L’accent sur l’identité dans la transposition belge de NIS2

Table des matières

Partager cet article:

La Belgique fut le premier pays européen à transposer la directive NIS2 en droit national, en passant la « Loi NIS2 » au mois d’Avril. Ils se distinguent ainsi positivement de leurs voisins français, néerlandais, et allemands, tous en retard dans le processus de transposition dû aux remous politiques secouant leurs gouvernements.

En parallèle, le CCB (Center for Cybersecurity Belgium), l’autorité nationale veillant sur l’application de cette loi, a rendu public le cadre CyberFundamentals sur son site dédié, Safeonweb@work. Celui-ci expose en détails et de manière pratique les mesures de sécurité à mettre en œuvre dans le cadre de la mise en conformité NIS2, en fonction de la taille des organisations et de leur importance dans les secteurs critiques.

Ayant passé en revue les recommandations du CCB, cet article analyse les principales mesures liées au domaine de l’identité numérique que les entités belges « essentielles » et « importantes » devront mettre en œuvre. Nous surlignerons également comment Silverfort pourra aider ces organisations dans les projets de mise en conformité.

Dans sa démarche, le CCB s’inspire principalement du cadre de cybersécurité NIST CST, qui structure les fondamentaux de la cybersécurité autour de 5 piliers : identifier, protéger, détecter, répondre, et rétablir. La loi NIS2 exige un investissement dans chaque pilier proportionnel à la taille et à la criticité des organismes. On retrouve également de nombreuses références aux normes ISO 27001/27002, qui établissent des mesures efficaces dans la conception et l’amélioration continue de la sécurité des systèmes d’informations. Ces normes sont en effet reconnues et respectées dans le monde entier, et constituent un socle robuste pour tout organisme souhaitant renforcer sa posture de sécurité informatique.

Protection Exigences de NIS2

Chacun des cinq piliers du cadre NIST touche en théorie au domaine de l’identité. Dans les recommandations du CCB, cependant, les chapitres sur la protection et détection sont clairement les plus pertinents. Le premier contient d’ailleurs une section entière (PR.AC) consacrée à la gestion des identités, à l’authentification et aux contrôles d’accès. Tout spécialiste de l’identité trouvera ici les principales mesures misent en avant en ce qui concerne la sécurité des annuaires et des utilisateurs.

Il vaut la peine de souligner par ailleurs qu’au seuil « basique », s’appliquant à toutes les entreprises sans distinction de taille ou de criticité, plus de la moitié des mesures « clés » (dans l’annexe A du document publié sur Safeonweb@work) proviennent justement de la section PR.AC consacrée à l’IAM. C’est ainsi dire l’importance accordée à l’identité dans le cadre de la sécurisation des systèmes d’information.

On retrouve donc dans les mesures exigées pour toutes les entités assujetties à NIS2 :

  • Gestion appropriée des utilisateurs et des informations d'identification, englobant la fourniture et la révocation des droits d'accès, des audits réguliers et une gestion rigoureuse protocoles d'authentification sur les systèmes critiques et détection de comportements suspects (PR.AC-1).
  • La sécurisation des accès distants et des applications SaaS avec une authentification multi-facteur (PR.AC-3).
  • L’application du principe de moindre privilège dans l’allocation de permissions, notamment pour les accès aux ressources sensibles ou critiques, et la séparation des comptes personnels et administratifs (PR.AC-4).
  • La sécurisation des réseaux et la segmentation éventuelle de systèmes critiques (PR.AC-5).

Des exigences supplémentaires s’ajoutent pour les organismes atteignant le seuil « important » ou « essentiel » dans la nomenclature de la loi belge (annexes B et C), notamment des mesures d’identification et de gouvernance des accès distants (PR.AC-3) et la surveillance plus stricte des flux de connexions et de communications au sein des réseaux où se situent les systèmes critiques de l’organisation (PR.AC-5). Enfin, au niveau de sécurité « essentiel » uniquement, le CCB exige en plus une évaluation des risques posés par chaque accès et la mise en place de contrôles proportionnels (PR.AC-7).

