SlideShare une entreprise Scribd logo
1  sur  23
Télécharger pour lire hors ligne
24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
24 octobre 2023 - PARIS
Identity Days 2023
Directive européenne NIS 2 :
Etes-vous concerné ?
Comment s’y préparer ?
Sylvain CORTES
VP of Strategy @Hackuity
Hervé THIBAULT
Chief Strategy Officer & Metsys
• NIS 2 pour les (pas trop) nuls …
• C’est quoi ? (la génèse)
• Qui est concerné (la taille compte ?) ?
• Quelles obligations ?
• Quelles sanctions ?
• Comment vous préparer pour NIS 2, sous un angle
identité (parce que c’est le thème de la journée ☺)
• Long is the road to secure Identity !
• AD Threat Resistance
• AD évolue
• Entra Threat Resistance
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
NIS 2 pour les (pas trop) nuls …
Identity Days 2023
24 octobre 2023 - PARIS
Identity Days 2023
24 octobre 2023 - PARIS
C’est quoi ? (La génèse)
• En quelques années, la menace s’est accrue
de manière « exponentielle »
▪ Nécessité de renforcer et élargir le scope initial de NIS
1 – Plus prescriptif, plus d’entités concernées
▪ Fin 2020 – Proposition de la commission européenne
d’une révision
• NIS1 (2016 / 2018) est une directive européenne
▪ Objectif : Harmoniser la cybersécurité à un niveau élevé dans l'Union Européenne
▪ En France : env. 300 entités « Opérateurs de Services Essentiels » (OSE) à date - Désignés par arrêté de la Première
Ministre en concertation avec les ministères de tutelle
15 000 / NIS 1 → Plusieurs centaines de milliers / NIS 2 (au niveau européen)
Identity Days 2023
24 octobre 2023 - PARIS
C’est quoi ?
• D’où … NIS 2 (2022 / 2024), qui regroupe des mesures visant à garantir un haut niveau commun de
cybersécurité pour les états membres de l’Union telles que :
▪ La préparation des États membres, en exigeant qu'ils disposent des équipements appropriés – Par exemple :
▪ Une équipe de réponse aux incidents de sécurité informatique (CSIRT),
▪ Une autorité nationale compétente en matière de systèmes d'information et de réseaux
▪ La mise en place d’un groupe pour soutenir et faciliter la coopération stratégique et l'échange d'informations entre
eux
▪ La définition d’une culture de la sécurité dans les secteurs essentiels de notre économie et de notre société qui
dépendent fortement des technologies de l'information et de la communication
▪ On parle échéance ?
▪ Chaque état membre a 21 mois pour transposer la directive en droit local
En France : H2 2024 au plus tard (c’est-à-dire demain !)
(Des travaux sont en cours pour rédiger les lois avec les conseils de l’ANSSI)
Identity Days 2023
24 octobre 2023 - PARIS
Qui est concerné ?
• Secteurs hautement critiques
▪ Energie – Electricité, pétrole, gaz
▪ Transports – Aériens, ferroviaires, routiers, par eau
▪ Secteur bancaire
▪ Infrastructures des marchés financiers
▪ Santé
▪ Eau potable / Eaux usées
▪ Gestion des services TIC (inter-entreprises)
▪ Administration publique (centrales et régionales)
▪ Espace
▪ Infrastructure numérique - Fournisseurs de points
d’échange internet, de services DNS, de services
d’informatique en nuage, de services de centres de données,
de réseaux de diffusion de contenu, de réseaux de
communications électroniques publics, de services de
communications électroniques accessibles au public,
prestataires de service de confiance
• Autres secteurs critiques
▪ Services postaux et d’expédition
▪ Gestion des déchets
▪ Fabrication, production et distribution de produits
chimiques
▪ Production, transformation et distribution des denrées
alimentaires
▪ Fabrication - Dispositifs médicaux, produits informatiques,
électroniques et optiques, équipements électriques, construction
de véhicules automobiles, et autres matériels de transport
▪ Fournisseurs numériques - Fournisseurs de places de marché
en ligne, de moteurs de recherche en ligne, de plateformes de
services de réseaux sociaux
▪ Recherche
Cas Particulier des COLLECTIVITES TERRITORIALES /
« Secteur public »
NIS 2 offre la possibilité de les inclure, mais pas encore de
certitude à ce jour (l’ANSSI constate le niveau de menace élevé
sur les collectivités et préconise en conséquence leur inclusion
dans le périmètre NIS 2)
Identity Days 2023
24 octobre 2023 - PARIS
La taille compte ?
• Toutes les entités de taille moyenne et supérieure
(cf. Article 2 de l’Annexe à la Recommandation de la
Commission 2003/361/EC) opérant dans les
secteurs et pour les activités présentées
précédemment devront se conformer à NIS 2
