Pirkanmaan Jätehuolto est une société de gestion des déchets municipaux opérant dans la région de Pirkanmaa en Finlande. Faisant partie du secteur des infrastructures critiques, l'entreprise a dû faire face à une pression réglementaire croissante avec l'introduction de la directive NIS2 de l'UE. Antti Pessinen, responsable des technologies de l'information, a dirigé les efforts visant à assurer la conformité.
Ils avaient besoin d'un outil qui les aiderait à structurer leur réponse, à développer un savoir-faire interne et à éviter d'externaliser des connaissances essentielles. C'est ce qui les a conduits à Cyberday.
L'objectif n'était pas seulement la conformité
Lorsque l'on a appris que la directive NIS2 s'appliquerait à son secteur, Pirkanmaan Jätehuolto a réalisé qu'il lui fallait un meilleur moyen de gérer les exigences en matière de cybersécurité. Ils avaient l'habitude de travailler avec des cadres comme ISO 14001, mais la réglementation sur la cybersécurité présentait de nouvelles exigences.
Antti se souvient que l'équipe a d'abord envisagé plusieurs outils et même la possibilité de faire appel à un consultant :
"Nous avons examiné quatre ou cinq solutions. Certaines ne proposaient qu'un canevas vierge et une liste d'exigences. Ce n'était pas suffisant.
La question clé n'était pas seulement de documenter la conformité, mais de la comprendre et de maintenir cette connaissance au fil du temps.
Au contraire, l'équipe a cherché une solution qui guiderait son travail, développerait l'expertise interne et aiderait à intégrer la cybersécurité dans les processus quotidiens.
Transformer les exigences en véritables responsabilités
Après avoir évalué ses options, l'équipe a choisi Cyberday principalement pour sa structure et sa clarté.
"Ce que nous avons apprécié, c'est la façon dont Cyberday a guidé le processus. Il ne suppose pas que vous savez déjà ce qu'il faut faire, mais il vous aide à apprendre en faisant."
Plutôt que d'externaliser le travail, Pirkanmaan Jätehuolto a décidé de mener le projet en interne. La mise en œuvre a été structurée comme un projet formel, avec un groupe de pilotage interne comprenant des dirigeants. Cela a permis de s'assurer de l'adhésion de l'ensemble de l'entreprise et de donner de la visibilité à l'effort dans tous les départements.
Chaque section du cadre a été attribuée à un propriétaire. L'équipe s'est efforcée de ne pas tout faire reposer sur les épaules d'une seule personne :
"Ce n'est pas le travail d'une seule personne. Chacun doit connaître ses responsabilités. De cette manière, la cybersécurité devient un élément normal de nos opérations".
Les conseils intégrés et la hiérarchie claire de Cyberdayont aidé l'équipe à déployer les choses par étapes. Il a également été plus facile d'intégrer d'autres membres du personnel, grâce à des instructions compréhensibles et accessibles.
"Nous avons eu très peu de réactions négatives. Les gens trouvent que les instructions sont faciles à suivre et que le contenu est rédigé dans un langage simple.
De la planification à la pratique
Pirkanmaan Jätehuolto a commencé la mise en œuvre de Cyberday au printemps 2024, dans le but de respecter le délai de conformité NIS2 du 18 octobre 2024, date à laquelle les États membres de l'UE étaient tenus de transposer la directive en droit national.
"À la date butoir d'octobre, nous avions pratiquement terminé, il ne restait plus qu'à finaliser les derniers éléments.
Pirkanmaan Jätehuolto a décidé de ne pas attendre. Ils ont adopté de manière proactive le cadre NIS2 de Cyberdayet se sont préparés très tôt aux exigences à venir. Ils ont ainsi pris une longueur d'avance sur les autres.
Lorsque le cadre de la loi nationale sur la cybersécurité est devenu disponible lors du Cyberday, l'équipe l'a immédiatement intégré. Les autres mises à jour, principalement liées à la sécurité physique, ont été finalisées au début de l'année 2025. Selon Antti :
"Nous sommes dans une situation où nous pouvons dire que le travail est fait. Au milieu de l'été, nous serons totalement alignés et nous ne nous inquiéterons pas de ce qui nous attend.
Depuis, Cyberday est devenu leur outil central, non seulement pour NIS2, mais aussi pour GDPR et la documentation plus large sur la sécurité de l'information. L'entreprise prévoit maintenant de migrer la documentation relative à la protection de la vie privée vers Cyberday , en remplacement des anciens systèmes.
Ils ont également commencé à utiliser le contenu de Cyberdaycomme base pour la formation du personnel, en liant les politiques et les responsabilités à une plateforme d'apprentissage.
"Nos politiques actualisées en matière de sécurité et de protection de la vie privée s'appuient sur le travail effectué lors du Cyberday. Cela nous a aidés à clarifier les choses dans l'ensemble de l'organisation".
.svg)
.svg)
