Pour atteindre la conformité NIS2, la sécurité des identités joue un rôle crucial. Cinq des dix exigences peuvent ainsi être satisfaites. La sécurité de l’identité est donc également mentionnée comme un outil important dans les meilleures pratiques établies par l’UE. SailPoint.
Le 17 octobre 2024 est la date d’entrée en vigueur de la politique NIS2. Si les entreprises n’ont pas encore commencé à le mettre en œuvre, c’est le moment.
Analyse des risques et sécurité des systèmes d'information
Le concept de sécurité des systèmes d'information doit contenir des règles d'identité, telles que
- l'utilisation de comptes nommés par opposition aux comptes généraux ;
- contrôler les comptes privilégiés ;
- l'application des principes du moindre privilège et du zéro confiance ;
- Identifier de manière proactive les personnes ayant un accès à risque et qui constituent une menace pour l'organisation.
La séparation des tâches (SOD) joue également un rôle important dans le contrôle et la prévention des risques commerciaux. L'efficacité de ces règles doit être mesurée en termes de réduction des risques. La sécurité des identités donne un aperçu de la réalité de l'accès informatique et des outils permettant de détecter et de corriger les écarts de politique.
Sécurité de la chaîne d'approvisionnement
Un autre aspect important de NIS2 est la sécurité de la chaîne d’approvisionnement. Les entreprises sont de plus en plus menacées indirectement par des attaques contre l'identité de non-employés tels que les fournisseurs, les vendeurs, les partenaires, les sous-traitants et autres. Une attaque réussie contre un fournisseur peut compromettre l’entreprise elle-même et, dans certains cas, la rendre incapable d’agir. Ce type d’attaque sur la chaîne d’approvisionnement devient plus courant que les attaques de logiciels malveillants ou de ransomwares et doit être pris très au sérieux. Il est essentiel de gérer et de protéger toutes les identités, y compris celles des prestataires de services, fournisseurs, consultants ou partenaires. Il est toujours important de s’assurer que vous n’avez accès qu’aux ressources dont vous avez besoin, au bon moment.
Efficacité des mesures de gestion des risques
Les organisations ont souvent du mal à évaluer l’efficacité de leurs mesures de sécurité ou à identifier les vulnérabilités qui persistent malgré ces mesures. De nombreuses personnes ont du mal à révoquer immédiatement l'accès à leurs employés lorsqu'ils changent de rôle ou quittent l'entreprise. La Commission européenne recommande aux opérateurs d’infrastructures critiques de mettre en œuvre des stratégies de confiance zéro et une gestion des identités et des accès. De telles approches impliquent que les parties autorisées n'aient accès qu'aux systèmes les plus nécessaires - et avec les droits les plus bas possibles. Cela peut être essentiel pour gérer l’accès des partenaires et des entrepreneurs.
Cyberhygiène de base
Pour garantir une solide cyber-hygiène, les entreprises doivent avoir une vue d’ensemble de tous leurs matériels et logiciels – et de qui peut y accéder. Cela inclut également l’hygiène des mots de passe. Pour éviter que les employés n'utilisent le même mot de passe pour tous les comptes, les entreprises peuvent s'appuyer sur la gouvernance des identités : cela garantit un accès automatisé à un environnement informatique en constante évolution et en constante évolution tout en réduisant les risques potentiels de sécurité et de conformité.
La politique NIS2 exige également que les salariés, les partenaires et toutes les personnes au sein de l’entreprise soient formés et sensibilisés à la cybersécurité. Selon un rapport d'IDC sur la mise en œuvre de NIS2, les trois quarts des entreprises européennes (72 %) doivent encore travailler à proposer leur formation en cybersécurité.
Contrôle d'accès et gestion des actifs
La directive NIS2 fait également référence à la « sécurité du personnel ». Il s’agit d’un domaine très vaste, mais cela montre également que la gestion des utilisateurs est un aspect important de la cybersécurité. Le ciblage des utilisateurs est une méthode centrale pour les cybercriminels. Le contrôle d'accès basé sur les rôles - des identités humaines et machines - utilise différentes ressources et niveaux d'autorisation pour le rôle de l'utilisateur respectif. Cela permet aux entreprises d’adopter une approche de gouvernance des identités dans laquelle les politiques sont développées et mises en œuvre de manière proactive à l’aide de l’IA et du ML. Dans le même temps, le contexte de l'utilisateur et de la ressource consultée peut également être inclus. Cela simplifie la charge de gestion pour les équipes informatiques et de sécurité et peut garantir que les vulnérabilités sont atténuées avant que les cybercriminels ne puissent les exploiter.
« Des informations en temps réel sur l'accès des utilisateurs peuvent créer des indicateurs avancés de l'état de sécurité des identités. Cela est particulièrement vrai pour les comptes sans propriétaire ou partagés, les comptes non désactivés ou ceux dotés de privilèges élevés. Cela aide également à gérer les droits inutilisés et les accumulations de droits d'accès qui peuvent être préjudiciables à l'entreprise », déclare Klaus Hild, stratège principal en matière d'identité chez SailPoint. « Cela permet d’identifier les situations à haut risque et de prioriser les mesures correctives. Et l’utilisation de l’IA permet de générer des informations supplémentaires et des suggestions spécifiques de mesures correctives. Le résultat est des temps de réponse nettement plus courts et un niveau de sécurité globalement plus élevé. Si l’on en sait davantage sur la réalité de l’accès, de meilleures décisions en matière de sécurité informatique pourront être prises.
Plus sur SailPoint.com
À propos de Sail Point
SailPoint est un leader de la sécurité des identités pour l'entreprise moderne. La sécurité d'entreprise commence et se termine par les identités et l'accès à celles-ci, mais la capacité de gérer et de sécuriser les identités dépasse désormais largement les capacités humaines. Alimentée par l'intelligence artificielle et l'apprentissage automatique, la plate-forme de sécurité des identités SailPoint offre le bon niveau d'accès aux bonnes identités et ressources au bon moment.