• Pour les secteurs suivants, NIS 2
s’applique sans limite de taille :
▪ Fournisseurs de réseaux de
communications électroniques publics
▪ Fournisseurs de services de
communications électroniques
accessibles au public
▪ Prestataires de services de confiance
▪ Registres de noms de domaine de
premier niveau
▪ Fournisseurs de services DNS
▪ Les Etats Membres pourront aussi
intégrer certaines petites et micro-
entités qui auraient un rôle clé pour la
société, l’économie ou pour certains
services ou secteurs particuliers.
Ou
Nb employés ≥ 50
CA / Bilan annuel ≥ 10 M€
Identity Days 2023
24 octobre 2023 - PARIS
Objectifs & principes
A1 :
Governance
Protecting
Against
Cyber Attack
Manage
Security Risk
Minimizing the
Impact of Cyber
Security incidents
Detecting Cyber
Security incidents
A2 :
Risk
Management
A3 :
Asset
Management
A4 :
Supply
Chain
B1 : Service
Protection
Policies &
Processes
B2 :
Identity &
Access
Control
B3 :
Data
Security
B4 :
System
Security
C1 :
Security
Monitoring
C2 :
Proactive
Security
Event
Discovery
D1 :
Response
& Recovery
Planning
D2 :
Lessons
Learned
B5 :
Resilient
Networks
& Systems
B6 :
Staff
Awareness
& Training
Objectifs
Principes
Identity Days 2023
24 octobre 2023 - PARIS
Quelles obligations ?
• 2 typologies d’entités différentes :
▪ Les entités essentielles – EE
o Secteurs et Activités de l’annexe 1
o Taille intermédiaire et grande soit :
(250+ salariés) ou (CA ≥ 50 M€) ou
(bilan annuel ≥ 43 M€)
▪ Les entités importantes – EI
o Toute entité agissant dans les
secteurs des annexes 1 et 2 de taille
moyenne et supérieure qui n’est pas
Essentielle sera considérée
Importante, soit
> Toute entité de taille moyenne dont le
secteur d’activité est listé dans
l’annexe 1
> Toute entité de taille moyenne et
supérieure dont le secteur d’activité
est listé dans l’annexe 2
• Fournisseurs de réseaux de communications électroniques publics de
taille moyenne
• Fournisseurs de services de communications électroniques accessibles
au public de taille moyenne
• Prestataires de services de confiance sans critère de taille
• Registres de noms de domaine de premier niveau sans critère de taille
• Fournisseurs de services DNS sans critère de taille
• Toute entité soumise à la directive de Résilience des Entités Critiques
(REC)
• Toute entité désignée OSE dans le cadre de NIS 1
• Toute entité désignée unitairement par la France
Identity Days 2023
24 octobre 2023 - PARIS
Quelles obligations ?
• Notion de proportionnalité :
Possibilité d’avoir des niveaux d’exigences
différents entre les EE et les EI, pour
prendre en considération les moyens et
enjeux
(différents entre une grande entreprise
et une PME)
Les mesures
de sécurité
Pour les EE, régulation dite « ex-ante » -
Contrôle à discrétion de l’ANSSI
Pour les EI, régulation dite « ex-post » -
Contrôle en cas de connaissance d’une
non-conformité
La
régulation
Périmètre
d’application des
mesures de
sécurité
« Les mesures techniques, opérationnelles et organisationnelles appropriées et
proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des
systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de
la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences
que les incidents ont sur les destinataires de leurs services et sur d’autres services »
Où en sont vos fournisseurs ?
Vos prestataires ?
Vos partenaires ?
Identity Days 2023
24 octobre 2023 - PARIS
Quelles obligations ?
Déclaration à l’ANSSI
des incidents majeurs
Notification
→ Rapport d’avancement
→ Rapport final
1
2
3
1. Les politiques relatives à l’analyse des risques et à la sécurité des SI
2. La gestion des incidents
3. La continuité des activités (sauvegardes, PRA gestion des crises)
4. La sécurité de la chaine d’approvisionnement (fournisseurs/prestataires)
5. La sécurité de l’acquisition, du développement et de la maintenance des SI
6. Des politiques et des procédures pour évaluer l’efficacité des mesures de
gestion en matière de cybersécurité
7. Les pratiques de base (cyberhygiène et formation à la cybersécurité)
8. Des politiques et des procédures relatives à l’utilisation de la cryptographie
9. La sécurité des ressources humaines, des politiques de contrôle d’accès et
la gestion des actifs
10.L’utilisation de solutions d’authentification à plusieurs facteurs ou
d’authentification continue, de communications vocales, vidéo et textuelles
sécurisées et de systèmes sécurisés de communication d’urgence au sein de
l’entité, selon les besoins
10 Mesures à prendre pour gérer les
