SlideShare une entreprise Scribd logo

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?

Identity Days
Identity Days

Une conférence proposée par Hervé Thibault & Sylvain Cortès Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ? Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024. Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.

Technologie
1  sur  23
Télécharger pour lire hors ligne
24 octobre 2023 - PARIS 5ème édition @IdentityDays #identitydays2023
24 octobre 2023 - PARIS Identity Days 2023 Directive européenne NIS 2 : Etes-vous concerné ? Comment s’y préparer ? Sylvain CORTES VP of Strategy @Hackuity Hervé THIBAULT Chief Strategy Officer & Metsys
• NIS 2 pour les (pas trop) nuls … • C’est quoi ? (la génèse) • Qui est concerné (la taille compte ?) ? • Quelles obligations ? • Quelles sanctions ? • Comment vous préparer pour NIS 2, sous un angle identité (parce que c’est le thème de la journée ☺) • Long is the road to secure Identity ! • AD Threat Resistance • AD évolue • Entra Threat Resistance AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023
NIS 2 pour les (pas trop) nuls … Identity Days 2023 24 octobre 2023 - PARIS
Identity Days 2023 24 octobre 2023 - PARIS C’est quoi ? (La génèse) • En quelques années, la menace s’est accrue de manière « exponentielle » ▪ Nécessité de renforcer et élargir le scope initial de NIS 1 – Plus prescriptif, plus d’entités concernées ▪ Fin 2020 – Proposition de la commission européenne d’une révision • NIS1 (2016 / 2018) est une directive européenne ▪ Objectif : Harmoniser la cybersécurité à un niveau élevé dans l'Union Européenne ▪ En France : env. 300 entités « Opérateurs de Services Essentiels » (OSE) à date - Désignés par arrêté de la Première Ministre en concertation avec les ministères de tutelle 15 000 / NIS 1 → Plusieurs centaines de milliers / NIS 2 (au niveau européen)
Identity Days 2023 24 octobre 2023 - PARIS C’est quoi ? • D’où … NIS 2 (2022 / 2024), qui regroupe des mesures visant à garantir un haut niveau commun de cybersécurité pour les états membres de l’Union telles que : ▪ La préparation des États membres, en exigeant qu'ils disposent des équipements appropriés – Par exemple : ▪ Une équipe de réponse aux incidents de sécurité informatique (CSIRT), ▪ Une autorité nationale compétente en matière de systèmes d'information et de réseaux ▪ La mise en place d’un groupe pour soutenir et faciliter la coopération stratégique et l'échange d'informations entre eux ▪ La définition d’une culture de la sécurité dans les secteurs essentiels de notre économie et de notre société qui dépendent fortement des technologies de l'information et de la communication ▪ On parle échéance ? ▪ Chaque état membre a 21 mois pour transposer la directive en droit local En France : H2 2024 au plus tard (c’est-à-dire demain !) (Des travaux sont en cours pour rédiger les lois avec les conseils de l’ANSSI)
Identity Days 2023 24 octobre 2023 - PARIS Qui est concerné ? • Secteurs hautement critiques ▪ Energie – Electricité, pétrole, gaz ▪ Transports – Aériens, ferroviaires, routiers, par eau ▪ Secteur bancaire ▪ Infrastructures des marchés financiers ▪ Santé ▪ Eau potable / Eaux usées ▪ Gestion des services TIC (inter-entreprises) ▪ Administration publique (centrales et régionales) ▪ Espace ▪ Infrastructure numérique - Fournisseurs de points d’échange internet, de services DNS, de services d’informatique en nuage, de services de centres de données, de réseaux de diffusion de contenu, de réseaux de communications électroniques publics, de services de communications électroniques accessibles au public, prestataires de service de confiance • Autres secteurs critiques ▪ Services postaux et d’expédition ▪ Gestion des déchets ▪ Fabrication, production et distribution de produits chimiques ▪ Production, transformation et distribution des denrées alimentaires ▪ Fabrication - Dispositifs médicaux, produits informatiques, électroniques et optiques, équipements électriques, construction de véhicules automobiles, et autres matériels de transport ▪ Fournisseurs numériques - Fournisseurs de places de marché en ligne, de moteurs de recherche en ligne, de plateformes de services de réseaux sociaux ▪ Recherche Cas Particulier des COLLECTIVITES TERRITORIALES / « Secteur public » NIS 2 offre la possibilité de les inclure, mais pas encore de certitude à ce jour (l’ANSSI constate le niveau de menace élevé sur les collectivités et préconise en conséquence leur inclusion dans le périmètre NIS 2)
