Interview avec LG. Les administrations communales sont-elles préparées face aux défis de la cybersécurité et de la loi NIS2 ? Comment s’y prendre ? Interview avec Lynn Pinto, DPO, Camar Houssein, responsable SECaaS, et Carlo Harpes, gérant de l’itrust consulting s.à r.l. et président du comité (luxembourgeois) de normalisation en sécurité. Comment les administrations ont-elles été préparées à ce nouveau défi ? Carlo : Le texte de la directive NIS2 est publié depuis 2022 ; le Luxembourg a choisi l’option d’une transposition aussi simple et minimaliste que possible ; toutes les entités pratiquant les soumissions publiques sont visées ; elles devront maîtriser les risques de cybersécurité, reporter leurs dépendances, l’état de leur sécurité et le résultat de leur traitement des risques à l’ILR. En plus, elles doivent remonter les incidents et peuvent recevoir des injonctions de l’ILR, si nécessaire pour maîtriser des risques. Le ministre Léon Gloden, les a encouragés à prendre ce défi au sérieux, à ne pas attendre la loi pour se préparer. Le lendemain du vote, chaque entité doit avoir une analyse de risque approuvée qui justifie qu’elle a trouvé le bon équilibre entre investir en mesures de sécurité et accepter des risques résiduels ; elle doit montrer régulièrement son plan d’amélioration à l’ILR. Que reste à faire par les entités ? Camar : Nous sommes d’accord avec l’ILR que la loi NIS2 n’exige rien de plus qu’un dirigeant responsable. Pourtant il impose une politique de sécurité des ressources humaines, une gestion (formalisée) des accès, une gestion des actifs, c’est-à-dire une inventorisation, classification et attribution de responsabilité liée à ces actifs, et le plus dur, une appréciation et un traitement des risques tenant compte des normes en vigueur, virtuellement inconnues dans le secteur. Nous pouvons facilement former une personne à estimer les risques, mais cette estimation reste incertaine, même pour un expert. Mon responsable dit toujours que mener une analyse de risque est un art plutôt qu’une science, car ce processus doit produire des résultats argumentés et « reproductibles ». Les administrations qui sont déjà conformes au RGPD ont-elles une longueur d’avance ? Lynn : Oui clairement, encore trouvons-nous toujours des entités qui y sont mal préparées : sans registre des activités de traitement ou avec registre incomplet, sans notice d’information facilement accessible aux personnes concernées, et ceci après 7 ans d’entré en vigueur et une CNPD qui a engagé plus de 60 fonctionnaires pour contrôler et enseigner. Récemment nous sommes encore tombés sur des secrétaires communaux qui sont aussi DPO, donc… Read more »
Articles de : Ricardo Santos
Simplifier la gestion des normes DORA, GDPR et ISO avec des tableaux Excel extraits
itrust consulting, en collaboration avec CyFORT, a le plaisir d’annoncer le lancement de son initiative de distribution de normes, visant à fournir des fichiers de normes et d’autres fichiers utiles au format Excel. Ces fichiers sont conçus pour une intégration transparente avec des outils open-source populaires comme Ariana et OpenAriana, OpenTrick. L’initiative permet aux organisations de générer facilement des politiques, d’effectuer des évaluations des risques, de réaliser des audits et bien plus encore, tout en tirant parti de la puissance et de la flexibilité des solutions open-source. En proposant des normes dans un format Excel standardisé, itrust consulting simplifie le processus d’alignement sur les normes internationales et améliore l’efficacité des activités de gestion des risques et de conformité. Cette initiative prend en charge un large éventail d’applications, ce qui permet aux entreprises de gérer efficacement leurs tâches liées à l’ISO en utilisant les outils qu’elles connaissent et auxquels elles font confiance. Cliquez ici pour télécharger des fichiers Excel gratuits Cliquez ici pour soumettre un formulaire web afin de demander le fichier des normes ISO par les détenteurs de licences