Qu’est-ce que ces mesures impliquent, concrètement ? La réponse est complexe, variant en fonction de la taille et du niveau de criticité des opérations de l’entité. Mais dans l’ensemble, l’approche belge dans cette transposition de NISXNUMX demeure peu contraignante, et se satisfait d’outils déjà couramment adoptés au sein d’environnements informatiques (plateformes IAM , pare-feu, MFA). Des investissements supplémentaires seront probablement nécessaires pour les organismes essentiels utilisant des systèmes hérités (« légacy »), souvent non-compatibles avec les outils de sécurité modernes. À part cela, seules les sociétés les moins matures d’un point de vue cybersécurité devront réellement investir dans de nouveaux outils.

Au-delà de la section PR.AC, plusieurs autres articles dans le pilier « Protection » exigent la mise en œuvre de politiques d’accès, afin d’assurer par exemple la sécurisation des données au repos (PR.DS-1), la prévention contre la perte ou le vol des actifs de l’organisation (PR.DS-3) ou la fuite de données (PR.DS-5). Il est également recommandé le réaliser des audits réguliers des annuaires – l'Active Directory étant mentionné spécifiquement (PR.DS-5) – pour détecter les mauvaises configurations de privilèges pouvant inviter à l’escalade de privilège et créer des parcours d’attaque.

Enfin, la mise en place de mécanismes renforçant l’intégrité des systèmes critiques (PR.DS-6) et protégeant les risques liés à la télémaintenance (PR.MA-2) impliquent probablement le déploiement de bastions d’administration pour enregistrer les sessions et durcir les accès aux ressources privilégiées.

Détection Exigences de NIS2

Le pilier « détection » du cadre CyberFundamentals comporte également plusieurs articles touchant au domaine de l’identité. Sans surprise, ceux-ci reflètent assez clairement les recommandations énoncées dans le pilier « Protection ».

On constate que la collection et corrélation des données d’événements (DE.AE-1 et 3) apparaissent parmi les mesures « clés » qui s’appliquent à toutes les entités assujetties à NISXNUMX. Ces données doivent notamment inclure la surveillance des accès physiques et les rapports d’activités d’utilisateurs et d’administrateurs au sein des systèmes critiques.

En plus de la simple collection des données, des mesures de détection figurent dans l’article DE.CM-1 pour les connexions locales, réseau, et à distance aux systèmes critiques. En plus d’outils pare-feu et anti-virus mentionnés explicitement dans le document, la logique appliquée par le CCB pourrait justifier le déploiement de solutions de détection et réponse unifiée (EDR/XDR/ITDR), dont la portée s’étend également aux contrôleurs de domaine.

La surveillance du personnel et des prestataires (DE.CM-XNUMX, DE.CM-XNUMX, et DE.CM-XNUMX) s’applique sur la couche des terminaux, des réseaux, et également de l’identité, à travers la veille des points d’accès. Ces mesures reflètent les exigences mises en avant précédemment dans le cadre de la protection contre les activités dangereuses (PR.DM et PR.MA), veillant à bloquer les fuites de données ou l’atteinte à leur intégrité.

Comment Silverfort aide à la conformité NIS2 ?

Silverfort peut aider à la mise en conformité avec ces directives. En 1 mois à peine, et sans nécessiter de modifications lourdes dans votre infrastructure, notre plateforme peut :

  • PR.AC-1 :
    • Identifier les comptes partagés
    • Identifier les comptes inactifs
    • Identifier les comptes dont les mots de passe n’ont pas été modifiés
    • Protéger les accès aux systèmes critiques, même on-premise, avec du MFA (compatible avec Microsoft Authenticator, Ping, DuoOkta, clés Yubico ou autre tokens FIDOXNUMX) ou des politiques dynamiques basées sur le risque

SilverfortL'écran ITDR détecte un Administrateur fantôme, mettant en évidence les risques cachés d’accès privilégiés en temps réel.
  • PR.AC-3 :
    • Alerter ou bloquer toute tentative d’accès atypique à distance
    • Protéger les accès distants (RDP, SSH), interfaces en ligne de commande (Powershell, PsExec, WMI), et les applications SaaS ou on-prem avec du MFA
  • PR.AC-4 :
    • Identifier et surveiller tous les comptes génériques et partagés
    • Identifier et surveiller chaque authentification aux fichiers, serveurs, logiciels, bases de données, etc. même on-premise
    • Identifier et surveiller tous comptes privilégiés, y compris les administrateurs fantômes et les administrateurs de domaine
    • Détecter et/ou bloquer toute authentification violant les principes de tiering Active Directory (comme l’utilisation de comptes personnels pour des tâches administratives, ou vice-versa)
    • Mettre en place des politiques d’accès aux comptes et outils d’administration prenant en compte des facteurs géographiques, temporels (horaire ou dates spécifiques), ou comportementaux

