Pourquoi ce sujet est-il pertinent pour mon organisation ?

Le comportement humain est la cause la plus fréquente d'incidents de sécurité. Connaître ce sujet et y être sensibilisé réduit directement et de manière mesurable le risque.

Comment 2LRN4 aide-t-il sur ce sujet ?

2LRN4 relie ce sujet à un module de formation orienté risque, à une simulation de phishing optionnelle et à des rapports, pour démontrer la conformité aux autorités et au conseil.

Une formation de sensibilisation suffit-elle ou faut-il plus ?

La formation est un pilier nécessaire mais pas un bouclier complet. Combinez-la à des mesures techniques (MFA, filtrage e-mail), à des procédures et à une culture de signalement pour une protection optimale.

Rôles et responsabilités NIS2 autour de la sensibilisation

Les articles 20 et 21 de la directive NIS2 définissent les obligations de gouvernance et de gestion des risques qui s'imposent à toute entité concernée. En France, ces obligations sont transposées par la loi française de transposition NIS2 (2024-2025), sous le contrôle de l'ANSSI. En Belgique, c'est la loi NIS2 du 26 avril 2024 qui s'applique, avec le Centre pour la cybersécurité Belgique (CCB) comme autorité de référence. Une démarche d'awareness efficace exige une répartition claire des rôles : le conseil pilote et engage sa responsabilité, le RSSI coordonne, la DSI et les RH mettent en œuvre, et l'équipe de réponse aux incidents intervient. Cet article décrit les rôles selon les textes nationaux et propose un cadre de référence pour bâtir votre RACI.

Conseil d'administration : piloter et rendre compte

Au titre de l'article 20 de NIS2 et de sa transposition française, la responsabilité directe de la cybersécurité incombe à l'organe de direction le plus élevé : conseil d'administration, directoire, direction générale ou équivalent. L'organe de direction doit approuver les mesures de gestion des risques, superviser activement leur mise en œuvre et suivre lui-même une formation régulière permettant d'identifier les cyberrisques et d'en évaluer l'impact sur l'organisation.

La responsabilité personnelle en cas de manquement caractérisé en est la conséquence directe. En pratique, l'organe de direction inscrit la cybersécurité à l'ordre du jour de manière récurrente, documente ses décisions dans les procès-verbaux et s'assure de l'état d'avancement de la mise en œuvre. Une délégation complète au RSSI n'est pas une stratégie acceptable ; les dirigeants doivent pouvoir débattre sur le fond.

Dans les organisations de grande taille, l'organe de direction désigne souvent un administrateur référent cybersécurité. Ce dernier joue le rôle de sponsor du programme, de destinataire des reportings et de premier interlocuteur de l'ANSSI. La responsabilité reste néanmoins collégiale, et non limitée à cet administrateur.

RSSI ou responsable de la sécurité des systèmes d'information

Le RSSI (Responsable de la Sécurité des Systèmes d'Information) ou, dans les structures plus petites, le responsable de la sécurité de l'information, est opérationnellement chargé de définir, maintenir et superviser la politique de sécurité. Cette fonction doit être explicitement dotée, avec un mandat suffisant et un accès direct à la direction.

Missions concrètes : analyses de risques, gestion du SMSI (Système de Management de la Sécurité de l'Information), pilotage des programmes d'awareness, définition et reporting d'indicateurs auprès de la direction, relations avec l'ANSSI et les régulateurs sectoriels (ACPR, ARCEP, ASN), coordination des incidents avec la DSI et le service juridique.

Important : le RSSI n'opère pas lui-même les mesures techniques, c'est le rôle de la DSI. Le RSSI relève de la seconde ligne de défense : il définit les exigences, contrôle et reporte. Dans les petites structures, la fonction peut être combinée avec celle de DPO ou de risk manager, à condition de préserver indépendance et mandat.

DSI et CSIRT

La DSI (direction des systèmes d'information, interne ou externalisée à un prestataire de services managés) met en œuvre les mesures techniques : application des correctifs, segmentation, supervision, sauvegardes et restauration, gestion des identités et des accès, sécurité des postes de travail. Ces mesures relèvent des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » imposées par NIS2.

Le CSIRT (Computer Security Incident Response Team) traite les incidents, de la détection à la restauration et au retour d'expérience. La notification à l'ANSSI suit le calendrier européen en trois phases : alerte précoce sous 24 heures, rapport intermédiaire sous 72 heures, rapport final sous un mois. Le CSIRT doit disposer de playbooks, d'une astreinte 24/7 et organiser des exercices de table-top.

En France, le CSIRT peut coopérer avec le CERT-FR de l'ANSSI et avec des CSIRTs sectoriels (CERT Santé, CERT Aviation Civile, InterCERT France). Le rattachement à un ISAC sectoriel facilite à la fois la veille et l'entraide en cas d'incident majeur.

