NIS2 compliance: How to get passwords and MFA right

Conformité NIS2 : Renforcer les défenses par l’authentification

La directive NIS2 de l’Union Européenne impose des exigences de cybersécurité accrues aux organisations de secteurs critiques. La gestion des identités et des accès est au cœur de ces nouvelles obligations, avec un accent particulier sur les politiques de mots de passe et l’authentification multifacteur (MFA). Les entreprises concernées, notamment celles de taille moyenne ou grande employant plus de 50 personnes et générant un chiffre d’affaires annuel supérieur à 10 millions d’euros dans des domaines tels que l’énergie, le transport, la santé ou l’administration publique, doivent se conformer sous peine de sanctions financières importantes.

Les anciennes pratiques de mots de passe complexes et de rotations forcées sont dépassées. Les directives actuelles préconisent de privilégier la longueur (au moins 15 caractères) et de mettre en place des mécanismes de vérification des mots de passe par rapport aux bases de données de données compromises, tout en bloquant les mots de passe courants et en interdisant leur réutilisation sur des systèmes critiques. La rotation obligatoire des mots de passe est déconseillée, remplacée par une surveillance des compromissions et une notification aux utilisateurs en cas d’exposition de leurs identifiants. La sensibilisation des utilisateurs est également cruciale pour garantir l’efficacité des mesures techniques.

Bien que la directive NIS2 ne mentionne pas explicitement la MFA, les interprétations nationales et les recommandations de l’ENISA la rendent quasi obligatoire, surtout pour les accès privilégiés. La MFA agit comme une seconde barrière essentielle, bloquant la grande majorité des attaques automatisées. Il est recommandé de privilégier les méthodes de MFA résistantes au phishing.

Pour se conformer, une feuille de route pratique inclut la mise à jour des politiques de mots de passe pour privilégier la longueur et l’utilisation d’outils pour leur vérification continue. Le déploiement de MFA, en commençant par les utilisateurs privilégiés et en utilisant des solutions résistantes au phishing, est fondamental. L’implémentation de politiques d’accès conditionnel, la formation des utilisateurs et la documentation des procédures sont également des étapes clés pour une conformité continue et une bonne préparation aux audits.

Points clés :

• Champ d’application NIS2 : Organisations moyennes et grandes (50+ employés ou >10M€ CA) dans 18 secteurs critiques.
• Sanctions : Amendes pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial.
• Politiques de mots de passe : Priorité à la longueur (15 caractères minimum), vérification contre les bases de données compromises, blocage des mots courants, interdiction de réutilisation. Abandon de la rotation forcée.
• Authentification Multifacteur (MFA) : Fortement recommandée, voire obligatoire pour les accès privilégiés, avec préférence pour les méthodes résistantes au phishing.

Vulnérabilités (exemples basés sur les pratiques dépassées et l’importance de la MFA) :

• Mots de passe trop courts ou prévisibles.
• Réutilisation de mots de passe entre différents services.
• Absence de MFA, rendant les comptes vulnérables en cas de compromission d’identifiants.
• Faible sensibilisation des utilisateurs aux risques liés aux mots de passe.

Recommandations :

• Adopter des politiques de mots de passe basées sur la longueur (>= 15 caractères).
• Mettre en œuvre des outils pour scanner les mots de passe contre les bases de données compromises.
• Déployer l’authentification multifacteur (MFA), prioritairement les méthodes résistantes au phishing.
• Former les utilisateurs aux bonnes pratiques en matière de mots de passe et de sécurité.
• Mettre en place des revues régulières des accès et des audits.
• Documenter l’ensemble des mesures de sécurité et des procédures pour les audits.

Source