6 étapes clés pour vous assurer que votre entreprise est conforme à la directive NIS2
Le compte à rebours pour la mise en conformité à la nouvelle directive sur la sécurité des réseaux et des systèmes d’information (NIS2) est déjà bien entamé. Les entreprises des États membres de l’Union européenne ont jusqu’au 17 octobre 2024 pour apporter les modifications pertinentes à leurs systèmes et stratégies de sécurité. Le non-respect des exigences après cette date pourrait entraîner des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Si l’on ajoute à cela les amendes prévues par le RGPD, le coût croissant des brèches de données et les dommages irréparables que les cyberattaques peuvent causer à la confiance des clients et la réputation de la marque, le manque de préparation à la conformité à la directive NIS2 pourrait avoir un impact catastrophique sur les entreprises de toutes tailles. Dans ce contexte, quelles mesures les équipes sécurité doivent-elles prendre pour limiter les risques ? Et comment une solution d’identité moderne peut-elle aider ? Dans cet article de blog, nous vous proposons des réponses à toutes ces questions.
6 étapes pour vous préparer à la directive NIS2
Étape 1 – Identifiez vos risques de cybersécurité
Si l’identification des risques de cybersécurité a toujours été une priorité pour tout RSSI, l’arrivée de la directive NIS2 renforce encore cette nécessité. En effet, la nouvelle législation exige que les entreprises prennent des mesures techniques, opérationnelles et organisationnelles appropriées pour mieux gérer les risques. Dans ce contexte, il est impératif de disposer des processus, systèmes et technologies adéquats pour identifier rapidement les menaces, évaluer leur impact et limiter les risques.
Étape 2 – Évaluez votre niveau de sécurité
Maintenant que vous avez évalué vos risques, comment les gérez-vous et qui les accepte dans l’entreprise ? Une étude menée par Tessian indique que près de 85 % des brèches de données sont dues à une erreur humaine1. C’est pourquoi l’évaluation de votre niveau de sécurité doit constituer votre prochaine étape. La sécurité est l’affaire de tous, mais la responsabilité de l’appropriation des risques et de la gestion des problèmes doit être transparente. La définition de la tolérance au risque et des mesures d’atténuation permet de comprendre clairement où des améliorations et des investissements peuvent être apportés dans le cadre d’un programme d’investissement dans la sécurité.
Étape 3 – Protégez les accès à privilèges
Les utilisateurs à privilèges constituent une cible de choix des attaques de piratage de comptes. Une fois à l’intérieur d’un réseau, les cybercriminels peuvent exploiter les comptes à privilèges pour voler des données, paralyser des infrastructures critiques et perturber des services essentiels. Pour éviter les incidents de ce type, la directive NIS2 préconise de mettre en œuvre les meilleures pratiques suivantes :
- Réduction de l’utilisation des accès à privilèges – Contrôlez étroitement et auditez régulièrement l’accès aux comptes à privilèges et leur utilisation. L’utilisation de ces comptes doit être réduite au minimum indispensable et l’automatisation doit être mise en place pour les tâches régulières et répétitives, dans la mesure du possible.
- Authentification continue – Dans le cadre d’une stratégie Zero Trust, l’évaluation du contexte d’accès (type de terminal, utilisateur et localisation) fournit des paramètres clés pour définir les exigences et les facteurs de réauthentification.
- Enregistrement des accès – Les contrôles d’accès fournissent une piste d’audit des activités des utilisateurs sur les systèmes et les réseaux. L’analyse des journaux peut être utilisée pour suivre les tentatives d’authentification des utilisateurs dans un large éventail d’applications et d’infrastructures. Celle-ci s’appuie sur les journaux des dispositifs de sécurité qui enregistrent les attaques potentielles. L’analyse des journaux est essentielle à la détection proactive des menaces et à la résolution des incidents, ainsi qu’à la mise en place d’un dispositif de sécurité robuste.
Étape 4 – Renforcez vos défenses contre les ransomwares
Les attaques de ransomware constituent une préoccupation majeure pour les entreprises modernes et l’un des éléments fondateurs de la directive NIS2. Pour contrer ces menaces de façon proactive, votre équipe sécurité doit mettre en place des solutions de sécurité et de bonnes pratiques capables de bloquer les attaques de ransomware à la source. Si votre infrastructure critique devait tomber à cause d’un ransomware, comment réagiriez-vous ? Comment vos activités se poursuivraient-elles ? Et quel impact un tel incident aurait-il sur vos clients ? En élaborant une stratégie définie pour les différents scénarios, vous pouvez vous assurer que tout le monde est sur la même longueur d’onde en cas d’attaque de ransomware. Il existe aussi des précautions à prendre pour minimiser la probabilité et l’impact d’une telle attaque :
- Formation et sensibilisation – Mieux vaut prévenir que guérir, c’est pourquoi les formations de sensibilisation à la sécurité sont essentielles pour prévenir les attaques de ransomware. Il est important que les collaborateurs sachent repérer les e-mails de phishing ou les sites web malveillants par lesquels les cybercriminels cherchent à s’introduire dans le réseau.
- Processus de sauvegarde sécurisés – La sauvegarde des données dans un emplacement secondaire sécurisé soumis à un accès strictement limité est essentielle pour la reprise d'activité après une attaque de ransomware. Des tests réguliers et une documentation à jour permettront de contrôler la capacité à restaurer rapidement avec un impact minimal.
