L’identité est le nouveau périmètre
Avec le travail hybride, les services cloud et les intégrations API, le périmètre réseau traditionnel s’est dissous. Aujourd’hui, l’identité et le contrôle d’accès constituent la ligne de défense la plus importante.
NIS2 le reconnaît en exigeant explicitement le contrôle de l’accès aux réseaux et systèmes.
Question fondamentale : Pouvez-vous aujourd’hui lister exactement qui a accès à vos systèmes critiques et pourquoi ils ont cet accès ?
Exigences NIS2 pour le contrôle d’accès
Article 21.2j — Formation du personnel, contrôle d’accès et gestion des actifs :
Les organisations doivent prendre des mesures appropriées pour :
- Le contrôle d’accès aux systèmes de réseaux et d’information
- La gestion des actifs
- La formation et sensibilisation du personnel
En pratique :
- Documenter qui a accès à quoi
- S’assurer que les permissions sont justifiées
- Réviser les permissions régulièrement
- Supprimer les permissions lors de changements de rôle/départ
- Implémenter une authentification forte
Principes fondamentaux
N'accorder que les permissions nécessaires. Commencer à zéro et ajouter ce qui est requis, pas l'inverse.
Accès à l'information uniquement pour ceux qui en ont besoin pour leurs tâches professionnelles.
Les processus critiques nécessitent plusieurs personnes. Personne ne doit pouvoir agir seul dans des processus sensibles.
Plusieurs couches de contrôles. Si une couche échoue, la suivante est présente.
Processus de revue des accès
- Inventorier les permissions Collecter les données sur qui a accès à quels systèmes. Inclure les comptes utilisateur, comptes de service, clés API et utilisateurs externes.
- Identifier les anomalies Comparer les permissions réelles aux rôles et responsabilités. Les utilisateurs ont-ils plus d'accès qu'ils n'en ont besoin ? Existe-t-il des comptes d'employés ayant quitté l'entreprise ?
- Décision : conserver ou supprimer Pour chaque permission : est-elle justifiée ? Si oui, documenter pourquoi. Si non, la supprimer.
- Implémenter les changements Supprimer les permissions injustifiées. Mettre à jour la documentation d'accès. Communiquer les changements.
- Documenter et suivre Sauvegarder les décisions et justifications. Planifier la prochaine révision. Rapporter le statut à la direction.
Fréquence de revue des accès
| Catégorie | Fréquence | Exemple |
|---|---|---|
| Comptes privilégiés | Trimestrielle | Administrateurs, root, comptes de service avec accès élevé |
| Systèmes critiques | Trimestrielle | Systèmes financiers, données clients, production |
| Données sensibles | Semestrielle | Données personnelles, secrets d’affaires |
| Autres systèmes | Annuelle | Systèmes de support, outils internes |
| En cas de changement | Immédiate | Changements de rôle, départs, changements organisationnels |
Erreurs courantes
Les utilisateurs changent de rôle mais conservent leurs anciennes permissions. Après quelques années, ils ont plus d'accès que le PDG.
Le compte "Admin" que tout le monde connaît. Aucune traçabilité, aucune responsabilité.
Comptes d'employés partis qui ne sont jamais fermés. Porte dérobée potentielle.
Comptes de service avec mots de passe statiques jamais changés. Compromis pour l'éternité.
"Donnez les droits admin et ça marchera" — la réponse standard qui crée des risques.
Systèmes critiques sans authentification multi-facteurs. Des mots de passe volés suffisent pour une intrusion.
Authentification multi-facteurs partout
Où l’MFA doit être implémentée :
- Tous les points d’accès externes (VPN, RDP, webmail)
- Systèmes et applications critiques
- Comptes privilégiés (administrateurs)
- Services cloud et SaaS
- Accès console aux serveurs et équipements réseau
Pas seulement mot de passe + SMS : Le SMS est mieux que rien, mais plus faible que :
- Applications d’authentification (TOTP)
- Clés matérielles (FIDO2/WebAuthn)
- Notifications push avec correspondance de numéros
Automatisation
Provisioning
- Automatiser l’attribution des permissions standard basées sur le rôle
- Liaison entre système RH et gestion des identités
- Réduire les erreurs manuelles et les délais
Déprovisioning
- Désactivation automatique lors de la fin d’emploi
- Liaison aux départs RH
- Pas de comptes oubliés
Certification d’accès
- Rappels automatisés pour la revue d’accès
- Workflow pour approbation/rejet
- Traçabilité et documentation
Liste de contrôle
Fondamentaux :
- Inventaire de tous les comptes utilisateur
- Documentation des comptes de service
- MFA sur les systèmes critiques
- Processus d’arrivée/départ
Revue d’accès :
- Planning pour révision régulière
- Processus pour identifier les anomalies
- Documentation des décisions
- Rapportage à la direction
Automatisation :
- Intégration avec système RH
- Provisioning automatisé
- Déprovisioning automatisé
- Workflow pour demandes d’accès
Le contrôle d’accès est l’un des plusieurs domaines d’exigences de NIS2. Consultez notre aperçu du cadre NIS2 pour une vue complète de toutes les exigences, ou utilisez notre outil de classification NIS2 pour vérifier si vous êtes concernés.
Comment Securapilot peut vous aider
Securapilot soutient le contrôle d’accès et la revue d’accès :
- Gestion des risques — Identifier les risques liés aux accès
- Documentation — Politiques et procédures
- Suivi — Tracer les révisions et décisions
- Rapportage — Statut pour la direction
- Fournisseurs — Contrôle des accès externes
Réservez une démo et voyez comment nous pouvons soutenir votre contrôle d’accès.
Questions fréquentes
Qu'est-ce que le principe du moindre privilège ?
Le principe consistant à accorder aux utilisateurs uniquement les permissions nécessaires pour accomplir leurs tâches professionnelles, rien de plus. Cela limite les dommages en cas de compromission d'un compte.
À quelle fréquence faut-il effectuer une revue des accès ?
Cela dépend du risque. Systèmes critiques et comptes privilégiés : trimestriellement ou plus souvent. Autres systèmes : semestriellement ou annuellement. Tous les changements doivent être documentés.
Qu'est-ce que la séparation des tâches ?
Le fait de répartir les tâches critiques entre plusieurs personnes afin qu'aucune ne puisse accomplir seule une action malveillante. Exemple : celui qui approuve les paiements ne doit pas pouvoir les enregistrer.
L'authentification multi-facteurs est-elle obligatoire selon NIS2 ?
NIS2 ne mentionne pas explicitement l'MFA, mais exige des mesures techniques appropriées pour le contrôle d'accès. En pratique, l'MFA est un contrôle fondamental attendu.
