Étude de cas : Prêt pour le NIS2 en 6 mois — Un service municipal montre comment faire

1 min de lecture

L’essentiel

Un service municipal avec 900 employés a atteint la conformité NIS2 en 6 mois – avec un budget limité et sans cabinet de conseil externe. La clé : l’utilisation cohérente des frameworks existants (ISO 27001, BSI IT-Grundschutz) comme base et un focus sur les véritables lacunes plutôt que sur une reconstruction complète.

Situation initiale

Le service municipal fournit une grande ville en électricité, gaz, eau et chauffage urbain. En tant qu’opérateur KRITIS, un système de gestion de la sécurité de l’information (ISMS) selon ISO 27001 était déjà mis en œuvre. L’analyse des écarts NIS2 a toutefois révélé des lacunes significatives :

Les processus de notification ne sont pas adaptés aux délais de 24h/72h
La sécurité de la chaîne d’approvisionnement n’est pas formalisée
La formation des dirigeants n’est pas documentée
La sécurité OT n’est que rudimentairement intégrée dans l’ISMS

Le plan de 6 mois

Mois 1-2 : Processus de notification

Classification des incidents avec des seuils pour les « incidents importants »
Escalade automatisée via un système de tickets en cas de dépassement des seuils
Modèles de notification pour l’alerte précoce (24h) et la notification complète (72h)
Service de garde 24/7 avec un chemin d’escalade clair

Mois 2-3 : Sécurité de la chaîne d’approvisionnement

Inventaire de tous les 127 prestataires de services informatiques et fournisseurs de logiciels
Évaluation des risques en 3 niveaux (critique, important, standard)
Clauses de sécurité pour les nouveaux contrats (modèle standard créé)
Réexamen trimestriel des 20 principaux fournisseurs

Mois 3-4 : Direction et gouvernance

Atelier d’une journée avec la direction sur les obligations NIS2
Reporting de sécurité trimestriel formalisé pour la direction
Approbation formelle de la stratégie de sécurité par la direction
Vérification de l’assurance D&O pour la couverture NIS2

Mois 4-5 : Intégration de la sécurité OT

Inventaire des actifs OT intégré dans l’ISMS
Surveillance réseau pour les segments OT introduite
Plans d’urgence séparés pour les incidents IT et OT
Formation croisée : l’équipe IT apprend les bases OT et vice versa

Mois 5-6 : Test et documentation

Exercice de tabletop avec un scénario de ransomware (y compris le processus de notification)
Révision de la documentation pour la préparation à l’audit
Audit interne des mesures NIS2

Budget

Coûts totaux : environ 95 000 EUR

Coûts de personnel (internes) : 60 000 EUR (1,5 ETP sur 6 mois)
Solution de surveillance OT : 25 000 EUR
Formation des dirigeants (externe) : 5 000 EUR
Divers (modèles, conseil juridique) : 5 000 EUR

Faits clés

Secteur : Fourniture d’énergie / service municipal (KRITIS)

Base de départ : Certifié ISO 27001

Conformité NIS2 atteinte en 6 mois

Budget total : 95 000 EUR (sans consultants externes)

Effort le plus important : Inventaire de la chaîne d’approvisionnement (127 fournisseurs)

Fait : Le BSI compte plus de 1 500 services municipaux et fournisseurs communaux en Allemagne, dont la majorité relèvent de la réglementation KRITIS.

Fait : Selon ENISA, les infrastructures communales étaient en 2024 la troisième cible d’attaque la plus fréquente dans l’UE – après les secteurs de la santé et de la finance.

Questions fréquentes

Peut-on atteindre la conformité NIS2 sans consultants externes ?

Oui, si une base solide est présente (par exemple, ISO 27001). La clé réside dans l’analyse structurée des écarts et la concentration sur les véritables lacunes plutôt que sur une reconstruction complète.

Quelle exigence NIS2 nécessite le plus d’efforts ?

En général, la sécurité de la chaîne d’approvisionnement : l’inventaire de tous les prestataires de services informatiques et fournisseurs de logiciels, l’évaluation des risques et la sécurisation contractuelle sont chronophages, mais indispensables.

Quelles sont les défis particuliers auxquels les services municipaux sont confrontés lors de la mise en œuvre du NIS2 ?

Les services municipaux exploitent souvent des paysages IT et OT hétérogènes avec des structures existantes. De nombreux systèmes datent d’une époque antérieure aux normes de sécurité modernes. S’y ajoutent des budgets IT limités et une pénurie de compétences dans les entreprises communales, ce qui rend la mise en œuvre du NIS2 particulièrement exigeante.