Identity Days 2023 24 octobre 2023 - PARIS La taille compte ? • Toutes les entités de taille moyenne et supérieure (cf. Article 2 de l’Annexe à la Recommandation de la Commission 2003/361/EC) opérant dans les secteurs et pour les activités présentées précédemment devront se conformer à NIS 2 • Pour les secteurs suivants, NIS 2 s’applique sans limite de taille : ▪ Fournisseurs de réseaux de communications électroniques publics ▪ Fournisseurs de services de communications électroniques accessibles au public ▪ Prestataires de services de confiance ▪ Registres de noms de domaine de premier niveau ▪ Fournisseurs de services DNS ▪ Les Etats Membres pourront aussi intégrer certaines petites et micro- entités qui auraient un rôle clé pour la société, l’économie ou pour certains services ou secteurs particuliers. Ou Nb employés ≥ 50 CA / Bilan annuel ≥ 10 M€
Identity Days 2023 24 octobre 2023 - PARIS Objectifs & principes A1 : Governance Protecting Against Cyber Attack Manage Security Risk Minimizing the Impact of Cyber Security incidents Detecting Cyber Security incidents A2 : Risk Management A3 : Asset Management A4 : Supply Chain B1 : Service Protection Policies & Processes B2 : Identity & Access Control B3 : Data Security B4 : System Security C1 : Security Monitoring C2 : Proactive Security Event Discovery D1 : Response & Recovery Planning D2 : Lessons Learned B5 : Resilient Networks & Systems B6 : Staff Awareness & Training Objectifs Principes
Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? • 2 typologies d’entités différentes : ▪ Les entités essentielles – EE o Secteurs et Activités de l’annexe 1 o Taille intermédiaire et grande soit : (250+ salariés) ou (CA ≥ 50 M€) ou (bilan annuel ≥ 43 M€) ▪ Les entités importantes – EI o Toute entité agissant dans les secteurs des annexes 1 et 2 de taille moyenne et supérieure qui n’est pas Essentielle sera considérée Importante, soit > Toute entité de taille moyenne dont le secteur d’activité est listé dans l’annexe 1 > Toute entité de taille moyenne et supérieure dont le secteur d’activité est listé dans l’annexe 2 • Fournisseurs de réseaux de communications électroniques publics de taille moyenne • Fournisseurs de services de communications électroniques accessibles au public de taille moyenne • Prestataires de services de confiance sans critère de taille • Registres de noms de domaine de premier niveau sans critère de taille • Fournisseurs de services DNS sans critère de taille • Toute entité soumise à la directive de Résilience des Entités Critiques (REC) • Toute entité désignée OSE dans le cadre de NIS 1 • Toute entité désignée unitairement par la France
Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? • Notion de proportionnalité : Possibilité d’avoir des niveaux d’exigences différents entre les EE et les EI, pour prendre en considération les moyens et enjeux (différents entre une grande entreprise et une PME) Les mesures de sécurité Pour les EE, régulation dite « ex-ante » - Contrôle à discrétion de l’ANSSI Pour les EI, régulation dite « ex-post » - Contrôle en cas de connaissance d’une non-conformité La régulation Périmètre d’application des mesures de sécurité « Les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services » Où en sont vos fournisseurs ? Vos prestataires ? Vos partenaires ?
Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? Déclaration à l’ANSSI des incidents majeurs Notification → Rapport d’avancement → Rapport final 1 2 3 1. Les politiques relatives à l’analyse des risques et à la sécurité des SI 2. La gestion des incidents 3. La continuité des activités (sauvegardes, PRA gestion des crises) 4. La sécurité de la chaine d’approvisionnement (fournisseurs/prestataires) 5. La sécurité de l’acquisition, du développement et de la maintenance des SI 6. Des politiques et des procédures pour évaluer l’efficacité des mesures de gestion en matière de cybersécurité 7. Les pratiques de base (cyberhygiène et formation à la cybersécurité) 8. Des politiques et des procédures relatives à l’utilisation de la cryptographie 9. La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs 10.L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins 10 Mesures à prendre pour gérer les risques liés à l’utilisation du numérique