risques liés à l’utilisation du numérique
Identity Days 2023
24 octobre 2023 - PARIS
Quels contrôles et sanctions ?
Des délais à respecter
• Certains délais de mise en conformité sont fixés par la directive
• D’autres sont laissés à l’appréciation des états membres (seront instruits lors de
consultations avec l’écosystème des futures entités régulées)
Exemples « d’actions de régulation » (« sanctions », vous avez dit « sanctions » ? 😁) de
l’ANSSI
• Inspection sur place ou à distance
• Scans automatisés
• Injonction (ex : mise en œuvre d’un correctif d’une vulnérabilité critique)
• Demander la suspension (temporaire ou définitive) d’une certification
• Demander la suspension temporaire d’exercer les responsabilités dirigeantes de l’entité,
pour la personne physique exerçant des responsabilités dirigeantes à un niveau de
Directeur Général ou de représentant légal
Et des pénalités financières
(d’une ampleur comparable à celles du RGPD)
EE – Jusqu’à 2% du CA mondial
EI – Jusqu’à 1,4% du CA
Comment vous préparer pour NIS 2,
sous un angle identité ?
Identity Days 2023
24 octobre 2023 - PARIS
Identity Days 2023
24 octobre 2023 - PARIS
Long is the road to secure Identity !
2 mantras
Identity Days 2023
24 octobre 2023 - PARIS
Long is the road to secure Identity !
Savoir
d’où on
part
Savoir où
on veut
aller
Savoir
comment
on va y
aller
Décrire les
différents
scenarios
techniques cibles
Evaluer les
scénarios /
Mesurer les
impacts / risques
Impliquer le
sponsor
Décrire les
chemins
techniques de
transformation
Etablir un plan-
projet et
préparer
l’onboarding
Evaluer la
maturité
Cartographier
l’existant
technique
Cartographier les
vulnérabilités /
compromissions
Identifier les
acteurs Identifier les
leviers, les
bloqueurs
Identity Days 2023
24 octobre 2023 - PARIS
On rentre dans les details ?
A1 :
Governance
Protecting Against
Cyber Attack
Manage
Security Risk
Minimizing the
Impact of Cyber
Security incidents
Detecting Cyber
Security incidents
A2 :
Risk
Management
B1 : Service
Protection
Policies &
Processes
B2 :
Identity &
Access
Control
C1 :
Security
Monitoring
C2 :
Proactive
Security
Event
Discovery
D1 :
Response &
Recovery
Planning
D2 :
Lessons
Learned
CERT
Computer
Emergency
Response
team
Vulnerability Management
SOC
Security Operations
Center
Security / Maturity
Assessment
GRC
Governance, Risk &
Compliance
ITDR
Identity Threat Detection & Response
Identity Days 2023
24 octobre 2023 - PARIS
https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023
Microsoft Digital Defense Report 2023
Identity Days 2023
24 octobre 2023 - PARIS
Threat Resistance Active Directory
Tiering & Disaster
Recovery
Hardening
Gouvernance
des comptes &
des accès
Sécurité Réseau
- Design &
intégration d’un
modèle de Tiering
+ PAW
- Outillage &
process de Disaster
/ Recovery AD
- Durcissement
Windows server &
Hyperviseur
- EDR pour Srv /
Wks
- LAPS pour Srv /
Wks
- Gouvernance
des comptes à
privilèges
- Traitement des
comptes
génériques
- Traitement des
comptes de
service (gMSA,
…)
- Mise en œuvre
de Bastion
- Gouvernance &
sécurité DNS
- Segmentation
réseau, Isolation
/ segmentation
des Tier
- Analyse
comportemental
e DNS
(exfiltration
DNS)
Gestion des
vulnérabilités
- Détection &
atténuation des
vulnérabilités :
Protocoles
obsolètes (SMB,
NTLMv1), OS
Windows Server
obsolètes,
applications, CVE, …
- Patch
Management
Identity Days 2023
24 octobre 2023 - PARIS
Active Directory continue d’évoluer !
The evolution of Windows authentication |
Windows IT Pro Blog (microsoft.com)
Identity Days 2023
24 octobre 2023 - PARIS
Threat Resistance Entra (aka Azure Active Directory)
Microsoft Enterprise Access Model
Identity
Governance :
Privileged Identity
Management (JIT),
Access Reviews,
rôles privilégiés
Azure AD,
Administrative
Units
Identity
Protection :
MFA / Accès
Conditionnel, Audit
& logs, Password
Protection
Guest
Accounts
Management
& Azure AD
B2C
Enterprise
Applications
: Modern
Authentication,
SSO, …
Azure
Landing
Zones (Hub &
Spoke)
Identity Protection
& Intune : MFA / Accès
Conditionnel, Audit &
logs, Password
Protection, Device
Management, Workflows
Lifecycle
Identity Days 2023
24 octobre 2023 - PARIS
Connais ton ennemi et connais-toi toi-même,
et en 100 batailles tu n’en perdras aucune.
La stratégie sans tactique est le chemin le
plus lent vers la victoire.
La tactique sans stratégie est le bruit avant la
défaite.
Sun Tzu, L’Art de la Guerre
Identity Days 2023
24 octobre 2023 - PARIS
@IdentityDays
#identitydays2023

