Adoptée fin 2022 par l'Union Européenne, la directive NIS2 doit être transposée d'ici octobre 2024 par tous les états membres. Cette directive apporte beaucoup de changements en matière de cybersécurité et notamment dans la gestion des identités. Analysons cela plus en détail.
L'évolution de la directive NIS vers NIS2
L'Union européenne a adopté en 2016 la directive NIS (Network and Information Security), qui vise à renforcer la sécurité des réseaux et systèmes d'information au sein des pays membres. La directive NIS impose aux opérateurs de services essentiels (OSE) de mettre en place des mesures de sécurité adéquates.
Cette directive sera révisée en 2022, le but est de répondre aux nouveaux enjeux de la cybersécurité. Sa mise en application va permettre à des milliers d’entités qui concernent le quotidien des citoyens de mieux se protéger. Actuellement la directive NIS2 n'a pas encore été transposée au niveau national français, mais son application devra se faire pour octobre 2024.
Vous pouvez consulter la directive NIS2, ici.
Les obligations qu'apporte la directive NIS2 dans la gestion des identités
Les entreprises impactées
L'ANSSI explique, "A ce jour, la directive NIS 2 comprend des annexes 1 et 2 dans lesquelles il est indiqué les secteurs, sous-secteurs et les types d’entité concernés. Si votre entité se retrouve dans un des secteurs, sous-secteur et type d’entité et que vous respectez les critères de taille alors vous serez concerné par la directive NIS 2.". Source : ANSSI.
On peut d’ores et déjà définir les entreprises impactées :
Entités essentielles (article 3 paragraphe 1) : les entreprises ayant une activité hautement critique (annexe 1) et étant entité "intermédiaire" à "grande". Exemple de secteur : transport, santé, énergie, bancaire , entre autres.
Entités importantes (article 3 paragraphe 1) : les entreprises ayant une activité critique (annexe 2) et étant entité "intermédiaire" à "grande", les entreprises "moyenne" ayant une activité soit hautement critique ou critique.
Les obligations en matière de gestion des identités
Actuellement la directive NIS2 ne demande pas de mettre en place une liste de mesures, mais elle impose aux entreprises de se prémunir de toute une série de risque liées à la cybersécurité. Cette directive sera traduite en mesure concrète par l'ANSSI prochainement. Nous allons nous intéresser plus particulièrement aux risques dans le domaine de la gestion des identités. Voici 4 points tirés de la directive pouvant être impactant :
La mise en place de règle de cyber hygiène concernant la gestion des identités.
La gestion des identités des prestataires extérieurs.
Les politiques et pratiques de contrôles d'accès aux SI.
La mise en place d'une solution forte pour l'authentification.
Les risques pour gestion des identités
Allons plus loin et prenons du recul sur ce que la directive met en évidence à propos des risques de cybersécurité de la gestion des identités.
La mise en place de règle de cyber hygiène concernant la gestion des identités
La cyber hygiène est l'ensemble des bonnes pratiques à adopter pour se protéger des cyberattaques. Elle s'applique à tous les aspects de la sécurité informatique, y compris la gestion des identités. En matière de gestion des identités, la cyber hygiène consiste à mettre en place des mesures de sécurité simples et efficaces pour protéger les identités des utilisateurs. Ces mesures comprennent notamment :
Mettre à jour régulièrement les mots de passe. En effet un mot de passe trop ancien peut se trouver sur une bibliothèque de mots de passe accessible facilement sur internet.
Avoir une politique de mot de passe complexe. Au plus le mot de passe est complexe, au plus l'attaquant dépensera du temps pour le trouver.
Utiliser un gestionnaire de mot de passe. Ex : la multiplication des mots de passe entraîne souvent les collaborateurs à noter leurs mots de passe sur un papier.
La gestion des identités des prestataires extérieurs
La gestion des identités des prestataires extérieurs est un aspect important de la gestion des identités globale. Les prestataires extérieurs sont des organisations ou des individus qui ont accès aux systèmes et aux données d'une entreprise. Certaines attaques, dites "supply chain" utilisent les accès des prestataires extérieurs pour pénétrer le Système d'Information d'une entreprise cible. C'est pourquoi il est essentiel d'avoir une bonne gestion des identités des prestataires extérieurs afin de minimiser au maximum les risques.
Les politiques et pratiques de contrôles d'accès aux SI
Les politiques et pratiques de contrôles d'accès aux SI doivent être alignées sur les objectifs de sécurité de l'entreprise. Elles définissent les règles et les procédures à suivre pour contrôler l'accès aux ressources informatiques. Les politiques et pratiques de contrôles d'accès aux SI doivent couvrir les aspects suivants :
L'authentification.
Les autorisations.
La gestion des droits d'accès.
La mise en place de solution forte pour l'authentification
L'authentification forte est un type d'authentification qui nécessite plus d'une information de connexion pour authentifier un utilisateur. Cela rend l'authentification plus difficile pour les attaquants, car ils doivent d'abord obtenir les deux informations de connexion. La mise en place d'une solution forte d'authentification est un élément important de la gestion des identités. Elle peut contribuer à protéger vos systèmes et vos données contre les cyberattaques.
Exemple :
La réception d'un code de validation pour confirmer l'identité lors de la connexion.
Démarche de mise en conformité de la gestion des identités
En analysant ces différents risques et mesures à mettre en place, la nécessité pour une entreprise d'entreprendre une démarche de mise en conformité devient obligatoire si elle veut se mettre en conformité.
Cependant la démarche qu'elle va entreprendre sera cruciale pour la réussite de ses projets. En effet la gestion des identités est un domaine très transverse où l'aspect métier peut influer, mais l'intégration de solution de gestion des identités (IAM) est un métier à part entière.
Chaque entreprise a ses propres besoins :
Utilisation spécifique.
Taille de l'entreprise.
Croissance des futures années.
Et ces besoins sont à prendre en compte pour le bon dimensionnement de la solution IAM qu'elle souhaitera mettre en place.
C'est pourquoi nous recommandons vivement d'être accompagné par une entreprise extérieure lors de l'étude et de l'intégration. C'est d'ailleurs notre métier chez PRIZM, un cabinet de conseil lillois spécialisé dans la gestion des identités numériques.
Et pour vous, qu’en est-il ? Pensez-vous être au normes dans l'application de la directive NIS2 ? Si vous le souhaitez, prenez contact avec nous, nous pouvons en discuter !