Article 21 Décrypté : les 10 mesures de gestion des risques de cybersécurité
Qui devrait lire ceci : les RSSI, les responsables de la sécurité informatique, les gestionnaires des risques et toute personne responsable de la conception ou de la mise en œuvre de programmes de cybersécurité.
L'article 21 est le cœur du NIS2. Il spécifie dix catégories de mesures obligatoires de gestion des risques de cybersécurité que chaque entité essentielle et importante doit mettre en œuvre. Il ne s'agit pas de recommandations, de directives ou de bonnes pratiques. Il s'agit d'obligations légales, et leur non-respect entraîne des sanctions pouvant aller jusqu'à 20 millions d'euros, soit 4 % du chiffre d'affaires annuel mondial.
Pourtant, l'article 21 ne prescrit aucune voie de mise en œuvre unique. Il définit les résultats, c'est-à-dire ce que vous devez protéger et ce que vous devez réaliser, tout en offrant une certaine flexibilité quant à la manière d'y parvenir. Ce guide décode chacune des dix mesures, explique ce dont elles ont besoin et propose des notes pratiques de mise en œuvre.
Le principe fondamental : tous risques, proportionné, fondé sur les risques
Avant de passer aux dix mesures, comprenez le principe fondamental de l'article 21, paragraphes 1 et 2.
L'article 21, paragraphe 1, impose aux entités de prendre « des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information ». Les mesures doivent refléter les normes pertinentes les plus récentes, le coût de mise en œuvre et la taille de l'entité. L'article 21, paragraphe 2, stipule que les mesures « doivent être fondées sur une approche tous risques visant à protéger les réseaux et les systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents ».
Cela signifie que vos mesures doivent répondre non seulement aux cyberattaques, mais également aux menaces physiques (incendies, inondations, effractions physiques, coupures de courant) et aux risques environnementaux. Vous ne pouvez pas ignorer la couche physique. Un attaquant qui pénètre dans votre centre de données par une porte cassée ne constitue pas une cybermenace, mais votre programme de cybersécurité doit y remédier.
Le mot « proportionné » est important. Une microentreprise mettra en œuvre des mesures différentes de celles d'une multinationale. Votre mise en œuvre doit refléter votre profil de risque, votre taille et votre contexte opérationnel. Les régulateurs ne vous puniront pas si vous ne mettez pas en œuvre des mesures disproportionnées par rapport à vos risques réels.
Mesure 1 — Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information
L'article 21 (2) (a) exige « des politiques en matière d'analyse des risques et de sécurité des systèmes d'information ».
C'est fondamental. Vous devez disposer de politiques documentées qui décrivent la manière dont votre organisation identifie, évalue et gère les risques de cybersécurité.
Votre politique d'analyse des risques doit couvrir : la manière dont vous identifiez les actifs (systèmes, données, infrastructure), la manière dont vous identifiez les menaces et les vulnérabilités affectant ces actifs, comment vous évaluez la probabilité et l'impact, comment vous hiérarchisez les risques à traiter et comment vous déterminez les risques que vous allez accepter, atténuer ou éviter.
La politique de sécurité de votre système d'information doit couvrir : la manière dont vous classez les informations, qui a accès à quelles informations, comment l'accès est accordé et révoqué, comment vous protégez les informations en transit et au repos, la conservation et la destruction des données, et la manière dont vous empêchez toute divulgation non autorisée.
Ces politiques doivent être documentées, à jour et communiquées au personnel concerné. Ils doivent être revus au moins une fois par an et mis à jour pour refléter l'évolution de votre environnement de menaces, de vos activités commerciales ou de vos exigences réglementaires.
Mise en œuvre pratique
Créez un cadre de gestion des risques qui définit clairement l'approche de votre organisation en matière d'identification, d'évaluation et de traitement des risques. Documentez votre système de classification des informations et vos politiques de contrôle d'accès. Assurez-vous que vos politiques spécifient les rôles et les responsabilités. Rendre les politiques accessibles au personnel qui en a besoin. Établissez un calendrier de révision et de mise à jour annuelles. Liez vos politiques à vos plans de réponse aux incidents et de continuité des activités.
