Comment se mettre en conformité avec la directive NIS 2 pour le contrôle d’accès ?
Dossier de la Rédaction
En vigueur depuis octobre 2024, la directive NIS 2, assortie de lourdes sanctions en cas de non-respect, impose aux organisations de prendre des mesures de cybersécurité pour garantir que le système d’information et les accès physiques sont sécurisés et protègent les données sensibles ou critiques.
Face aux violations et divulgations des informations sensibles et autres menaces ciblant les entreprises et institutions, l’Union européenne a édicté la directive NIS 2 qui leur impose le respect d’une longue liste d’obligations. Désormais, le système d’information des organisations doit être sécurisé, résilient et protéger les systèmes et les données sensibles.
Parmi les secteurs les plus critiques figurent les centrales énergétiques, les établissements de santé ou encore les centres de données.
Concernant le contrôle d’accès, le rôle des systèmes de contrôle d’accès physique (PAC), étroitement liés à la cybersécurité, est de surveiller de près les serveurs, les équipements, et tout local contenant des informations confidentielles. Cela passe, notamment, par la mise en place de badges RFID ou NFC ou de systèmes biométriques.
L’article 18 de la directive NIS 2 décrit les politiques relatives au contrôle d’accès des utilisateurs comme l’authentification sécurisée et d’autres procédures visant à garantir la disponibilité, l’intégrité et la confidentialité.
La conformité à la directive NIS 2 se décline en plusieurs volets
- D’abord, la mise en place de mots de passe longs et robustes qu’il faut mettre régulièrement à jour. Un même sésame ne doit pas, bien entendu, être utilisé sur plusieurs équipements et services. Les mots de passe ne sont pas les seuls verrous d’une organisation. Ils peuvent être remplacés par les badges et jetons RFID ou l’authentification biométrique. Bien noter que cette dernière est strictement encadrée, en France et en Europe, par le RGPD et autres textes de protection de l’identité personnelle.
- La MFA à savoir l’authentification multi-factorielle, est essentielle pour protéger les comptes utilisateurs à hauts risques, tels ceux des administrateurs ou des salariés ayant accès à des systèmes d’infrastructure critiques. La MFA consiste à utiliser deux ou plusieurs facteurs de vérification pour valider une opération via des mots de passe, identification biométrique étiquette RFID ou Smartphone.
- La gestion des accès qui permet d’authentifier tous les utilisateurs de manière centralisée et détermine quelle personne accède à quelle ressource (système d’information, applications, fichiers). La directive NIS 2 exige un contrôle plus strict des comptes privilégiés tels ceux des responsables métiers ou administrateurs système.
- L’authentification SSO n’est autre qu’une solution permettant aux utilisateurs de se connecter en une seule fois à plusieurs services avec un seul identifiant et mot de passe. Elle est très pratique et limite le nombre de connexions, mais, revers de la médaille, si ces codes d’accès uniques sont piratés, ils ouvrent grand la porte aux intrusions malveillantes.
- Le chiffrement des identifiants d’accès (mots de passe, données biométriques ou identifiants RFID/mobiles) est indispensable pour garantir leur confidentialité pendant leur transmission et leur stockage. Sans chiffrement, les informations sensibles utilisées pour l’authentification pourraient être interceptées, compromises ou clonées.
Les systèmes PAC peuvent également être soumis à des exigences supplémentaires, comme par exemple la protection contre la falsification des composants physiques du système PAC, y compris les lecteurs RFID, afin de garantir qu’ils ne puissent pas être désactivés ou contournés.
Les systèmes PAC peuvent par ailleurs être assignés à la surveillance permanente des bâtiments pour détecter les activités suspectes ou les tentatives non autorisées d’accès à des zones restreintes. Enfin, il importe de signaler tout incident ou accès non autorisé à des sites physiques susceptibles d’accéder à des infrastructures critiques.
Faciliter la conformité grâce à des solutions d’identification
Dans ce contexte, des acteurs spécialisés dans les technologies d’identification se positionnent comme partenaire de la conformité NIS 2 pour sécuriser l’accès et mieux gérer les risques cyber. La société Elatec propose par exemple des lecteurs multi-technologies capables d’intégrer différents facteurs d’authentification (RFID, NFC, biométrie, badges,..).
Des solutions qui permettent aux organisations de mettre en place des politiques d’accès conformes aux exigences de l’article 18 et 21 de NIS 2 (authentification forte, gestion des droits d’accès, confidentialité des données), de passer au sans mot de passe en remplaçant ou en complétant les mots de passe par des moyens plus sécurisés et résistants au phishing (badges RFID, Smartphones avec biométrie), d’intégrer une authentification multi-factorielle (MFA) facilement dans leurs systèmes existants (avec des options combinant badge + code PIN ou mobile + empreinte digitale), de renforcer la sécurité des accès physiques et numériques à travers des dispositifs chiffrés, capables de protéger les données d’identification contre l’interception ou la copie, en encore de centraliser la gestion des identités (IAM), en permettant une harmonisation des accès pour tous les utilisateurs selon leur rôle, et une meilleure traçabilité.
Dans ce nouveau cadre réglementaire, la mise en conformité avec NIS 2 ne se limite donc pas à une exigence technique : elle devient un levier stratégique pour renforcer la résilience des systèmes d’information. En intégrant des dispositifs d’authentification robustes, une gestion fine des accès et des outils compatibles avec les standards de sécurité les plus exigeants, les organisations se dotent des moyens nécessaires pour protéger efficacement leurs infrastructures critiques, leurs données sensibles et leurs utilisateurs.
