Dans de nombreuses organisations, la cybersécurité est encore perçue comme un domaine technique. Quelque chose qui relève de l’IT, piloté par des outils et traité uniquement lorsque nécessaire. Mais avec NIS2, cette vision n’est plus suffisante.
Dans notre précédent article sur la GRC en Belgique et la manière dont les organisations gardent le contrôle, nous avons analysé comment les entreprises s’adaptent à un environnement réglementaire et de menaces de plus en plus complexe. Une conclusion s’est imposée : la cybersécurité ne concerne plus uniquement la protection ; elle est devenue une question de gouvernance.
Pour rendre cela concret, nous décomposons NIS2 en six piliers clés qui définissent une stratégie de cybersécurité résiliente :
Chacun de ces piliers joue un rôle essentiel dans le renforcement de la résilience des organisations.
Cet article se concentre sur IDENTIFY, le pilier qui apporte la visibilité nécessaire pour rendre chaque décision de sécurité pertinente.
Et au cœur de cette visibilité, un élément se distingue : l’identité. Car au final, comprendre son environnement ne consiste pas seulement à connaître ses systèmes et ses données, mais à savoir qui et quoi interagit avec eux.
Avant de pouvoir protéger, détecter ou réagir, une organisation doit d’abord comprendre son environnement.
IDENTIFY est la fonction qui transforme un environnement complexe, souvent fragmenté, en une vue structurée et exploitable.
Elle répond à des questions fondamentales telles que :
Sans réponses claires à ces questions, la cybersécurité repose sur des hypothèses plutôt que sur des faits.
👉 On ne peut pas protéger ce que l’on ne comprend pas.
Lorsque l’on pense à IDENTIFY, on pense souvent aux actifs : serveurs, applications, données et infrastructures.
Mais une autre dimension est tout aussi essentielle : l’identité.
Chaque interaction dans votre environnement est liée à une identité :
IDENTIFY ne se limite donc pas à cartographier ce qui existe, mais aussi qui et quoi interagit avec ces éléments.
L’identité devient ainsi une couche essentielle pour construire une vision complète et fiable de l’organisation.
👉 La visibilité ne concerne pas uniquement les actifs, mais aussi les accès.
L’un des changements majeurs introduits par NIS2 concerne le périmètre.
IDENTIFY ne se limite plus aux environnements IT traditionnels. Il englobe également :
Il dépasse aussi les frontières organisationnelles et géographiques.
Les plateformes partagées, les environnements internationaux et les services externalisés introduisent des dépendances qui doivent être identifiées et documentées.
Cela inclut notamment :
Du point de vue du risque, l’impact est plus important que la propriété.
👉 Si cela peut affecter votre continuité, cela fait partie de votre périmètre.
IDENTIFY ne consiste pas uniquement à dresser un inventaire.
Il s’agit de transformer l’information en insight.
Cela implique :
Ici encore, l’identité joue un rôle clé.
Les risques ne sont pas seulement liés aux systèmes, mais aussi à la manière dont les accès sont accordés, utilisés et gérés.
👉 En combinant la visibilité des actifs et celle des identités, les organisations passent d’une connaissance fragmentée à une vision structurée et orientée risque.
Pour structurer cette visibilité et la rendre exploitable, IDENTIFY repose sur cinq domaines interconnectés.
Ces domaines permettent non seulement de cartographier les actifs et les risques, mais aussi de comprendre comment les identités et les accès sont gérés au sein de l’organisation.
Les organisations doivent disposer d’un inventaire complet de leurs actifs : matériel, logiciels, données, utilisateurs, plateformes cloud, composants OT et systèmes externes.
Cela inclut également la compréhension des interactions, des dépendances et des éléments critiques.
Sans cette base, toute décision de sécurité devient approximative.
IDENTIFY définit également la manière dont la cybersécurité est organisée.
Cela inclut les politiques, les responsabilités et la traduction des exigences réglementaires dans les opérations quotidiennes.
Une gouvernance claire réduit les zones d’ombre et garantit une application cohérente des mesures de sécurité.
L’analyse des risques donne du sens à la visibilité.
En évaluant les menaces, les vulnérabilités, l’impact et la probabilité, les organisations identifient leurs risques réels.
Cela permet de prioriser efficacement les actions.
Une fois les risques identifiés, il faut décider comment les gérer.
Cela inclut la définition de l’appétence au risque, la priorisation et l’intégration de décisions basées sur le risque dans l’organisation.
Une stratégie claire aligne les mesures techniques avec les objectifs business.
Les organisations modernes dépendent fortement de partenaires externes.
IDENTIFY s’étend donc à l’ensemble de l’écosystème.
Car au final : Votre sécurité est aussi solide que le maillon le plus faible de votre chaîne.
Dans la pratique, de nombreuses organisations rencontrent des difficultés avec IDENTIFY.
Parmi les défis fréquents :
Ces lacunes compliquent la priorisation et augmentent les angles morts.
👉 En cybersécurité, les angles morts sont là où les risques s’accumulent.
Une fonction IDENTIFY solide apporte clarté, structure et direction.
Les organisations alignées avec NIS2 :
Elles construisent ainsi une base solide pour toutes les autres fonctions de cybersécurité.
👉 Lorsque la visibilité est claire, les décisions deviennent plus simples et plus pertinentes.
At its core, IDENTIFY is about clarity. Not just knowing what exists, but understanding how everything connects: from assets and systems to identities and access.
In a landscape defined by complexity and interdependence, assumptions are no longer enough.
The organisations that succeed are not those with the most tools, but those with the clearest understanding of their environment.
That clarity is what turns cybersecurity from reactive effort into controlled strategy.
⏭️ Up Next: PROTECTIf IDENTIFY gives you a clear understanding of your organisation's assets, identities and dependencies; PROTECT is where you turn that insight into action. In our next GRC article, we will explore how to strengthen your security posture through concrete measures such as access control, endpoint security and network segmentation. Because once you know what matters most, the next step is making sure it is properly secured. |
At Easi, we help organisations move from fragmented visibility to a structured understanding of their environment.
This includes:
Gaining visibility is only the first step. Turning it into action is what drives real resilience.
👉 Discover more about our GRC services, including NIS2:
https://easi.net/en/services/security/governance-risk-and-compliance.
👉 Get in touch for a 60-min NIS2 scope-check:
https://easi.net/en/services/security/governance-risk-and-compliance/NIS2-scope-check