Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

NIS 2 : Keyfactor rappelle les étapes incontournables pour se mettre en conformité

octobre 2024 par Keyfactor

Dans un contexte où la sécurité numérique est devenue un enjeu majeur, la nouvelle directive NIS 2, qui a pour objectif de renforcer la cybersécurité au sein de l’UE, représente un tournant décisif. Son entrée en vigueur nécessite de mettre en place des solutions modernes qui ne pourront être déployées que sur les fondements d’une politique cryptographique ad hoc. En effet, sans certificat rien ne peut fonctionner. Keyfactor, la solution de sécurité « identity-first » pour les entreprises, livre les 4 étapes essentielles pour répondre aux exigences de gouvernance centralisée et d’auditabilité de NIS 2 :

• Étape 1 : auditer l’existant
NIS 2 exige des entreprises de connaître, maîtriser et contrôler tous les certificats détenus au sein de leurs systèmes afin d’être à même de faire un reporting clair et détaillé en cas de cyberattaque.
Les entreprises doivent donc commencer par faire l’inventaire en temps réel et de façon exhaustive de la globalité de leurs assets cryptographiques (nombre, validité, emplacement, usage...) afin de s’assurer que tout est identifié et conforme à la directive.

• Étape 2 : s’assurer que la PKI est adaptée
Le recours à des technologies modernes de PKI - qui garantissent une politique de cryptographie forte basée sur des certificats - est indispensable afin d’assurer l’authentification systématique des identités et des machines et d’adopter une stratégie multi-facteurs. Pour ce faire, il est essentiel d’implémenter une PKI ou de vérifier que celle en place répond à un cadre de gouvernance cryptographique centralisée sur des systèmes hétérogènes.

• Étape 3 : déployer une politique de signature
Lors des dernières cyberattaques, les hackers ont traqué les clés de signature mal sécurisées afin de pouvoir signer des malwares parfaitement authentiques. Pour éviter cette situation, il est recommandé de déployer des politiques dédiées, en définissant les autorisations d’utilisation des clés en fonction des utilisateurs, des groupes, des appareils, de l’heure et du lieu ou de l’outil de signature.

• Étape 4 : Introduire une automatisation du cycle de vie des certificats
L’automatisation de la gestion des certificats permet d’éviter les pannes et d’assurer la continuité des activités. Les équipes peuvent ainsi conserver une visibilité sur les certificats une fois émis et les remplacer facilement s’ils arrivent à expiration ou s’ils ne sont plus fiables.

Une approche zero-trust, des mises à jour logicielles régulières, la gestion des risques, la gestion de l’identité et de l’accès, la signature de code, l’authenticité des logs d’audits, … toutes ces mesures reposent sur une PKI et une gestion appropriée des certificats. La mise en place d’une politique cryptographique forte est donc une étape indispensable, voire obligatoire, pour se mettre en conformité avec NIS 2.


Voir les articles précédents

    

Voir les articles suivants