ISGroup Conseil en Cybersécurité

NIS2 et authentification multifacteur

La directive NIS2 promeut directement l’utilisation de l’authentification multifacteur (MFA) en tant que mesure de cybersécurité.

  • Article 21, Paragraphe 2(j) : Il mentionne explicitement « l’utilisation de solutions d’authentification multifacteur ou d’authentification continue » comme l’un des éléments de sécurité clés que les entités essentielles et importantes doivent prendre en compte lors de la mise en œuvre des mesures de gestion des risques informatiques.

Bien que la directive ne rende pas l’adoption de la MFA obligatoire dans tous les cas, son inclusion parmi ces éléments souligne l’importance de ce contrôle de sécurité, en particulier pour :

  • Contrôle des accès : La MFA ajoute une couche de sécurité supplémentaire pour l’accès aux systèmes et aux données sensibles, rendant nettement plus difficile l’accès pour les utilisateurs non autorisés, même s’ils ont compromis un facteur d’authentification (par exemple, un mot de passe).
  • Réduction de l’impact des identifiants compromis : Étant donné la prévalence des attaques par hameçonnage (phishing) et des violations entraînant le vol de mots de passe, la MFA agit comme une protection critique en exigeant des facteurs de vérification supplémentaires, généralement plus difficiles à obtenir pour les attaquants.

Les exigences générales de la directive NIS2 soutiennent implicitement l’utilisation de la MFA également par le biais de :

  • Approche de gestion des risques : L’accent mis par la directive sur une approche fondée sur le risque pour la cybersécurité (Article 21) implique que les entités doivent évaluer les risques pesant sur leurs systèmes et données et mettre en œuvre des contrôles appropriés. Compte tenu de l’efficacité de la MFA dans l’atténuation des risques d’accès non autorisé, elle serait probablement considérée comme une mesure proportionnée et essentielle pour de nombreuses organisations soumises à la directive.
  • Sécurité des réseaux et des systèmes d’information : L’Article 21, Paragraphe 1, exige des entités qu’elles adoptent des mesures pour gérer les risques et « prévenir ou réduire au minimum l’impact des incidents ». La MFA s’aligne directement sur cet objectif en renforçant la sécurité des accès et en réduisant la probabilité de violations réussies.

En résumé : Bien que la directive NIS2 n’impose pas explicitement l’utilisation de l’authentification multifacteur dans chaque scénario, elle encourage fortement son adoption par :

  • Son inclusion directe en tant qu’élément de sécurité clé à prendre en compte.
  • Le cadre réglementaire basé sur la gestion des risques, où la MFA représente un contrôle hautement pertinent.
  • L’accent mis sur la nécessité de protéger les systèmes et de réduire au minimum l’impact des incidents.

Pour les organisations qui doivent structurer ou vérifier leur parcours de mise en conformité, le service de conformité NIS2 d’ISGroup aide à identifier les mesures techniques requises, y compris l’évaluation des contrôles d’authentification prévus par l’Article 21. Le texte intégral de la norme peut être consulté dans le document officiel de la directive NIS2.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *