301) opérationnels, testés et prêts pour la préparation aux audits.

1) Résultats attendus (promesse livrable)
À l’issue de la mission, vous disposez de :
  • Un SMSI opérationnel (ISO/IEC 27001) : gouvernance, risques, contrôles, preuves, audits internes.
  • Un SMCA opérationnel (ISO 22301) : BIA, stratégie de continuité, plans PRA/PCA, organisation de crise, exercices.
  • Une gouvernance intégrée sécurité + continuité : responsabilités, comités, décisions, KPI.
  • Une cartographie des services critiques et dépendances (SI, métiers, fournisseurs, infrastructures) et des exigences de disponibilité.
  • Une gestion des risques unifiée : risques SI (27001) + risques de continuité (22301), avec plans de traitement.
  • Un dispositif incidents & crise : détection, réponse, escalade, communication, coordination métiers/IT.
  • Une maîtrise supply chain renforcée : exigences, contractualisation, suivi des fournisseurs critiques.
  • Un plan de preuves NIS2 et un evidence pack (procédures + enregistrements + rapports d’exercices) pour démontrer la conformité.
  • Des tests et exercices réalisés : table-top cyber, tests PRA, exercices de gestion de crise, retours d’expérience (REX).
  • Une évaluation de préparation (readiness) : conformité NIS2 + préparation ISO/IEC 27001 & ISO 22301, avec plan d’actions correctives.
2) Périmètre (ce que couvre l’offre)
2.1 Périmètre “SMSI ISO/IEC 27001"
  • Gouvernance : leadership, rôles, politiques, objectifs, KPI.
  • Gestion des risques SI : méthode, registres, traitements, acceptation.
  • Déclaration d’applicabilité (SoA) : contrôles retenus/justification.
  • Mesures clés : IAM, journalisation, vulnérabilités, sauvegardes, durcissement, sécurité opérationnelle.
  • Gestion des tiers/supply chain : exigences, évaluation, clauses, suivi.
  • Gestion des incidents : réponse, escalade, post-mortem.
  • Audit interne, revue de direction, amélioration continue.
2.2 Périmètre “SMCA ISO 22301"
  • Définition du périmètre continuité (services, sites, équipes, prestataires).
  • BIA (Business Impact Analysis) : impacts, priorités, RTO/RPO, dépendances.
  • Stratégie de continuité : options, redondances, organisation cible.
  • Plans : PRA/PCA, procédures de reprise, gestion de crise, communication.
  • Exercices : tests PRA, simulations, REX, plans d’amélioration.
  • Pilotage et amélioration continue (revues, KPI, mise à jour plans).
2.3 Périmètre “Conformité NIS2” (intégrée)
  • Gouvernance et responsabilités (management, supervision).
  • Gestion des risques et mesures techniques/organisationnelles.
  • Gestion des incidents et préparation au reporting.
  • Sécurité supply chain et dépendances.
  • Preuves & préparation aux évaluations : enregistrements, rapports, indicateurs.

 

L’approche : NIS2 fixe les exigences ; 27001 structure la cybersécurité ; 22301 structure la continuité. L’ensemble produit des preuves démontrables et des dispositifs testés.

3) Déroulé de mise en œuvre (PECB IMS2 aligné NIS2 + ISO/IEC 27001 + ISO 22301)
Phase 1 — Définir et établir (Define & Establish)
Objectif : cadrer le périmètre, installer la gouvernance intégrée et établir la base risques/continuité/preuves.

Activités :
 
  1. Leadership & approbation : sponsor, gouvernance de projet, objectifs, jalons.
  2. Qualification NIS2 : périmètre, obligations, priorités conformité.
  3. Rôles & responsabilités : RACI (sécurité, continuité, IT Ops, métiers, fournisseurs).
  4. Cartographie services critiques & dépendances : SI, métiers, tiers, infrastructures.
  5. Stratégie de preuves : structure evidence pack NIS2 + ISO (procédures + enregistrements + tests).
  6. Méthodes risques : risques SI (27001) + risques continuité (22301) + articulation.
  7. BIA (cadrage) : méthode, périmètre, planning interviews, données nécessaires.
  8. SoA ISO/IEC 27001 (v1) et cadre documentaire initial (politiques base, plans).

 

Livrables Phase 1
 
  • Charte projet + gouvernance + RACI
  • Qualification NIS2 + périmètre initial
  • Cartographie “services/dépendances/tiers” (v1)
  • Méthodologie risques SI + registre risques (v1)
  • Méthodologie continuité + plan de travail BIA
  • SoA ISO/IEC 27001 (v1)
  • Plan projet + plan de preuves (structure)
Phase 2 — Mettre en œuvre et opérer (Implement & Operate)
Objectif : déployer les mesures NIS2, formaliser les plans de continuité et lancer l’opérationnel.

