Directive NIS2 (partie 2) : Exigences en matière d'authentification forte pour les employés des secteurs industriels critiques en Europe
Dans la première partie de cette série de blogs, nous avons donné un aperçu de la directive NIS2. Dans la deuxième partie, nous abordons un aspect spécifique de la directive NIS2, à savoir les exigences et les délais de mise en conformité en ce qui concerne l'authentification forte des employés : Les exigences et les délais de mise en conformité en ce qui concerne l'authentification forte des employés.
Sous les feux de la rampe : L'authentification forte pour le personnel
L'article 21 de la NIS2 traite spécifiquement de l'authentification multifactorielle :
Les mesures [...] sont fondées sur une approche tous risques visant à protéger les réseaux et les systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents, et comprennent au moins les éléments suivants :
- l'utilisation de solutions d'authentification multifactorielle (AMF) ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.
- l'approche "tous risques" signifie que l'organisation doit prendre en compte tous les risques de sécurité possibles dans son évaluation des risques.
En d'autres termes, la NIS2 exige des entreprises qu'elles considèrent l'authentification multifactorielle comme une mesure de sécurité essentielle lors de l'authentification de leur personnel. Les entreprises doivent investir dans des solutions d'authentification multifactorielle pour authentifier les membres de leur personnel lorsqu'ils accèdent à distance au réseau de l'entreprise, se connectent à leur poste de travail, accèdent à des comptes privilégiés, etc.
La norme NIS2 ne fournit pas de définition de l'AMF. Nous pouvons supposer qu'il s'agit d'un mécanisme d'authentification construit à partir d'au moins deux éléments d'authentification issus de trois catégories d'authentification possibles, à savoir la catégorie de possession (quelque chose que seul l'utilisateur possède, comme un jeton matériel), la catégorie de connaissance (quelque chose que seul l'utilisateur connaît, comme un mot de passe ou un code PIN) ou la catégorie d'inhérence (quelque chose que seul l'utilisateur est, ou une caractéristique biométrique telle qu'une empreinte digitale ou un balayage du visage). En outre, le mécanisme doit générer des codes d'authentification uniques et dynamiques.
Du point de vue des meilleures pratiques de sécurité, nous recommandons d'adopter des mécanismes d'AMF résistants au phishing qui offrent une protection totale contre les attaques de phishing. Les méthodes d'authentification résistantes au phishing génèrent des codes d'authentification inutiles pour les fraudeurs et sont généralement mises en œuvre à l'aide de protocoles d'authentification normalisés par l'alliance FIDO.
Calendrier
Le NIS2 est entré en vigueur le 16 janvier 2023. L'étape suivante consiste pour les États membres de l'UE à transposer le NIS2 dans leur législation nationale. Cette transposition devrait être achevée d'ici le 17 octobre 2024. Par conséquent, les entreprises devront se conformer aux exigences du NIS2 à partir du 18 octobre 2024.
À la date de publication de ce blog, seule la Hongrie avait achevé le processus de transposition. D'autres États membres, comme l'Allemagne, la République tchèque et la Belgique, ont publié des projets de loi de transposition. D'autres pays, comme la France, l'Espagne et l'Italie, ont engagé des consultations publiques avec des organisations du secteur industriel.
D'ici le 17 avril 2025, les États membres devront établir une liste des entités essentielles et importantes dans leur pays. Les États membres peuvent permettre aux entités de s'enregistrer elles-mêmes. Par conséquent, les entités devront déterminer si leurs services entrent dans le champ d'application du NIS2, identifier la liste des États membres dans lesquels elles fournissent des services entrant dans le champ d'application et s'enregistrer avant la date limite dans chaque État membre. En Belgique, par exemple, la date limite d'enregistrement devrait être le 18 mars 2025.
Mise en œuvre et sanctions
Les autorités disposent d'un large éventail de mesures d'exécution et de sanctions.
Pour les entités essentielles et importantes, les autorités peuvent imposer des inspections sur place, des audits de sécurité ciblés, des analyses de vulnérabilité technique, etc. Des contrôles aléatoires viennent compléter la liste, ainsi que des audits ad hoc dans le cas des entités essentielles.
Si une infraction est constatée, les autorités peuvent exercer d'autres pouvoirs d'exécution, tels que l'émission d'avertissements, l'imposition d'instructions contraignantes pour prévenir ou remédier à un problème de sécurité, ou l'ordre aux entités de cesser leurs activités. Les autorités peuvent également désigner un agent de contrôle chargé de superviser l'entité jusqu'à ce qu'elle se mette en conformité.
Enfin, les autorités peuvent également imposer divers types de sanctions, telles que la suspension des certifications requises pour opérer, ainsi que des amendes administratives. Ces amendes dépendent du type d'entité :
- Entités essentielles : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé
- Entités importantes : Jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé
Les organes de direction des entités essentielles et importantes peuvent également être tenus personnellement responsables, avec interdiction temporaire d'exercer des fonctions de direction.
Conclusion
Le temps presse pour les entreprises européennes de se conformer aux exigences du NIS2 en matière de cybersécurité. Les entités essentielles et importantes doivent s'y conformer d'ici le 18 octobre 2024.
Pour se mettre en conformité, les entreprises doivent identifier les services, les processus et les actifs critiques qui sous-tendent leur service essentiel. Elles doivent mettre en place un système de gestion de la sécurité de l'information (SGSI) afin d'identifier, de traiter et de surveiller les risques liés à la sécurité de l'information de l'entreprise. Des normes telles que ISO/IEC 27001/27002, le cadre de cybersécurité du NIST (CSF) et CIS 18 peuvent aider les entreprises à établir un cadre de contrôle.
Le NIS2 englobe également l'authentification, en particulier l'authentification multifactorielle pour le personnel des entités couvertes. Les entités essentielles et importantes doivent s'assurer qu'elles équipent leur personnel d'une technologie d'authentification moderne et conviviale pour garantir la conformité à NIS2. Une technologie d'authentification résistante à l'hameçonnage, basée sur les normes FIDO, est un choix naturel.