Identity Days 2023 24 octobre 2023 - PARIS Quels contrôles et sanctions ? Des délais à respecter • Certains délais de mise en conformité sont fixés par la directive • D’autres sont laissés à l’appréciation des états membres (seront instruits lors de consultations avec l’écosystème des futures entités régulées) Exemples « d’actions de régulation » (« sanctions », vous avez dit « sanctions » ? 😁) de l’ANSSI • Inspection sur place ou à distance • Scans automatisés • Injonction (ex : mise en œuvre d’un correctif d’une vulnérabilité critique) • Demander la suspension (temporaire ou définitive) d’une certification • Demander la suspension temporaire d’exercer les responsabilités dirigeantes de l’entité, pour la personne physique exerçant des responsabilités dirigeantes à un niveau de Directeur Général ou de représentant légal Et des pénalités financières (d’une ampleur comparable à celles du RGPD) EE – Jusqu’à 2% du CA mondial EI – Jusqu’à 1,4% du CA
Comment vous préparer pour NIS 2, sous un angle identité ? Identity Days 2023 24 octobre 2023 - PARIS
Identity Days 2023 24 octobre 2023 - PARIS Long is the road to secure Identity ! 2 mantras
Identity Days 2023 24 octobre 2023 - PARIS Long is the road to secure Identity ! Savoir d’où on part Savoir où on veut aller Savoir comment on va y aller Décrire les différents scenarios techniques cibles Evaluer les scénarios / Mesurer les impacts / risques Impliquer le sponsor Décrire les chemins techniques de transformation Etablir un plan- projet et préparer l’onboarding Evaluer la maturité Cartographier l’existant technique Cartographier les vulnérabilités / compromissions Identifier les acteurs Identifier les leviers, les bloqueurs
Identity Days 2023 24 octobre 2023 - PARIS On rentre dans les details ? A1 : Governance Protecting Against Cyber Attack Manage Security Risk Minimizing the Impact of Cyber Security incidents Detecting Cyber Security incidents A2 : Risk Management B1 : Service Protection Policies & Processes B2 : Identity & Access Control C1 : Security Monitoring C2 : Proactive Security Event Discovery D1 : Response & Recovery Planning D2 : Lessons Learned CERT Computer Emergency Response team Vulnerability Management SOC Security Operations Center Security / Maturity Assessment GRC Governance, Risk & Compliance ITDR Identity Threat Detection & Response
Identity Days 2023 24 octobre 2023 - PARIS https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023 Microsoft Digital Defense Report 2023
Identity Days 2023 24 octobre 2023 - PARIS Threat Resistance Active Directory Tiering & Disaster Recovery Hardening Gouvernance des comptes & des accès Sécurité Réseau - Design & intégration d’un modèle de Tiering + PAW - Outillage & process de Disaster / Recovery AD - Durcissement Windows server & Hyperviseur - EDR pour Srv / Wks - LAPS pour Srv / Wks - Gouvernance des comptes à privilèges - Traitement des comptes génériques - Traitement des comptes de service (gMSA, …) - Mise en œuvre de Bastion - Gouvernance & sécurité DNS - Segmentation réseau, Isolation / segmentation des Tier - Analyse comportemental e DNS (exfiltration DNS) Gestion des vulnérabilités - Détection & atténuation des vulnérabilités : Protocoles obsolètes (SMB, NTLMv1), OS Windows Server obsolètes, applications, CVE, … - Patch Management
Identity Days 2023 24 octobre 2023 - PARIS Active Directory continue d’évoluer ! The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com)
Identity Days 2023 24 octobre 2023 - PARIS Threat Resistance Entra (aka Azure Active Directory) Microsoft Enterprise Access Model Identity Governance : Privileged Identity Management (JIT), Access Reviews, rôles privilégiés Azure AD, Administrative Units Identity Protection : MFA / Accès Conditionnel, Audit & logs, Password Protection Guest Accounts Management & Azure AD B2C Enterprise Applications : Modern Authentication, SSO, … Azure Landing Zones (Hub & Spoke) Identity Protection & Intune : MFA / Accès Conditionnel, Audit & logs, Password Protection, Device Management, Workflows Lifecycle
Identity Days 2023 24 octobre 2023 - PARIS Connais ton ennemi et connais-toi toi-même, et en 100 batailles tu n’en perdras aucune. La stratégie sans tactique est le chemin le plus lent vers la victoire. La tactique sans stratégie est le bruit avant la défaite. Sun Tzu, L’Art de la Guerre
Identity Days 2023 24 octobre 2023 - PARIS @IdentityDays #identitydays2023

