NIS2LI – NIS2 Lead Implementer
avril, 2024
This is a repeating event6 mars 2023 09:309 septembre 2024 09:30
Cette formation a été conçue par des experts reconnus du droit et de la cybersécurité (technique aussi bien qu’organisationnelle) afin de comprendre, appréhender et implémenter les exigences issues de la directive NIS 2 (appelé aussi SRI 2 – « mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ») et de ses textes de mise en oeuvre en droit français.
En décortiquant le texte et les mesures qu’il prévoit, via des sessions interactives et un cas pratique servant de fil rouge à l’ensemble de la formation, celle-ci a pour but de :
– Remettre les exigences de cybersécurité dans leur contexte plus global, aussi bien français qu’européen, et comprendre les enjeux, à l’heure de la multiplication des textes afférents aux mesures de sécurité (objets connectés, infrastructures connectées, données sensibles, éditeurs de logiciels, plateformes, etc.) ;
– Comprendre l’élargissement et le renforcement du périmètre d’application depuis la directive NIS 1 transposée en France par la loi du 26 février 2018 et ses textes d’application ;
– Appréhender la loi de transposition de la directive (et ses textes d’application) devant être adoptée avant octobre 2024 ;
– Donner toutes les clés de la mise en conformité, non seulement des organismes directement visés, mais également des entités qui seront concernées par effet de ruissellement ;
– Analyser et savoir implémenter en pratique les notions au cœur de NIS 2 : gestion des risques, gestion des vulnérabilités et notification des incidents de sécurité, formation des personnels et des dirigeants, communication, résilience, etc. ;
– Comprendre les activités récurrentes à mettre en œuvre sous forme de processus pour pérenniser la gestion des risques et les pratiques de cybersécurité en respect des exigences de la directive
– Anticiper les évolutions et les futures exigences de la prochaine implémentation de la réglementation NIS v3 ;
– Formaliser un gap-analysis et son plan d’actions à partir d’une situation existante exploitant les référentiels connus (RGPD, ISO 27001 et 27002, Guide d’hygiène de l’ANSSI, Framework du NIST, HDS, LPM…).
Tout comme la formation, ce descriptif sera mis à jour pour intégrer les dernières actualités (ANSSI, réglementation, travaux parlementaires réglementaires).
Bon à savoirsur cette formation
-
Objectifs
- Vous doter des connaissances et des compétences nécessaires à la compréhension et à l’implémentation des exigences issues de la directive, vous permettant de planifier, réaliser, gérer, maintenir et mettre à jour votre conformité NIS 2
-
Pré-requis
- Avoir une connaissance des principes de sécurité de base (qui ne seront pas réabordés pendant la formation), par exemple avoir suivi la formation SECUCYBER
-
Méthode pédagogique
- Un cours magistral fondé sur la directive NIS 2 et ses textes de transposition en droit français (au fur et à mesure de leur adoption), ainsi que sur les textes officiels et normes techniques ayant des interactions fortes avec ce cadre réglementaire (RGPD, DORA, Normes ISO 27XXX, etc.) ;
- Enrichi de cas pratiques et d’exemples concrets illustrant les notions explicitées profitant du partage d'expérience des instructeurs HS2 tous avocats ou consultants spécialistes reconnus de ces questions ou implémenteurs des normes 27001 ou encore 27701 ;
- Exercices de contrôle des connaissances sur les concepts à connaître pour évaluer le niveau de compréhension et de connaissance ;
- Un cas pratique d’implémentation servant de fil rouge à l’ensemble de la formation qui permettra de dérouler un projet complet de mise en conformité.
-
Public visé
- Professionnel de la cybersécurité ayant à prendre en charge ou à mettre en œuvre la conformité de leur organisme aux exigences issues la directive NIS 2
- Décideur soucieux de connaître les exigences issues la directive NIS 2
- RSSI et leurs équipes
- Personnes responsables de services opérationnels
- DSI et leurs équipes
- Responsables méthodes et qualité
- DPO, DRPO
- Juristes et responsables juridiques
-
Certification
- Cette formation prépare à l’examen de certification HS2 NIS 2 Lead Implementer. A l'issue de cette formation, le stagiaire passe l’examen d’une durée de 3h00 en français. L’examen est constitué d’une partie QCM sur les notions de cours et d’une partie rédactionnelle sous forme d’étude de cas. Lien avec d’autres certifications professionnelles, certifications ou habilitations : Non
-
Matériel
- Support de cours au format papier en français
- Cahier d'exercices et corrections des exercices
- Tous les documents nécessaires à la formation en français ou anglais
- Certificat attestant de la participation à la formation
-
Formateurs
- François Coupez
- Elisabeth Manca
- Matthieu Schipman
- Matthieu Caron
-
Évaluation qualité
- Vous doter des connaissances et des compétences nécessaires à la compréhension et à l’implémentation des exigences issues de la directive, vous permettant de planifier, réaliser, gérer, maintenir et mettre à jour votre conformité NIS 2
- Avoir une connaissance des principes de sécurité de base (qui ne seront pas réabordés pendant la formation), par exemple avoir suivi la formation SECUCYBER
- Un cours magistral fondé sur la directive NIS 2 et ses textes de transposition en droit français (au fur et à mesure de leur adoption), ainsi que sur les textes officiels et normes techniques ayant des interactions fortes avec ce cadre réglementaire (RGPD, DORA, Normes ISO 27XXX, etc.) ;
- Enrichi de cas pratiques et d’exemples concrets illustrant les notions explicitées profitant du partage d'expérience des instructeurs HS2 tous avocats ou consultants spécialistes reconnus de ces questions ou implémenteurs des normes 27001 ou encore 27701 ;
- Exercices de contrôle des connaissances sur les concepts à connaître pour évaluer le niveau de compréhension et de connaissance ;
- Un cas pratique d’implémentation servant de fil rouge à l’ensemble de la formation qui permettra de dérouler un projet complet de mise en conformité.
