Les identités numériques constituent depuis toujours les clés du monde moderne. Elles permettent aux personnes concernées d’accéder aux systèmes, aux données et à différents services. Aujourd’hui, les cybermenaces ne cessent de se multiplier et deviennent de plus en plus sophistiquées, faisant des identités numériques des cibles privilégiées pour les attaquants. Avec l’introduction de la directive NIS 2, l’Union européenne veut s’assurer que les entreprises au sein du marché de l’UE deviennent plus résistantes. La gestion des identités et des accès (IAM) jouera un rôle clé à cet égard. Alors que la publication de la directive est imminente, cet article examine de plus près comment les solutions de gestion des identités et des accès peuvent aider les entreprises à se mettre en conformité.
Réitérer l’importance du NIS 2
Introduite en 2016, la directive initiale NIS (Network and Information Security) visait à renforcer la cybersécurité en Europe en mettant l’accent sur les entreprises et les secteurs qui dépendent des technologies de l’information et de la communication. La directive NIS 2 va plus loin en ciblant 18 secteurs différents avec des exigences plus strictes visant à réduire les vulnérabilités des systèmes informatiques et les violations de données. La directive devrait être publiée début 2025. Les membres de l’UE auront alors quelques mois pour adopter la directive et publier leurs recommandations pour que les entreprises soient en conformité. Consultez notre guide pour avoir une vue d’ensemble des principales exigences du NIS 2.
Au plus proche de la conformité : l’IAM pour NIS 2
La gestion des accès
La plus importante des exigences de NIS 2 qui pourrait se traduire par une solution IAM est l’intégration de solutions d’authentification multi-facteurs (MFA) pour accéder aux systèmes et aux applications en toute sécurité.
Les solutions de gestion d’accès permettent aux entreprises de bénéficier d’une MFA forte et/ou d’un Single Sign-On (SSO), qui non seulement améliorent la sécurité mais aussi l’expérience des utilisateurs en réduisant le nombre d’identifiants de connexion.
Grâce au MFA et à l’authentification unique, les entreprises peuvent jeter les bases d’un modèle de sécurité de confiance “zéro trust”, à considérer impérativement. Dans ce modèle, aucun utilisateur ou appareil n’est fiable par défaut, même s’il se trouve à l’intérieur du périmètre du réseau. Comme chaque demande d’accès doit être vérifiée en permanence dans ce modèle, les organisations se conformeront plus facilement à NIS2 et à d’autres normes et directives en matière de sécurité informatique.
La gouvernance des identités
La mise en place d’un système de contrôle d’accès est une autre exigence de la conformité NIS 2. Les solutions de gouvernance des identités peuvent fournir et faciliter la création de politiques de sécurité avec un contrôle d’accès basé sur les rôles (RBAC). Les droits d’accès sont accordés en fonction de rôles prédéfinis au sein de l’organisation afin de s’assurer que seules les bonnes personnes accèdent aux bonnes ressources avec les droits requis pour les bonnes raisons professionnelles.
De plus, ces solutions de gouvernance des identités peuvent proposer des campagnes de certification des accès. Ces campagnes permettent de revoir périodiquement les droits d’accès des utilisateurs afin de s’assurer qu’ils correspondent aux besoins actuels de l’entreprise et aux politiques de sécurité. Un large éventail de paramètres peut être choisi, comme la sélection des utilisateurs, des organisations et des applications, les droits des utilisateurs et les niveaux de risque pour les droits à certifier.
Les participants à la campagne se concentrent sur les droits les plus critiques, ce qui leur permet de gagner du temps. Des niveaux de responsabilité sont également définis et permettent aux organisations d’attribuer le bon niveau aux bons participants.
Enfin, des tableaux de bord de suivi de la campagne peuvent être fournis pour gérer le processus de révision des comptes. Ces campagnes vous aident également à atteindre le modèle de sécurité « zéro trust ».
Rapports sur les identités et les accès
La NIS 2 exige que l’entreprise dispose d’une équipe de gestion des cyber incidents et qu’elle signale les incidents dans les 24 heures, les 3 jours et le mois suivant l’incident. Aujourd’hui, la plupart des fournisseurs de solutions IAM proposent des tableaux de bord et/ou des rapports qui peuvent aider à répondre à cette exigence.
Les solutions IAM génèrent généralement des pistes d’audit pour chaque activité des utilisateurs et des administrateurs. Chaque tentative d’authentification, d’accès à une ressource, de création de compte et de changement de mot de passe, ainsi que chaque modification de la configuration du produit est enregistrée. Ces informations sont ensuite compilées dans des tableaux de bord et/ou des rapports.
Avec NIS 2, il conviendrait de traquer les comportements suspects tels que les dates et heures d’authentification inhabituelles, les violations de la séparation des tâches (separation of duties, SoD), etc. Les rapports sur les campagnes de certification permettent également de suivre les progrès et les résultats des accès, des utilisateurs et des mots de passe afin de comprendre qui a accédé au système, quand et comment. Tout cela est possible grâce à des rapports IAM dédiés, ainsi qu’à une architecture de confiance “zéro trust”.
Ces rapports peuvent faire partie d’une solution IAM (gestion des accès ou des identités par exemple) ou d’une solution autonome (qui offre généralement plus de fonctionnalités comme la personnalisation des rapports). Ils peuvent ensuite être liés à une solution IAM.
Une haute disponibilité
Enfin, votre système IAM doit être hautement disponible, en particulier lorsqu’il s’agit de garantir l’accès à vos systèmes critiques. Un logiciel de haute disponibilité assure la continuité de l’activité en cas d’incidents tels que des défaillances matérielles ou logicielles, des erreurs humaines et d’autres perturbations. Les principales caractéristiques d’un tel logiciel sont l’équilibrage de la charge, la réplication synchrone des fichiers en temps réel, le basculement automatique des applications et même le retour automatique à la normale après une panne de serveur. Ce type de logiciel peut être associé à n’importe quelle solution IAM pour renforcer la résilience et la sécurité en cas d’incident.
Autres considérations clés
- La cyber hygiène est une exigence obligatoire pour se conformer à la NIS 2, qui comprend notamment le changement de mot de passe et la mise à jour des logiciels et du matériel. Ces deux éléments sont inclus dans de nombreuses solutions IAM, telles que les solutions de gestion des accès ou des identités.
- L’utilisation de l’intelligence artificielle et de l’apprentissage automatique (AI/ML) pour améliorer la cybersécurité est une autre recommandation de NIS 2. Nous avons déjà vu de nombreux acteurs de l’IAM qui ont commencé à l’inclure dans leurs solutions.
- Les solutions IAM sur site et SaaS peuvent vous aider à être en conformité avec la NIS 2. Aujourd’hui, ces deux types de solutions ont des fonctionnalités et des capacités de personnalisation similaires, y compris tout ce qui a été présenté précédemment.
Quelle place pour l’IAM pour NIS 2?
Bien que tous les éléments ci-dessous mettent en évidence le rôle de l’IAM, il est important de noter que cela ne suffit pas pour être conforme à NIS 2. Néanmoins, une infrastructure IAM solide permet aux entreprises d’être plus résistantes aux menaces et les aide à se conformer aux exigences clés de NIS 2.
Vous souhaitez poursuivre la discussion ou échanger de la bonne solution IAM pour les besoins de votre entreprise, contactez-moi!
Pour découvrir comment les solutions IAM peuvent vous aider à passer à la vitesse supérieure en matière de conformité NIS 2, et bien plus encore. Visitez notre site.
