NIS2 et gestion des comptes et des accès à privilèges...

Dans son article 21, la directive NIS2 demande aux États membres de s’assurer que les entités essentielles et importantes gèrent les risques qui visent à protéger leurs réseaux et systèmes d'information ainsi que leurs environnements physiques. Ces entités doivent mettre en œuvre des systèmes robustes et appliquer un éventail de mesures élargies en matière de cybersécurité qui concernent :

• (a) Les politiques en matière d'analyse des risques et de sécurité des systèmes d'information;
• (b) Le traitement des incidents;
• (c) La continuité des activités, notamment la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises;
• (d) La sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services;
• (e) La sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités;
• (f) Les politiques et procédures permettant d'évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité;
• (g) Les pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité;
• (h) Les politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement;
• (i) La sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs;
• (j) L'utilisation de solutions d'authentification multifactorielle ou d'authentification continue (accès zero-trust).

La directive NIS2 met en relief l'importance des politiques de cyber-hygiène qui élaborent le fondement de la protection de l'infrastructure des réseaux et des systèmes d'information, du matériel, des logiciels, de la sécurité des applications et des données professionnelles et personnelles sur lesquelles les entités s'appuient. De son côté, l'ENISA (secrétariat de EU CyCLONe) aura en charge la surveillance et l’analyse de la mise en œuvre des politiques d'hygiène cybernétique par les pays de l'UE. Sans une stratégie active de politiques de cybersécurité adéquates, les entreprises européennes resteront vulnérables.

C’est pour cette raison que la directive NIS2 exige qu’elles adoptent des politiques de gestion de mots de passe, de l'identité, de l'accès et du contrôle des applications. Ces politiques peuvent être couvertes par des solutions modernes de gestion des comptes et des accès à privilèges (PAM pour Privileged Access Management). Elles aident à répondre de manière significative, aux exigences à venir, évoquées dans certains paragraphes de la directive NIS2. En voici une liste non exhaustive :

1. P.33 - Gestion de la sécurité dans le Cloud;
2. P.44 - Gestion des comptes et des sessions à privilèges;
3. P.49 - Politiques d'hygiène cybernétique pour les infrastructures;
4. P.53 - Sécurité du secteur des services publics;
5. P.54 - Protection contre les rançongiciels;
6. P.85 - Sécurité de la chaîne d'approvisionnement;
7. P.89 - Pratiques de cyber hygiène et gestion des identités:
8. P.98 - Sécurité des réseaux de communications publics:
9. P.102 - Déclaration obligatoire des incidents.

 En rapport avec le paragraphe  33  de la directive NIS2.

Si des plateformes Cloud telles que Microsoft Azure, Amazon AWS ou encore Google Cloud Platform, mettent un accent prononcé sur la sécurisation de l'infrastructure Cloud publics, il n’est pas toujours évident que leurs clients partagent la même responsabilité en termes de sécurisation rapport à leurs applications qui y sont hébergées.

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales pour renforcer et améliorer la cybersécurité dans le Cloud, et ce de différentes manières :

• La découverte et l’intégration permet un inventaire continu des actifs dans le Cloud, physiques et virtuels, et prise en charge de leur gestion;
• L’application du principe de moindre privilège permet d'offrir le bon niveau d'accès (privilèges « juste à temps » ou Just-In-Time) sans surexposer les informations d'identification du système;
• Les accès sécurisés ajoutent de la sécurité avec la surveillance et l'accès à distance zero-trust dans un contexte Cloud.

En rapport avec le paragraphe  44  de la directive NIS2.

Les comptes et accès à privilèges sont inévitables sur un système d’information. Une solution de gestion des comptes à privilèges garantie un contrôle étroit des accès, aux comptes à privilèges, aux informations d'identification, aux applications et aux infrastructures réseau IT et OT.

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales pour gérer les comptes et les sessions à privilèges, et ce de différentes manières :

• La gestion des mots de passe, car il est important de restreindre l'accès au mot de passe, aux clés et aux différents secrets;
• La surveillance et la gestion des sessions qui fournit un accès géré aux systèmes sans révéler le mot de passe;
• L’enregistrement des sessions au format vidéo ou métadonnées (frappes clavier, mouvements et clics souris, etc…).

 En rapport avec le paragraphe  49  de la directive NIS2.

L’objectif est la mise en place de bonnes pratiques d'hygiène informatique, dans lesquelles sont inclues, et la gestion des mots de passe, et la gestion et les restrictions des comptes d'administrateur.

