La directive NIS 2 est sur le point de bouleverser la manière dont les entreprises gèrent leur cybersécurité, en particulier en ce qui concerne la gestion des identités et des accès. Le 18 octobre 2024, cette directive européenne est entrée en vigueur, avec des implications importantes pour des milliers d’organisations à travers l’Europe, y compris en France. Elle étend le cadre de la première directive NIS et impose de nouvelles obligations de sécurité à un plus large éventail d’acteurs.
Aduneo vous propose une première analyse de NIS 2 à travers le prisme des identités numériques. L’objectif est d’éclairer les enjeux que cette directive impose aux entreprises, en particulier sur la gestion des identités et des accès (IAM), un des domaines clé pour se mettre en conformité avec ce nouveau cadre réglementaire.
Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 (Network and Information Systems) est une réponse aux menaces croissantes en matière de cybersécurité. Elle vise à renforcer les normes de sécurité dans toute l’Union européenne. Adoptée par le Parlement européen, elle remplace la première version de la directive NIS, introduite en 2016. La nouveauté majeure de NIS 2 réside dans l’élargissement de son champ d’application. Alors que la directive NIS initiale ne concernait que les Opérateurs de Services Essentiels (OSE), NIS 2 introduit deux nouvelles catégories : les Entités Essentielles (EE) et les Entités Importantes (EI).
Les EE incluent les OSE déjà concernés par NIS 1, tandis que les EI regroupent de nouveaux secteurs qui, bien que moins critiques que les EE, sont jugés importants pour la résilience et la sécurité économique et sociale. Cela signifie qu’un nombre beaucoup plus important d’organisations, publiques et privées, doivent maintenant respecter les exigences de cybersécurité de la directive NIS 2.
La transposition de NIS 2 en France
En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est chargée de la mise en œuvre de cette directive. Bien que le processus ait pris un peu de retard en raison du contexte politique, une première version de la transposition circule déjà. Ce texte, encore en projet, donne une vision claire des attentes qui seront imposées aux entreprises françaises.
Le document est découpé en 20 objectifs de sécurité, avec pour chacun :
- un descriptif
- une présentation des justificatifs de l’objectif traité
- puis une liste de moyens acceptables de conformité (c’est-à-dire de mesure à mettre en œuvre)
Les thèmes abordés couvrent l’ensemble du spectre de la cybersécurité, de la gouvernance à la prise en compte des risques jusqu’à la réponse aux incidents.
Les mesures proposées visent à assurer un haut niveau de cybersécurité dans les secteurs clés de l’économie. Avec NIS 2, les exigences se concentrent non seulement sur les infrastructures essentielles, mais aussi sur la protection des systèmes d’information, la gouvernance, et la gestion des risques liés à la cybersécurité, notamment en ce qui concerne les identités numériques.
NIS 2 et la gestion des identités
L’un des aspects les plus intéressants de NIS 2 est l’accent mis sur la gestion des identités et des accès. Parmi les 20 objectifs de sécurité de la directive, plusieurs concernent directement ou indirectement les identités numériques, les droits d’accès et la gestion des privilèges. En effet, l’objectif de sécurité 13 est spécifiquement consacré à la gestion des identités et des accès (IAM). Il impose que chaque entité régule l’accès de ses utilisateurs, humains ou systèmes, à ses systèmes d’information.
Voici 4 points clés de la directive, relatifs à la gestion des identités :
– Une identité recouvre un utilisateur ou un processus automatique : il est admis qu’une identité peut représenter non seulement un utilisateur humain, mais aussi un processus automatique ou un service, chacun nécessitant des droits d’accès spécifiques pour interagir avec les systèmes d’information de manière sécurisée et contrôlée.
– Pas de comptes partagés : Chaque utilisateur doit avoir un (ou plusieurs) compte(s) individuel(s). Toutefois, si l’utilisation de comptes partagés est inévitable, des mesures de sécurité strictes doivent être mises en place. Par exemple, il est requis que les mots de passe soient modifiés immédiatement après la désactivation d’un utilisateur.
– Recertification régulière : Les organisations doivent réaliser au moins une campagne de recertification par an. Cette mesure vise à garantir que les droits d’accès restent à jour et conformes aux politiques de sécurité en vigueur.
– Journalisation des accès : Les entités doivent consigner les événements liés à la gestion des identités, à l’authentification, et à l’accès aux systèmes d’information. Cette journalisation est essentielle pour la traçabilité et la supervision de la sécurité.
