Une conférence proposée par Hervé Thibault & Sylvain Cortès
Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ?
Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024.
Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.
1. 24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
2. 24 octobre 2023 - PARIS
Identity Days 2023
Directive européenne NIS 2 :
Etes-vous concerné ?
Comment s’y préparer ?
Sylvain CORTES
VP of Strategy @Hackuity
Hervé THIBAULT
Chief Strategy Officer & Metsys
3. • NIS 2 pour les (pas trop) nuls …
• C’est quoi ? (la génèse)
• Qui est concerné (la taille compte ?) ?
• Quelles obligations ?
• Quelles sanctions ?
• Comment vous préparer pour NIS 2, sous un angle
identité (parce que c’est le thème de la journée ☺)
• Long is the road to secure Identity !
• AD Threat Resistance
• AD évolue
• Entra Threat Resistance
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
4. NIS 2 pour les (pas trop) nuls …
Identity Days 2023
24 octobre 2023 - PARIS
5. Identity Days 2023
24 octobre 2023 - PARIS
C’est quoi ? (La génèse)
• En quelques années, la menace s’est accrue
de manière « exponentielle »
▪ Nécessité de renforcer et élargir le scope initial de NIS
1 – Plus prescriptif, plus d’entités concernées
▪ Fin 2020 – Proposition de la commission européenne
d’une révision
• NIS1 (2016 / 2018) est une directive européenne
▪ Objectif : Harmoniser la cybersécurité à un niveau élevé dans l'Union Européenne
▪ En France : env. 300 entités « Opérateurs de Services Essentiels » (OSE) à date - Désignés par arrêté de la Première
Ministre en concertation avec les ministères de tutelle
15 000 / NIS 1 → Plusieurs centaines de milliers / NIS 2 (au niveau européen)
6. Identity Days 2023
24 octobre 2023 - PARIS
C’est quoi ?
• D’où … NIS 2 (2022 / 2024), qui regroupe des mesures visant à garantir un haut niveau commun de
cybersécurité pour les états membres de l’Union telles que :
▪ La préparation des États membres, en exigeant qu'ils disposent des équipements appropriés – Par exemple :
▪ Une équipe de réponse aux incidents de sécurité informatique (CSIRT),
▪ Une autorité nationale compétente en matière de systèmes d'information et de réseaux
▪ La mise en place d’un groupe pour soutenir et faciliter la coopération stratégique et l'échange d'informations entre
eux
▪ La définition d’une culture de la sécurité dans les secteurs essentiels de notre économie et de notre société qui
dépendent fortement des technologies de l'information et de la communication
▪ On parle échéance ?
▪ Chaque état membre a 21 mois pour transposer la directive en droit local
En France : H2 2024 au plus tard (c’est-à-dire demain !)
(Des travaux sont en cours pour rédiger les lois avec les conseils de l’ANSSI)
7. Identity Days 2023
24 octobre 2023 - PARIS
Qui est concerné ?
• Secteurs hautement critiques
▪ Energie – Electricité, pétrole, gaz
▪ Transports – Aériens, ferroviaires, routiers, par eau
▪ Secteur bancaire
▪ Infrastructures des marchés financiers
▪ Santé
▪ Eau potable / Eaux usées
▪ Gestion des services TIC (inter-entreprises)
▪ Administration publique (centrales et régionales)
▪ Espace
▪ Infrastructure numérique - Fournisseurs de points
d’échange internet, de services DNS, de services
d’informatique en nuage, de services de centres de données,
de réseaux de diffusion de contenu, de réseaux de
communications électroniques publics, de services de
communications électroniques accessibles au public,
prestataires de service de confiance
• Autres secteurs critiques
▪ Services postaux et d’expédition
▪ Gestion des déchets
▪ Fabrication, production et distribution de produits
chimiques
▪ Production, transformation et distribution des denrées
alimentaires
▪ Fabrication - Dispositifs médicaux, produits informatiques,
électroniques et optiques, équipements électriques, construction
de véhicules automobiles, et autres matériels de transport
▪ Fournisseurs numériques - Fournisseurs de places de marché
en ligne, de moteurs de recherche en ligne, de plateformes de
services de réseaux sociaux
▪ Recherche
Cas Particulier des COLLECTIVITES TERRITORIALES /
« Secteur public »
NIS 2 offre la possibilité de les inclure, mais pas encore de
certitude à ce jour (l’ANSSI constate le niveau de menace élevé
sur les collectivités et préconise en conséquence leur inclusion
dans le périmètre NIS 2)
8. Identity Days 2023
24 octobre 2023 - PARIS
La taille compte ?