Mesure 2 — Gestion des incidents
L'article 21 (2) (b) exige la « gestion des incidents ».
Ce n'est pas facultatif. Vous devez disposer d'une capacité documentée pour détecter, étudier et répondre aux incidents de sécurité.
Votre programme de gestion des incidents doit définir : ce qui constitue un incident (accès non autorisé, perte de données, interruption du système, infection par un logiciel malveillant, etc.), comment les incidents sont détectés et signalés, qui est responsable de la réponse aux incidents, quelles mesures sont prises au cours de l'enquête, comment la gravité est déterminée, quels critères définissent un incident significatif (conformément à l'article 23 (3)), comment vous conservez les preuves et comment vous documentez la réponse.
Vous devez disposer d'une équipe de réponse aux incidents définie avec des rôles clairs : coordinateur des incidents, enquêteur technique, agent de liaison avec la direction, représentant légal/de conformité. L'équipe doit disposer d'informations de contact et de voies d'escalade. Vous devez effectuer régulièrement des exercices de réponse aux incidents pour tester vos capacités.
Il est essentiel que votre processus de gestion des incidents soit intégré à votre obligation de déclaration en vertu de l'article 23. Vous devez être en mesure d'identifier les incidents significatifs et d'en informer votre autorité compétente ou le CSIRT dans les 72 heures (ou 24 heures si vous êtes un prestataire de services de confiance).
Mise en œuvre pratique
Définissez et documentez vos définitions d'incidents et leur classification de gravité. Mettez en place une équipe de réponse aux incidents avec des rôles et des informations de contact clairs. Créez un manuel de réponse aux incidents avec des procédures étape par étape pour les types d'incidents courants. Configurez des outils de détection (SIEM, détection des intrusions, surveillance des journaux) qui alertent votre équipe en cas d'activité suspecte. Effectuez des exercices sur table tous les trimestres pour tester votre capacité de réponse. Tenez un journal des incidents documentant tous les incidents et leur résolution. Intégrez la réponse aux incidents à vos fonctions juridiques et de conformité pour garantir une notification appropriée.
Mesure 3 — Continuité des activités et reprise après sinistre
L'article 21 (2) (c) exige « la continuité des activités, telle que la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ».
Vos services doivent rester disponibles même en cas d'incidents. Vous devez disposer de plans et de fonctionnalités pour restaurer les systèmes et les données s'ils sont endommagés, supprimés ou rendus indisponibles pour toute autre raison.
Votre plan de continuité des activités doit identifier les services les plus critiques pour votre organisation et pour vos clients. Pour chaque service critique, définissez un objectif de temps de restauration (RTO : durée pendant laquelle vous pouvez tolérer une interruption du service) et un objectif de point de restauration (RPO : niveau de perte de données que vous pouvez tolérer). Concevez des stratégies de sauvegarde et de restauration qui répondent à ces objectifs.
La gestion des sauvegardes est essentielle. Vous devez conserver des sauvegardes des données et des systèmes critiques. Les sauvegardes doivent être conservées séparément des systèmes de production (idéalement dans une zone géographique différente) afin qu'un sinistre affectant votre installation principale ne détruise pas également vos sauvegardes. Vous devez régulièrement tester la restauration des sauvegardes pour vous assurer que les sauvegardes sont réellement utilisables.
La reprise après sinistre est votre capacité à rétablir les opérations après un incident majeur. Cela peut impliquer l'activation d'un centre de données de sauvegarde, le passage à un emplacement secondaire ou la restauration progressive des services. Vous devez disposer de procédures documentées et les avoir testées.
La gestion de crise est votre capacité à communiquer avec les clients, les régulateurs et le public lors d'un incident majeur. Vous devez savoir qui s'adressera aux médias, quelles informations vous allez divulguer et comment vous allez informer les parties prenantes.
