Appuyez sur Entrée pour rechercher

GRC en Belgique : pourquoi Identify est la base de la cyber-résilience

Author Avatar
Driek Desmet
System Engineer

Dans de nombreuses organisations, la cybersécurité est encore perçue comme un domaine technique. Quelque chose qui relève de l’IT, piloté par des outils et traité uniquement lorsque nécessaire. Mais avec NIS2, cette vision n’est plus suffisante.

Dans notre précédent article sur la GRC en Belgique et la manière dont les organisations gardent le contrôle, nous avons analysé comment les entreprises s’adaptent à un environnement réglementaire et de menaces de plus en plus complexe. Une conclusion s’est imposée : la cybersécurité ne concerne plus uniquement la protection ; elle est devenue une question de gouvernance.

Pour rendre cela concret, nous décomposons NIS2 en six piliers clés qui définissent une stratégie de cybersécurité résiliente :

  • Govern
  • Identify
  • Protect
  • Detect
  • Respond
  • Recover

Chacun de ces piliers joue un rôle essentiel dans le renforcement de la résilience des organisations.

 

 NIS2 pillars - Identify (2) 

Cet article se concentre sur IDENTIFY, le pilier qui apporte la visibilité nécessaire pour rendre chaque décision de sécurité pertinente.

Et au cœur de cette visibilité, un élément se distingue : l’identité. Car au final, comprendre son environnement ne consiste pas seulement à connaître ses systèmes et ses données, mais à savoir qui et quoi interagit avec eux.

1. Identify : transformer la complexité en clarté

Avant de pouvoir protéger, détecter ou réagir, une organisation doit d’abord comprendre son environnement.

IDENTIFY est la fonction qui transforme un environnement complexe, souvent fragmenté, en une vue structurée et exploitable.

Elle répond à des questions fondamentales telles que :

  • Sur quels actifs reposons-nous ?
  • Où se situent nos systèmes et processus critiques ?
  • Comment les données circulent-elles dans l’organisation ?
  • Quelles dépendances peuvent impacter nos opérations ?
  • Qui (ou quoi) a accès à ces systèmes ?

Sans réponses claires à ces questions, la cybersécurité repose sur des hypothèses plutôt que sur des faits.

👉 On ne peut pas protéger ce que l’on ne comprend pas.

2. L’identité comme dimension centrale d’Identify

Lorsque l’on pense à IDENTIFY, on pense souvent aux actifs : serveurs, applications, données et infrastructures.

Mais une autre dimension est tout aussi essentielle : l’identité.

Chaque interaction dans votre environnement est liée à une identité :

  • Des utilisateurs accédant aux systèmes
  • Des administrateurs gérant les environnements
  • Des applications communiquant entre elles
  • Des processus automatisés exécutant des tâches

IDENTIFY ne se limite donc pas à cartographier ce qui existe, mais aussi qui et quoi interagit avec ces éléments.

L’identité devient ainsi une couche essentielle pour construire une vision complète et fiable de l’organisation.

👉 La visibilité ne concerne pas uniquement les actifs, mais aussi les accès.

3. Expanding Scope: Beyond IT and Organisational Boundaries

L’un des changements majeurs introduits par NIS2 concerne le périmètre.

IDENTIFY ne se limite plus aux environnements IT traditionnels. Il englobe également :

  • Les technologies opérationnelles (OT)
  • Les processus physiques et les installations
  • Les plateformes cloud et les environnements partagés
  • Les fournisseurs et partenaires externes

Il dépasse aussi les frontières organisationnelles et géographiques.

Les plateformes partagées, les environnements internationaux et les services externalisés introduisent des dépendances qui doivent être identifiées et documentées.

Cela inclut notamment :

  • Les systèmes et flux de données transfrontaliers
  • Les plateformes d’identité partagées entre entités
  • Les environnements hébergés à l’extérieur
  • Les accès tiers aux systèmes critiques

Du point de vue du risque, l’impact est plus important que la propriété.

👉 Si cela peut affecter votre continuité, cela fait partie de votre périmètre.

4. Des hypothèses à une vision basée sur le risque

IDENTIFY ne consiste pas uniquement à dresser un inventaire.

Il s’agit de transformer l’information en insight.

Cela implique :

  • Identifier les actifs et processus critiques
  • Comprendre les dépendances entre systèmes
  • Cartographier les flux de données et les accès
  • Évaluer les vulnérabilités et les menaces potentielles

Ici encore, l’identité joue un rôle clé.

Les risques ne sont pas seulement liés aux systèmes, mais aussi à la manière dont les accès sont accordés, utilisés et gérés.

👉 En combinant la visibilité des actifs et celle des identités, les organisations passent d’une connaissance fragmentée à une vision structurée et orientée risque.

 

5. Les cinq domaines d’IDENTIFY

Identify 5 domains

Pour structurer cette visibilité et la rendre exploitable, IDENTIFY repose sur cinq domaines interconnectés.

Ces domaines permettent non seulement de cartographier les actifs et les risques, mais aussi de comprendre comment les identités et les accès sont gérés au sein de l’organisation.

5.1 Asset Management (ID.AM)

Les organisations doivent disposer d’un inventaire complet de leurs actifs : matériel, logiciels, données, utilisateurs, plateformes cloud, composants OT et systèmes externes.

Cela inclut également la compréhension des interactions, des dépendances et des éléments critiques.

Sans cette base, toute décision de sécurité devient approximative.

