Comment un gestionnaire de mots de passe facilite la conformité à NIS2

NIS2 est une extension de la précédente directive de l’UE sur la cybersécurité, NIS, adoptée en 2016 sous la forme d’un ensemble d’exigences visant à sécuriser les réseaux et les systèmes d’information dans l’ensemble de l’UE. NIS2 a été présentée en 2020 et est entrée en vigueur le 16 janvier 2023.

La directive impose aux entreprises désignées comme opérateurs de services essentiels de mettre en œuvre des mesures appropriées pour renforcer la cybersécurité et respecter leurs obligations légales. NIS2 englobe plusieurs organisations qui ne faisaient pas partie de la directive initiale, élargissant les secteurs concernés de 7 à 15 afin de protéger encore davantage de domaines vitaux. La liste des entités incluses dans NIS2 comprend désormais :

• Énergie

• Santé

• Transports

• Finance

• Approvisionnement en eau

• Infrastructure numérique

• Administration publique

• Fournisseurs numériques

• Services postaux

• Gestion des déchets

• Espace

• Alimentation

• Industrie manufacturière

• Produits chimiques

• Recherche

En outre, NIS2 renforce les exigences d’application de la cybersécurité, prévoit des règles plus strictes pour le signalement des incidents et impose des sanctions plus sévères en cas de non-conformité. Les autorités compétentes jouent un rôle essentiel dans la supervision de la conformité et la facilitation du signalement des incidents dans les secteurs vitaux de l’économie et de la société. Selon le site officiel, le processus type de conformité à NIS2 prend environ 12 mois et inclut des évaluations de sécurité, des audits, du conseil et la mise en œuvre d’outils.

Alors que l’application s’accélère désormais dans toute l’UE, les organisations subissent une pression réelle pour démontrer leur posture de cybersécurité. L’article 21 a l’impact le plus important, car il concerne la gestion sécurisée des identifiants, une disposition que les auditeurs examinent de près.

Parmi les 45 articles de la directive NIS2, l’article 21 est celui sur lequel la plupart des organisations passeront le plus de temps. Il établit les mesures minimales de gestion des risques de cybersécurité que toutes les entités essentielles et importantes doivent mettre en œuvre et être capables de démontrer en pratique.

La directive emploie un langage délibéré : les mesures doivent être « appropriées et proportionnées » en fonction de la taille de l’entité, de son exposition aux risques, ainsi que de la probabilité et de la gravité des incidents. Il s’agit d’une approche axée sur les résultats, et non prescriptive.

L’article 21(2) énumère dix mesures minimales que toute organisation entrant dans le champ d’application doit mettre en œuvre :

• (a) Analyse des risques et politiques de sécurité des systèmes d’information

• (b) Gestion des incidents

• (c) Continuité des activités — gestion des sauvegardes et reprise après sinistre

• (d) Sécurité de la chaîne d’approvisionnement

• (e) Sécurité lors de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information

• (f) Politiques de sécurité visant à évaluer l’efficacité des mesures de cybersécurité

• (g) Pratiques de base d’hygiène cyber et formation à la cybersécurité

• (h) Politiques de sécurité relatives à la cryptographie et au chiffrement

• (i) Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs

• (j) Solutions d’authentification multifacteur ou d’authentification continue

L’article 21 est axé sur les résultats, ce qui signifie que les auditeurs ne se contentent pas d’examiner les documents de politique de sécurité : ils vérifient si les contrôles sont opérationnels et étayés par des preuves. Trois lacunes sont signalées le plus régulièrement :

• MFA absente ou appliquée de manière incohérente

  Avoir une politique d’authentification multifacteur (MFA) n’est pas la même chose que faire appliquer la MFA. Les auditeurs recherchent une application au niveau de l’organisation, et non une adoption par chaque utilisateur.

• Comptes disposant de privilèges excessifs

  Le contrôle d’accès au titre de l’article 21(2)(i) exige que les principes du moindre privilège soient appliqués et documentés.

• Identifiants de service non gérés

  Les clés API, les mots de passe de comptes de service et les identifiants partagés qui existent en dehors de tout système géré constituent un constat d’audit récurrent.

Le fil conducteur : les auditeurs vérifient si la sécurité est gérée comme un processus reproductible et démontrable.

Le principal problème de la NIS initiale était qu’elle était trop générale, trop vague et dépourvue de moyens d’application efficaces.

Désormais, les sanctions en cas de non-conformité sont importantes : les entités essentielles encourent des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial ; les entités importantes jusqu’à 7 millions d’euros ou 1,4 %.

Au début de la pandémie de COVID, de nombreuses entreprises dans l’UE sont passées au télétravail, et il est vite devenu évident que la directive NIS initiale n’atteignait pas les objectifs annoncés.

Les auditeurs qui examinent la conformité à l’article 21 ne lisent pas les documents de politique de sécurité isolément. Ils recherchent des preuves que les contrôles sont appliqués, cohérents et documentés dans toute l’organisation. Les trois lacunes le plus souvent relevées — application incohérente de la MFA, comptes sur-privilégiés et identifiants non gérés — sont également celles qu’un gestionnaire de mots de passe est le mieux placé pour combler.

Bitwarden permet aux organisations d’exiger la connexion en deux étapes dans toute l’organisation grâce aux contrôles de politiques de sécurité d’entreprise. Bitwarden s’intègre également à Duo pour une application et une surveillance centralisées de la MFA. De plus, les rapports d’intégrité du coffre incluent un rapport sur la 2FA inactive qui signale tous les identifiants stockés sans graine TOTP incluse.

