Formation du conseil NIS2
Niveau 1

LEÇON 1 – LE CONTEXTE RÉGLEMENTAIRE
Cette leçon explore l « ‘évolution du cadre réglementaire sur la cybersécurité, depuis 2010 jusqu’à la récente Directive NIS2. Elle analyse les phases clés de la réglementation en Italie et met en évidence le passage de la protection des infrastructures critiques à la sauvegarde de l » ensemble du système productif européen, en illustrant les principales différences entre NIS et NIS2 et les nouvelles obligations pour les opérateurs critiques du marché.

LEÇON 2 – LA DIRECTIVE NIS2 (PARTIE I)
Cette leçon analyse le contenu de la Directive NIS2, qui introduit de nouvelles obligations pour les entreprises et les organismes publics, en définissant également les raisons qui ont conduit l « ‘UE à intervenir pour surmonter certaines limites de la précédente directive NIS, souvent liées à l » extrême discrétion laissée aux États membres. Un aperçu des entités réglementées est également fourni, avec la distinction entre entités essentielles et entités importantes.

LEÇON 4 – LA DIRECTIVE NIS2 (PARTIE III)
Cette leçon fournit des éléments précis concernant l « ‘approche multi-risques, qui comprend les risques physiques, humains et technologiques. L’accent est ensuite mis sur les modalités de notification des incidents. Enfin, une attention particulière est portée au cadre des sanctions qui s’avère particulièrement sévère, et ce tant pour les entités essentielles que pour les entités importantes. »

LEÇON 5 – TRANSPOSITION DE LA NIS2
Cette leçon est consacrée à l’approfondissement des dispositions du Décret Législatif 138/2024, en tant que législation de transposition de la Directive NIS2. La leçon analyse les éléments spécifiques introduits par le législateur italien, définit les rôles et responsabilités des acteurs impliqués et illustre les conséquences du non-respect des dispositions, y compris les sanctions administratives prévues.

LEÇON 1 – LE RISQUE CYBER
La gestion du risque cyber, partie intégrante des activités de l’entreprise, nécessite d’évaluer et d’atténuer les risques découlant des vulnérabilités numériques exploitées intentionnellement par des malveillants. La réduction du risque repose sur deux dimensions : réduire la probabilité d’une attaque par la prévention et la sensibilisation, et limiter l’impact par des actifs résilients et des meilleures pratiques technologiques.

LEÇON 2 – L’ANALYSE DU RISQUE CYBER
L’analyse des risques est fondamentale pour comprendre les menaces, les probabilités et les impacts, et définir les contre-mesures. Suivant des normes comme ISO ou NIST, elle s’articule en six phases : identifier le contexte et les risques, les analyser, définir les priorités, préparer les réponses et surveiller en continu. Le principal résultat est le Registre des Risques, qui cartographie les risques cyber et non-cyber, essentiel pour les stratégies de sécurité multi-risques comme l’exige la NIS2.

LEÇON 4 – LES CONTRÔLES DE SÉCURITÉ
La gestion des incidents de sécurité repose sur l’analyse des logs générés par les infrastructures numériques pour identifier et prévenir les situations critiques. Le Security Operations Center (SOC) traite les alertes à travers un flux opérationnel structuré en trois phases : analyse préliminaire, analyse détaillée et définition des actions de confinement et de remédiation. L’utilisation de l’Intelligence Artificielle (IA) aide à réduire les faux positifs, améliorant l’efficacité opérationnelle.

LEÇON 5 – LE DOMMAGE
L « ‘impact représente le dommage causé par un événement adverse, classifiable en direct, en responsabilité civile, indirect et consécutif. Dans le risque cyber, les dommages se distinguent en propres (interruption d’activité, restauration des systèmes, gestion de l » incident) et envers les tiers (contentieux, violations de données). Alors que les dommages matériels sont plus facilement estimables, les dommages immatériels nécessitent des évaluations complexes.

LEÇON 2 – LES PRINCIPALES TECHNIQUES D’ATTAQUE
Les techniques d’attaque cyber incluent les malwares, l’exploitation des vulnérabilités et les attaques par déni de service distribué (DDoS). Les malwares, y compris les zero-day, exploitent des vulnérabilités inconnues, tandis que les vulnérabilités exposées sur Internet permettent de dérober des données et d’obtenir des accès privilégiés, souvent par l’ingénierie sociale. Les DDoS surchargent les infrastructures ou les applications, les rendant inutilisables.

LEÇON 3 – LES VULNÉRABILITÉS
Les vulnérabilités ne représentent un risque que si elles ne sont pas atténuées par des contrôles techniques ou procéduraux. Leur cycle de vie traverse quatre phases : découverte, divulgation, identification de la contre-mesure et application, les deux premières étant particulièrement critiques. La gestion efficace des vulnérabilités nécessite un processus industrialisé, basé sur des mises à jour constantes, des inventaires complets des actifs et une stratégie basée sur les priorités.

LEÇON 1 – FRAUDE AU PDG
Un cybercriminel compromet ou falsifie l’email du PDG ou d’un autre membre du conseil d’administration et envoie un email urgent au directeur financier ou à un dirigeant financier, ordonnant un virement de millions d’euros vers un compte à l’étranger.

LEÇON 2 – ATTAQUE PAR RANÇONGICIEL AVEC CHANTAGE
Une entreprise leader dans le secteur énergétique subit une attaque par rançongiciel qui bloque les systèmes informatiques et paralyse les opérations. Les criminels menacent de publier des données sensibles du conseil d’administration si la rançon n’est pas payée.

LEÇON 4 – VIOLATION DE DONNÉES
Une attaque ciblée dérobe des données financières et personnelles des membres du conseil d’administration. La presse en prend connaissance et l’entreprise subit un préjudice réputationnel, en plus des risques pour non-conformité à la NIS2 et au RGPD.