RH, communication et awareness-lead

L'obligation de formation imposée par NIS2 n'est pas une affaire purement technique. Les ressources humaines sont chargées d'ancrer la sécurité dans la politique RH : intégration des nouveaux arrivants, recyclage annuel, enregistrement des participations dans le SIRH, conséquences en cas de non-participation durable.

L'awareness-lead ou chef de programme (souvent rattaché au RSSI ou aux RH) conçoit et pilote le dispositif : choix des contenus, calendrier, simulations de phishing, communication, reporting. Dans les grandes organisations, il s'agit d'une fonction dédiée ; dans les structures plus modestes, elle peut être assurée par le RSSI ou la communication interne.

En complément, de nombreuses organisations désignent des propriétaires de risques par direction métier : managers en charge des risques de leurs propres processus, qui relaient les messages d'awareness sur le terrain. Cela évite que la sécurité ne reste l'apanage des seules fonctions centrales.

Et en Belgique ? La répartition des rôles sous la loi NIS2 du 26 avril 2024

En Belgique, la loi NIS2 du 26 avril 2024 reprend la structure de gouvernance imposée par la directive et confie un rôle central au Centre pour la cybersécurité Belgique (CCB). Le CCB cumule les fonctions de point de contact national, de CSIRT et d'autorité de surveillance, et publie un référentiel CyberFundamentals pour aider les entités à structurer leur démarche.

La responsabilité des organes de direction est inscrite à l'article 30 de la loi belge : approbation des mesures de gestion des risques, supervision de la mise en œuvre, suivi d'une formation. Les sanctions peuvent atteindre €10 millions ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles.

Des autorités sectorielles interviennent en complément : FSMA pour le secteur financier, SPF Santé publique pour la santé, IBPT pour les télécommunications. Les groupes français présents en Belgique doivent vérifier la règle de l'établissement principal de l'article 26 de NIS2 ; les obligations sectorielles peuvent en outre s'appliquer en parallèle dans le pays d'activité.

De l'explication à l'action

Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.

Voir la page NIS2

Sources

FAQ

Tous les administrateurs doivent-ils être formés ou seul l'administrateur référent cybersécurité ?

L'article 20 paragraphe 2 de NIS2 est sans ambiguïté : tous les membres de l'organe de direction doivent suivre une formation régulière. Un administrateur référent peut jouer le rôle de sponsor et d'interlocuteur, mais cela ne dispense pas les autres membres ni de leur obligation individuelle de formation ni de la responsabilité collégiale.

Quelle différence entre RSSI et DPO ?

Le RSSI est responsable de la sécurité de l'information dans son ensemble (confidentialité, intégrité, disponibilité), le DPO veille spécifiquement à la conformité au RGPD pour les traitements de données personnelles. Les deux fonctions peuvent coopérer, mais doivent rester indépendantes sur le plan organisationnel pour éviter les conflits d'intérêts.

La fonction de RSSI peut-elle être externalisée ?

Oui, un modèle de RSSI à temps partagé ou RSSI-as-a-service est possible et souvent pertinent pour les structures de taille moyenne. Conditions : disponibilité suffisante, mandat clair, ligne de reporting directe vers la direction, absence de conflit d'intérêts avec d'autres prestations (notamment le prestataire SOC). La responsabilité finale de la direction reste entière.

Qui notifie un incident à l'autorité ?

Procéduralement, le CSIRT effectue la notification, avec l'accord du RSSI et l'information de la direction. Juridiquement, c'est l'entité elle-même qui est tenue de notifier ; la signature relève des règles internes. En France, la notification passe par le portail de l'ANSSI. En Belgique, elle passe par le point de contact du CCB.

Comment documenter la répartition des rôles en vue d'un contrôle ?

Établissez une matrice RACI (Responsible, Accountable, Consulted, Informed) pour les obligations NIS2, reliez-la aux fiches de poste et formalisez la responsabilité de la direction dans une délibération du conseil. Intégrez les rôles dans le manuel SMSI et dans le plan de réponse aux incidents. La combinaison RACI plus délibération constitue la preuve la plus solide en cas de contrôle.

Les équipes RH doivent-elles aussi être formées aux obligations NIS2 ?

Oui, au minimum les personnes RH qui planifient ou enregistrent les formations d'awareness. Elles doivent connaître les preuves attendues lors d'un contrôle (journaux de participation, certificats, fréquence de recyclage) et la manière dont les nouveaux arrivants reçoivent leur formation initiale dans un délai raisonnable (typiquement 30 à 90 jours). Un briefing de gouvernance d'une heure suffit le plus souvent.