Mise en œuvre pratique
Réalisez une analyse d'impact commercial pour identifier les services critiques et leurs dépendances. Définissez le RTO et le RPO pour chaque service critique en fonction des besoins de l'entreprise. Mettez en œuvre des systèmes de sauvegarde à la fréquence appropriée (quotidienne, horaire ou continue selon la criticité). Vérifiez que les sauvegardes sont stockées hors site ou sur des systèmes protégés. Testez la restauration des sauvegardes au moins une fois par an. Documentez vos procédures de reprise après sinistre. Identifiez d'autres installations ou fournisseurs de cloud susceptibles de prendre en charge les services critiques si votre emplacement principal n'est pas disponible. Menez des exercices de reprise après sinistre au moins une fois par an. Créez un protocole de communication de crise avec des porte-paroles définis.
Mesure 4 — Sécurité de la chaîne d'approvisionnement
L'article 21, paragraphe 2, point d), exige « la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services ».
Il s'agit d'une nouvelle obligation obligatoire en vertu de la NIS2. Cela n'était pas obligatoire dans le NIS1, mais les attaques contre la chaîne d'approvisionnement (telles que SolarWinds) se sont révélées être parmi les cybermenaces les plus dommageables.
Votre programme de sécurité de la chaîne d'approvisionnement doit tenir compte de vos relations avec les fournisseurs directs et les prestataires de services. Cela inclut : identifier les fournisseurs critiques (ceux dont la défaillance perturberait vos services), évaluer leurs pratiques et leur maturité en matière de cybersécurité, les obliger contractuellement à respecter des normes de sécurité minimales, surveiller leur conformité et établir des plans d'urgence en cas de compromission.
L'article 21 (3) précise que vous devez prendre en compte « les vulnérabilités spécifiques à chaque fournisseur direct et prestataire de services ainsi que la qualité globale des produits et les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisées ». Vous devez également prendre en compte les résultats des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques menées par le groupe de coopération en vertu de l'article 22.
Il ne s'agit pas d'une évaluation ponctuelle. La sécurité de la chaîne d'approvisionnement est permanente. Vous devez surveiller vos fournisseurs, mettre à jour vos contrats en fonction de l'évolution des menaces et tester vos plans d'urgence.
Mise en œuvre pratique
Créez un inventaire des fournisseurs identifiant les fournisseurs critiques, c'est-à-dire ceux dont l'indisponibilité ou la compromission aurait un impact significatif sur vos services. Pour chaque fournisseur essentiel, effectuez une évaluation de la cybersécurité à l'aide d'un questionnaire ou d'un audit. Incluez des clauses de sécurité dans vos contrats fournisseurs exigeant des normes de sécurité minimales (capacité de réponse aux incidents, gestion des correctifs, contrôles d'accès, etc.). Établissez un contrat de niveau de service (SLA) qui inclut des mesures de performance en matière de sécurité. Procéder à des réévaluations périodiques des fournisseurs critiques. Élaborez des plans d'urgence pour chaque fournisseur essentiel : fournisseurs alternatifs, capacité interne de remplacement des services ou accords avec des fournisseurs de remplacement. Participez aux évaluations des chaînes d'approvisionnement critiques en TIC par le groupe de coopération et intégrez les résultats dans la gestion de vos fournisseurs. Documentez votre processus et vos décisions en matière de sécurité de la chaîne d'approvisionnement.
Mesure 5 — Sécurité de l'acquisition, du développement et de la maintenance des systèmes
L'article 21 (2) (e) exige « la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, y compris la gestion et la divulgation des vulnérabilités ».
Que vous créiez vos propres systèmes, achetiez des logiciels prêts à l'emploi ou utilisiez des services cloud, la sécurité doit être intégrée dès le départ, et non renforcée par la suite.
Pour les systèmes que vous développez en interne, vous devez disposer de pratiques de développement sécurisées. Cela inclut : des normes de codage sécurisées, des processus de révision du code, des tests de vulnérabilités de sécurité avant le déploiement, une analyse des vulnérabilités et un processus de gestion des vulnérabilités découvertes après le déploiement.