Contenu connexe

Tendances

cyber-security-reference-architecture
cyber-security-reference-architecturecyber-security-reference-architecture
cyber-security-reference-architectureBirendra Negi ☁️
 
SOC Architecture Workshop - Part 1
SOC Architecture Workshop - Part 1SOC Architecture Workshop - Part 1
SOC Architecture Workshop - Part 1Priyanka Aash
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCPriyanka Aash
 
Nist cybersecurity framework isc2 quantico
Nist cybersecurity framework  isc2 quanticoNist cybersecurity framework  isc2 quantico
Nist cybersecurity framework isc2 quanticoTuan Phan
 
Audit Sample Report
Audit Sample ReportAudit Sample Report
Audit Sample ReportRandy James
 
Building a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdfBuilding a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdfTapOffice
 
Introduction to QRadar
Introduction to QRadarIntroduction to QRadar
Introduction to QRadarPencilData
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتReZa AdineH
 
Next Generation Defense in Depth Model - Tari Schreider, CCISO, Chief Cybers...
Next Generation  Defense in Depth Model - Tari Schreider, CCISO, Chief Cybers...Next Generation  Defense in Depth Model - Tari Schreider, CCISO, Chief Cybers...
Next Generation Defense in Depth Model - Tari Schreider, CCISO, Chief Cybers...EC-Council
 
Mcas log collector deck
Mcas log collector deckMcas log collector deck
Mcas log collector deckMatt Soseman
 
QRadar Architecture.pdf
QRadar Architecture.pdfQRadar Architecture.pdf
QRadar Architecture.pdfPencilData
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber  Security Operation Center: du Case  StudyWhat We’ve Learned Building a Cyber  Security Operation Center: du Case  Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyPriyanka Aash
 
