Qui devrait lire ceci: les responsables des risques, les équipes chargées des installations, les équipes de sécurité et toute personne responsable de la gestion complète des risques au-delà de la cybersécurité.
L’article 21 (2) du NIS2 exige que les mesures de gestion des risques «soient fondées sur une approche tous risques visant à protéger les réseaux et les systèmes d’information ainsi que l’environnement physique de ces systèmes contre les incidents».
Cette expression, «approche tous risques», est essentielle. Cela signifie que NIS2 ne se limite pas aux cyberattaques. Il s’agit de protéger les systèmes d’information et l’infrastructure contre tout incident susceptible de perturber le service ou de causer des dommages. Cela inclut les attaques physiques, les catastrophes environnementales, les accidents et, oui, les cyberattaques.
L’approche tous risques reflète un point de vue essentiel: un attaquant sophistiqué n’attaque pas toujours numériquement. Un attaquant qui souhaite perturber une centrale électrique peut ne pas cibler le système SCADA. Au lieu de cela, ils pourraient simplement couper les câbles d’alimentation avec une hache. Une catastrophe qui perturbe un centre de données n’est peut-être pas une cyberattaque. Il peut s’agir d’un incendie, d’une inondation ou d’un vol de matériel essentiel.
Ce guide explique ce que signifie l’approche tous risques, pourquoi elle est importante et comment la mettre en œuvre.
Le concept tous risques
Une «approche tous risques» en matière de sécurité consiste à traiter toutes les catégories de menaces qui pèsent sur vos systèmes et services, et pas seulement les cyberattaques.
Les catégories de dangers incluent:
Cybermenaces
Attaques contre les systèmes d’information:
Malwares, rançongiciels, virus.
Hameçonnage, ingénierie sociale.
Exploitation des vulnérabilités.
Attaques par déni de service distribué (DDoS).
Vol de données, espionnage.
Menaces internes (employés mécontents, sabotage).
Compromis en matière de chaîne d’approvisionnement.
Attaques physiques
Dégâts physiques délibérés:
Entrée par effraction pour voler du matériel ou des données.
Vandalisme d’infrastructures critiques.
Couper des câbles ou désactiver des équipements.
Altération des systèmes (ajout de matériel malveillant, de périphériques USB).
Alertes à la bombe ou attaques à l’explosif contre des installations.
Catastrophes environnementales et naturelles
Dangers naturels:
Incendie (accidentel ou intentionnel).
Inondations (rupture de canalisations, fortes pluies, onde de tempête).
Séismes ou autres événements sismiques.
Vents violents, tempêtes, verglas.
Températures extrêmes affectant l’équipement.
Perte de services publics (pannes de courant, perte d’eau, panne de CVC).
Accidents
Incidents non intentionnels:
Les surtensions endommagent l’équipement.
Déversements accidentels ou dégâts d’eau.
Erreur de l’employé (mauvaise configuration, suppression accidentelle de données).
Accidents de véhicules affectant les installations.
Incidents de chaîne d’approvisionnement
Incidents affectant les fournisseurs ou les dépendances:
Faillite ou fermeture d’un fournisseur.
Violation de données des fournisseurs affectant les données que vous détenez.
Compromis de composants critiques dans les produits des fournisseurs.
Perte des services fournis par les fournisseurs (panne, résiliation).
Incidents opérationnels
Problèmes liés à vos propres opérations:
Indisponibilité du personnel clé (maladie, départ).
Systèmes de sauvegarde inadéquats ou échec de la restauration.
Défaillances de procédure (mauvaise configuration, mises à jour incorrectes).
Défaillances de surveillance ou de détection.
Pourquoi tous les risques sont importants
L’approche tous risques tient compte du fait que les menaces qui pèsent sur vos services ne sont pas exclusivement cybernétiques.
Un attaquant averti peut utiliser tous les moyens disponibles. Un État-nation attaquant une infrastructure critique peut associer des cyberattaques à un sabotage physique. Un criminel ciblant une institution financière peut associer une cyberattaque à un vol physique. Un employé mécontent peut à la fois voler des données et endommager du matériel.
Les catastrophes environnementales peuvent être aussi dommageables que les cyberattaques. Une inondation dans un centre de données peut détruire le matériel plus rapidement que n’importe quel rançongiciel. Une panne de courant peut entraîner une interruption des services aussi efficacement qu’une attaque DDoS.
De plus, l’approche tous risques vous aide à envisager les risques de manière globale. Si vous vous concentrez uniquement sur la cybersécurité, vous pourriez bénéficier d’une détection des intrusions et d’une gestion des correctifs robustes, mais d’une sécurité physique terrible. Un attaquant pourrait simplement pénétrer dans votre centre de données et débrancher des serveurs ou charger du matériel malveillant sur votre réseau.
L’approche tous risques de NIS2 vous oblige à envisager la sécurité dans toutes ses dimensions.
Article 21 Mesures dans un contexte tous risques
Chacune des dix mesures prévues à l’article 21, paragraphe 2, doit être mise en œuvre en tenant compte de tous les risques.
Mesure 1 — Analyse des risques et politiques de sécurité
Votre évaluation des risques doit prendre en compte toutes les catégories de dangers, et pas uniquement les cybermenaces.
Pour chaque système ou actif critique, identifiez:
Cybermenaces (quelles attaques pourraient affecter cela?).
Menaces physiques (quelqu’un pourrait-il entrer par effraction et l’endommager?).
Menaces environnementales (un incendie, une inondation ou une panne de courant pourraient-ils l’affecter?).
Risques d’accident (quelles erreurs humaines pourraient l’endommager?).
Risques liés aux fournisseurs/opérationnels.
Priorisez les risques en fonction de leur probabilité et de leur impact. Un centre de données essentiel doit évaluer les risques d’inondation géographiquement. Est-ce qu’il se trouve dans une zone inondable? Quelle est la probabilité? Si les inondations présentent un risque élevé, vos mesures d’atténuation (surélévation des installations, barrières anti-inondation, sites de secours en dehors des zones inondables) doivent en tenir compte.
Vos politiques de sécurité doivent prendre en compte tous les risques, et pas seulement les cybercontrôles.
Mesure 2 — Gestion des incidents
La gestion des incidents comprend les réponses aux cyberincidents, mais également aux incidents physiques et environnementaux.
Définissez les types d’incidents:
Cyberincident: logiciel malveillant, intrusion, vol de données.
Incident physique: effraction, vol, vandalisme, incendie.
Incident environnemental: inondation, panne de courant, panne de CVC.
Incident opérationnel: défaillance de la chaîne d’approvisionnement, perte de personnel clé, erreur de procédure.
Pour chaque type d’incident, définissez votre réponse:
Détection: comment détectez-vous ce type d’incident?
Enquête: que faites-vous pour enquêter?
Confinement: comment y mettre fin?
Restauration: comment rétablir le service?
Documentation: Que documentez-vous pour les régulateurs?
Votre réponse aux incidents doit être intégrée à tous les types de danger, et pas seulement à la cybersécurité.
Mesure 3 — Continuité des activités et reprise après sinistre
C’est là que tous les risques sont vraiment importants.
La planification de la continuité des activités doit prendre en compte:
Cyberincidents: si vos systèmes sont chiffrés par un rançongiciel, pouvez-vous effectuer une restauration à partir de sauvegardes?
Incidents physiques: si votre centre de données est détruit, pouvez-vous basculer vers un autre emplacement?
Incidents environnementaux: si une inondation détruit votre site principal, votre site de secours se trouve-t-il dans une autre zone géographique?
Défaillances des fournisseurs: en cas de défaillance de votre fournisseur de cloud, pouvez-vous migrer vers un autre fournisseur?
Perte de personnel: si le personnel technique clé devient indisponible, quelqu’un d’autre peut-il gérer les fonctions critiques?
Vos sauvegardes doivent être stockées hors site ou dans des installations distinctes afin qu’un sinistre affectant votre emplacement principal ne détruise pas également les sauvegardes.
Votre plan de reprise après sinistre doit être testé régulièrement en fonction de différents scénarios (cyberattaque, incendie, inondation, etc.). Ne présumez pas que votre plan fonctionnera sans tests.
Vos objectifs de temps de rétablissement (RTO) doivent être réalistes. Pour les services critiques, les RTO peuvent être de quelques minutes ou de quelques heures. Pour atteindre des RTO serrés, vous avez besoin d’une planification préalable, de procédures testées et, souvent, de plusieurs sites.