Recommandé

Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
cyber-security-reference-architecture
cyber-security-reference-architecturecyber-security-reference-architecture
cyber-security-reference-architectureBirendra Negi ☁️
 
Afcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpAfcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpDenis VIROLE
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpdDidier Graf
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
Cybersecurity Metrics: Reporting to BoD
Cybersecurity Metrics: Reporting to BoDCybersecurity Metrics: Reporting to BoD
Cybersecurity Metrics: Reporting to BoDPranav Shah
 

Recommandé

Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
cyber-security-reference-architecture
cyber-security-reference-architecturecyber-security-reference-architecture
cyber-security-reference-architectureBirendra Negi ☁️
 
Afcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpAfcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpDenis VIROLE
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpdDidier Graf
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
Cybersecurity Metrics: Reporting to BoD
Cybersecurity Metrics: Reporting to BoDCybersecurity Metrics: Reporting to BoD
Cybersecurity Metrics: Reporting to BoDPranav Shah
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
When Insiders ATT&CK!
When Insiders ATT&CK!When Insiders ATT&CK!
When Insiders ATT&CK!MITRE ATT&CK
 
La cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplementLa cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplementAlice and Bob
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3Shawn Croswell
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !SpikeeLabs
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Bilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeBilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeMesut Güngör
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
MITRE-Module 2 Slides.pdf
MITRE-Module 2 Slides.pdfMITRE-Module 2 Slides.pdf
MITRE-Module 2 Slides.pdfReZa AdineH
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri BGA Cyber Security
 
Cybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxCybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxsanap6
 
Threat Modelling - It's not just for developers
Threat Modelling - It's not just for developersThreat Modelling - It's not just for developers
Threat Modelling - It's not just for developersMITRE ATT&CK
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 

Contenu connexe

Tendances

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
When Insiders ATT&CK!
When Insiders ATT&CK!When Insiders ATT&CK!
When Insiders ATT&CK!MITRE ATT&CK
 
La cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplementLa cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplementAlice and Bob
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3Shawn Croswell
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !SpikeeLabs
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Bilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeBilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeMesut Güngör
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
MITRE-Module 2 Slides.pdf
MITRE-Module 2 Slides.pdfMITRE-Module 2 Slides.pdf
MITRE-Module 2 Slides.pdfReZa AdineH
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri BGA Cyber Security
 
Cybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxCybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxsanap6
 
Threat Modelling - It's not just for developers
Threat Modelling - It's not just for developersThreat Modelling - It's not just for developers
Threat Modelling - It's not just for developersMITRE ATT&CK
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 

Tendances (20)

EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
When Insiders ATT&CK!
When Insiders ATT&CK!When Insiders ATT&CK!
When Insiders ATT&CK!
 
La cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplementLa cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplement
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Bilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği BilinçlendirmeBilgi Güvenliği Bilinçlendirme
Bilgi Güvenliği Bilinçlendirme
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
MITRE-Module 2 Slides.pdf
MITRE-Module 2 Slides.pdfMITRE-Module 2 Slides.pdf
MITRE-Module 2 Slides.pdf
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri
 
Cybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptxCybersecurity Awareness Overview.pptx
Cybersecurity Awareness Overview.pptx
 
Threat Modelling - It's not just for developers
Threat Modelling - It's not just for developersThreat Modelling - It's not just for developers
Threat Modelling - It's not just for developers
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 

Similaire à Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Cluster TWEED
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfAssociationAF
 
Présentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TICPrésentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TICAgence du Numérique (AdN)
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfGaudefroy Ariane
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 ANSItunCERT
 
CR Aquitaine AMI Numérique aquitain 2015
CR Aquitaine AMI Numérique aquitain 2015CR Aquitaine AMI Numérique aquitain 2015
CR Aquitaine AMI Numérique aquitain 2015polenumerique33
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Sylvain Maret
 
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15Aix-Marseille French Tech (Officiel)
 

Similaire à Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ? (20)

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdf
 
Présentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TICPrésentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TIC
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020
 
CR Aquitaine AMI Numérique aquitain 2015
CR Aquitaine AMI Numérique aquitain 2015CR Aquitaine AMI Numérique aquitain 2015
CR Aquitaine AMI Numérique aquitain 2015
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?