Ces dispositions renforcent les bonnes pratiques attendues, voire habituelles, en gestion des identités et accès, en encourageant une plus grande rigueur dans la gestion des comptes utilisateurs et administratifs. Néanmoins, la transposition est pour le moment souple quant aux contraintes d’authentification, n’imposant rien sur la MFA (authentification multi facteur) et s’en remettant à l’état de l’art. Il appartient donc à chaque entité de définir sa propre politique.
Sécurité des comptes administratifs et des annuaires
L’objectif de sécurité 14 aborde un autre aspect critique de la cybersécurité : la gestion des comptes administratifs. Il impose que les actions d’administration soient réalisées via des comptes séparés des comptes utilisateurs, afin de minimiser les risques de compromission, à moins de mettre en œuvre des mesures d’atténuation du risque. La création de comptes dédiés à l’administration s’accompagne d’obligations strictes, telles que la journalisation systématique des actions réalisées à travers ces comptes.
Un point particulièrement notable est la protection des annuaires et de leur écosystème, cœur de confiance des systèmes d’information. Les annuaires doivent être accessibles uniquement via des comptes d’administration dédiés, ce qui impose une segmentation stricte des privilèges. Un administrateur accédant à l’annuaire et à d’autres systèmes devra donc disposer de plusieurs comptes d’administration. De plus, une revue annuelle de la configuration des annuaires est exigée, de préférence à l’aide d’outils automatisés. Cette mesure vise à s’assurer que l’intégrité et la sécurité des annuaires sont maintenues dans le temps.
Sécurisation des accès distants et gestion des identités des prestataires
Les accès distants aux systèmes d’information, notamment pour les prestataires, sont souvent une source de vulnérabilité. L’objectif de sécurité 10 de NIS 2 aborde cette problématique en imposant des mesures de chiffrement et d’authentification. Pour les Entités Essentielles (EE), la mise en place de l’authentification multi-facteurs (MFA) est obligatoire.
Cependant, l’objectif 13, bien qu’il traite de la gestion des identités, ne s’attarde pas suffisamment sur la gestion des identités des prestataires distants, qui repose souvent sur des comptes partagés. Cette faiblesse pourrait exposer certaines organisations à des risques accrus si les mesures adéquates ne sont pas prises pour réguler ces accès.
Une infrastructure d’administration dédiée pour les EE
L’objectif de sécurité 15, applicable uniquement aux Entités Essentielles, exige la mise en place d’une infrastructure d’administration dédiée. Cela inclut des comptes, des postes de travail et des interfaces réseau spécifiquement réservés aux actions d’administration. Cette approche vise à renforcer l’isolation des systèmes critiques.
Les EE sont également tenues de journaliser et d’analyser les événements liés à la gestion des identités et des accès, conformément à l’objectif de sécurité 16 :
- l’authentification
- la gestion des comptes et des droits d’accès
- l’accès aux ressources
La centralisation des événements de sécurité joue ici un rôle clé pour détecter rapidement les incidents potentiels et réagir efficacement.
Vers une application stricte et des attentes élevée
Même si le texte final n’est pas encore publié, les premières versions de la transposition de NIS 2 en France montrent clairement une orientation vers une cybersécurité renforcée, avec des exigences accrues en matière de gestion des identités. Ce cadre réglementaire ne fait pas qu’encourager les bonnes pratiques : il les rend obligatoires. Cela va exiger des investissements supplémentaires pour la mise en conformité, en particulier pour les organisations nouvellement concernées.
Il reste à voir comment les différentes entités, qu’elles soient essentielles ou importantes, vont s’adapter à ces nouvelles exigences. Une bonne préparation, une révision des politiques de sécurité actuelles, et l’intégration d’outils de gestion des identités efficaces seront des facteurs déterminants pour réussir cette transition.
La directive NIS 2 marque donc un tournant dans la gestion de la cybersécurité en Europe, avec des implications majeures pour la gestion des identités et des accès. En renforçant les mesures de sécurité autour des comptes utilisateurs, des annuaires et des accès administratifs, cette directive vise à protéger les systèmes critiques contre les menaces de plus en plus sophistiquées. Pour les organisations concernées, se préparer à cette nouvelle réglementation est crucial, et cela commence par une bonne gestion des identités, une pierre angulaire de la sécurité informatique.