Mesure 4 — Sécurité de la chaîne d’approvisionnement
La sécurité de la chaîne d’approvisionnement dans un contexte tous risques implique:
Évaluation de la cybersécurité des fournisseurs (ont-ils des pratiques en matière de sécurité?).
Évaluation de la résilience opérationnelle des fournisseurs (peuvent-ils survivre à une catastrophe physique et continuer à vous servir?).
Évaluation des dépendances des fournisseurs (si le fournisseur d’un fournisseur tombe en panne, y a-t-il des imprévus?)
Avoir des fournisseurs alternatifs afin que la défaillance d’un seul fournisseur ne soit pas la cause de votre échec.
Measure 5 – Secure Development
This is primarily a cyber measure. But it should address:
Secure coding to prevent vulnerabilities that attackers could exploit.
Testing to find and fix defects that could cause outages or data loss.
Secure deployment procedures to prevent misconfiguration.
Measure 6 – Effectiveness Assessment
Assess your controls against all-hazards:
Conduct vulnerability scans (cyber).
Conduct physical security assessments (can someone break in?).
Test disaster recovery procedures (can you restore if your primary site fails?).
Audit your supply chain resilience (what happens if suppliers fail?).
Measure 7 – Cyber Hygiene and Training
Training should address all-hazards awareness:
Cyber hygiene: phishing, passwords, data protection.
Physical security: do not leave doors propped open, do not share access badges, report suspicious persons.
Environmental awareness: know evacuation procedures, know how to report environmental hazards.
Measure 8 – Cryptography
Primarily a cyber measure.
Measure 9 – Human Resources and Access Control
Access control in all-hazards context:
Cyber access control: authentication, authorization, least privilege.
Physical access control: badges, locks, biometrics, visitor logs.
Separation of duties: prevent any single person from having too much control (cyber or physical).
Termination procedures: revoke access (cyber and physical) immediately when employees leave.
Background checks: screen people with access to critical systems for threats.
Measure 10 – Multi-Factor Authentication
Primarily cyber, but related to access control.
Physical Security Implementation
Given the all-hazards approach, your physical security must be strong.
Facilities
For facilities housing critical systems:
Access control: restrict entry to authorized personnel only.
Visitor management: log visitors, require escorting, limit access.
Perimeter security: fencing, gates, cameras.
Environmental controls: fire suppression (sprinklers), HVAC monitoring, humidity control.
Power backup: uninterruptible power supplies, backup generators.
Network security: secure cables, prevent tampering.
Hardware Security
For devices and hardware:
Secure storage: store equipment in locked areas.
Inventory management: track all hardware, prevent theft.
Secure disposal: destroy equipment at end-of-life so data cannot be recovered.
Firmware verification: ensure firmware on devices has not been tampered with.
Cable security: prevent cutting or interference with network cables.
Personnel Security
For people with access to systems:
Background checks before hire.
Security training and awareness.
Continuous monitoring (watch for suspicious behaviour).
Secure termination (revoke all access before departure).
Confidentiality agreements.
Environmental Risk Assessment
For each critical facility, conduct an environmental risk assessment.
Questions to ask:
Is the facility in a flood-prone area? What is the flood risk?
Is the facility in an earthquake-prone area?
Is there risk of extreme weather (high winds, ice, extreme temperatures)?
What is the local power grid reliability? Frequency of outages?
What is the local water supply reliability?
What is the fire risk? Is the facility near wildfire-prone areas or in a building with fire hazards?
For each risk identified, determine your mitigation:
Reduce likelihood: raise the facility above flood level, move away from fire-prone areas, improve fire suppression systems.
Reduce impact: if you cannot prevent flooding, have backup facilities outside flood zones; if you cannot prevent power outages, have backup generators; if you cannot prevent fires, have automatic sprinkler systems and early detection.
Accept risk: if the risk is very low probability and/or you have good mitigation, you may accept residual risk.
Document your assessment and any accepted risks. Regulators will want to see that you have thought through environmental hazards.
Resilience vs Resistance
The all-hazards approach recognises a distinction between resistance and resilience:
Resistance means preventing an incident from happening (a strong lock prevents a break-in, a firewall prevents a cyberattack).
Resilience means the ability to recover quickly if an incident happens anyway.
NIS2 requires both:
You must resist threats where possible (strong controls, defences).