  • 1. 24 octobre 2023 - PARIS 5ème édition @IdentityDays #identitydays2023
  • 2. 24 octobre 2023 - PARIS Identity Days 2023 Directive européenne NIS 2 : Etes-vous concerné ? Comment s’y préparer ? Sylvain CORTES VP of Strategy @Hackuity Hervé THIBAULT Chief Strategy Officer & Metsys
  • 3. • NIS 2 pour les (pas trop) nuls … • C’est quoi ? (la génèse) • Qui est concerné (la taille compte ?) ? • Quelles obligations ? • Quelles sanctions ? • Comment vous préparer pour NIS 2, sous un angle identité (parce que c’est le thème de la journée ☺) • Long is the road to secure Identity ! • AD Threat Resistance • AD évolue • Entra Threat Resistance AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023
  • 4. NIS 2 pour les (pas trop) nuls … Identity Days 2023 24 octobre 2023 - PARIS
  • 5. Identity Days 2023 24 octobre 2023 - PARIS C’est quoi ? (La génèse) • En quelques années, la menace s’est accrue de manière « exponentielle » ▪ Nécessité de renforcer et élargir le scope initial de NIS 1 – Plus prescriptif, plus d’entités concernées ▪ Fin 2020 – Proposition de la commission européenne d’une révision • NIS1 (2016 / 2018) est une directive européenne ▪ Objectif : Harmoniser la cybersécurité à un niveau élevé dans l'Union Européenne ▪ En France : env. 300 entités « Opérateurs de Services Essentiels » (OSE) à date - Désignés par arrêté de la Première Ministre en concertation avec les ministères de tutelle 15 000 / NIS 1 → Plusieurs centaines de milliers / NIS 2 (au niveau européen)
  • 6. Identity Days 2023 24 octobre 2023 - PARIS C’est quoi ? • D’où … NIS 2 (2022 / 2024), qui regroupe des mesures visant à garantir un haut niveau commun de cybersécurité pour les états membres de l’Union telles que : ▪ La préparation des États membres, en exigeant qu'ils disposent des équipements appropriés – Par exemple : ▪ Une équipe de réponse aux incidents de sécurité informatique (CSIRT), ▪ Une autorité nationale compétente en matière de systèmes d'information et de réseaux ▪ La mise en place d’un groupe pour soutenir et faciliter la coopération stratégique et l'échange d'informations entre eux ▪ La définition d’une culture de la sécurité dans les secteurs essentiels de notre économie et de notre société qui dépendent fortement des technologies de l'information et de la communication ▪ On parle échéance ? ▪ Chaque état membre a 21 mois pour transposer la directive en droit local En France : H2 2024 au plus tard (c’est-à-dire demain !) (Des travaux sont en cours pour rédiger les lois avec les conseils de l’ANSSI)
  • 7. Identity Days 2023 24 octobre 2023 - PARIS Qui est concerné ? • Secteurs hautement critiques ▪ Energie – Electricité, pétrole, gaz ▪ Transports – Aériens, ferroviaires, routiers, par eau ▪ Secteur bancaire ▪ Infrastructures des marchés financiers ▪ Santé ▪ Eau potable / Eaux usées ▪ Gestion des services TIC (inter-entreprises) ▪ Administration publique (centrales et régionales) ▪ Espace ▪ Infrastructure numérique - Fournisseurs de points d’échange internet, de services DNS, de services d’informatique en nuage, de services de centres de données, de réseaux de diffusion de contenu, de réseaux de communications électroniques publics, de services de communications électroniques accessibles au public, prestataires de service de confiance • Autres secteurs critiques ▪ Services postaux et d’expédition ▪ Gestion des déchets ▪ Fabrication, production et distribution de produits chimiques ▪ Production, transformation et distribution des denrées alimentaires ▪ Fabrication - Dispositifs médicaux, produits informatiques, électroniques et optiques, équipements électriques, construction de véhicules automobiles, et autres matériels de transport ▪ Fournisseurs numériques - Fournisseurs de places de marché en ligne, de moteurs de recherche en ligne, de plateformes de services de réseaux sociaux ▪ Recherche Cas Particulier des COLLECTIVITES TERRITORIALES / « Secteur public » NIS 2 offre la possibilité de les inclure, mais pas encore de certitude à ce jour (l’ANSSI constate le niveau de menace élevé sur les collectivités et préconise en conséquence leur inclusion dans le périmètre NIS 2)
