Kantyra Kantyra

← Alle artikelen

Signaleren

Ce que vous ne voyez pas, vous ne pouvez pas le protéger

Alain Rees · 07-07-2026 · 3 min leestijd

Toute stratégie de sécurité repose sur une question simple : que possédons-nous réellement, et qui y touche ? Tant que cette question reste sans réponse, chaque registre des risques relève de la devinette et chaque mesure du pari. La détection, la première phase du modèle, s'articule donc autour de trois registres qui forment ensemble le fondement : vos actifs, vos fournisseurs et vos incidents.

Commencez par les actifs et les processus

Un inventaire utile n'a pas besoin d'être exhaustif ; il doit être honnête. Commencez par les systèmes et les processus dont l'organisation dépend réellement, et attribuez à chacun un propriétaire, une classification et une évaluation en matière de disponibilité, d'intégrité et de confidentialité. Cette évaluation paraîtra grossière au début, et ce n'est pas grave, car une évaluation grossière qui existe oriente mieux qu'une évaluation fine qui reste à venir. N'oubliez pas les processus ; un processus métier tel que le traitement des commandes ou la facturation sera précisément le point de départ de votre analyse de continuité.

Connaissez votre chaîne avant que la chaîne ne vous connaisse

La directive NIS2 place la responsabilité de la chaîne d'approvisionnement résolument entre vos mains. Dans la pratique, la question vient pourtant rarement d'abord du régulateur. Le plus souvent, c'est votre plus gros client qui envoie une évaluation fournisseur, ou un assureur qui demande un aperçu. Recensez donc vos fournisseurs critiques avec la prestation qu'ils fournissent, leur criticité et les accords qui figurent sur le papier, et attribuez à chaque fournisseur un cycle de revue. Qui connaît sa chaîne répond à de telles demandes en un jour plutôt qu'en un mois.

Les incidents sont des signaux, pas des taches

Le troisième registre recense ce qui tourne mal. Une organisation qui permet de signaler les incidents sans obstacle voit plus tôt où le bât blesse ; une organisation qui décourage les signalements ne découvre ses points faibles que lorsqu'un tiers les trouve. Consignez pour chaque incident quels actifs ont été touchés et à quel risque il se rapporte. Ce dernier point est essentiel, car un incident est la preuve qu'un risque se concrétise dans la pratique et doit donc influencer l'évaluation de ce risque.

Ce que cette phase apporte

Au terme de cette phase, vous savez ce qui existe, qui en est responsable et ce qui se passe dans la pratique. Cela paraît modeste, mais c'est déterminant, car chaque phase suivante, de l'appréciation des risques à la preuve d'audit, renvoie à ce que vous avez consigné ici. La détection n'est donc pas de l'administration, mais les sens de votre système de management.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Signaleren