- Renforcement des terminaux – Le principe du moindre privilège, le durcissement, la restriction des ports et la segmentation réseau sont autant de bonnes pratiques qui peuvent aider les entreprises à prévenir les tentatives d’attaque de ransomware et de s’en prémunir.
Étape 5 – Adoptez une stratégie Zero Trust
Les architectures de sécurité traditionnelles basées sur le périmètre ne sont pas adaptées aux services cloud et aux effectifs hybrides. En lieu et place, votre entreprise doit adopter une stratégie Zero Trust, qui considère tout et tout le monde comme une source de risque. En appliquant un contexte à chaque processus d’authentification, tel que l’utilisateur, le type de terminal, l’emplacement et la fréquence, les modèles d’authentification peuvent être optimisés pour garantir la protection des systèmes et des données.
Étape 6 – Inspectez votre chaîne logistique logicielle
L’augmentation considérable du nombre d’attaques de la chaîne logistique a été un autre élément moteur pour les autorités réglementaires de l’UE lors de l’élaboration de la nouvelle directive NIS2. Dans ce contexte, les entreprises doivent poser un regard neuf sur leur chaîne logistique logicielle et implémenter certaines mesures clés :
- Code source sécurisé – Contrôles IAM stricts concernant l’utilisateur, la ressource, l’endroit et le moment où l’accès est accordé. Le MFA devrait être obligatoire car il fournit une couche supplémentaire de protection contre la compromission des identifiants.
- Gestion des modifications – L’utilisation de l’automatisation pour gérer les modifications, les signatures de code et les validations de code est essentielle pour offrir un niveau d’assurance élevé et des capacités d’audit, et prévenir la validation de secrets dans les référentiels de code source.
- Tests de sécurité – Des tests de sécurité automatisés de bout en bout doivent être menés pour identifier les bugs et les erreurs dans le code avant la publication. Il convient également de s’assurer que les fournisseurs effectuent des analyses de sécurité SAST (Static Application Security Tests) et DAST (Dynamic Application Security Tests) robustes.
Comment Okta peut-il vous aider à atteindre la conformité à la directive NIS2 ?
Dans un monde numérique, l’identité est le fondement de la sécurité, qui sous-tend aussi bien les politiques que les procédures opérationnelles et les systèmes IT gouvernant l’accès aux informations critiques d’une entreprise. Voici quelques exemples de la façon dont une solution d’identité moderne facilite la mise en conformité à la directive NIS2 :
Contrôle des accès granulaire
Chaque entreprise possède des documents, programmes et dossiers sensibles. Si vous les protégez de façon trop stricte, les activités de votre entreprise s’arrêtent net. Si vous les laissez accessibles à tous, des problèmes de sécurité catastrophiques peuvent survenir. En octroyant l’accès en fonction des rôles individuels au sein de l’entreprise, l’identité garantit que seuls les utilisateurs autorisés peuvent accéder aux ressources dont ils ont besoin, au moment opportun, selon les modalités qui leur conviennent. Associée au contexte d’accès, l’identité permet aux entreprises d’analyser, de valider et de revalider l’accès automatiquement, et de garantir la révocation lorsque l’accès n’est plus nécessaire.
Renforcement des processus d’authentification
Les noms d’utilisateur et les mots de passe ne font pas qu’incommoder les collaborateurs et les clients, ils mettent également leurs données en danger. En ajoutant une couche de sécurité supplémentaire grâce à l’authentification multifacteur (MFA), la gestion des identités permet de réduire le risque de brèche de données par vol d’identifiants et de contrôler que chaque utilisateur est bien celui qu’il prétend être. Le MFA peut être encore renforcé en implémentant des authentificateurs résistants au phishing tels qu’Okta FastPass et FIDO2 WebAuthn, qui obtiennent d’excellentes notes en matière de sécurité et de simplicité d’utilisation – preuve qu’il est parfaitement possible d’allier les deux.
Résolution rapide des incidents
Face au nombre croissant de menaces et d’incidents auxquels sont confrontées les entreprises, les capacités d’audit et les attributions de responsabilité des opérations sont deux éléments indispensables pour évaluer, prévenir et corriger rapidement tout problème. En disposant d’un programme de gestion des accès robuste et précis, les équipes IT peuvent agir rapidement afin d’évaluer et de restaurer les systèmes, et minimiser l’impact sur les opérations et les clients.
Simplification de la surveillance de la conformité
La gestion des identités permet aux entreprises de surveiller et d’auditer les activités utilisateurs afin de respecter la conformité aux exigences réglementaires. Elle permet également aux équipes sécurité et conformité de démontrer la responsabilité en documentant qui a accédé à des ressources spécifiques et quand. De nombreux cadres de conformité imposent désormais aux entreprises d’implémenter des processus de contrôle des accès robustes et le MFA dans le cadre des opérations standard, afin de créer une culture de la sécurité robuste et de garantir le suivi des bonnes pratiques parmi les collaborateurs. L’utilisation de méthodes MFA résistantes au phishing et l’abandon des mots de passe réduisent les vecteurs de menace potentiels, améliorent la convivialité et l’expérience de la sécurité, et facilitent le maintien de la conformité à toute une série de certifications.
Vous ne savez toujours pas si votre entreprise est prête pour la directive NIS2 ? Pour identifier vos carences actuelles et découvrir comment l’identité peut aider vos équipes IT et sécurité à maintenir une conformité totale, contactez notre équipe.
1. The Psychology of Human Error, Tessian
https://www.tessian.com/research/the-psychology-of-human-error/