Exigences de la directive NIS2

Simplifiez la conformité NIS2 et assurez une sécurité transparente avec ADSelfService Plus.

Démarrer une évaluation gratuite

Objet de la directive NIS2

La directive NIS2 établit une réglementation de cybersécurité dans toute l’UE, sur la base de la directive NIS (sécurité des réseaux et des systèmes d’information) initiale. Son objectif premier consiste à normaliser les mesures de cybersécurité dans tous les États membres de l’UE, favorisant une approche unifiée pour protéger l’infrastructure numérique. La directive NIS2 vise à harmoniser les actions à travers l’UE pour prévenir la menace croissante des cyberattaques en promouvant des bonnes pratiques et des normes de sécurité cohérentes.

Pour respecter la directive NIS2, les entreprises doivent appliquer les exigences de sécurité exposées dans les sections suivantes.

Nouvelles exigences organisationnelles de la directive NIS2

La directive NIS2 vise à renforcer la résilience de l’UE aux cybermenaces actuelles et nouvelles en fixant de nouvelles normes dans ces quatre domaines principaux :

  • Gestion des risques

    Les entreprises doivent prendre des mesures comme la gestion des incidents, une sécurité stricte de la chaîne logistique, une sécurité réseau renforcée, un meilleur contrôle d’accès et le chiffrement pour atténuer les cyber-risques.

  • Responsabilité de l’entreprise

    La direction de l’entreprise doit superviser, approuver et participer à la formation à la cybersécurité. Si l’équipe de direction ne traite pas correctement les incidents de sécurité, elle risque des sanctions.

  • Obligations d’information

    Les entités essentielles et importantes doivent signaler rapidement les incidents de sécurité majeurs dans les délais de notification précis qu’impose la directive NIS2, comme l’exigence d’alerte précoce sous 24 heures.

  • Continuité d'activité

    L’entreprise doit préparer un plan de continuité d’activité pour les cyberincidents majeurs, couvrant la restauration système, les procédures d’urgence et la mise en place d’une équipe d’intervention.

Dix mesures de sécurité minimales de la directive NIS2

Outre les quatre domaines d’exigences principaux, la directive NIS2 oblige les entités essentielles et importantes à appliquer ces mesures de sécurité minimales contre certaines cybermenaces :

  • Évaluation des risques complète

    L’entreprise doit établir des stratégies d’évaluation des risques et de sécurité adaptées à ses systèmes d’information. Cette évaluation doit analyser en détail les menaces, les vulnérabilités, la sensibilité des données, l’architecture des systèmes et les vecteurs d’attaque.

  • Authentification avancée

    L’entreprise doit prendre des mesures comme la MFA, l’authentification continue et le chiffrement de texte, au besoin.

  • Plan de réponse aux incidents

    Il faut élaborer un plan de réponse aux incidents pour remédier rapidement aux violations de sécurité. Il doit définir des mesures rapides pour prévenir les risques et protéger les ressources sensibles contre un accès non autorisé ou la compromission.

  • Efficacité de la sécurité

    L’entreprise doit établir des stratégies pour évaluer régulièrement l’efficacité de ses mesures de sécurité. Cela comprend des audits de routine pour analyser les protocoles de sécurité, identifier les vulnérabilités et vérifier la fiabilité globale de l’infrastructure.

  • Gestion du contrôle d’accès

    Il faut adopter des procédures de sécurité pour le personnel qui a accès aux données sensibles et des stratégies d’accès aux données. L’entreprise doit garder une vue d’ensemble de toutes les ressources pour s’assurer de leur bonne utilisation et gestion.

  • Stratégies de chiffrement

    Il faut créer des stratégies pour utiliser la cryptographie et le chiffrement pour gérer les données sensibles, donnant des consignes pour protéger les données au repos, en transit ou en cours de traitement.