• Toutes les entités de taille moyenne et supérieure
(cf. Article 2 de l’Annexe à la Recommandation de la
Commission 2003/361/EC) opérant dans les
secteurs et pour les activités présentées
précédemment devront se conformer à NIS 2
• Pour les secteurs suivants, NIS 2
s’applique sans limite de taille :
▪ Fournisseurs de réseaux de
communications électroniques publics
▪ Fournisseurs de services de
communications électroniques
accessibles au public
▪ Prestataires de services de confiance
▪ Registres de noms de domaine de
premier niveau
▪ Fournisseurs de services DNS
▪ Les Etats Membres pourront aussi
intégrer certaines petites et micro-
entités qui auraient un rôle clé pour la
société, l’économie ou pour certains
services ou secteurs particuliers.
Ou
Nb employés ≥ 50
CA / Bilan annuel ≥ 10 M€
9. Identity Days 2023
24 octobre 2023 - PARIS
Objectifs & principes
A1 :
Governance
Protecting
Against
Cyber Attack
Manage
Security Risk
Minimizing the
Impact of Cyber
Security incidents
Detecting Cyber
Security incidents
A2 :
Risk
Management
A3 :
Asset
Management
A4 :
Supply
Chain
B1 : Service
Protection
Policies &
Processes
B2 :
Identity &
Access
Control
B3 :
Data
Security
B4 :
System
Security
C1 :
Security
Monitoring
C2 :
Proactive
Security
Event
Discovery
D1 :
Response
& Recovery
Planning
D2 :
Lessons
Learned
B5 :
Resilient
Networks
& Systems
B6 :
Staff
Awareness
& Training
Objectifs
Principes
10. Identity Days 2023
24 octobre 2023 - PARIS
Quelles obligations ?
• 2 typologies d’entités différentes :
▪ Les entités essentielles – EE
o Secteurs et Activités de l’annexe 1
o Taille intermédiaire et grande soit :
(250+ salariés) ou (CA ≥ 50 M€) ou
(bilan annuel ≥ 43 M€)
▪ Les entités importantes – EI
o Toute entité agissant dans les
secteurs des annexes 1 et 2 de taille
moyenne et supérieure qui n’est pas
Essentielle sera considérée
Importante, soit
> Toute entité de taille moyenne dont le
secteur d’activité est listé dans
l’annexe 1
> Toute entité de taille moyenne et
supérieure dont le secteur d’activité
est listé dans l’annexe 2
• Fournisseurs de réseaux de communications électroniques publics de
taille moyenne
• Fournisseurs de services de communications électroniques accessibles
au public de taille moyenne
• Prestataires de services de confiance sans critère de taille
• Registres de noms de domaine de premier niveau sans critère de taille
• Fournisseurs de services DNS sans critère de taille
• Toute entité soumise à la directive de Résilience des Entités Critiques
(REC)
• Toute entité désignée OSE dans le cadre de NIS 1
• Toute entité désignée unitairement par la France
11. Identity Days 2023
24 octobre 2023 - PARIS
Quelles obligations ?
• Notion de proportionnalité :
Possibilité d’avoir des niveaux d’exigences
différents entre les EE et les EI, pour
prendre en considération les moyens et
enjeux
(différents entre une grande entreprise
et une PME)
Les mesures
de sécurité
Pour les EE, régulation dite « ex-ante » -
Contrôle à discrétion de l’ANSSI
Pour les EI, régulation dite « ex-post » -
Contrôle en cas de connaissance d’une
non-conformité
La
régulation
Périmètre
d’application des
mesures de
sécurité
« Les mesures techniques, opérationnelles et organisationnelles appropriées et
proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des
systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de
la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences
que les incidents ont sur les destinataires de leurs services et sur d’autres services »
Où en sont vos fournisseurs ?
Vos prestataires ?
Vos partenaires ?
12. Identity Days 2023
24 octobre 2023 - PARIS
Quelles obligations ?
Déclaration à l’ANSSI
des incidents majeurs
Notification
→ Rapport d’avancement
→ Rapport final
1
2
3
1. Les politiques relatives à l’analyse des risques et à la sécurité des SI
2. La gestion des incidents
3. La continuité des activités (sauvegardes, PRA gestion des crises)
4. La sécurité de la chaine d’approvisionnement (fournisseurs/prestataires)
5. La sécurité de l’acquisition, du développement et de la maintenance des SI
6. Des politiques et des procédures pour évaluer l’efficacité des mesures de
gestion en matière de cybersécurité
7. Les pratiques de base (cyberhygiène et formation à la cybersécurité)
8. Des politiques et des procédures relatives à l’utilisation de la cryptographie
9. La sécurité des ressources humaines, des politiques de contrôle d’accès et
la gestion des actifs
10.L’utilisation de solutions d’authentification à plusieurs facteurs ou
d’authentification continue, de communications vocales, vidéo et textuelles
sécurisées et de systèmes sécurisés de communication d’urgence au sein de
l’entité, selon les besoins
10 Mesures à prendre pour gérer les
risques liés à l’utilisation du numérique
13. Identity Days 2023
24 octobre 2023 - PARIS
Quels contrôles et sanctions ?