Les contrôles d’accès basés sur les rôles, les autorisations au niveau des collections et les politiques de sécurité de groupe d’utilisateurs permettent aux administrateurs d’appliquer les principes du moindre privilège à chaque identifiant de l’organisation. Les propriétaires d’organisation peuvent également modifier les paramètres des collections afin de restreindre l’accès des administrateurs aux identifiants partagés, ce qui garantit que même les rôles élevés ne disposent pas d’une visibilité totale sur les identifiants sensibles.

Les mots de passe de comptes de service et les identifiants partagés stockés dans des feuilles de calcul, des fils d’e-mails ou des coffres personnels constituent un angle mort que les auditeurs recherchent spécifiquement. Bitwarden les intègre dans un environnement gouverné et auditable, où l’accès est contrôlé, journalisé et révocable. Bitwarden Secrets Manager apporte également un contrôle de sécurité centralisé aux clés d’API.

Les journaux d’événements de la console admin Bitwarden enregistrent qui a accédé à quels identifiants, quand et depuis où. Les intégrations avec des outils SIEM ou l’utilisation de clés d’API permettent d’ingérer et de traiter ces événements avec les autres dispositifs de surveillance des événements dans l’infrastructure de l’entreprise.

Bitwarden chiffre les données côté client avant qu’elles ne quittent l’appareil de l’utilisateur. L’architecture à connaissance nulle et le code open source permettent de vérifier indépendamment la mise en œuvre du chiffrement. Le chiffrement est clairement documenté dans le livre blanc sur la sécurité de Bitwarden.

Pour les organisations ayant des exigences strictes en matière de résidence des données, Bitwarden propose un service cloud dédié dans l’UE et une option de déploiement auto-hébergé où les données restent entièrement au sein de votre propre infrastructure.

Les organisations peuvent partager des identifiants avec des fournisseurs grâce aux fonctionnalités de partage sécurisé de Bitwarden, comme Bitwarden Send ou en utilisant le RBAC et en intégrant temporairement un prestataire. Lorsqu’une relation avec un fournisseur prend fin, l’accès est révoqué via la plateforme.

Un gestionnaire de mots de passe soutient directement une culture de sécurité en faisant des mots de passe forts et uniques la solution la plus simple pour chaque utilisateur. De plus, les utilisateurs de Bitwarden Enterprise bénéficient également d’un compte Families gratuit afin qu’ils puissent aussi adopter de bonnes habitudes de sécurité à la maison.

L’application de NIS2 s’accélère dans toute l’UE, et l’article 21 fixe une barre claire : les contrôles doivent être mis en œuvre, appliqués et démontrés. Les organisations qui résisteront à l’examen des audits sont celles qui pourront présenter aux régulateurs une posture de sécurité documentée et opérationnelle, identifiant par identifiant.

Bitwarden apporte aux organisations les deux volets de cette exigence. Les contrôles de politiques de sécurité d’entreprise appliquent la MFA, les autorisations d’accès et les principes du moindre privilège à chaque utilisateur. Les journaux d’événements de la console admin et les intégrations SIEM créent la piste d’audit qui prouve que ces contrôles fonctionnent. Et en tant que plateforme open source avec des options de cloud dans l’UE et de déploiement auto-hébergé, Bitwarden répond aux exigences de souveraineté des données des organisations de l’UE.

La conformité n’a pas besoin d’être un long et coûteux projet d’infrastructure. Un gestionnaire de mots de passe est l’un des moyens les plus rapides de combler les lacunes liées aux identifiants que les auditeurs vérifient et de constituer le dossier de preuves qu’ils demanderont à consulter.

Commencez avec un essai gratuit de Bitwarden Business dès aujourd’hui.

Qu’est-ce que NIS2 ?

NIS2 met l’accent sur les processus de gestion des risques de cybersécurité, conçus pour obliger les entreprises à adopter des mesures afin de prévenir ou d’atténuer les menaces de cybersécurité. Elle couvre les risques et les mesures liés à l’IA, notamment les tests de cybersécurité, la documentation et les stratégies d’atténuation.

Quelle est la différence entre NIST et NIS2 ?

Contrairement à NIS2, le cadre de cybersécurité du NIST ne contient pas de liste d’actions concrètes. L’utilisation d’un cadre de résilience en cybersécurité propre au NIST peut aider les organisations à se préparer efficacement à se conformer à la directive sur la sécurité de l’information.

Qu’est-ce que l’acte d’exécution NIS2 ?

La directive NIS2 englobe désormais les entités publiques et privées de taille moyenne et grande dans davantage de secteurs critiques pour la cyber-résilience.

Qu’est-ce que la sécurité des réseaux et des systèmes d’information NIS2 ?

NIS2, en tant que législation applicable dans toute l’UE, met l’accent sur des processus de gestion des risques de cybersécurité conçus pour relever le défi d’un paysage des menaces de cybersécurité en constante évolution. Cette approche impose aux entreprises d’adopter des mesures pour prévenir ou atténuer les menaces de cybersécurité. Elle couvre les risques et les mesures liés à l’IA, notamment les tests de cybersécurité, la documentation et les stratégies d’atténuation.

NIS2 englobe beaucoup plus d’organisations que la directive NIS initiale. Cela inclut les opérateurs de services essentiels dans des secteurs critiques comme la santé, l’énergie et les transports. L’Union européenne vise à harmoniser les mesures et les pratiques de cybersécurité dans l’ensemble de ses États membres.

Elle distingue également les entités essentielles et importantes lors de la définition des exigences.