L’architecture d’entreprise continue, un levier pour NIS2

|

À l’ère où la cyber-résilience devient un impératif stratégique, la directive NIS2 impose aux organisations soumises (secteurs essentiels ou importants) de faire évoluer leur posture sur la cybersécurité, leur gouvernance et leurs processus. Or, cette évolution ne peut pas être seulement « ponctuelle » ou technique : elle exige une vision holistique de l’organisation, de sa gouvernance, de ses processus, de ses systèmes d’information et de ses technologies.

C’est là que l’Architecture d’Entreprise Continue permet d’assurer la mise en place du bon niveau de réponse.

 

Contexte : ce que NIS2 exige

La directive NIS2, adoptée en décembre 2022, a pour objectif d’élever le niveau de cybersécurité au sein de l’Union européenne, en élargissant le nombre d’entités concernées, en renforçant les obligations de gestion du risque, de notification d’incidents, de chaîne d’approvisionnement, et en impliquant les instances de direction (Cf. NIS2compliant.org).

 

Par exemple, elle prévoit que les entités doivent mettre en œuvre « des mesures appropriées et proportionnées, techniques et organisationnelles » afin de gérer les risques liés aux systèmes d’information Intrapol. Elle impose également des obligations de reporting, de gestion de la continuité d’activité, de sécurisation de la supply-chain, d’authentification et d’accès, et de traçabilité. Le non-respect de ces obligations peut entraîner des sanctions financières, mais aussi une responsabilité accrue de la direction.

En bref : les organisations doivent passer d’une posture de « réaction » à une posture de « préparation et gouvernance proactive ».

 

Qu’est-ce que l’Architecture d’Entreprise Continue (AEC) ?

Pour bien comprendre l’intérêt de l’AEC dans ce contexte, rappelons ce qu’elle recouvre. L’architecture d’entreprise est une discipline qui permet de construire la trajectoire de transformation de l’organisation et de faire prendre les décisions pour la mettre en œuvre.

Dis autrement, l’AEC permet de partager une représentation de l’organisation (ses missions, processus, systèmes, données, technologies) pour maintenir un lien entre la stratégie, les transformations (build) et l’activité (run). Elle fournit une démarche permettant de passer de l’état actuel à un état futur souhaité en adressant l’ensemble des impacts : gouvernance, métier, organisationnel, outils/applications et technologique.

 

Plus spécifiquement, l’EA est un levier pour la conformité et la gestion des risques : elle permet d’avoir une vision d’ensemble, de repérer les dépendances, de cartographier les systèmes à risques, de standardiser les contrôles, d’anticiper les évolutions réglementaires.

 

Pourquoi l’AEC est particulièrement pertinente pour NIS2

Voici quelques raisons qui expliquent pourquoi l’Architecture d’Entreprise Continue est un bon levier pour répondre aux besoins de conformité à NIS2 :

Vision holistique et dépendances

NIS2 exige de maîtriser les interconnexions entre systèmes d’information, infrastructures IT/OT, chaînes d’approvisionnement, etc. Avec une approche fragmentée (couches techno, silos métier) on perd la vue globale. L’AEC permet de modéliser les flux métier, les processus critiques, les dépendances (applications, données, infrastructures) et donc de mieux comprendre où se situent les vulnérabilités.

Ainsi, en identifiant les capacités métier critiques et leurs dépendances technologiques, on peut cibler les mesures de cybersécurité et conformité à mettre en place.

Roadmap et priorisation

Se conformer à NIS2 ne se fait pas du jour au lendemain. Il est essentiel de définir une feuille de route (compliance roadmap) avec priorisation des actions : quels processus renforcer, quelles interfaces sécuriser, quelle chaîne d’approvisionnement auditer… L’AEC fournit les artefacts (cartographies, modèles, scénarios) pour élaborer cette roadmap, suivre les progrès et gérer l’évolution.

Gouvernance, standardisation et réduction de la complexité

L’architecture d’entreprise continue met en place des principes et une gouvernance du cadre d’architecture (standards, patterns, responsabilités). Cela aide à standardiser les contrôles (ex. authentification multi-facteur, segmentation réseau, chiffrement), à éviter les redondances ou les solutions ad hoc, à assurer la cohérence des mesures de sécurité à l’échelle de l’organisation. Ceci est crucial dans le cadre de NIS2 où la cohérence des mesures et la traçabilité sont attendues.

Adaptabilité et évolutivité

Le paysage réglementaire évolue, tout comme les menaces. NIS2 fixe des objectifs de résilience (« all-hazards approach ») et exige de savoir suivre les évolutions des menaces. D’où la nécessité d’officialiser la Capacité de Transformation de votre organisation par l’utilisation de l’AEC, en tant que discipline supportant le changement et l’évolution, et donc d’être mieux armé pour rester conforme et résilient.

