Savoir que faire et dans quel ordre. Progresser ensuite par étapes
Confrontée aux nouvelles obligations de la directive européenne NIS2, EPC Famila s’est fait accompagner par Cyberxpert pour un bilan des écarts. Le groupe dispose aujourd’hui des moyens pour transformer la conformité en levier de confiance et de résilience.
« La directive NIS2 va transformer les exigences en matière de cybersécurité pour les opérateurs essentiels comme nous, expose Joffrey Barbeaux, CIO, EPC Familia. Avant d’investir, nous avions besoin d’une vision claire : où en sommes-nous, quelles sont nos faiblesses et quelles actions sont prioritaires ? »
Avec près de 100 officines, EPC Familia est un acteur clé du secteur pharmaceutique en Belgique. Confrontée aux nouvelles obligations de la directive européenne NIS2, la direction a choisi d’anticiper en réalisant un bilan complet de cybersécurité.
Réaliser une analyse des écarts NIS2 efficace nécessite une compréhension approfondie des exigences de la directive et de l’infrastructure de cybersécurité actuelle. Le processus implique d’évaluer les politiques, procédures et technologies existantes par rapport aux normes NIS2 pour identifier les écarts.
EPC Familia a fait appel à Cyberxpert, partenaire spécialisé en cybersécurité et conformité réglementaire. « Nous recherchions un partenaire capable de nous apporter à la fois une expertise technique pointue et une compréhension des enjeux réglementaires, continue Joffrey Barbeaux. Cyberxpert a su combiner ces deux dimensions avec efficacité. »
Démarche proactive
Une analyse des écarts NIS2 est un processus d’évaluation conçu pour déterminer dans quelle mesure les pratiques et politiques de cybersécurité existantes d’une organisation s’alignent sur les exigences énoncées par la directive.
En identifiant ces écarts, les organisations peuvent développer des stratégies ciblées pour atteindre la conformité, renforçant ainsi leur résilience en matière de cybersécurité. « Cette approche systématique aide les organisations à identifier les domaines où leurs outils, leurs procédures et leur posture de cybersécurité actuels pourraient être insuffisants », assure Fabrice Hequet, CEO, Cyberxpert.
Le processus implique généralement plusieurs étapes, en commençant par une compréhension détaillée des exigences de la directive et leur traduction en points de référence applicables pour l’organisation. Cela inclut l’évaluation des pratiques de gestion des risques, de la sécurité des réseaux et des systèmes d’information et des processus de gestion des incidents.
Une mission structurée et rapide
Le consultant senior de Cyberxpert a mené une analyse approfondie des processus de plusieurs départements -IT, finance, ressources humaines, opérations et métiers spécialisés.
Globalement, l’analyse compare l’état actuel de l’organisation aux points de référence pour mettre en évidence les écarts. Ceux-ci peuvent inclure des lacunes dans les procédures d’évaluation des risques, des insuffisances dans la sécurisation des infrastructures critiques ou des déficiences dans la formation et la sensibilisation du personnel.
« En analysant en profondeur le paysage des risques, vous pouvez prioriser les domaines nécessitant une attention immédiate et allouer efficacement les ressources pour traiter les vulnérabilités les plus critiques », annote Fabrice Hecquet.
Cette phase implique d’évaluer les menaces potentielles, la probabilité de leur occurrence et de comprendre l’impact qu’elles pourraient avoir sur les opérations. En utilisant à la fois des méthodes qualitatives et quantitatives, l’évaluation des risques doit intégrer des aperçus des tendances de l’industrie et des renseignements sur les menaces pour fournir une vue holistique des défis de cybersécurité auxquels l’organisation est confrontée.
Développer un plan d’action
Sur la base des écarts identifiés, un plan d’action détaillé a donc été créé. Soit une description des étapes et des ressources nécessaires pour combler les écarts de conformité.
Selon Cyberxpert, le plan d’action doit inclure des objectifs spécifiques, des délais et des parties responsables pour chaque tâche, garantissant que toutes les étapes sont méticuleusement suivies et exécutées. L’utilisation d’outils de gestion de projet peut améliorer la supervision et faciliter un reporting transparent des progrès. De plus, intégrer les objectifs de conformité dans les objectifs stratégiques plus larges de l’organisation peut favoriser une culture de cybersécurité et d’amélioration continue.
C’est chose faite. « Cyberxpert nous a remis un rapport détaillé et surtout un plan d’action concret, avec des quick wins immédiatement activables et une feuille de route pour le moyen et long terme, continue Joffrey Barbeaux. Nous savons maintenant exactement quoi faire et dans quel ordre. »
Par cette mission, EPC Familia dispose aujourd’hui d’une vision claire de ses vulnérabilités et d’un plan structuré pour atteindre la conformité NIS2. « Cyberxpert n’a pas seulement produit un rapport, conclut Joffrey Barbeaux ; ils nous ont donné les moyens de transformer la conformité en levier de confiance et de résilience !