Pour les systèmes et les logiciels que vous achetez, vous devez définir des critères de sélection des fournisseurs qui incluent des exigences de sécurité. Évaluez les pratiques de développement sécurisé des fournisseurs. Exiger des fournisseurs qu'ils divulguent les vulnérabilités qu'ils découvrent dans leurs produits. Assurez-vous que vos contrats obligent les fournisseurs à corriger les vulnérabilités dans les meilleurs délais.
Pour tous les systèmes, vous devez les maintenir et les mettre à jour tout au long de leur cycle de vie. Cela inclut l'application de correctifs de sécurité, la mise à jour des configurations en fonction de l'évolution des menaces et la mise hors service des systèmes en fin de vie de manière sécurisée (en veillant à ce que les données soient correctement supprimées, que les licences soient mises hors service, etc.).
La gestion et la divulgation des vulnérabilités sont essentielles. Vous devez disposer d'un processus permettant d'identifier les vulnérabilités (par le biais de vos propres tests, d'évaluations par des tiers ou de divulgations de fournisseurs), de les hiérarchiser en fonction des risques et d'appliquer des correctifs. Vous devez également participer à une divulgation coordonnée des vulnérabilités. Si vous découvrez des vulnérabilités dans des logiciels ou des services tiers, vous devez les divulguer au fournisseur de manière responsable et laisser le temps au fournisseur de corriger avant de les divulguer publiquement.
Mise en œuvre pratique
Documentez vos pratiques de développement sécurisé, y compris les normes de codage sécurisé et les exigences en matière de révision du code. Mettre en œuvre des tests pour détecter les failles de sécurité en cours de développement (analyses statiques et dynamiques, tests d'intrusion). Créez un processus de gestion des vulnérabilités avec des priorités et des délais de correction clairs. Établissez des critères de sélection des fournisseurs qui incluent des exigences de sécurité. Vérifiez les pratiques de sécurité des fournisseurs avant de passer des contrats. Exiger des fournisseurs qu'ils s'engagent à appliquer les correctifs en temps voulu. Surveillez la présence de correctifs de sécurité et appliquez-les rapidement. Mettez en œuvre un processus de gestion des configurations pour suivre et mettre à jour les configurations du système. Établissez une politique de divulgation des vulnérabilités décrivant comment vous allez signaler les vulnérabilités aux fournisseurs. Tenez un inventaire des systèmes et de leur état de cycle de vie. Planifiez la mise hors service sécurisée des systèmes en fin de vie.
Mesure 6 — Politiques et procédures visant à évaluer l'efficacité
L'article 21 (2) (f) exige « des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité ».
Vous ne pouvez pas simplement mettre en œuvre des mesures et supposer qu'elles fonctionnent. Vous devez évaluer régulièrement si vos mesures sont réellement efficaces pour réduire les risques.
Cette évaluation doit inclure : la révision de vos évaluations des risques pour vous assurer qu'elles reflètent fidèlement votre environnement de menaces actuel, le test de vos contrôles pour confirmer qu'ils fonctionnent comme prévu, la réalisation d'audits de sécurité (internes ou tiers), l'examen des mesures et des indicateurs de risque clés (KRI) qui suivent l'efficacité des contrôles, et l'intégration des résultats des audits dans votre programme de remédiation.
Les indicateurs sont importants. Vous pouvez suivre : le temps moyen de détection (MTTD) des incidents de sécurité, le temps moyen de réponse (MTTR), le pourcentage de systèmes corrigés dans le cadre de votre niveau de service, le nombre de violations du contrôle d'accès détectées ou le pourcentage du personnel ayant suivi une formation en matière de sécurité. Ces statistiques vous permettent de savoir si vos mesures fonctionnent.
Vous devez effectuer une évaluation annuelle de votre situation globale en matière de cybersécurité. Cette évaluation doit prendre en compte votre risque résiduel (risque qui persiste après la mise en œuvre de vos mesures), votre appétit pour le risque (le niveau de risque que vous êtes prêt à tolérer) et si vos mesures sont proportionnées et efficaces.