  • PR.DS-5 :
    • Établir des politiques granulaires limitant les droits d’accès aux systèmes ou applications critiques, même on-premise
    • Surveiller et bloquer les accès malveillants aux systèmes critiques, même on-premise
    • Audit Active Directory pour détecter les dérives de privilèges et les erreurs de configuration
  • PR.DS-7 :
    • Bloquer les authentifications violant l’intégrité des environnements de développement ou de production
    • Restreindre les privilèges des comptes administratifs à des environnements ou des applications spécifiques

Exemple de politique visant à bloquer les mouvements latéraux en implémentant le moindre privilège pour la gestion à distance des serveurs Application X dans PROD. 
  • PR.MA-2 :
    • Surveiller et restreindre les droits d’accès des prestataires externes à des applications ou des environnements spécifiques
    • Bloquez toute tentative de contournement des comptes de prestataires ou partenaires ou tout comportement déviant de leur activités habituelles

Exemple de politique dans Silverfort pour déclencher l'authentification multifacteur avec les comptes de niveau 1 pour accès à distance
  • DE.AE-1 :
    • Compiler l’ensemble des logs d’authentifications passant par l’Active Directory, y compris leurs sources, destinations, protocoles, et horodatage
    • Calculer un score de risque dynamique pour chaque compte et authentification dans l’Active Directory
  • DE.CM-1 :
    • Détecter et bloquer toute authentification non-autorisée passant par l’Active Directory ou tout autre annuaire reconnu (PAM et Bastion, Entra ID, Okta, Ping…)
    • Détecter et alerter en cas de présence humaine ou comptes de service afficher un comportement inhabituel

  • DE.CM-7 :
    • Détecter et bloquer tout accès par du personnel non-autorisé aux systèmes essentiels
    • Détecter et bloquer tout accès par des logiciels non-autorisés aux systèmes essentiels

Conclusion : aller au-delà des exigences ?

Très souvent, le cadre CyberFundamentals suggère également des mesures supplémentaires censées contribuer à la sécurité des systèmes d’information (« envisagez », « considérez »…) sans pour autant les rendre obligatoires. Il omet également des règles d’hygiène ou de sécurité assez simples auxquelles d’autres autorités, comme l'ANSSI en France, semblent avoir accordé plus d’importance.

Dans cette catégorie, nous mentionnons par exemple la segmentation des systèmes d’information critiques ou des utilisateurs. Le CCB exige certes la séparation des comptes personnels et administratifs (PR.AC-4), de sorte que les comptes à privilèges ne soient pas utilisés pour réaliser des tâches mondaines, et également le cloisonnement réseau des systèmes critiques (PR.AC-5). Mais il n’impose pas l’utilisation de postes de travail ou de systèmes d’exploitation dédiés aux actions administratives, mesure souvent préconisée pour éviter les attaques de type Pass-the-Hash.

Autre exemple : le CCB recommande le recours à des comptes de service pour réaliser les processus automatiques (PR.AC-1), sans pour autant interdire l’opération de processus automatiques depuis des comptes d’administration humains ou la désignation exclusive de ces comptes de service pour les processus automatiques qui leur sont assignés.

Certains verront dans ces omissions une occasion ratée pour la Belgique, notamment pour les entités « essentielles », laissant quelques portes ouvertes aux futures attaques que cette loi NISXNUMX aurait pu adresser. Dans sa démarche, le CCB a clairement tenté de peser les bénéfices en termes de sécurité contre le poids financier et opérationnel que nécessite chaque décision. Le résultat demeure robuste, et permettra clairement de hausser le niveau de sécurité d’un grand nombre d’organisations donc la maturité laisse à désirer. Il ne prémunira pas, cependant, contre les attaques plus sophistiquées qui se multiplient d’année en année.

Vous voulez en savoir plus sur la façon dont Silverfort peut vous aider à aborder les aspects de sécurité des identités de NIS2 ?  Planifier un appel avec l'un de nos experts ou remplissez ce formulaire pour un devis.

Nous avons osé pousser la sécurité des identités plus loin.

Découvrez ce qui est possible.

Configurez une démo pour voir le Silverfort Plateforme de sécurité des identités en action.

Démo