Lessons Learned from the NIST CSF
Lessons Learned from the NIST CSFLessons Learned from the NIST CSF
Lessons Learned from the NIST CSFDigital Bond
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
An introduction to SOC (Security Operation Center)
An introduction to SOC (Security Operation Center)An introduction to SOC (Security Operation Center)
An introduction to SOC (Security Operation Center)Ahmad Haghighi
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation CenterS.E. CTS CERT-GOV-MD
 
Building an Analytics Enables SOC
Building an Analytics Enables SOCBuilding an Analytics Enables SOC
Building an Analytics Enables SOCSplunk
 

Tendances (20)

cyber-security-reference-architecture
cyber-security-reference-architecturecyber-security-reference-architecture
cyber-security-reference-architecture
 
SOC Architecture Workshop - Part 1
SOC Architecture Workshop - Part 1SOC Architecture Workshop - Part 1
SOC Architecture Workshop - Part 1
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOC
 
Nist cybersecurity framework isc2 quantico
Nist cybersecurity framework  isc2 quanticoNist cybersecurity framework  isc2 quantico
Nist cybersecurity framework isc2 quantico
 
Audit Sample Report
Audit Sample ReportAudit Sample Report
Audit Sample Report
 
Building a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdfBuilding a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdf
 
Introduction to QRadar
Introduction to QRadarIntroduction to QRadar
Introduction to QRadar
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیت
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Next Generation Defense in Depth Model - Tari Schreider, CCISO, Chief Cybers...
Next Generation  Defense in Depth Model - Tari Schreider, CCISO, Chief Cybers...Next Generation  Defense in Depth Model - Tari Schreider, CCISO, Chief Cybers...
Next Generation Defense in Depth Model - Tari Schreider, CCISO, Chief Cybers...
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and You
 
Mcas log collector deck
Mcas log collector deckMcas log collector deck
Mcas log collector deck
 
QRadar Architecture.pdf
QRadar Architecture.pdfQRadar Architecture.pdf
QRadar Architecture.pdf
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber  Security Operation Center: du Case  StudyWhat We’ve Learned Building a Cyber  Security Operation Center: du Case  Study
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
 
Lessons Learned from the NIST CSF
Lessons Learned from the NIST CSFLessons Learned from the NIST CSF
Lessons Learned from the NIST CSF
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
An introduction to SOC (Security Operation Center)
An introduction to SOC (Security Operation Center)An introduction to SOC (Security Operation Center)
An introduction to SOC (Security Operation Center)
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation Center
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
Building an Analytics Enables SOC
Building an Analytics Enables SOCBuilding an Analytics Enables SOC
Building an Analytics Enables SOC
 

Similaire à Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Cluster TWEED
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfAssociationAF
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Présentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TICPrésentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TICAgence du Numérique (AdN)
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfGaudefroy Ariane
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 ANSItunCERT
 
CR Aquitaine AMI Numérique aquitain 2015
CR Aquitaine AMI Numérique aquitain 2015CR Aquitaine AMI Numérique aquitain 2015
CR Aquitaine AMI Numérique aquitain 2015polenumerique33
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 

Similaire à Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ? (20)

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdf
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Présentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TICPrésentation grappe CyberSécurité Infopôle Cluster TIC
Présentation grappe CyberSécurité Infopôle Cluster TIC
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020
 
CR Aquitaine AMI Numérique aquitain 2015
CR Aquitaine AMI Numérique aquitain 2015CR Aquitaine AMI Numérique aquitain 2015
CR Aquitaine AMI Numérique aquitain 2015
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?