Mise en œuvre pratique
Définissez des indicateurs et des KRI qui permettent de suivre l'efficacité des contrôles pour vos mesures clés. Établissez un processus de révision trimestriel dans le cadre duquel vous évaluez les indicateurs et identifiez les tendances. Réaliser des audits internes des contrôles de cybersécurité au moins une fois par an. Engagez des évaluateurs tiers pour effectuer des tests d'intrusion, des analyses de vulnérabilité ou des audits de sécurité au moins une fois par an. Documentez les résultats de l'audit et créez un plan de remédiation avec des responsables et des délais clairs. Communiquez les résultats des audits et l'état des mesures correctives à votre organe de direction tous les trimestres. Procédez à une évaluation annuelle de la sécurité qui regroupe votre évaluation des risques, les résultats des audits et les indicateurs afin d'évaluer votre position globale en matière de cybersécurité.
Mesure 7 — Formation de base en matière de cyberhygiène et de cybersécurité
L'article 21 (2) (g) exige « des pratiques de base en matière de cyberhygiène et une formation en cybersécurité ».
La cyberhygiène en est la base. De nombreuses failles exploitent des failles élémentaires en matière d'hygiène : mots de passe faibles, systèmes non corrigés, absence d'authentification multifactorielle ou mauvaise sécurité des e-mails.
Les pratiques de base en matière de cybersécurité devraient inclure : exiger des mots de passe (ou phrases de passe) forts et régulièrement modifiés (ou une surveillance continue des violations), interdire le partage des mots de passe, mettre en œuvre des gestionnaires de mots de passe, maintenir à jour les correctifs sur tous les systèmes, supprimer les services et accès inutiles, sauvegarder régulièrement les données critiques, utiliser des outils antivirus ou de détection et de réponse (EDR), permettre la journalisation des événements de sécurité et la surveillance des activités anormales.
La formation à la cybersécurité est tout aussi importante. Tout le personnel doit comprendre les règles de base en matière de sécurité. Les utilisateurs doivent comprendre les risques de phishing, savoir comment signaler les e-mails suspects, l'importance de ne pas partager leurs informations d'identification et la manière de gérer les données sensibles. Les développeurs doivent comprendre le codage sécurisé. Les administrateurs système doivent comprendre la configuration sécurisée. Votre conseil d'administration et votre haute direction doivent comprendre les risques liés à la cybersécurité et leurs responsabilités en matière de gouvernance.
La formation devrait être obligatoire pour tous les membres du personnel dès leur embauche et être actualisée au moins une fois par an. La formation doit être adaptée aux différents rôles (le personnel technique a besoin de plus de profondeur que les utilisateurs généraux). Vous devez suivre l'achèvement de la formation et exiger une participation de 100 %.
Mise en œuvre pratique
Définissez les normes de base en matière de cybersécurité de votre organisation (politique en matière de mots de passe, gestion des correctifs, antivirus, MFA, sécurité des e-mails, etc.). Publiez ces normes et communiquez-les à l'ensemble du personnel. Mettez en œuvre des contrôles techniques pour appliquer ces normes dans la mesure du possible (par exemple, appliquer l'authentification multifacteur aux VPN, exiger un antivirus sur les terminaux, scanner les e-mails pour détecter les logiciels malveillants). Menez des campagnes de sensibilisation trimestrielles sur le phishing, la sécurité des mots de passe et la protection des données. Organisez une formation basée sur les rôles chaque année (sensibilisation générale à la sécurité pour l'ensemble du personnel, codage sécurisé pour les développeurs, administration sécurisée pour le personnel informatique, etc.). Suivez l'achèvement de la formation et faites un suivi auprès des personnes qui ne l'ont pas terminée. Réalisez un exercice de simulation d'hameçonnage tous les trimestres et déterminez quels utilisateurs sont concernés par le phishing simulé. Intégrez les résultats du phishing à votre programme de sensibilisation.
