Recital 20 Basic cyber hygiene and awareness training

Conformément à l’article 21, paragraphe 2, point g), de la directive (UE) 2022/2555, les États membres doivent veiller à ce que les entités essentielles et importantes appliquent des pratiques élémentaires en matière d’hygiène informatique et de formation à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Parmi les pratiques élémentaires d’hygiène informatique figurent les principes «confiance zéro», les mises à jour de logiciels, la configuration des dispositifs, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, l’organisation d’une formation pour le personnel et la sensibilisation aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, à l’hameçonnage ou aux techniques d’ingénierie sociale. Les pratiques d’hygiène informatique font partie des différentes exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement. En ce qui concerne les pratiques élémentaires en matière d’hygiène informatique pour les utilisateurs, les entités concernées devraient envisager des pratiques telles que des politiques claires relatives aux bureaux et aux écrans, l’utilisation de moyens d’authentification multifactoriels et autres, l’utilisation sûre du courrier électronique et la navigation sur le web, la protection contre l’hameçonnage et l’ingénierie sociale ou encore les pratiques de travail à distance sécurisées.