Transposition française de la directive NIS2 – en matière d'identité, quelles sont les mesures attendues ?

Accueil » Blog » Transposition française de la directive NIS2 – en matière d'identité, quelles sont les mesures attendues ?

L'ANSSI travaille depuis plusieurs mois sur la transposition de la directive européenne NIS2 en droit français. Récemment, une première ébauche a circulé sur Internet, initialement mise en ligne par LeMagIT, que plusieurs journaux ont décortiqué.

En attendant la publication d'une version définitive, ce document fournit déjà une perspective importante sur l'approche des autorités dans la mise en place de cette nouvelle loi de sécurisation des systèmes d'informations d'entités « importantes » ou « essentielles » en France.

Nous proposons dans ce blog d'analyser les règles qui y figurent concernant le domaine de l'identité, à savoir, la gestion et protection des identités, des accès et des annuaires.

Les annuaires, « cœur de confiance des systèmes d'informations »

Il s'agit du terme employé dans le document en référence aux annuaires de l'entité. Sans surprise pour les spécialistes familiers avec l'ANSSI. L'année dernière, celle-ci avait déjà publié un guide de recommandations sur l'administration de l'annuaire d'Active Directory (AD), précisant dans son introduction que « Lorsqu'un AD est placé au cœur de l'infrastructure d'un SI (gestions des authentifications, attribution des droits d'accès aux ressources, paramétrage des politiques de sécurité, etc.) il est alors considéré que le SI repose sur l'AD. Dans ce contexte, une compromission de l’AD conduit souvent à une compromission globale du SI. »

Quelques mois plus tard l'Agence Nationale de Santé (ANS) a publié avec des contributions de l'ANSSI le plan d'action CaRE pour les établissements de la santé, selon lequel « l'annuaire technique est […] le principal moyen de propagation, par lequel les attaquants ont obtenu des privilèges élevés, leur permettant d'infliger plus de dégâts ».

En effet, même si un attaquant brèche initialement les systèmes d'informations de ses victimes au moyen de vulnérabilités systèmes ou à travers une campagne d'hameçonnage, cette première compromission entraînera rarement des conséquences dramatiques.

Le défi pour l'organisation est d'empêcher l'obtention et l'exploitation des identifiants d'utilisateurs à privilèges, permettant de s'infiltrer plus largement dans le système d'information et d'extraire des données sensibles :

« Lorsque l'attaquant dispose des droits d'administration sur le cœur de confiance, il est considéré que les systèmes d'information de l'entité […] sont totalement compromis avec des conséquences pour l'entité pouvant aller jusqu'à la nécessité. de reconstruire tout ou une partie de ses systèmes d'information. »

Toute compromission des droits d'administration au système d'information passe essentiellement par les annuaires – principalement Active Directory, mais également Entra ID, Ping, Okta, et ainsi de suite. Dans la version en circulation du document de transposition de la directive NIS2, l'ANSSI exige donc de nombreuses actions visant à renforcer la sécurité des comptes d'administration et des annuaires.

Savoir quoi protéger

L'ANSSI propose ainsi des mesures d'hygiène et de segmentation des systèmes qui sont accessibles et réalisables par toutes les entités concernées, à condition qu'elles y dédient les ressources nécessaires.

Les objectifs #4 et #5 mettent notamment en avant le besoin des entités « essentielles » de cartographier dans un premier temps, et auditer régulièrement par la suite, les systèmes d'informations réglementés et l'écosystème de prestataires. Les entités « importantes » sont exemptées de ces contraintes mais doivent néanmoins maintenir une cartographie de leur écosystème, comprenant notamment les fournisseurs contribuant à leurs activités informatiques et la liste des interconnexions avec leurs systèmes internes.

Une des difficultés courantes affectant le domaine de l'identité relève justement de la pleine visibilité des différents accès qui ont été d'être protégés. Les éléments d'infrastructures les plus anciens, parfois décrits comme « héritage », sont opaques. De même pour les comptes de service et d'accès machines, dont le recensement, les sources et dépendances ne sont pas toujours entièrement connues. A la fois pour les accès internes et externes, il demeure donc difficile de contrôler et tracer les entrées et activités exploitées dans ces ressources.