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales pour renforcer et améliorer les politiques d'hygiène cybernétique pour les infrastructures, et ce de différentes manières :

• La gestion des accès privilégiés sécurise et contrôle les comptes d'administrateur;
• La gestion des identités et des accès sécurise et contrôle les accès des utilisateurs;
• La sécurité des privilèges sur les terminaux d’accès supprime les droits d'administration locaux et empêche l'escalade des privilèges.

 En rapport avec le paragraphe  53  de la directive NIS2.

L’objectif est de protéger les services publics numérisés, dans des domaines tels que les transports, l’approvisionnement en eau, l’énergie, etc…, parce qu’ils sont de plus en plus connectés, tout comme les villes intelligentes d’ailleurs. Les cybercriminels peuvent causer des dommages catastrophiques en perturbant ou en compromettant les systèmes des services publics.

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales pour renforcer et améliorer la cybersécurité du secteur des services publics, et ce de différentes manières :

• La gestion des accès privilégiés atténue les attaques :
  • Isolation des sessions;
  • Gestion des informations d'identification;
  • Accès juste à temps.
• L'intelligence de la sécurité des identités détecte automatiquement les comportements anormaux symptomatiques d'une attaque;
• La sécurité des privilèges sur les terminaux d’accès permet de se défendre contre les cyberattaques en supprimant les privilèges d'administrateur permanent des serveurs et des postes de travail;
• La gestion des identités et des accès sécurise et contrôle les mots de passe des utilisateurs :
  • Limitation des attaques par phishing;
  •  Vol de données d'identification;
  • Etc…

 En rapport avec le paragraphe  54  de la directive NIS2.

L’objectif est de défendre les infrastructures critiques contre les attaques de ransomware. Quelle que soit la manière dont ils sont diffusés, la majorité des ransomwares ont besoin de privilèges pour s'exécuter au travers d’attaques qui intègrent des techniques malveillantes délicates pour rester cachées pendant qu'elles progressent dans les systèmes et le réseau d'une organisation.

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales pour renforcer et améliorer la cybersécurité contre les rançongiciels, et ce de différentes manières :

• La sécurité des privilèges des terminaux permet de lutter contre les ransomwares en supprimant les privilèges d'administration permanents des terminaux et en contrôlant le comportement des applications sur la base d'une politique;
• La gestion des accès privilégiés atténue les risques en isolant, en surveillant, en enregistrant et en auditant les sessions privilégiées et en empêchant l'escalade des privilèges.

 En rapport avec le paragraphe  85  de la directive NIS2.

L’objectif est de remédier aux faiblesses de la chaîne d'approvisionnement en matière de sécurité. Il est important de mettre en place des solutions capables de contrer les attaques venant d’un accès Tiers (système trop ouvert, vulnérabilité VPN, port non sécurisé, etc…), pour éviter qu’elles ne compromettent ses propres infrastructures.

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales pour renforcer et améliorer la cybersécurité de la chaîne d'approvisionnement, et ce de différentes manières :

• La gestion des secrets :
  • Limite les risques liés à la chaîne d'approvisionnement des actifs (surveillance et contrôle des identités);
  • Protège les mots de passe utilisés par les applications, les scripts et les autres identités non humaines (environnements DevOps).
• L’application du principe du moindre privilège et de l'accès distant JIT (juste à temps) pour les fournisseurs externes;
• L’enregistrement des sessions et la simplification des audits.

 En rapport avec le paragraphe  89  de la directive NIS2.

L’objectif est de mettre en place de bonnes pratiques de cyber-hygiène, y compris les principes de zero-trust, l’authentification multi-facteurs et la gestion des identités et des accès. L’utilisation de technologies d'intelligence artificielle (IA) permet de renforcer la sécurité lors de l’authentifications des utilisateurs.

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales rapport à la cyber-hygiène et à la gestion des identités, et ce de différentes manières :

• Une identité unique au travers d’annuaires tels qu’Active Directory offrent un mécanisme d’authentification résilient et centralisé pour les utilisateurs;
• Une solution de gestion des identités et des accès (IAM) permet de fournir des rôles et des niveaux de responsabilité aux utilisateurs;
• L'authentification multi-facteurs (MFA) :
  • Identifie les utilisateurs conformément aux principes de zero-trust;
  • L’authentification adaptative utilise des analyses comportementales (IA) et des informations contextuelles pour déterminer les facteurs d'authentification à appliquer à un utilisateur .
• L'accès « juste à temps » offre des accès temporaires aux actifs pour renforcer les principes de zero-trust.

 En rapport avec le paragraphe  98  de la directive NIS2.

L’objectif est d’utiliser le chiffrement de bout en bout et les concepts de sécurité centrés sur les données (cartographie, segmentation, politique et gestion d'accès automatisées, …).