  • 8. Identity Days 2023 24 octobre 2023 - PARIS La taille compte ? • Toutes les entités de taille moyenne et supérieure (cf. Article 2 de l’Annexe à la Recommandation de la Commission 2003/361/EC) opérant dans les secteurs et pour les activités présentées précédemment devront se conformer à NIS 2 • Pour les secteurs suivants, NIS 2 s’applique sans limite de taille : ▪ Fournisseurs de réseaux de communications électroniques publics ▪ Fournisseurs de services de communications électroniques accessibles au public ▪ Prestataires de services de confiance ▪ Registres de noms de domaine de premier niveau ▪ Fournisseurs de services DNS ▪ Les Etats Membres pourront aussi intégrer certaines petites et micro- entités qui auraient un rôle clé pour la société, l’économie ou pour certains services ou secteurs particuliers. Ou Nb employés ≥ 50 CA / Bilan annuel ≥ 10 M€
  • 9. Identity Days 2023 24 octobre 2023 - PARIS Objectifs & principes A1 : Governance Protecting Against Cyber Attack Manage Security Risk Minimizing the Impact of Cyber Security incidents Detecting Cyber Security incidents A2 : Risk Management A3 : Asset Management A4 : Supply Chain B1 : Service Protection Policies & Processes B2 : Identity & Access Control B3 : Data Security B4 : System Security C1 : Security Monitoring C2 : Proactive Security Event Discovery D1 : Response & Recovery Planning D2 : Lessons Learned B5 : Resilient Networks & Systems B6 : Staff Awareness & Training Objectifs Principes
  • 10. Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? • 2 typologies d’entités différentes : ▪ Les entités essentielles – EE o Secteurs et Activités de l’annexe 1 o Taille intermédiaire et grande soit : (250+ salariés) ou (CA ≥ 50 M€) ou (bilan annuel ≥ 43 M€) ▪ Les entités importantes – EI o Toute entité agissant dans les secteurs des annexes 1 et 2 de taille moyenne et supérieure qui n’est pas Essentielle sera considérée Importante, soit > Toute entité de taille moyenne dont le secteur d’activité est listé dans l’annexe 1 > Toute entité de taille moyenne et supérieure dont le secteur d’activité est listé dans l’annexe 2 • Fournisseurs de réseaux de communications électroniques publics de taille moyenne • Fournisseurs de services de communications électroniques accessibles au public de taille moyenne • Prestataires de services de confiance sans critère de taille • Registres de noms de domaine de premier niveau sans critère de taille • Fournisseurs de services DNS sans critère de taille • Toute entité soumise à la directive de Résilience des Entités Critiques (REC) • Toute entité désignée OSE dans le cadre de NIS 1 • Toute entité désignée unitairement par la France
  • 11. Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? • Notion de proportionnalité : Possibilité d’avoir des niveaux d’exigences différents entre les EE et les EI, pour prendre en considération les moyens et enjeux (différents entre une grande entreprise et une PME) Les mesures de sécurité Pour les EE, régulation dite « ex-ante » - Contrôle à discrétion de l’ANSSI Pour les EI, régulation dite « ex-post » - Contrôle en cas de connaissance d’une non-conformité La régulation Périmètre d’application des mesures de sécurité « Les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services » Où en sont vos fournisseurs ? Vos prestataires ? Vos partenaires ?
  • 12. Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? Déclaration à l’ANSSI des incidents majeurs Notification → Rapport d’avancement → Rapport final 1 2 3 1. Les politiques relatives à l’analyse des risques et à la sécurité des SI 2. La gestion des incidents 3. La continuité des activités (sauvegardes, PRA gestion des crises) 4. La sécurité de la chaine d’approvisionnement (fournisseurs/prestataires) 5. La sécurité de l’acquisition, du développement et de la maintenance des SI 6. Des politiques et des procédures pour évaluer l’efficacité des mesures de gestion en matière de cybersécurité 7. Les pratiques de base (cyberhygiène et formation à la cybersécurité) 8. Des politiques et des procédures relatives à l’utilisation de la cryptographie 9. La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs 10.L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins 10 Mesures à prendre pour gérer les risques liés à l’utilisation du numérique