  • 1. 24 octobre 2023 - PARIS 5ème édition @IdentityDays #identitydays2023
  • 2. 24 octobre 2023 - PARIS Identity Days 2023 Directive européenne NIS 2 : Etes-vous concerné ? Comment s’y préparer ? Sylvain CORTES VP of Strategy @Hackuity Hervé THIBAULT Chief Strategy Officer & Metsys
  • 3. • NIS 2 pour les (pas trop) nuls … • C’est quoi ? (la génèse) • Qui est concerné (la taille compte ?) ? • Quelles obligations ? • Quelles sanctions ? • Comment vous préparer pour NIS 2, sous un angle identité (parce que c’est le thème de la journée ☺) • Long is the road to secure Identity ! • AD Threat Resistance • AD évolue • Entra Threat Resistance AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023
  • 4. NIS 2 pour les (pas trop) nuls … Identity Days 2023 24 octobre 2023 - PARIS
  • 5. Identity Days 2023 24 octobre 2023 - PARIS C’est quoi ? (La génèse) • En quelques années, la menace s’est accrue de manière « exponentielle » ▪ Nécessité de renforcer et élargir le scope initial de NIS 1 – Plus prescriptif, plus d’entités concernées ▪ Fin 2020 – Proposition de la commission européenne d’une révision • NIS1 (2016 / 2018) est une directive européenne ▪ Objectif : Harmoniser la cybersécurité à un niveau élevé dans l'Union Européenne ▪ En France : env. 300 entités « Opérateurs de Services Essentiels » (OSE) à date - Désignés par arrêté de la Première Ministre en concertation avec les ministères de tutelle 15 000 / NIS 1 → Plusieurs centaines de milliers / NIS 2 (au niveau européen)
  • 6. Identity Days 2023 24 octobre 2023 - PARIS C’est quoi ? • D’où … NIS 2 (2022 / 2024), qui regroupe des mesures visant à garantir un haut niveau commun de cybersécurité pour les états membres de l’Union telles que : ▪ La préparation des États membres, en exigeant qu'ils disposent des équipements appropriés – Par exemple : ▪ Une équipe de réponse aux incidents de sécurité informatique (CSIRT), ▪ Une autorité nationale compétente en matière de systèmes d'information et de réseaux ▪ La mise en place d’un groupe pour soutenir et faciliter la coopération stratégique et l'échange d'informations entre eux ▪ La définition d’une culture de la sécurité dans les secteurs essentiels de notre économie et de notre société qui dépendent fortement des technologies de l'information et de la communication ▪ On parle échéance ? ▪ Chaque état membre a 21 mois pour transposer la directive en droit local En France : H2 2024 au plus tard (c’est-à-dire demain !) (Des travaux sont en cours pour rédiger les lois avec les conseils de l’ANSSI)
  • 7. Identity Days 2023 24 octobre 2023 - PARIS Qui est concerné ? • Secteurs hautement critiques ▪ Energie – Electricité, pétrole, gaz ▪ Transports – Aériens, ferroviaires, routiers, par eau ▪ Secteur bancaire ▪ Infrastructures des marchés financiers ▪ Santé ▪ Eau potable / Eaux usées ▪ Gestion des services TIC (inter-entreprises) ▪ Administration publique (centrales et régionales) ▪ Espace ▪ Infrastructure numérique - Fournisseurs de points d’échange internet, de services DNS, de services d’informatique en nuage, de services de centres de données, de réseaux de diffusion de contenu, de réseaux de communications électroniques publics, de services de communications électroniques accessibles au public, prestataires de service de confiance • Autres secteurs critiques ▪ Services postaux et d’expédition ▪ Gestion des déchets ▪ Fabrication, production et distribution de produits chimiques ▪ Production, transformation et distribution des denrées alimentaires ▪ Fabrication - Dispositifs médicaux, produits informatiques, électroniques et optiques, équipements électriques, construction de véhicules automobiles, et autres matériels de transport ▪ Fournisseurs numériques - Fournisseurs de places de marché en ligne, de moteurs de recherche en ligne, de plateformes de services de réseaux sociaux ▪ Recherche Cas Particulier des COLLECTIVITES TERRITORIALES / « Secteur public » NIS 2 offre la possibilité de les inclure, mais pas encore de certitude à ce jour (l’ANSSI constate le niveau de menace élevé sur les collectivités et préconise en conséquence leur inclusion dans le périmètre NIS 2)