- Professionnel de la cybersécurité ayant à prendre en charge ou à mettre en œuvre la conformité de leur organisme aux exigences issues la directive NIS 2
- Décideur soucieux de connaître les exigences issues la directive NIS 2
- RSSI et leurs équipes
- Personnes responsables de services opérationnels
- DSI et leurs équipes
- Responsables méthodes et qualité
- DPO, DRPO
- Juristes et responsables juridiques
- Cette formation prépare à l’examen de certification HS2 NIS 2 Lead Implementer. A l'issue de cette formation, le stagiaire passe l’examen d’une durée de 3h00 en français. L’examen est constitué d’une partie QCM sur les notions de cours et d’une partie rédactionnelle sous forme d’étude de cas. Lien avec d’autres certifications professionnelles, certifications ou habilitations : Non
- Support de cours au format papier en français
- Cahier d'exercices et corrections des exercices
- Tous les documents nécessaires à la formation en français ou anglais
- Certificat attestant de la participation à la formation
Programme du cours
Jour 1
RGS, LPM, NIS 1 RGPD, DORA, CRA, Cyberscore : contexte et champs d’application de NIS 2
- Notions juridiques de base et vocabulaire
- Différence entre Directive et Règlement européen
- Notion de transpositions et exemple pratique avec NIS 1
- Contexte des réglementations en matière de cybersécurité
- Évolutions au niveau européen
- Spécificités issues des lois françaises
- Données personnelles, données hautement personnelles, notions de données sensibles, données soumises aux secrets : définir pour mieux protéger
- Transposition de NIS 2 en droit français
- A qui s’applique NIS 2 ?
- Champ d’application direct
- Champ d’application indirect via l’effet de ruissellement
- Registre de traitements
- Résumé des principales exigences
- Notion de formation des dirigeants et des personnels
- Supervision par l’ANSSI et sanctions
Comparatif entre les différentes réglementations et référentiels cybersécurité
Jour 2
Implémenter NIS 2
- Les processus à mettre en œuvre ou devant évoluer
- Gouvernance Cybersécurité : rôles et responsabilités, comitologie, implication des décideurs
- Gestion des relations avec les autorités
- Gestion des risques et des actifs
- Gestion de la surveillance, des incidents et des crises
- Gestion des vulnérabilités et de la conformité techniques
- Gestion de la chaine d’approvisionnement et des tiers : organisation des responsabilités
- Gestion de la production et de l’exploitation du système d’information
- Gestion des développements
- Gestion de l’audit et des contrôles
- Gestion de la cryptographie
- Gestion des ressources humaines
- Gestion de la sensibilisation et la formation
- Gestion des identités et des accès
- Gestion de la résilience et de la continuité d’activité
- La documentation à formaliser ou mettre à jour
- Politiques de sécurité
- Exigences vis-à-vis des tiers et Plan d’Assurance Sécurité
- Programme de contrôles et d’audit
- Procédures de sécurité
- Référentiel juridique (détaillée jour 5)
Jour 3
Les principales mesures techniques visées par NIS 2
- Scénarios d’attaques classiques
- Cartographie des systèmes d’information
- Contrôles d’accès (identification, authentification, droit d’accès, etc.)
- Architecture sécurisée
- Sécurité de l’administration
- Gestion des accès distants
- Journalisation et détection des incidents
- Maintien en condition de sécurité
- Sécurité physique et environnementale
- S’évaluer: les différents types d’audits techniques
Jour 4
Implémenter NIS 2 : La démarche projet autour d’une étude de cas
- Analyse d’écart : identifier dans l’existant les éléments de conformité, identifier les manques et pouvoir construire et valoriser le plan d’actions
- Présentation des étapes du plan d’actions type
- Quick-Win vis-à-vis de l’existant
- Evolution de l’organisation autour de la Cybersécurité
- Révision de l’appréciation des risques : les scénarios minimums attendus
- Gérer les évolutions des solutions techniques
- Mise en œuvre des nouvelles activités
- Piloter les changements avec les tiers
- Auditer et contrôler
Jour 5 matin
Implémenter NIS 2 : l’angle juridique
- Les conséquences sur l’opposabilité des règles en interne : gestion, optimisation ou mise à jour des chartes d‘utilisation des outils numériques
- Cas des salariés
- Cas des accès privilégiés
- Respecter la vie privée tout en assurant la cybersécurité : les mécanismes et procédures à mettre en œuvre
- BYOD et COPE, cloud, réseaux sociaux, décès, IA : intégrer les contraintes
- Exemples de formulations (et donc de chartes) inapplicables
- Exigences et cadre des contrôles réalisables
- Les conséquences contractuelles : rapports avec les clients, partenaires et prestataires
- Choix des prestataires et encadrements contractuels
- Exigences des régulateurs et de la réglementation dans le rapport avec les prestataires
- Rendre possible la conformité contractuelle
- Le cas des clients et des partenaires
Jour 5 après-midi
Examen de certification