Des délais à respecter
• Certains délais de mise en conformité sont fixés par la directive
• D’autres sont laissés à l’appréciation des états membres (seront instruits lors de
consultations avec l’écosystème des futures entités régulées)
Exemples « d’actions de régulation » (« sanctions », vous avez dit « sanctions » ? 😁) de
l’ANSSI
• Inspection sur place ou à distance
• Scans automatisés
• Injonction (ex : mise en œuvre d’un correctif d’une vulnérabilité critique)
• Demander la suspension (temporaire ou définitive) d’une certification
• Demander la suspension temporaire d’exercer les responsabilités dirigeantes de l’entité,
pour la personne physique exerçant des responsabilités dirigeantes à un niveau de
Directeur Général ou de représentant légal
Et des pénalités financières
(d’une ampleur comparable à celles du RGPD)
EE – Jusqu’à 2% du CA mondial
EI – Jusqu’à 1,4% du CA
14. Comment vous préparer pour NIS 2,
sous un angle identité ?
Identity Days 2023
24 octobre 2023 - PARIS
15. Identity Days 2023
24 octobre 2023 - PARIS
Long is the road to secure Identity !
2 mantras
16. Identity Days 2023
24 octobre 2023 - PARIS
Long is the road to secure Identity !
Savoir
d’où on
part
Savoir où
on veut
aller
Savoir
comment
on va y
aller
Décrire les
différents
scenarios
techniques cibles
Evaluer les
scénarios /
Mesurer les
impacts / risques
Impliquer le
sponsor
Décrire les
chemins
techniques de
transformation
Etablir un plan-
projet et
préparer
l’onboarding
Evaluer la
maturité
Cartographier
l’existant
technique
Cartographier les
vulnérabilités /
compromissions
Identifier les
acteurs Identifier les
leviers, les
bloqueurs
17. Identity Days 2023
24 octobre 2023 - PARIS
On rentre dans les details ?
A1 :
Governance
Protecting Against
Cyber Attack
Manage
Security Risk
Minimizing the
Impact of Cyber
Security incidents
Detecting Cyber
Security incidents
A2 :
Risk
Management
B1 : Service
Protection
Policies &
Processes
B2 :
Identity &
Access
Control
C1 :
Security
Monitoring
C2 :
Proactive
Security
Event
Discovery
D1 :
Response &
Recovery
Planning
D2 :
Lessons
Learned
CERT
Computer
Emergency
Response
team
Vulnerability Management
SOC
Security Operations
Center
Security / Maturity
Assessment
GRC
Governance, Risk &
Compliance
ITDR
Identity Threat Detection & Response
18. Identity Days 2023
24 octobre 2023 - PARIS
https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023
Microsoft Digital Defense Report 2023
19. Identity Days 2023
24 octobre 2023 - PARIS
Threat Resistance Active Directory
Tiering & Disaster
Recovery
Hardening
Gouvernance
des comptes &
des accès
Sécurité Réseau
- Design &
intégration d’un
modèle de Tiering
+ PAW
- Outillage &
process de Disaster
/ Recovery AD
- Durcissement
Windows server &
Hyperviseur
- EDR pour Srv /
Wks
- LAPS pour Srv /
Wks
- Gouvernance
des comptes à
privilèges
- Traitement des
comptes
génériques
- Traitement des
comptes de
service (gMSA,
…)
- Mise en œuvre
de Bastion
- Gouvernance &
sécurité DNS
- Segmentation
réseau, Isolation
/ segmentation
des Tier
- Analyse
comportemental
e DNS
(exfiltration
DNS)
Gestion des
vulnérabilités
- Détection &
atténuation des
vulnérabilités :
Protocoles
obsolètes (SMB,
NTLMv1), OS
Windows Server
obsolètes,
applications, CVE, …
- Patch
Management
20. Identity Days 2023
24 octobre 2023 - PARIS
Active Directory continue d’évoluer !
The evolution of Windows authentication |
Windows IT Pro Blog (microsoft.com)
21. Identity Days 2023
24 octobre 2023 - PARIS
Threat Resistance Entra (aka Azure Active Directory)
Microsoft Enterprise Access Model
Identity
Governance :
Privileged Identity
Management (JIT),
Access Reviews,
rôles privilégiés
Azure AD,
Administrative
Units
Identity
Protection :
MFA / Accès
Conditionnel, Audit
& logs, Password
Protection
Guest
Accounts
Management
& Azure AD
B2C
Enterprise
Applications
: Modern
Authentication,
SSO, …
Azure
Landing
Zones (Hub &
Spoke)
Identity Protection
& Intune : MFA / Accès
Conditionnel, Audit &
logs, Password
Protection, Device
Management, Workflows
Lifecycle
22. Identity Days 2023
24 octobre 2023 - PARIS
Connais ton ennemi et connais-toi toi-même,
et en 100 batailles tu n’en perdras aucune.
La stratégie sans tactique est le chemin le
plus lent vers la victoire.
La tactique sans stratégie est le bruit avant la
défaite.
Sun Tzu, L’Art de la Guerre