Related Posts
La directive NIS 2 est sur le point de bouleverser la manière dont les entreprises gèrent leur cybersécurité, en particulier en ce qui concerne la gestion des identités et des accès. Le 18 octobre 2024, cette directive européenne est entrée en vigueur, avec des implications importantes pour des milliers d’organisations à travers l’Europe, y compris en France. Elle étend le cadre de la première directive NIS et impose de nouvelles obligations de sécurité à un plus large éventail d’acteurs.
Aduneo vous propose une première analyse de NIS 2 à travers le prisme des identités numériques. L’objectif est d’éclairer les enjeux que cette directive impose aux entreprises, en particulier sur la gestion des identités et des accès (IAM), un des domaines clé pour se mettre en conformité avec ce nouveau cadre réglementaire.
Qu’est-ce que la directive NIS 2 ?
La directive NIS 2 (Network and Information Systems) est une réponse aux menaces croissantes en matière de cybersécurité. Elle vise à renforcer les normes de sécurité dans toute l’Union européenne. Adoptée par le Parlement européen, elle remplace la première version de la directive NIS, introduite en 2016. La nouveauté majeure de NIS 2 réside dans l’élargissement de son champ d’application. Alors que la directive NIS initiale ne concernait que les Opérateurs de Services Essentiels (OSE), NIS 2 introduit deux nouvelles catégories : les Entités Essentielles (EE) et les Entités Importantes (EI).
Les EE incluent les OSE déjà concernés par NIS 1, tandis que les EI regroupent de nouveaux secteurs qui, bien que moins critiques que les EE, sont jugés importants pour la résilience et la sécurité économique et sociale. Cela signifie qu’un nombre beaucoup plus important d’organisations, publiques et privées, doivent maintenant respecter les exigences de cybersécurité de la directive NIS 2.
La transposition de NIS 2 en France
En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est chargée de la mise en œuvre de cette directive. Bien que le processus ait pris un peu de retard en raison du contexte politique, une première version de la transposition circule déjà. Ce texte, encore en projet, donne une vision claire des attentes qui seront imposées aux entreprises françaises.
Le document est découpé en 20 objectifs de sécurité, avec pour chacun :
- un descriptif
- une présentation des justificatifs de l’objectif traité
- puis une liste de moyens acceptables de conformité (c’est-à-dire de mesure à mettre en œuvre)
Les thèmes abordés couvrent l’ensemble du spectre de la cybersécurité, de la gouvernance à la prise en compte des risques jusqu’à la réponse aux incidents.
Les mesures proposées visent à assurer un haut niveau de cybersécurité dans les secteurs clés de l’économie. Avec NIS 2, les exigences se concentrent non seulement sur les infrastructures essentielles, mais aussi sur la protection des systèmes d’information, la gouvernance, et la gestion des risques liés à la cybersécurité, notamment en ce qui concerne les identités numériques.
NIS 2 et la gestion des identités
L’un des aspects les plus intéressants de NIS 2 est l’accent mis sur la gestion des identités et des accès. Parmi les 20 objectifs de sécurité de la directive, plusieurs concernent directement ou indirectement les identités numériques, les droits d’accès et la gestion des privilèges. En effet, l’objectif de sécurité 13 est spécifiquement consacré à la gestion des identités et des accès (IAM). Il impose que chaque entité régule l’accès de ses utilisateurs, humains ou systèmes, à ses systèmes d’information.
Voici 4 points clés de la directive, relatifs à la gestion des identités :
– Une identité recouvre un utilisateur ou un processus automatique : il est admis qu’une identité peut représenter non seulement un utilisateur humain, mais aussi un processus automatique ou un service, chacun nécessitant des droits d’accès spécifiques pour interagir avec les systèmes d’information de manière sécurisée et contrôlée.
– Pas de comptes partagés : Chaque utilisateur doit avoir un (ou plusieurs) compte(s) individuel(s). Toutefois, si l’utilisation de comptes partagés est inévitable, des mesures de sécurité strictes doivent être mises en place. Par exemple, il est requis que les mots de passe soient modifiés immédiatement après la désactivation d’un utilisateur.
– Recertification régulière : Les organisations doivent réaliser au moins une campagne de recertification par an. Cette mesure vise à garantir que les droits d’accès restent à jour et conformes aux politiques de sécurité en vigueur.
– Journalisation des accès : Les entités doivent consigner les événements liés à la gestion des identités, à l’authentification, et à l’accès aux systèmes d’information. Cette journalisation est essentielle pour la traçabilité et la supervision de la sécurité.