You must be resilient where resistance is impossible (backup sites, redundancy, quick recovery).
For some hazards, resistance is not practical. You cannot prevent earthquakes or floods. But you can be resilient: by having multiple facilities in different areas, by having backups, by having insurance, by having incident response plans.
Proportionality in All-Hazards Approach
The all-hazards approach must be proportionate. You are not required to implement controls against hazards that are not realistic for your context.
Examples:
If your data centre is in a stable geological region far from earthquake zones, you do not need seismic reinforcement.
If your facility is on a hilltop far from flood zones, flood mitigation is less critical.
If your operations are not dependent on external suppliers, supply chain resilience is less critical.
However, you must do a risk assessment to determine what is and is not realistic. Do not simply assume low risk without analysis.
Practical Checklist: All-Hazards Implementation
For each critical system or facility:
Identify all potential hazards (cyber, physical, environmental, operational, supply chain).
Assess likelihood and impact for each hazard.
Determine acceptable risk (what will you tolerate?).
For each unacceptable risk, implement controls:
To reduce likelihood (prevent the hazard).
To reduce impact (mitigate if it happens anyway).
Test your controls (drills, tabletop exercises, security assessments).
Document your approach (risk assessment, controls, test results).
For high-risk environmental hazards:
Conduct geographic and facility risk assessment.
Implement environmental controls (fire suppression, HVAC monitoring, etc.).
Locate backup facilities in different geographic areas.
Test disaster recovery regularly.
For supply chain hazards:
Assess all critical suppliers.
Develop alternative supplier relationships.
Monitor suppliers’ operational health and security.
Test ability to switch suppliers if needed.
Pour des raisons de sécurité physique:
Mettre en place des contrôles d’accès (badges, serrures, biométrie).
Surveillez les accès et détectez les anomalies.
Procéder régulièrement à des évaluations de sécurité physique.
Former le personnel à la sécurité physique.
Pour les risques liés au personnel et à l’exploitation:
Documentez les fonctions critiques et les personnes qui les exécutent.
Formez le personnel de manière polyvalente afin que plusieurs personnes puissent exécuter des fonctions critiques.
Ayez des plans de relève pour les postes clés.
Testez votre capacité à fonctionner si des personnes clés ne sont pas disponibles.
Principaux points à retenir
-
L’approche tous risques nécessite de protéger les systèmes et les infrastructures contre toutes les catégories de menaces: cybernétiques, physiques, environnementales, accidents et chaîne d’approvisionnement; les mesures de l’article 21 doivent prendre en compte tous les types de dangers, et pas seulement les cyberattaques.
-
La sécurité physique est aussi importante que la cybersécurité; la mise en œuvre comprend les contrôles d’accès, la gestion des visiteurs, la sécurité du périmètre, les contrôles environnementaux (extinction des incendies, CVC), l’alimentation de secours et la sécurité du matériel.
-
La continuité des activités et la reprise après sinistre doivent être conçues pour tous les risques: les sauvegardes doivent être stockées hors site dans différentes zones géographiques; les procédures de reprise après sinistre doivent être testées par rapport à différents scénarios (cyber, incendie, inondation, panne de courant); les objectifs de temps de reprise doivent être réalisables.
-
L’évaluation des risques environnementaux doit identifier les dangers locaux (risque d’inondation, risque de tremblement de terre, conditions météorologiques extrêmes, fiabilité du réseau électrique) et déterminer les mesures d’atténuation appropriées (installations d’élévation, sites de secours, groupes électrogènes de secours, extinction des incendies).
-
La résilience de la chaîne d’approvisionnement est essentielle: évaluez la résilience opérationnelle des fournisseurs, développez des fournisseurs alternatifs, surveillez l’état de santé des fournisseurs et testez leur capacité à changer de fournisseur en cas de défaillance d’un fournisseur essentiel.
-
La proportionnalité s’applique: vous n’êtes pas tenu de mettre en œuvre des contrôles contre les dangers irréalistes; vous devez toutefois effectuer une évaluation des risques pour déterminer ce qui est réaliste dans votre contexte et documenter vos conclusions.
-
La résilience et la résistance sont complémentaires: résistez aux menaces dans la mesure du possible (contrôles stricts, défenses) et soyez résilient là où la résistance est impossible (sauvegardes, redondance, restauration rapide).