  • 13. Identity Days 2023 24 octobre 2023 - PARIS Quels contrôles et sanctions ? Des délais à respecter • Certains délais de mise en conformité sont fixés par la directive • D’autres sont laissés à l’appréciation des états membres (seront instruits lors de consultations avec l’écosystème des futures entités régulées) Exemples « d’actions de régulation » (« sanctions », vous avez dit « sanctions » ? 😁) de l’ANSSI • Inspection sur place ou à distance • Scans automatisés • Injonction (ex : mise en œuvre d’un correctif d’une vulnérabilité critique) • Demander la suspension (temporaire ou définitive) d’une certification • Demander la suspension temporaire d’exercer les responsabilités dirigeantes de l’entité, pour la personne physique exerçant des responsabilités dirigeantes à un niveau de Directeur Général ou de représentant légal Et des pénalités financières (d’une ampleur comparable à celles du RGPD) EE – Jusqu’à 2% du CA mondial EI – Jusqu’à 1,4% du CA
  • 14. Comment vous préparer pour NIS 2, sous un angle identité ? Identity Days 2023 24 octobre 2023 - PARIS
  • 15. Identity Days 2023 24 octobre 2023 - PARIS Long is the road to secure Identity ! 2 mantras
  • 16. Identity Days 2023 24 octobre 2023 - PARIS Long is the road to secure Identity ! Savoir d’où on part Savoir où on veut aller Savoir comment on va y aller Décrire les différents scenarios techniques cibles Evaluer les scénarios / Mesurer les impacts / risques Impliquer le sponsor Décrire les chemins techniques de transformation Etablir un plan- projet et préparer l’onboarding Evaluer la maturité Cartographier l’existant technique Cartographier les vulnérabilités / compromissions Identifier les acteurs Identifier les leviers, les bloqueurs
  • 17. Identity Days 2023 24 octobre 2023 - PARIS On rentre dans les details ? A1 : Governance Protecting Against Cyber Attack Manage Security Risk Minimizing the Impact of Cyber Security incidents Detecting Cyber Security incidents A2 : Risk Management B1 : Service Protection Policies & Processes B2 : Identity & Access Control C1 : Security Monitoring C2 : Proactive Security Event Discovery D1 : Response & Recovery Planning D2 : Lessons Learned CERT Computer Emergency Response team Vulnerability Management SOC Security Operations Center Security / Maturity Assessment GRC Governance, Risk & Compliance ITDR Identity Threat Detection & Response
  • 18. Identity Days 2023 24 octobre 2023 - PARIS https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023 Microsoft Digital Defense Report 2023
  • 19. Identity Days 2023 24 octobre 2023 - PARIS Threat Resistance Active Directory Tiering & Disaster Recovery Hardening Gouvernance des comptes & des accès Sécurité Réseau - Design & intégration d’un modèle de Tiering + PAW - Outillage & process de Disaster / Recovery AD - Durcissement Windows server & Hyperviseur - EDR pour Srv / Wks - LAPS pour Srv / Wks - Gouvernance des comptes à privilèges - Traitement des comptes génériques - Traitement des comptes de service (gMSA, …) - Mise en œuvre de Bastion - Gouvernance & sécurité DNS - Segmentation réseau, Isolation / segmentation des Tier - Analyse comportemental e DNS (exfiltration DNS) Gestion des vulnérabilités - Détection & atténuation des vulnérabilités : Protocoles obsolètes (SMB, NTLMv1), OS Windows Server obsolètes, applications, CVE, … - Patch Management
  • 20. Identity Days 2023 24 octobre 2023 - PARIS Active Directory continue d’évoluer ! The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com)
  • 21. Identity Days 2023 24 octobre 2023 - PARIS Threat Resistance Entra (aka Azure Active Directory) Microsoft Enterprise Access Model Identity Governance : Privileged Identity Management (JIT), Access Reviews, rôles privilégiés Azure AD, Administrative Units Identity Protection : MFA / Accès Conditionnel, Audit & logs, Password Protection Guest Accounts Management & Azure AD B2C Enterprise Applications : Modern Authentication, SSO, … Azure Landing Zones (Hub & Spoke) Identity Protection & Intune : MFA / Accès Conditionnel, Audit & logs, Password Protection, Device Management, Workflows Lifecycle
  • 22. Identity Days 2023 24 octobre 2023 - PARIS Connais ton ennemi et connais-toi toi-même, et en 100 batailles tu n’en perdras aucune. La stratégie sans tactique est le chemin le plus lent vers la victoire. La tactique sans stratégie est le bruit avant la défaite. Sun Tzu, L’Art de la Guerre
  • 23. Identity Days 2023 24 octobre 2023 - PARIS @IdentityDays #identitydays2023