Comment un gestionnaire de mots de passe facilite la conformité à NIS2

NIS2 est une extension de la précédente directive européenne sur la cybersécurité, NIS, adoptée en 2016 sous la forme d’un ensemble d’exigences visant à sécuriser les réseaux et les systèmes d’information dans l’UE. NIS2 a été présentée en 2020 et est entrée en vigueur le 16 janvier 2023.

La directive impose aux entreprises identifiées comme opérateurs de services essentiels de mettre en œuvre des mesures appropriées pour renforcer la cybersécurité et respecter leurs obligations légales. NIS2 englobe plusieurs organisations qui ne relevaient pas de la directive initiale, élargissant les secteurs concernés de 7 à 15 afin de protéger encore davantage de domaines vitaux. La liste des entités incluses dans le champ de NIS2 comprend désormais :

• Énergie

• Santé

• Transports

• Finance

• Approvisionnement en eau

• Infrastructure numérique

• Administration publique

• Fournisseurs numériques

• Services postaux

• Gestion des déchets

• Espace

• Alimentation

• Fabrication

• Produits chimiques

• Recherche

En outre, NIS2 renforce les exigences en matière d’application de la cybersécurité, prévoit des règles plus strictes pour le signalement des incidents et impose des sanctions plus sévères en cas de non-conformité. Les autorités compétentes jouent un rôle essentiel dans la supervision de la conformité et la facilitation du signalement des incidents dans les secteurs vitaux de l’économie et de la société. Selon le site officiel, le processus type de conformité à NIS2 prend environ 12 mois, incluant les évaluations de sécurité, les audits, le conseil et la mise en œuvre d’outils.

Alors que l’application s’accélère désormais dans toute l’UE, les organisations subissent une réelle pression pour démontrer leur posture de cybersécurité. L’article 21 a l’impact le plus important, car il concerne la gestion sécurisée des identifiants, une disposition que les auditeurs examinent de près.

Parmi les 45 articles de la directive NIS2, l’article 21 est celui auquel la plupart des organisations consacreront le plus de temps. Il établit les mesures minimales de gestion des risques de cybersécurité que toutes les entités essentielles et importantes doivent mettre en œuvre et être en mesure de démontrer concrètement.

La directive emploie un vocabulaire délibéré : les mesures doivent être « appropriées et proportionnées » en fonction de la taille de l’entité, de son exposition aux risques, ainsi que de la probabilité et de la gravité des incidents. Il s’agit d’une approche fondée sur les résultats, et non prescriptive.

L’article 21(2) énumère dix mesures minimales que chaque organisation concernée doit mettre en œuvre :

• (a) Analyse des risques et politiques de sécurité des systèmes d’information

• (b) Gestion des incidents

• (c) Continuité d’activité — gestion des sauvegardes et reprise après sinistre

• (d) Sécurité de la chaîne d’approvisionnement

• (e) Sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information

• (f) Politiques visant à évaluer l’efficacité des mesures de cybersécurité

• (g) Pratiques de base en matière d’hygiène cyber et formation à la cybersécurité

• (h) Politiques de cryptographie et de chiffrement

• (i) Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs

• (j) Solutions d’authentification multifacteur ou d’authentification continue

L’article 21 est fondé sur les résultats, ce qui signifie que les auditeurs ne se contentent pas d’examiner les documents de politique : ils vérifient si les contrôles sont opérationnels et étayés par des preuves. Trois lacunes sont signalées le plus régulièrement :

• MFA absent ou appliqué de manière incohérente

  Disposer d’une politique d’authentification multifacteur (MFA) n’est pas la même chose que d’imposer la MFA. Les auditeurs recherchent une application au niveau de l’organisation, et non une adoption par des utilisateurs individuels.

• Comptes sur-privilégiés

  Le contrôle d’accès au titre de l’article 21(2)(i) exige que les principes du moindre privilège soient appliqués et documentés.

• Identifiants de service non gérés

  Les clés d’API, les mots de passe de comptes de service et les identifiants partagés qui se trouvent en dehors de tout système géré constituent un constat d’audit récurrent.

Le fil conducteur : les auditeurs vérifient si la sécurité est gérée comme un processus répétable et démontrable.

Le principal problème de la NIS initiale était qu’elle était trop générale, trop vague et dépourvue de capacités d’application viables.

Aujourd’hui, les sanctions en cas de non-conformité sont importantes : les entités essentielles s’exposent à des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial ; les entités importantes jusqu’à 7 millions d’euros ou 1,4 %.

Au début de la pandémie de COVID, de nombreuses entreprises dans l’UE sont passées au télétravail, et il est rapidement devenu évident que la directive NIS initiale n’atteignait pas les objectifs annoncés.

Les auditeurs qui examinent la conformité à l’article 21 ne lisent pas les documents de politique de manière isolée. Ils recherchent des preuves que les contrôles sont appliqués, cohérents et documentés dans toute l’organisation. Les trois lacunes le plus souvent signalées — application incohérente de la MFA, comptes disposant de privilèges excessifs et identifiants non gérés — sont aussi celles qu’un gestionnaire de mots de passe est le mieux placé pour combler.

Bitwarden permet aux organisations d’exiger une connexion en deux étapes dans toute l’organisation grâce à des contrôles de politiques de sécurité d’entreprise. Bitwarden s’intègre également à Duo pour centraliser l’application et la surveillance de la MFA. De plus, les rapports de santé du coffre incluent un rapport sur la 2FA inactive qui met en évidence tous les identifiants stockés sans graine TOTP incluse.