  • Reprise d’activité

    Il faut établir un plan de sauvegarde et de restauration pour la continuité d’activité en cas d’attaque de sécurité. Il faut effectuer des sauvegardes régulières et établir une stratégie pour gérer l’accès aux systèmes informatiques pendant et après un incident.

  • Mesures de sécurité

    L’entreprise doit veiller à sécuriser l’acquisition, le développement et l’exécution des systèmes et établir des stratégies pour gérer et signaler les vulnérabilités constatées.

  • Gestion des risques de la chaîne logistique

    L’entreprise doit appliquer des mesures de sécurité strictes pour la chaîne logistique, adaptées aux vulnérabilités de chaque fournisseur direct, et évaluer le niveau de sécurité globale de tous les fournisseurs.

  • Formation à la cybersécurité

    L’entreprise doit dispenser une formation à la fois à la direction et aux employés pour améliorer la compréhension de la cybersécurité.

Remplir les exigences de la directive NIS2 avec ADSelfService Plus

Exigence NIS2Description de l’exigenceComment ADSelfService Plus aide à remplir l’exigence
Mesures de gestion des risques de cybersécurité
Article 21.2.gPratiques de cyberhygiène de base et formation à la cybersécurité.ADSelfService Plus étaye une bonne hygiène des mots de passe avec des stratégies fiables et des paramètres sur la longueur des mots de passe, l’emploi de caractères spéciaux, la répétition de caractères et la restriction de modèles courants. Ces paramètres s’appliquent à chaque modification d’un mot de passe d’utilisateur ou réinitialisation, sécurisée avec des méthodes MFA fiables. Un analyseur de force des mots de passe les valide et informe le personnel des règles de complexité, les aidant à comprendre ce qui constitue un mot de passe fort et les invitant à choisir en conséquence.
Article 21.2.iSécurité des ressources humaines, stratégies de contrôle d’accès et gestion des actifs.ADSelfService Plus permet de configurer des conditions pour automatiser les décisions d’accès selon l’adresse IP, la géolocalisation, l’heure et l’appareil utilisé. On peut aussi configurer des paramètres MFA stricts par OU ou groupe AD, garantissant que seuls les utilisateurs autorisés peuvent accéder aux ressources requises après une vérification d’identité réussie.
Article 21.2.jUtilisation d’outils d’authentification MFA ou continue, communication audio, vidéo et texte sécurisée et systèmes de communication d’urgence sécurisée dans l’entité, le cas échéant.ADSelfService Plus offre une solide solution MFA adaptative avec 20 facteurs d’authentification différents, comme les clés FIDO (Fast Identity Online) et la biométrie, pour protéger les identités et les ressources du système. On peut configurer plusieurs facteurs MFA, la validation de tous les facteurs étant obligatoire pour octroyer l’accès.

Stratégies de mots de passe forts et MFA adaptative d’ADSelfService Plus

ADSelfService Plus allie une solution MFA adaptative à des stratégies de mots de passe forts, veillant à bien sécuriser les identités de l’organisation pour un environnement Zero Trust complet. Voici des points forts d’ADSelfService Plus en matière de stratégies de mots de passe et MFA adaptative :

  1. Historique des mots de passe et règles de complexité : renforcez les mots de passe en vérifiant leur historique à la réinitialisation native dans la console Windows ADUC (Utilisateurs et ordinateurs Active Directory). Veillez à ce qu’un mot de passe contienne des majuscules, des minuscules, des caractères spéciaux et des chiffres.
  2. Interdiction des mots de passe faibles : bloquez les mots de passe AD faibles ou divulgués, les modèles et les palindromes.
  3. MFA pour applications et points d’accès : sécurisez l’accès des utilisateurs aux données de l’entreprise en activant la MFA pour points d’accès (machines, applications, VPN, RDP et OWA).
  4. Plusieurs authentificateurs MFA : choisissez parmi 20 authentificateurs MFA différents, comme les clés FIDO, la biométrie et YubiKey, pour vérifier l’identité des utilisateurs.
  5. Configuration facile : simplifiez le processus MFA pour les administrateurs et les utilisateurs avec des options d’inscription rapide, comme la notification par courrier ou directe et l’importation de fichier CSV, et appliquez différentes méthodes selon l’OU ou le groupe des utilisateurs.