Ces défis se manifestent également dans des scénarios de fusions et d'acquisitions – courants dans certains secteurs désormais couverts par NIS2 – lorsqu'il s'agit d'unifier deux systèmes d'informations distincts sans que les administrateurs en charge de la tâche ne soient parfaitement familiers avec les ressources désormais sous leur responsabilité. Des audits réguliers seront ainsi nécessaires dans le cadre de fusions-acquisitions pour éviter tout risque d'incorporer du « ombre IT », des systèmes non recensés, dans l'infrastructure d'une entité qui la rend non conforme.

L'objectif 7 concernant le patcher de vulnérabilités affectent tous les logiciels ou systèmes. Dans le périmètre de l'identité, les principaux coupables seront les organisations utilisant encore des vieilles versions d'Active Directory ou des applications employant des protocoles faibles, notamment du NTLMv1 ou du LDAP non-chiffré. Heureusement, il existe des solutions – certaines gratuites – permettant d'identifier ce type de faiblesses, de les supprimer progressivement ou d'ajouter des contrôles de sécurité tels que l'accès conditionnel ou l'authentification multifacteur.

Hygiène et hiérarchisation

Les articles les plus pertinents sur la sécurisation des identités et des accès interviennent dans les objectifs 9, 10, 13, 14, 15, 16. Ces articles réitèrent des bonnes pratiques déjà bien connues, les restitutions obligatoires : désactiver rapidement les comptes d'anciens employés ; changer régulièrement les mots de passe ; respect du principe des moindres privilèges ; éviter les comptes partagés…

Dans les objectifs 9, 14, 15, et 16, la segmentation des ressources et des accès en tiers figure de manière importante. L'ANSSI exige l'utilisation exclusive de comptes d'administration pour les actions d'administration, et des mesures assurant « la traçabilité des actions d'administration réalisées ». Elle durcit même davantage ces attentes pour les entités « essentielles », pour lesquelles les actions d'administration doivent être réalisées à partir d'un système d'information et de postes de travail dédiés à cet effet.

La même dynamique concerne la chaîne de sous-traitance, les prestataires et fournisseurs, qui s'authentifient aux systèmes d'informations des entités concernées à travers des accès à distance. Ces accès doivent désormais être protégés par un mécanisme d'authentification monofacteur à minima, et multifacteur pour les entités « essentielles ».

Pour les authentifications Active Directory, ces efforts sont particulièrement critiques, puisque ces accès ne bénéficient pas nativement des contrôles courants comme le MFA adaptif ou l'accès conditionnel. Parmi les mesures réalisables sans recours à une plateforme commerciale, par conséquent, ces efforts de cloisonnement et le respect de l'intégrité des Tiers 0 et 1 (pour les organisations qui ont adopté le modèle préconisé par Microsoft) sont en effet essentiels pour fermer la porte aux attaques.

Les comptes de service poseront également des problèmes les plus importants. Malgré le fait que le document n'y fait pas référence, les articles concernant les « processus automatiques » dans l'objectif 13 recouvrent certainement ces accès. Toutes les entités devront donc s'assurer que ces comptes soient exclusivement utilisés pour accomplir des fonctions bien définies, et empêcher leur détournement pour accomplir d'autres tâches. Si leurs mots de passe ne peuvent être modifiés régulièrement, il faudra également mettre en œuvre d'autres contrôles d'accès.

Des failles et faiblesses inquiétantes

Sur certaines questions, on peut se demander pourquoi l'ANSSI ne va pas plus loin dans sa transposition de NIS2. En ce qui concerne le MFA, par exemple, le texte original de la directive européenne exige « l'utilisation d'authentification multifactorielle ou de solutions d'authentification continue […] dans l'entité, où approprié ». Ces deux derniers mots peuvent nécessairement mener à des interprétations plus ou moins strictes.

L'ébauche actuelle de la transposition française adopte une position peu contraignante. Pour les entités « importantes », aucune clause n'impose le MFA. La mise en place d'un mécanisme d'authentification avec mot de passe suffit pour demeurer conforme. Même dans le cadre de protection des accès privilégiés, on s'étonne de ne pas voir le MFA imposé en plus des exigences de segmentation en tiers et de traçabilité des actions. Une telle mesure aurait été alignée avec l'esprit de la directive européenne et des exigences des cyberassurances.

Ce manquement apparaît d'autant plus surprenant en ce qui concerne les entités « essentielles », pour lesquelles le MFA n'est exigé que pour les accès distants à travers un système d'information tiers – par exemple, pour les prestataires externes. Qu'en est-il d'autres accès privilégiés, par exemple, pour protéger les ouvertures de session de comptes d'administrateurs de domaine ? Selon Microsoft, le MFA peut bloquer 99,9% des attaques – pourquoi ne pas imposer plus fermement son application dans nos structures critiques ?