  • 8. Identity Days 2023 24 octobre 2023 - PARIS La taille compte ? • Toutes les entités de taille moyenne et supérieure (cf. Article 2 de l’Annexe à la Recommandation de la Commission 2003/361/EC) opérant dans les secteurs et pour les activités présentées précédemment devront se conformer à NIS 2 • Pour les secteurs suivants, NIS 2 s’applique sans limite de taille : ▪ Fournisseurs de réseaux de communications électroniques publics ▪ Fournisseurs de services de communications électroniques accessibles au public ▪ Prestataires de services de confiance ▪ Registres de noms de domaine de premier niveau ▪ Fournisseurs de services DNS ▪ Les Etats Membres pourront aussi intégrer certaines petites et micro- entités qui auraient un rôle clé pour la société, l’économie ou pour certains services ou secteurs particuliers. Ou Nb employés ≥ 50 CA / Bilan annuel ≥ 10 M€
  • 9. Identity Days 2023 24 octobre 2023 - PARIS Objectifs & principes A1 : Governance Protecting Against Cyber Attack Manage Security Risk Minimizing the Impact of Cyber Security incidents Detecting Cyber Security incidents A2 : Risk Management A3 : Asset Management A4 : Supply Chain B1 : Service Protection Policies & Processes B2 : Identity & Access Control B3 : Data Security B4 : System Security C1 : Security Monitoring C2 : Proactive Security Event Discovery D1 : Response & Recovery Planning D2 : Lessons Learned B5 : Resilient Networks & Systems B6 : Staff Awareness & Training Objectifs Principes
  • 10. Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? • 2 typologies d’entités différentes : ▪ Les entités essentielles – EE o Secteurs et Activités de l’annexe 1 o Taille intermédiaire et grande soit : (250+ salariés) ou (CA ≥ 50 M€) ou (bilan annuel ≥ 43 M€) ▪ Les entités importantes – EI o Toute entité agissant dans les secteurs des annexes 1 et 2 de taille moyenne et supérieure qui n’est pas Essentielle sera considérée Importante, soit > Toute entité de taille moyenne dont le secteur d’activité est listé dans l’annexe 1 > Toute entité de taille moyenne et supérieure dont le secteur d’activité est listé dans l’annexe 2 • Fournisseurs de réseaux de communications électroniques publics de taille moyenne • Fournisseurs de services de communications électroniques accessibles au public de taille moyenne • Prestataires de services de confiance sans critère de taille • Registres de noms de domaine de premier niveau sans critère de taille • Fournisseurs de services DNS sans critère de taille • Toute entité soumise à la directive de Résilience des Entités Critiques (REC) • Toute entité désignée OSE dans le cadre de NIS 1 • Toute entité désignée unitairement par la France
  • 11. Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? • Notion de proportionnalité : Possibilité d’avoir des niveaux d’exigences différents entre les EE et les EI, pour prendre en considération les moyens et enjeux (différents entre une grande entreprise et une PME) Les mesures de sécurité Pour les EE, régulation dite « ex-ante » - Contrôle à discrétion de l’ANSSI Pour les EI, régulation dite « ex-post » - Contrôle en cas de connaissance d’une non-conformité La régulation Périmètre d’application des mesures de sécurité « Les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services » Où en sont vos fournisseurs ? Vos prestataires ? Vos partenaires ?
  • 12. Identity Days 2023 24 octobre 2023 - PARIS Quelles obligations ? Déclaration à l’ANSSI des incidents majeurs Notification → Rapport d’avancement → Rapport final 1 2 3 1. Les politiques relatives à l’analyse des risques et à la sécurité des SI 2. La gestion des incidents 3. La continuité des activités (sauvegardes, PRA gestion des crises) 4. La sécurité de la chaine d’approvisionnement (fournisseurs/prestataires) 5. La sécurité de l’acquisition, du développement et de la maintenance des SI 6. Des politiques et des procédures pour évaluer l’efficacité des mesures de gestion en matière de cybersécurité 7. Les pratiques de base (cyberhygiène et formation à la cybersécurité) 8. Des politiques et des procédures relatives à l’utilisation de la cryptographie 9. La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs 10.L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins 10 Mesures à prendre pour gérer les risques liés à l’utilisation du numérique