Activités :
 
  1. BIA complet : impacts, priorités, RTO/RPO, dépendances critiques.
  2. Stratégie de continuité : scénarios, options, organisation cible.
  3. Plans PRA/PCA : procédures de reprise, tests, critères de succès.
  4. Mesures cybersécurité (27001) : contrôles prioritaires + procédures (accès, logs, vulnérabilités, sauvegardes, change, tiers).
  5. Supply chain : exigences tiers, évaluation, clauses, suivi fournisseurs critiques.
  6. Incidents & crise : playbooks, escalade, communication, coordination IT/métiers.

 

Livrables Phase 2
 
  • BIA (rapport) + RTO/RPO + dépendances
  • Stratégie de continuité + plans PRA/PCA (v1)
  • Procédures crise & communication (v1)
  • Registre risques (v2) + traitements + preuves
  • Procédures sécurité clés + enregistrements
  • Registre tiers + exigences/clauses + plan de suivi
  • Catalogue de preuves + modèles d’enregistrements
Phase 3 — Surveiller et revoir (Monitor & Review)
Objectif : prouver l’efficacité via KPI, audits internes, et exercices testant le dispositif.

Activités :
 
  1. Surveillance & KPI : sécurité + continuité (incidents, vulnérabilités, tests, disponibilité).
  2. Audit interne (ISO/IEC 27001 et éléments continuité) orienté NIS2.
  3. Exercices : table-top cyber, test PRA/PCA, exercice gestion de crise.
  4. Revue de direction : décisions, arbitrages, budgets, plan d’amélioration.

 

Livrables Phase 3
 
  • Tableau de bord KPI + comptes rendus de revues
  • Rapports d’audits internes + plan d’actions
  • Rapports d’exercices (table-top/test PRA/crise) + REX
  • Mise à jour SoA, risques, plans, preuves
Phase 4 — Maintenir et améliorer (Maintain & Improve)
Objectif : fermer les écarts, stabiliser et finaliser la préparation audits/évaluations.

Activités :
 
  1. Actions correctives : non-conformités, vérification efficacité.
  2. Readiness : revue evidence pack NIS2 + préparation ISO 27001/22301.
  3. Pérennisation : calendrier d’audits, tests périodiques, revues, amélioration continue.

 

Livrables Phase 4
 
  • Registre non-conformités + actions correctives + preuves de clôture
  • Pack “NIS2 Readiness” : dossier de preuves final + checklist évaluation
  • Pack “ISO Readiness” : plan de passage audit + checklist (27001 + 22301)
4) Volet “tests & preuves” (intégré au fil de l’eau)
4.1 Ateliers tests
  • Définition des scénarios (cyber, panne, indisponibilité tiers).
  • Critères de succès (RTO/RPO), responsabilités, communications.
  • Planification des tests et collecte des preuves.
4.2 Livrables tests
  • Plan de tests (PRA/PCA + exercices crise)
  • Rapports de tests + REX + plan d’amélioration
5) Organisation du projet
Ateliers (typique)
  • Kick-off + qualification NIS2 + cadrage périmètre
  • Ateliers cartographie services/actifs/dépendances/tiers
  • Ateliers risques + SoA ISO/IEC 27001
  • Ateliers BIA + stratégie de continuité
  • Ateliers PRA/PCA + crise + communication
  • Atelier supply chain (tiers, clauses, suivi)
  • Audit interne + exercices + revue de direction + readiness
Rôles côté client (minimum)
  • Sponsor (direction)
  • Référent sécurité / RSSI (owner)
  • Référent continuité (BCM owner)
  • Référent IT Ops / Production
  • Référent Risk/Compliance / Juridique
  • Référent Achats/Vendor management (tiers)
  • Référent métiers (services critiques)
6) Durée (à adapter au périmètre)
  • Standard : 12 à 20 semaines selon maturité, nombre de services critiques, complexité PRA/PCA.
  • Étendu : 20+ semaines si multi-sites, SI hétérogène, dépendances fournisseurs fortes.
7) Ce qui fait la valeur (conformité + certifications)
  • Conformité NIS2 démontrable : mesures opérées + preuves + dispositifs testés.
  • Résilience prouvée : BIA, PRA/PCA et exercices réduisent l’impact des crises.
  • Pilotage durable : ISO 27001 + ISO 22301 installent audit, mesure, amélioration continue.
  • Confiance client : disponibilité, continuité et sécurité deviennent des arguments business.
8) Options
  • Pack “Architecture & durcissement” : segmentation, hardening, observabilité, exigences d’exploitation.
  • Pack “Pentest & remédiation” : pentest + plan de correction + preuves.
  • Pack “Exercice régulateur” : simulation contrôle/évaluation + communication de crise.
  • Pack “Scale” : extension à filiales/périmètres supplémentaires.