NIS2YOU vous aide à produire et tenir à jour le registre des risques exigé par NIS2, ISO 27001 et le RGPD — sans avoir besoin d'un consultant. Voici comment les pièces s'emboîtent.
Vos actifs (ce qui a de la valeur) sont menacés par des risques, que vous réduisez avec des contrôles, déployés via des plans d'action. Le tout prouve votre conformité aux référentiels que vous suivez. Vous gardez l'ensemble vivant via des revues périodiques, et vous tracez les incidents quand ils surviennent.
Ce qui a de la valeur : appli, serveur, données, contrat, personne-clé.
Un événement potentiel qui pourrait nuire (probabilité × impact).
Une mesure qui réduit un risque (technique, organisationnelle, contractuelle).
Une tâche concrète, datée, avec un responsable, pour faire avancer la sécurité.
Le moment où vous re-regardez un risque ou contrôle pour décider.
Un événement qui a réellement eu lieu — à tracer pour comprendre et notifier.
-
1
Semaine 1 — Inventoriez vos actifs critiques.
Listez les 10-20 choses sans lesquelles votre activité s'arrête : apps métier, serveurs, données clients, fournisseurs critiques, personnes-clés.
-
2
Semaine 2 — Identifiez vos 10-15 risques majeurs.
Les classiques pour une PME tech : phishing, indisponibilité fournisseur cloud, fuite RGPD, départ d'un développeur clé, rançongiciel.
-
3
Semaine 3 — Documentez les contrôles que vous avez déjà.
MFA, backups, antivirus, chiffrement, contrats, assurances : vous faites probablement déjà beaucoup. Documentez-le. Reliez chaque contrôle aux risques qu'il couvre.
-
4
Semaine 4 — Créez des plans d'action pour les écarts.
Partout où la probabilité résiduelle reste élevée, créez un plan : déployer un nouveau contrôle, améliorer un existant, documenter une procédure.