NIS2 et gestion documentaire: sept exigences pour votre DMS
Depuis le 17 octobre 2024, la directive NIS2 est applicable en Belgique, transposée par la loi du 26 avril 2024. Pour les RSSI, DPO et responsables conformité, cela implique un examen direct de chaque système gérant des données critiques pour l'entreprise. Un système de gestion documentaire se trouve généralement au cœur de cet examen: il contient des contrats, des données clients, de la propriété intellectuelle et des plans stratégiques. Un incident de sécurité ayant pour origine le DMS constitue, dans les faits, un incident touchant l'ensemble de l'organisation.
NIS2 distingue les entités essentielles et les entités importantes, élargissant le périmètre par rapport à son prédécesseur. Les sanctions sont à la hauteur: amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, et responsabilité personnelle des dirigeants. La configuration technique et organisationnelle de votre DMS dépasse donc largement le seul cadre informatique.
Sept points de contrôle permettent d'évaluer si votre DMS est prêt pour NIS2. Premièrement: la gestion des identités et des accès, avec MFA, SSO, contrôle d'accès basé sur les rôles et principe du moindre privilège. Deuxièmement: le chiffrement, avec au minimum AES-256 pour les données au repos et TLS 1.3 pour les données en transit, accompagné d'une rotation des clés documentée. Troisièmement: une journalisation d'audit immuable et infalsifiable, conservée pendant au moins deux ans et exportable vers un SIEM. Quatrièmement: la détection d'anomalies portant sur des comportements inhabituels, tels que des téléchargements massifs ou des accès en dehors des heures ouvrées. Cinquièmement: des procédures de sauvegarde et de reprise après sinistre documentées, avec des valeurs RTO et RPO définies et testées périodiquement. Sixièmement: la sécurité de la chaîne d'approvisionnement, comprenant des évaluations des fournisseurs, un SBOM disponible et une politique de divulgation des vulnérabilités publiée. Septièmement: des politiques de conservation et de suppression automatisées, sans dépendance aux interventions manuelles.
Lors de l'évaluation d'un fournisseur de DMS, plusieurs questions s'imposent. Le fournisseur détient-il une certification ISO 27001 ou SOC 2 Type II? Un rapport de test d'intrusion récent et indépendant est-il disponible? Un accord de traitement des données conforme à l'article 28 du RGPD est-il en place? Une clause d'entiercement est-elle prévue en cas de faillite? Et le fournisseur propose-t-il un déploiement sur site pour les organisations pour lesquelles le cloud n'est pas envisageable, notamment dans certaines fonctions publiques critiques?
iGuana iDM v7 a été conçu en tenant compte de ces exigences. La plateforme utilise une authentification JWT avec des jetons à courte durée de vie et une architecture Zero Trust. Le chiffrement appliqué par défaut est AES-256 pour les données au repos et TLS 1.3 pour les données en transit. Chaque enregistrement dispose d'un journal d'audit complet, exportable vers des plateformes SIEM externes. Le stockage WORM garantit un archivage immuable. Le déploiement sur site est une option standard, non une option payante. Une description technique détaillée de l'approche NIS2 dans iGuana iDM v7 est disponible sur /insights/nis2-v7.
Une nuance mérite d'être soulignée: la conformité NIS2 n'est pas une fonctionnalité produit que l'on coche sur une liste. Les capacités techniques sont nécessaires mais pas suffisantes. L'organisation, les processus et la formation des collaborateurs doivent être tout aussi solides. Un DMS qui satisfait tous les critères techniques mais fonctionne dans une organisation dépourvue de procédures de réponse aux incidents ne répond pas à l'esprit de la loi.
Pour évaluer votre DMS au regard de vos exigences NIS2 spécifiques, demandez une démonstration ou téléchargez le livre blanc de référence sur /nl/contact.