Ces dispositions renforcent les bonnes pratiques attendues, voire habituelles, en gestion des identités et accès, en encourageant une plus grande rigueur dans la gestion des comptes utilisateurs et administratifs. Néanmoins, la transposition est pour le moment souple quant aux contraintes d’authentification, n’imposant rien sur la MFA (authentification multi facteur) et s’en remettant à l’état de l’art. Il appartient donc à chaque entité de définir sa propre politique.
Sécurité des comptes administratifs et des annuaires
L’objectif de sécurité 14 aborde un autre aspect critique de la cybersécurité : la gestion des comptes administratifs. Il impose que les actions d’administration soient réalisées via des comptes séparés des comptes utilisateurs, afin de minimiser les risques de compromission, à moins de mettre en œuvre des mesures d’atténuation du risque. La création de comptes dédiés à l’administration s’accompagne d’obligations strictes, telles que la journalisation systématique des actions réalisées à travers ces comptes.
Un point particulièrement notable est la protection des annuaires et de leur écosystème, cœur de confiance des systèmes d’information. Les annuaires doivent être accessibles uniquement via des comptes d’administration dédiés, ce qui impose une segmentation stricte des privilèges. Un administrateur accédant à l’annuaire et à d’autres systèmes devra donc disposer de plusieurs comptes d’administration. De plus, une revue annuelle de la configuration des annuaires est exigée, de préférence à l’aide d’outils automatisés. Cette mesure vise à s’assurer que l’intégrité et la sécurité des annuaires sont maintenues dans le temps.
Sécurisation des accès distants et gestion des identités des prestataires
Les accès distants aux systèmes d’information, notamment pour les prestataires, sont souvent une source de vulnérabilité. L’objectif de sécurité 10 de NIS 2 aborde cette problématique en imposant des mesures de chiffrement et d’authentification. Pour les Entités Essentielles (EE), la mise en place de l’authentification multi-facteurs (MFA) est obligatoire.
Cependant, l’objectif 13, bien qu’il traite de la gestion des identités, ne s’attarde pas suffisamment sur la gestion des identités des prestataires distants, qui repose souvent sur des comptes partagés. Cette faiblesse pourrait exposer certaines organisations à des risques accrus si les mesures adéquates ne sont pas prises pour réguler ces accès.
Une infrastructure d’administration dédiée pour les EE
L’objectif de sécurité 15, applicable uniquement aux Entités Essentielles, exige la mise en place d’une infrastructure d’administration dédiée. Cela inclut des comptes, des postes de travail et des interfaces réseau spécifiquement réservés aux actions d’administration. Cette approche vise à renforcer l’isolation des systèmes critiques.
Les EE sont également tenues de journaliser et d’analyser les événements liés à la gestion des identités et des accès, conformément à l’objectif de sécurité 16 :
- l’authentification
- la gestion des comptes et des droits d’accès
- l’accès aux ressources
La centralisation des événements de sécurité joue ici un rôle clé pour détecter rapidement les incidents potentiels et réagir efficacement.
Vers une application stricte et des attentes élevée
Même si le texte final n’est pas encore publié, les premières versions de la transposition de NIS 2 en France montrent clairement une orientation vers une cybersécurité renforcée, avec des exigences accrues en matière de gestion des identités. Ce cadre réglementaire ne fait pas qu’encourager les bonnes pratiques : il les rend obligatoires. Cela va exiger des investissements supplémentaires pour la mise en conformité, en particulier pour les organisations nouvellement concernées.
Il reste à voir comment les différentes entités, qu’elles soient essentielles ou importantes, vont s’adapter à ces nouvelles exigences. Une bonne préparation, une révision des politiques de sécurité actuelles, et l’intégration d’outils de gestion des identités efficaces seront des facteurs déterminants pour réussir cette transition.
La directive NIS 2 marque donc un tournant dans la gestion de la cybersécurité en Europe, avec des implications majeures pour la gestion des identités et des accès. En renforçant les mesures de sécurité autour des comptes utilisateurs, des annuaires et des accès administratifs, cette directive vise à protéger les systèmes critiques contre les menaces de plus en plus sophistiquées. Pour les organisations concernées, se préparer à cette nouvelle réglementation est crucial, et cela commence par une bonne gestion des identités, une pierre angulaire de la sécurité informatique.
Related Posts