Meilleure gestion des risques et de la chaîne d’approvisionnement

NIS2 insiste sur la sécurité de la chaîne d’approvisionnement, la gestion des fournisseurs, la transparence des dépendances. Une cartographie architecturale aide à identifier les fournisseurs critiques, à analyser les impacts des incidents chez un fournisseur, à définir des scénarios d’impact et de continuité. Cela correspond bien aux capacités qu’une AEC mature peut offrir.

 

Mise en œuvre opérationnelle : comment s’y prendre ?

Pour tirer pleinement profit de l’AEC en vue de la conformité NIS2, voici quelques étapes et recommandations :

 

  1. Valider la vision : Fixer un périmètre à instruire, les attendus, les moyens disponibles et le délai pour la mise en conformité de ce périmètre, en déduire les parties prenantes impliquées.
  2. Cartographier l’existant (as-is) : recenser les acteurs, les processus métier critiques, les applications, les données, les infrastructures, les flux entre eux. Identifier les zones de convergence IT/OT, les fournisseurs externes majeurs. C’est ici que peut efficacement intervenir une approche par la dynamique des systèmes.
  3. Définir l’état cible (to-be) : à la lumière de NIS2, quelles capacités, quels contrôles, quel niveau de gouvernance / formation / outillage sont nécessaires ? Utiliser le cadre de modélisation pour décrire l’architecture cible en incluant les recommandations des simulations faite par la dynamique des systèmes
  4. Lister les écarts et solder les impacts : comparer l’état actuel à l’état cible, identifier les écarts en matière de sécurité, gouvernance, chaîne d’approvisionnement, continuité, reporting pour en déduire la trajectoire de transformation.
  5. Adresser et solder chaque impact (Ex. un contrôle peut retarder une action… trouver le bon compromis de cet impact).
  6. Prioriser et planifier : sur la base de la trajectoire de transformation définir une feuille de route avec des jalons concrets. (Ex. sécurisation des accès, segmentation réseau, supervision OT, gestion des incidents, reporting, etc.). Utiliser des métriques et indicateurs de suivi.
  7. Déploiement, suivi, amélioration continue : accompagner la mise en œuvre des nouveaux usages et outils, suivre les indicateurs, vérifier que les contrôles sont efficaces, adapter ou relancer un cycle de transformation en fonction de l’évolution réglementaire ou de la menace. L’AEC n’est pas un projet ponctuel mais un processus continu.

 

Quelques défis à anticiper

Bien sûr, l’approche AEC n’est pas sans défis et certaines conditions de succès sont à réunir pour qu’elle serve efficacement la conformité NIS2 :

  • Résistance au changement : cartographier et transformer l’organisation requièrent mobilisation, sensibilisation des parties prenantes, communication.
  • Gouvernance faible ou inexistante : sans sponsors clairs et structures de pilotage, l’AEC peut rester académique.
  • Cartographie partielle ou obsolète : pour être utile dans le cadre de la cyber, la cartographie devient un outil opérationnel pour comprendre rapidement les implications lors d’une nouvelle menace. La cartographie doit être tenue à jour avec le plus d’automatisation possible, sinon elle perd tout son intérêt.
  • Intégration IT/OT parfois complexe : surtout dans les secteurs industriels, la convergence IT/OT pose des défis spécifiques (culture, compétences, technologies) dans un contexte NIS2.
  • Ressources et compétences : la pratique de l’AEC nécessite des compétences, des outils et un engagement à long terme, ce n’est pas au Architecte d’Entreprise que je vais apprendre ça !


En conclusion

Pour les organisations concernées par NIS2, la démarche ne peut se limiter à une mise à niveau technique ou à la rédaction d’une politique : elle doit s’inscrire dans un cadre cohérent, global, aligné sur les objectifs métiers et sur la stratégie. L’Architecture d’Entreprise Continue offre cette posture stratégique : elle permet de comprendre l’organisation, d’articuler ses processus, ses systèmes, ses données et ses technologies, de piloter la transformation vers un état conforme et résilient, et d’anticiper l’évolution des exigences réglementaires.

En d’autres termes, l’AEC n’est pas seulement un support : elle devient un levier de conformité, mais aussi un levier de création de valeur. En adoptant cette approche, les organisations peuvent non seulement répondre aux obligations de NIS2, mais également augmenter leur agilité, maîtriser leur complexité, optimiser leurs investissements et renforcer la confiance (clients, partenaires, autorités).

Enfin, au-delà de la conformité, la Capacité d’Architecture d’Entreprise Continue installe une dynamique d’amélioration continue : une posture gagnante dans un monde Volatile, Incertain, Complexe et Ambiguë (VUCA) où menace, réglementation et technologie évoluent constamment.

 

|
architecture d'entreprise entarch obeosmartea
SysON 2025.8 and 2025.10: Always Better
Supporting Innovation in Korea’s Railway Systems w...

Related Posts