La version actuelle se veut clairement réaliste et accessible. Dans une dizaine de cas, l'ANSSI envisage donc des mesures alternatives « lorsque des raisons techniques ou opérationnelles ne permettent pas » la mise en œuvre de la directive initialement envisagée. Ainsi une organisation qui ne peut, par exemple, mettre en place le MFA sur les accès distants (objectif 9), changer les mots de passe (objectif 13), créer des comptes individuels pour les utilisateurs ou les tâches automatiques (objectif 13), ou réaliser des actions d'administration à partir d'un compte d'administration (objectif 14) peut néanmoins demeurer conforme à condition de trouver d'autres moyens de mitiger les risques associés.

Il est évident que certaines de ces directives peuvent s'avérer techniquement difficiles, voire parfois impossibles. Malheureusement, de nombreuses organisations prennent ce type de réglementations à la légère – il s'agit simplement de cocher des cas plutôt que de réduire véritablement les risques d'attaques. Le nombre d'exceptions ou de dérogations possibles semble donc surprenant, et risque de laisser la porte ouverte à de futures attaques au sein d'entités moins scrupuleuses. Il est donc dommage que l'ANSSI n'ait pas décidé de durcir davantage certaines de ces exigences.

Conclusion

On se réjouit de voir cette première ébauche prendre forme plusieurs mois avant la date butoir imposée par la directive européenne. Cela donnera aux organisations concernées une première idée des projets à prioriser.

Il est évident que les mesures imposées, notamment pour les entités « essentielles », contribueront à moderniser et renforcer la sécurité autour des infrastructures critiques. Dans un contexte géopolitique toujours plus incertain, la France et l'Europe doivent impérativement se prémunir contre les menaces d'attaques débilitantes. D'autant plus que certains organismes à l'échelle nationale, notamment dans le secteur public, ont un niveau de maturité cybersécurité alarmant.

Heureusement, plusieurs sociétés et organismes ont déjà pris des mesures se conformant aux attentes du document circulé par l'ANSSI. Les participants aux Assises de la Cybersécurité ces dernières années auront, par exemple, constaté un grand nombre de participants mettant déjà en œuvre au sein de leurs structures de projets de hiérarchisation et bastion. Même si ces exemples sont plus courants au sein du secteur privé que public, on peut espérer que les retours d'expérience et l'expertise ainsi accumulées profiteront à l'ensemble des infrastructures du pays.

Commentaires Silverfort peut aider à la mise en conformité NIS2 ?

Silverfort peut aider à la mise en conformité avec ces directives. En 1 mois à peine, et sans nécessiter de lourdes modifications dans votre infrastructure, notre plateforme peut :

  • Objectif 5 :
    • Recenser rapidement l'ensemble des accès et privilèges au sein des annuaires, y compris les sources et dépendances de chaque authentification
    • Effectuer un recensement complet des comptes de service et comptes hybrides
  • Objectif 9 :
    • Identifier rapidement les comptes à privilèges préalables à la segmentation en zones de sécurité
  • Objectif 10 :
    • Protégez vos accès distants (RDP, RDS, SSH, PowerShell, PsExec, WMI) avec une solution MFA de votre choix (compatible avec Microsoft Authenticator, Ping, Duo, Okta, clés Yubico ou autres jetons FIDO2)
  • Objectif 13 :
    • Identifier les comptes possédant des privilèges excessifs, les accès employant des vieux mots de passe
    • Alerter ou bloquer toute tentative d'accès en provenance d'un compte de service qui dévie de son comportement habituel
    • Journaliser les accès dans l'intégralité des annuaires
  • Objectifs 14 et 15 :
    • Etendre le MFA à l'ouverture de session sur les postes de travail d'administrateurs
    • Alerter ou bloquer les tentatives d'accès qui ne respectent pas les règles de segmentation par niveaux, par exemple, entre le tier 1 et le tier 0
    • Alerter ou bloquer les tentatives de contournement de bastion, par exemple, par l'intermédiaire d'un compte de service
  • Objectif 16 :
    • Journaliser les authentifications d'humains et de machines dans l'intégralité des annuaires, comprenant leurs sources et destinations


Pour en savoir plus sur la façon dont Silverfort peut vous aider à relever vos défis en matière de sécurité de l'identité, demandez une démo ici.

Arrêtez les menaces sur l'identité