Application de stratégies de mots de passe

1
 

Configurez la longueur minimale des mots de passe et l’inclusion de caractères alphanumériques.

2
 

Empêchez les utilisateurs de réutiliser l’un de leurs quatre derniers mots de passe à la création.

3
 

Choisissez le nombre minimal de critères de complexité que les mots de passe d’utilisateur doivent satisfaire selon les besoins de sécurité de l’organisation.

Password policy configuration in ADSelfService Plus

Configurez la longueur minimale des mots de passe et l’inclusion de caractères alphanumériques.
Empêchez les utilisateurs de réutiliser l’un de leurs quatre derniers mots de passe à la création.
Choisissez le nombre minimal de critères de complexité que les mots de passe d’utilisateur doivent satisfaire selon les besoins de sécurité de l’organisation.

MFA

1
 

Sécurisez l’accès des utilisateurs à toutes les applications d’entreprise et les points d’accès du réseau avec la MFA.

2
 

Choisissez parmi 20 authentificateurs différents pour vérifier l’identité des utilisateurs.

MFA authenticators in ADSelfService Plus.

Sécurisez l’accès des utilisateurs à toutes les applications d’entreprise et les points d’accès du réseau avec la MFA.
Choisissez parmi 20 authentificateurs différents pour vérifier l’identité des utilisateurs.

Avantages d’utiliser ADSelfService Plus pour remplir les exigences NIS2

  • Techniques MFA fiables

    Adoptez des techniques de MFA adaptative, comme l’accès conditionnel et les options de confiance personnalisables, pour authentifier les utilisateurs selon leur localisation, adresse IP ou type d’appareil.

  • Flexibilité granulaire

    Appliquez différents paramètres MFA aux utilisateurs ayant des niveaux d’accès variables aux données sensibles de l’organisation selon leurs OU ou groupes.

  • Sécurité des mots de passe renforcée

    Assurez une protection totale contre les cyberattaques avec des stratégies de mots de passe forts qui exigent des phrases secrètes et interdisent les modèles courants.

  • Respect des normes réglementaires

    Respect des normes réglementaires : Veillez à ce que votre entreprise respecte la directive NIS2 mais aussi les normes de conformité NIST SP 800-63B, HIPAA, PCI DSS, CJIS, SOX et le RGPD.

Conformité simplifiée avec la directive NIS2 grâce à ADSelfService Plus

Obtenir une version d’évaluation gratuite

Points forts d’ADSelfService Plus

Mots de passe en libre-service 

Libérez les utilisateurs Windows AD des longs appels à l’assistance en leur offrant des moyens de réinitialisation de mot de passe et de déverrouillage de compte en libre-service.

Authentification multifacteur  

Déployez une MFA contextuelle avec 20 facteurs d’authentification différents pour tous les types de connexion (applications, terminaux, VPN, OWA et RDP).

Identité unique avec l’authentification SSO  

Obtenez un accès facile d’un clic à plus de 100 applications cloud. L’authentification unique (SSO) d’entreprise permet aux utilisateurs d’accéder à toutes leurs applications cloud avec leurs identifiants Windows AD.

Notification d'expiration de mots de passe/comptes  

Avisez les utilisateurs Windows AD de l’expiration imminente de leur mot de passe ou compte via une notification par SMS ou courrier.

Synchronisation des mots de passe  

Synchronisez automatiquement les mots de passe d’utilisateur Windows AD et les modifications de compte entre plusieurs systèmes, notamment Microsoft 365, Google Workspace, IBM iSeries, etc.

Application de stratégies de mots de passe  

Les mots de passe forts défient diverses menaces de piratage. Obligez les utilisateurs Windows AD à créer des mots de passe conformes en affichant les règles de complexité.