Mesure 8 — Politiques de cryptographie et de chiffrement
L'article 21 (2) (h) exige « des politiques et des procédures concernant l'utilisation de la cryptographie et, le cas échéant, du cryptage ».
La cryptographie est le fondement mathématique de la cybersécurité moderne. Il protège la confidentialité, l'intégrité et l'authenticité des données. Vous devez disposer de politiques garantissant une utilisation appropriée de la cryptographie dans l'ensemble de votre organisation.
Votre politique de cryptographie doit spécifier : quelles données doivent être cryptées (données personnelles sensibles, données financières, propriété intellectuelle, etc.), les normes de cryptage que vous utiliserez (par exemple, AES-256 pour les données au repos, TLS 1.2+ pour les données en transit), comment les clés de cryptage seront générées, stockées et pivotées, qui a accès aux clés de cryptage et comment le cryptage sera géré sur l'ensemble de vos systèmes.
« Le cas échéant » est important. Le chiffrement n'est pas toujours nécessaire. Le chiffrement de données opérationnelles non sensibles peut créer de la complexité sans aucun avantage. Mais les données sensibles doivent être chiffrées à la fois au repos (lorsqu'elles sont stockées) et en transit (lorsqu'elles sont transmises sur des réseaux). Les données transmises sur Internet doivent toujours être cryptées à l'aide du protocole TLS ou de normes équivalentes.
Vous devez également spécifier quelles normes de chiffrement sont acceptables. Les algorithmes anciens ou faibles doivent être déconseillés. Votre politique doit exiger des algorithmes modernes (AES, SHA-256, TLS 1.2 ou supérieur) et interdire les algorithmes faibles (DES, MD5, SSL 3.0).
La gestion des clés de chiffrement est essentielle. Les clés constituent souvent le point faible des systèmes cryptographiques. Vous devez vous assurer que les clés sont stockées de manière sécurisée (pas en texte clair dans des fichiers de code ou de configuration), qu'elles sont régulièrement renouvelées (chaque année ou plus fréquemment) et qu'elles ne sont accessibles qu'aux systèmes ou au personnel autorisés.
Mise en œuvre pratique
Classez vos données par sensibilité (publique, interne, sensible, hautement sensible). Pour chaque classification, définissez les exigences de chiffrement. Pour les données sensibles, exigez un chiffrement en transit à l'aide du protocole TLS 1.2+ et un chiffrement au repos à l'aide du protocole AES-256. Auditez vos systèmes pour identifier l'emplacement des données sensibles et vérifier qu'elles sont cryptées. Pour les systèmes qui ne chiffrent pas encore les données sensibles, créez un plan de correction. Implémentez un système de gestion des clés (KMS) qui génère, stocke et fait tourner les clés de chiffrement. Assurez-vous que les clés ne sont jamais stockées dans des fichiers de code ou de configuration. Implémentez des modules de sécurité matériels (HSM) pour les clés hautement sensibles. Supprimez les algorithmes de chiffrement anciens ou faibles. Documentez votre politique de cryptographie et publiez-la auprès des équipes concernées. Incluez les exigences en matière de cryptographie dans les revues de conception de votre système et les évaluations des fournisseurs.
Mesure 9 — Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
L'article 21 (2) (i) exige « la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs ».
Vos employés, vos processus et vos actifs constituent des surfaces d'attaque potentielles. Vous devez gérer les accès avec soin.
La sécurité des ressources humaines comprend : la vérification des antécédents du personnel ayant accès à des systèmes critiques, les contrats de travail qui incluent des obligations de sécurité, la formation sur les politiques de sécurité et les procédures de licenciement sécurisées (révocation rapide de l'accès lorsque les employés partent).
Les politiques de contrôle d'accès devraient suivre le principe du moindre privilège : accorder au personnel uniquement le minimum d'accès nécessaire pour faire son travail. L'accès doit être approuvé avant d'être accordé, revu périodiquement et révoqué immédiatement lorsqu'il n'est plus nécessaire. L'accès privilégié (par exemple, les comptes administratifs) doit être soigneusement contrôlé, surveillé et limité à des personnes spécifiques qui ont été formées et approuvées.