Les contrôles d’accès basés sur les rôles, les autorisations au niveau des collections et les politiques de sécurité par groupe d’utilisateurs permettent aux administrateurs d’appliquer les principes du moindre privilège à chaque identifiant de l’organisation. Les propriétaires d’organisation peuvent également modifier les paramètres des collections afin de restreindre l’accès des administrateurs aux identifiants partagés, garantissant que même les rôles élevés n’ont pas une visibilité globale sur les identifiants sensibles.

Les mots de passe de comptes de service et les identifiants partagés qui se trouvent dans des feuilles de calcul, des fils d’e-mails ou des coffres personnels constituent un angle mort que les auditeurs recherchent spécifiquement. Bitwarden les intègre dans un environnement gouverné et auditable, où l’accès est contrôlé, journalisé et révocable. Bitwarden Secrets Manager apporte également un contrôle de sécurité centralisé aux clés d’API.

Les journaux d’événements de la console admin Bitwarden enregistrent qui a accédé à quels identifiants, quand et depuis où. Les intégrations avec des outils SIEM ou l’utilisation de clés d’API permettent d’ingérer et de traiter ces événements avec les autres mécanismes de surveillance des événements dans l’infrastructure de l’entreprise.

Bitwarden chiffre les données côté client avant qu’elles ne quittent l’appareil de l’utilisateur. L’architecture à divulgation nulle de connaissance et la base de code open source signifient que la mise en œuvre du chiffrement peut être vérifiée de manière indépendante. Le chiffrement est clairement documenté dans le livre blanc sur la sécurité de Bitwarden.

Pour les organisations ayant des exigences strictes en matière de résidence des données, Bitwarden propose un service cloud dédié dans l’UE et une option de déploiement auto-hébergé où les données restent entièrement au sein de votre propre infrastructure.

Les organisations peuvent partager des identifiants avec des fournisseurs grâce aux fonctionnalités de partage sécurisé de Bitwarden Send ou en utilisant le RBAC et en intégrant temporairement un prestataire. Lorsqu’une relation avec un fournisseur prend fin, l’accès est révoqué via la plateforme.

Un gestionnaire de mots de passe soutient directement une culture de sécurité en faisant des mots de passe forts et uniques la solution la plus simple pour chaque utilisateur. De plus, les utilisateurs de Bitwarden Enterprise reçoivent également un compte Familles gratuit afin de pouvoir aussi adopter de bonnes habitudes de sécurité à la maison.

L’application de NIS2 s’accélère dans toute l’UE, et l’article 21 fixe une barre claire : les contrôles doivent être mis en œuvre, appliqués et démontrés par des preuves. Les organisations qui résisteront à l’examen des audits seront celles capables de présenter aux régulateurs une posture de sécurité documentée et opérationnelle, identifiant par identifiant.

Bitwarden apporte aux organisations les deux volets de cette exigence. Les contrôles de politiques de sécurité d’entreprise appliquent la MFA, les autorisations d’accès et les principes du moindre privilège à chaque utilisateur. Les journaux d’événements de la console admin et les intégrations SIEM créent la piste d’audit qui prouve que ces contrôles fonctionnent. Et en tant que plateforme open source avec des options de déploiement cloud dans l’UE et auto-hébergé, Bitwarden répond aux exigences de souveraineté des données des organisations de l’UE.

La conformité n’a pas besoin d’être un projet d’infrastructure long et coûteux. Un gestionnaire de mots de passe est l’un des moyens les plus rapides de combler les lacunes liées aux identifiants que les auditeurs vérifient et de constituer le dossier de preuves qu’ils demanderont à consulter.

Commencez avec un essai gratuit de Bitwarden Business dès aujourd’hui.

Qu’est-ce que NIS2 ?

NIS2 met l’accent sur les processus de gestion des risques de cybersécurité, conçus pour obliger les entreprises à adopter des mesures visant à prévenir ou à atténuer les menaces de cybersécurité. Elle couvre les risques et les mesures liés à l’IA, notamment les tests de cybersécurité, la documentation et les stratégies d’atténuation.

Quelle est la différence entre NIST et NIS2 ?

Contrairement à NIS2, le NIST Cyber Security Framework ne contient pas de liste exploitable. L’utilisation d’un cadre de résilience en cybersécurité spécifique au NIST peut aider les organisations à se préparer à se conformer efficacement à la directive sur la sécurité des informations.

Qu’est-ce que l’acte d’exécution NIS2 ?

La directive NIS2 englobe désormais les entités publiques et privées moyennes et grandes dans davantage de secteurs critiques pour la cyberrésilience.

Que sont les réseaux et systèmes d’information NIS2 ?

NIS2, en tant que législation à l’échelle de l’UE, met l’accent sur des processus de gestion des risques de cybersécurité conçus pour relever le défi d’un paysage de menaces de cybersécurité en constante évolution. Cette conception exige des entreprises qu’elles adoptent des mesures pour prévenir ou atténuer les menaces de cybersécurité. Elle couvre les risques et les mesures liés à l’IA, notamment les tests de cybersécurité, la documentation et les stratégies d’atténuation.

NIS2 couvre beaucoup plus d’organisations qui ne relevaient pas de la directive NIS initiale. Cela inclut les opérateurs de services essentiels dans des secteurs critiques comme la santé, l’énergie et le transport. L’Union européenne vise à harmoniser les mesures et les pratiques de cybersécurité dans l’ensemble de ses États membres.

Elle distingue également les entités essentielles et importantes lors de la définition des exigences.