5.2 Governance (ID.GV)

IDENTIFY définit également la manière dont la cybersécurité est organisée.

Cela inclut les politiques, les responsabilités et la traduction des exigences réglementaires dans les opérations quotidiennes.

Une gouvernance claire réduit les zones d’ombre et garantit une application cohérente des mesures de sécurité.

5.3 Risk Assessment (ID.RA)

L’analyse des risques donne du sens à la visibilité.

En évaluant les menaces, les vulnérabilités, l’impact et la probabilité, les organisations identifient leurs risques réels.

Cela permet de prioriser efficacement les actions.

5.4 Risk Management Strategy (ID.RM)

Une fois les risques identifiés, il faut décider comment les gérer.

Cela inclut la définition de l’appétence au risque, la priorisation et l’intégration de décisions basées sur le risque dans l’organisation.

Une stratégie claire aligne les mesures techniques avec les objectifs business.

5.5 Supply Chain Risk Management (ID.SC)

Les organisations modernes dépendent fortement de partenaires externes.

IDENTIFY s’étend donc à l’ensemble de l’écosystème.

Car au final : Votre sécurité est aussi solide que le maillon le plus faible de votre chaîne.

6. La réalité : là où Identify montre souvent ses limites

Dans la pratique, de nombreuses organisations rencontrent des difficultés avec IDENTIFY.

Parmi les défis fréquents :

  • Inventaires d’actifs incomplets ou obsolètes
  • Manque de visibilité sur les accès
  • Dépendances mal comprises
  • Faible visibilité sur les risques liés aux tiers
  • Absence de démarche structurée d’identification des risques

Ces lacunes compliquent la priorisation et augmentent les angles morts.

👉 En cybersécurité, les angles morts sont là où les risques s’accumulent.

7. Construire une base Identify efficace

Une fonction IDENTIFY solide apporte clarté, structure et direction.

Les organisations alignées avec NIS2 :

  • Maintiennent un inventaire complet et à jour
  • Cartographient clairement les identités et les accès
  • Comprennent les dépendances IT, OT et externes
  • Évaluent les risques de manière structurée
  • Adaptent en continu leur vision de l’environnement

Elles construisent ainsi une base solide pour toutes les autres fonctions de cybersécurité.

👉 Lorsque la visibilité est claire, les décisions deviennent plus simples et plus pertinentes.

Clarity as the Foundation of Security

At its core, IDENTIFY is about clarity. Not just knowing what exists, but understanding how everything connects: from assets and systems to identities and access.

In a landscape defined by complexity and interdependence, assumptions are no longer enough.

The organisations that succeed are not those with the most tools, but those with the clearest understanding of their environment.

That clarity is what turns cybersecurity from reactive effort into controlled strategy.

⏭️ Up Next: PROTECT

If IDENTIFY gives you a clear understanding of your organisation's assets, identities and dependencies; PROTECT is where you turn that insight into action.

In our next GRC article, we will explore how to strengthen your security posture through concrete measures such as access control, endpoint security and network segmentation.

Because once you know what matters most, the next step is making sure it is properly secured.

NIS2 pillars - Protect (2)

 

How Easi Supports Your GRC Journey

At Easi, we help organisations move from fragmented visibility to a structured understanding of their environment.

This includes:

  • Mapping assets, systems and dependencies across IT and OT
  • Providing insight into identity and access across platforms
  • Performing risk assessments aligned with NIS2 requirements
  • Identifying gaps and defining clear improvement roadmaps

Gaining visibility is only the first step. Turning it into action is what drives real resilience.

👉 Discover more about our GRC services, including NIS2:
https://easi.net/en/services/security/governance-risk-and-compliance.

 👉 Get in touch for a 60-min NIS2 scope-check:
https://easi.net/en/services/security/governance-risk-and-compliance/NIS2-scope-check
NIS2 GRC

Offres d'emploi actuelles

Nous sommes toujours à la recherche de nouveau collègues

Si vous partagez nos valeurs et que vous êtes à la recherche d'un emploi stimulant au sein du meilleur lieu de travail de Belgique, visitez notre site web.

Postule maintenant

Abonnez-vous

Suivez-nous
  

Articles récents
GRC en Belgique : pourquoi Identify est la base de la cyber-résilience

GRC en Belgique : pourquoi Identify est la base de la cyber-résilience

27/04/2026
Gardez le contrôle sur vos factures d’achats avec la Scorecard

Gardez le contrôle sur vos factures d’achats avec la Scorecard "Suivi des factures"

27/04/2026
Notre support client Adfinity : efficacité, humain et expertise au service de votre expérience

Notre support client Adfinity : efficacité, humain et expertise au service de votre expérience

27/04/2026

Partage cet article
  

Articles similaires
Lire tous les articles
GRC en Belgique : pourquoi Identify est la base de la cyber-résilience

GRC en Belgique : pourquoi Identify est la base de la cyber-résilience

Dans de nombreuses organisations, la cybersécurité est encore perçue comme un domaine technique....

En savoir plus
GRC en Belgique : Comment garder le contrôle dans un environnement réglementaire changeant ?

GRC en Belgique : Comment garder le contrôle dans un environnement réglementaire changeant ?

Ces dernières années, la réglementation numérique en Europe s’est fortement accélérée. De nouveaux...

En savoir plus
7 raisons de se préparer d'urgence au NIS2

7 raisons de se préparer d'urgence au NIS2

Pour la plupart des organisations, l'adaptation aux directives du RGPD de 2018 est encore fraîche...

En savoir plus