La gestion des actifs vous permet de savoir quels systèmes, appareils et données existent dans votre organisation. Vous devez tenir un inventaire du matériel (serveurs, ordinateurs, téléphones, périphériques réseau), des logiciels (applications, bibliothèques, correctifs) et des données (quelles données existent, où elles sont stockées, qui y a accès). Cet inventaire vous aide à identifier les failles de sécurité : un système non corrigé ne peut pas être corrigé si vous ne connaissez pas son existence.
Mise en œuvre pratique
Définissez et documentez votre politique de contrôle d'accès en fonction du moindre privilège. Exiger des responsables qu'ils certifient que l'accès accordé à leurs équipes est approprié et nécessaire. Implémentez la gestion des accès privilégiés (PAM) pour les comptes administratifs, en exigeant une approbation avant utilisation et en enregistrant toutes les actions privilégiées. Passez en revue tous les accès des utilisateurs tous les trimestres et révoquez les accès qui ne sont plus nécessaires. Révoquez l'accès immédiatement après le licenciement, si possible avant le dernier jour du départ de l'employé. Mettez en œuvre un contrôle d'accès basé sur les rôles (RBAC) qui attribue l'accès en fonction des rôles professionnels plutôt que des noms individuels. Tenez un inventaire des actifs (matériel, logiciels) et mettez-le à jour tous les trimestres. Suivez le cycle de vie des actifs (acquisition, déploiement, mises à jour, mise hors service). Utilisez l'authentification multifactorielle pour les systèmes critiques et les accès administratifs. Documentez les politiques d'accès et demandez à tout le personnel ayant accès au système de signer un accusé de réception.
Mesure 10 — Authentification multifactorielle et communications sécurisées
L'article 21, paragraphe 2, point j), exige « l'utilisation de solutions d'authentification multifactorielle ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant ».
L'authentification multifactorielle (MFA) est l'un des contrôles les plus efficaces. Un mot de passe à lui seul est facilement compromis (par hameçonnage, force brute ou violation de données). Le MFA ajoute un second facteur, quelque chose que vous possédez (un téléphone), quelque chose que vous êtes (biométrique) ou quelque chose que vous connaissez (questions de sécurité), de sorte qu'un attaquant qui vole un mot de passe ne peut toujours pas y accéder.
L'authentification multifacteur doit être requise pour au moins les systèmes critiques : accès VPN, accès administratif, systèmes de messagerie et tout système qui gère des données sensibles. Le terme « approprié » confère une certaine flexibilité, mais les meilleures pratiques en matière de sécurité préconisent fortement d'exiger l'authentification multifacteur pour tout système ayant accès à des données sensibles ou à des fonctions administratives. Les employés du niveau des consommateurs accédant à des systèmes non sensibles peuvent être moins prioritaires, mais les comptes à privilèges élevés doivent utiliser l'authentification multifacteur.
L'authentification continue est une alternative mentionnée dans la directive. Cela signifie qu'au lieu de s'authentifier une seule fois lors de la connexion, le système vérifie en permanence l'identité de l'utilisateur en fonction du comportement, de la biométrie ou des caractéristiques de l'appareil. Si l'identité ne peut pas être vérifiée, le système peut exiger une nouvelle authentification ou verrouiller la session. Cette méthode est plus avancée et moins largement déployée que l'authentification multifacteur, mais elle représente une meilleure pratique émergente.
Les communications vocales, vidéo et textuelles sécurisées signifient que les communications internes doivent utiliser des canaux cryptés. Le courrier électronique doit être chiffré (chiffrement de bout en bout ou transport crypté). Les appels vocaux et vidéo doivent utiliser des protocoles chiffrés (par exemple, TLS pour la visioconférence, VoIP cryptée). Cela permet d'éviter l'écoute ou l'interception.