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales pour sécuriser les réseaux de communications publics, et ce de différentes manières :

• Les technologies de cryptage permettent de sécuriser les informations d'identification et les secrets utilisés (personnes, applications et machines);
• L'isolation des sessions à privilèges permet de limiter la propagation des logiciels malveillants entre les différents systèmes;
• La gestion des identités et des accès sécurise et contrôle les accès sur la base de politiques de sécurité;
• La sécurité des privilèges sur les terminaux d’accès permet d'élever les privilèges « juste à temps » et d'automatiser les décisions d'accès.

 En rapport avec le paragraphe  102  de la directive NIS2.

L’objectif est de répondre aux exigences de la directive en matière de rapidité et de précision des rapports liés à la notification d’incidents. Les entités critiques sont tenues de notifier un incident dans les 24 heures.

Les solutions de gestion des comptes et des accès à privilèges (PAM) offrent des capacités fondamentales pour optimiser les processus de déclarations obligatoires des incidents, et ce de différentes manières :

• Les audits et les enregistrements de sessions privilégiées permettent de documenter les cyber-incidents;
• La sécurité des privilèges des terminaux d’accès identifie automatiquement les activités symptomatiques d'une attaque provenant d'un poste d’accès;
• Les technologies d’IA liées à l’authentification des identités permettent de détecter automatiquement les comportements anormaux symptomatiques d'une violation d’accès;
• La fourniture de tableaux de bord permet de visualiser les activités et les menaces basées sur l'identité;
• La sécurité des privilèges des terminaux d’accès identifie automatiquement les activités symptomatiques d'une attaque provenant d'un poste d’accès.

La directive NIS2 vise à harmoniser et à renforcer la cybersécurité sur le territoire européen. Elle élargit ses objectifs et son périmètre d’applicabilité par rapport à la version n-1, de manière à apporter davantage de protection. Cette extension du périmètre est sans précédent en matière de réglementation cyber, c'est pourquoi les solutions de gestion des comptes et des accès à privilèges y trouvent facilement leur place, principalement pour assurer la protection des actifs cibles face aux menaces internes et externes.

Ci-dessous une synthèse de leurs apports dans un contexte NIS2 :

• Contrôle d'accès granulaire : Les solutions de gestion des comptes et des accès à privilèges apportent des fonctions robustes de contrôle d'accès et de surveillance dans une approche zero-trust. Elles répondent aux exigences de NIS2 en matière de contrôle d'accès.
• Authentification multifactorielle (MFA) : Les solutions de gestion des comptes et des accès à privilèges garantissent un niveau supplémentaire de sécurité avec des capacités d’authentification multifactorielles. Elles répondent à la directive NIS2 qui préconise une authentification renforcée.
• Gestion des comptes à privilèges : Les solutions de gestion des comptes et des accès à privilèges permettent aux organisations de gérer et de sécuriser des comptes à pouvoir, en s’assurant qu’ils ne soient pas exposés ou partagés de manière inappropriée. Elles répondent aux exigences de NIS2 qui souligne l'importance de la gestion des comptes et des accès à privilèges.
• Amélioration de la surveillance et des rapports : Les solutions de gestion des comptes et des accès à privilèges permettent l’enregistrement des sessions utilisateurs, apportant aux organisations des pistes d'audit détaillées lors des contrôles de conformité. Elles répondent à la nécessité d'une surveillance complète et d'un rapport d'incident rapide, qui correspond à l’un des aspects cruciaux de la directive et elles aident également les organisations à démontrer leur conformité aux exigences d'audit de NIS2.
• Alertes en temps réel et détection des anomalies : Les solutions de gestion des comptes et des accès à privilèges fournissent des alertes en temps réel et déclenchent des réponses automatisées en cas d'activités suspectes ou non autorisées. Elles répondent à une attente forte de NIS2 rapport à la détection et au signalement des incidents.
• Capacités d'intégration : Les solutions de gestion des comptes et des accès à privilèges ont la capacité à s'intégrer avec d'autres technologies avancées (IA) visant à mettre en œuvre des mesures de pointe dans la gestion des risques en matière de cybersécurité. Elles répondent ainsi aux bonnes pratiques de cyber-hygiène attendues par NIS2.
• Accès à distance sécurisé : Les solutions de gestion des comptes et des accès à privilèges permettent de sécuriser les accès externes sur un modèle zero-trust : authentification forte, accès cryptés, surveillés et enregistrés. Elles répondent aux exigences de NIS2 qui reconnaît l'importance d'un accès à distance sécurisé.