  • 13. Identity Days 2023 24 octobre 2023 - PARIS Quels contrôles et sanctions ? Des délais à respecter • Certains délais de mise en conformité sont fixés par la directive • D’autres sont laissés à l’appréciation des états membres (seront instruits lors de consultations avec l’écosystème des futures entités régulées) Exemples « d’actions de régulation » (« sanctions », vous avez dit « sanctions » ? 😁) de l’ANSSI • Inspection sur place ou à distance • Scans automatisés • Injonction (ex : mise en œuvre d’un correctif d’une vulnérabilité critique) • Demander la suspension (temporaire ou définitive) d’une certification • Demander la suspension temporaire d’exercer les responsabilités dirigeantes de l’entité, pour la personne physique exerçant des responsabilités dirigeantes à un niveau de Directeur Général ou de représentant légal Et des pénalités financières (d’une ampleur comparable à celles du RGPD) EE – Jusqu’à 2% du CA mondial EI – Jusqu’à 1,4% du CA
  • 14. Comment vous préparer pour NIS 2, sous un angle identité ? Identity Days 2023 24 octobre 2023 - PARIS
  • 15. Identity Days 2023 24 octobre 2023 - PARIS Long is the road to secure Identity ! 2 mantras
  • 16. Identity Days 2023 24 octobre 2023 - PARIS Long is the road to secure Identity ! Savoir d’où on part Savoir où on veut aller Savoir comment on va y aller Décrire les différents scenarios techniques cibles Evaluer les scénarios / Mesurer les impacts / risques Impliquer le sponsor Décrire les chemins techniques de transformation Etablir un plan- projet et préparer l’onboarding Evaluer la maturité Cartographier l’existant technique Cartographier les vulnérabilités / compromissions Identifier les acteurs Identifier les leviers, les bloqueurs
  • 17. Identity Days 2023 24 octobre 2023 - PARIS On rentre dans les details ? A1 : Governance Protecting Against Cyber Attack Manage Security Risk Minimizing the Impact of Cyber Security incidents Detecting Cyber Security incidents A2 : Risk Management B1 : Service Protection Policies & Processes B2 : Identity & Access Control C1 : Security Monitoring C2 : Proactive Security Event Discovery D1 : Response & Recovery Planning D2 : Lessons Learned CERT Computer Emergency Response team Vulnerability Management SOC Security Operations Center Security / Maturity Assessment GRC Governance, Risk & Compliance ITDR Identity Threat Detection & Response
  • 18. Identity Days 2023 24 octobre 2023 - PARIS https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023 Microsoft Digital Defense Report 2023
  • 19. Identity Days 2023 24 octobre 2023 - PARIS Threat Resistance Active Directory Tiering & Disaster Recovery Hardening Gouvernance des comptes & des accès Sécurité Réseau - Design & intégration d’un modèle de Tiering + PAW - Outillage & process de Disaster / Recovery AD - Durcissement Windows server & Hyperviseur - EDR pour Srv / Wks - LAPS pour Srv / Wks - Gouvernance des comptes à privilèges - Traitement des comptes génériques - Traitement des comptes de service (gMSA, …) - Mise en œuvre de Bastion - Gouvernance & sécurité DNS - Segmentation réseau, Isolation / segmentation des Tier - Analyse comportemental e DNS (exfiltration DNS) Gestion des vulnérabilités - Détection & atténuation des vulnérabilités : Protocoles obsolètes (SMB, NTLMv1), OS Windows Server obsolètes, applications, CVE, … - Patch Management
  • 20. Identity Days 2023 24 octobre 2023 - PARIS Active Directory continue d’évoluer ! The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com)
  • 21. Identity Days 2023 24 octobre 2023 - PARIS Threat Resistance Entra (aka Azure Active Directory) Microsoft Enterprise Access Model Identity Governance : Privileged Identity Management (JIT), Access Reviews, rôles privilégiés Azure AD, Administrative Units Identity Protection : MFA / Accès Conditionnel, Audit & logs, Password Protection Guest Accounts Management & Azure AD B2C Enterprise Applications : Modern Authentication, SSO, … Azure Landing Zones (Hub & Spoke) Identity Protection & Intune : MFA / Accès Conditionnel, Audit & logs, Password Protection, Device Management, Workflows Lifecycle
  • 22. Identity Days 2023 24 octobre 2023 - PARIS Connais ton ennemi et connais-toi toi-même, et en 100 batailles tu n’en perdras aucune. La stratégie sans tactique est le chemin le plus lent vers la victoire. La tactique sans stratégie est le bruit avant la défaite. Sun Tzu, L’Art de la Guerre
  • 23. Identity Days 2023 24 octobre 2023 - PARIS @IdentityDays #identitydays2023