Les systèmes de communication d'urgence sécurisés sont essentiels pour répondre aux incidents. Si votre réseau principal est compromis, vous devez disposer d'un moyen de communication que l'attaquant ne peut pas intercepter. Vous pouvez maintenir un canal de communication secondaire (une ligne téléphonique séparée, un système radio, un système de messagerie hors bande) que les intervenants peuvent utiliser si le réseau principal n'est pas disponible.
Mise en œuvre pratique
Exigez le MFA pour tous les accès VPN, les comptes administratifs et tout système gérant des données sensibles. Utilisez des applications d'authentification ou des clés de sécurité matérielles plutôt que des SMS (qui peuvent être interceptés). Pour les systèmes moins critiques, exigez au minimum des mots de passe forts et uniques. Mettez en œuvre une authentification continue pour les systèmes sensibles si possible (analyse du comportement des utilisateurs, vérification de l'identité des appareils). Chiffrez les e-mails en transit (TLS) et éventuellement au repos. Utilisez des plateformes de visioconférence cryptées (Teams, Zoom avec cryptage activé, etc.). Exiger une messagerie cryptée pour les conversations sensibles. Établissez un canal de communication hors bande (ligne téléphonique, radio, téléphone satellite) que les équipes de réponse aux incidents peuvent utiliser en cas de panne du réseau principal. Testez vos communications d'urgence tous les trimestres pour vous assurer qu'elles fonctionnent en cas de besoin.
Ensemble : feuille de route pour la mise en œuvre de l'article 21
Les dix mesures sont interconnectées. Vous ne pouvez pas les mettre en œuvre de manière isolée.
Commencez par les mesures 1 et 2 : documentez vos processus d'analyse des risques et de gestion des incidents. Elles constituent la base.
Ajoutez la mesure 6 : déterminez comment vous allez évaluer si vos mesures fonctionnent.
Ajoutez les mesures 3, 4 et 5 : gérez vos dépendances critiques (continuité des activités, chaîne d'approvisionnement, systèmes).
Ajoutez les mesures 7, 8, 9 et 10 : renforcez vos contrôles opérationnels (hygiène, cryptage, accès, authentification).
Intégrez tout : assurez-vous que votre conseil approuve toutes les mesures (article 20), assurez-vous que vous pouvez signaler les incidents (article 23) et assurez-vous que vos mesures reflètent votre profil de risque (article 21 (1)).
Principaux points à retenir
- Les dix mesures prévues à l'article 21, paragraphe 2, sont obligatoires pour toutes les entités essentielles et importantes : analyse des risques et politiques de sécurité, gestion des incidents, continuité des activités, sécurité de la chaîne d'approvisionnement, développement de systèmes sécurisés, évaluation de l'efficacité, cyberhygiène et formation, cryptographie, ressources humaines et contrôle d'accès, et authentification multifactorielle.
- Chaque mesure doit être adaptée à la taille, au profil de menace et au modèle commercial de votre organisation ; le terme « proportionné » est essentiel : les régulateurs ne vous pénaliseront pas si vous ne mettez pas en œuvre de mesures disproportionnées par rapport à vos risques réels.
- Les mesures sont interconnectées et devraient être mises en œuvre dans le cadre d'un programme intégré ; les mesures 1, 2 et 6 jettent les bases ; les mesures 3, 4 et 5 traitent des dépendances critiques ; les mesures 7, 8, 9 et 10 renforcent les contrôles opérationnels.
- La sécurité de la chaîne d'approvisionnement (mesure 4) est nouvelle et obligatoire dans le cadre du NIS2 ; elle nécessite d'identifier les fournisseurs critiques, d'évaluer leurs pratiques de sécurité, leurs exigences contractuelles et leurs plans d'urgence.
- La mise en œuvre nécessite des politiques documentées, des tests et des évaluations réguliers, des rôles et responsabilités clairs et une intégration avec la gouvernance au niveau du conseil d'administration ; la date limite de conformité du 12 mai 2025 nécessite des mesures immédiates pour combler les lacunes.
