.png)
Saviez-vous que l'authentification multifactorielle peut bloquer plus de 99,9 % des attaques de compromission de compte? Cette statistique ne pouvant être ignorée, nous allons nous pencher aujourd'hui sur ce sujet et en savoir plus sur l'authentification multifactorielle (AMF) et son lien avec le contrôle d'accès.
Dans l'ensemble, on ne saurait trop insister sur l'importance de la mise en œuvre de mesures de contrôle d'accès solides, conformes aux normes ISO 27001 et NIS2. Les mesures de contrôle d'accès permettent non seulement de protéger les informations sensibles contre les accès non autorisés, mais aussi de s'assurer que seules les personnes autorisées peuvent accéder à des ressources spécifiques, réduisant ainsi le risque de violation de données. Dans cet article de blog, nous allons nous pencher sur ces questions et explorer les principes fondamentaux du contrôle d'accès et de l'AMF.
Dans les paragraphes suivants, nous examinerons les contrôles exacts de la directive NIS2 et de la norme ISO 27001, qui couvrent les exigences en matière de contrôle d'accès et d'AMF.
Les points 21.2.i et 21.2.j de la directive concernent spécifiquement le contrôle d'accès et l'authentification multifactorielle (AMF) et la nécessité de mettre en œuvre des mesures appropriées.
La partie 21.2.i de la directive NIS2 souligne la nécessité pour les entités de mettre en œuvre des mesures visant à empêcher l'accès non autorisé au réseau et aux systèmes d'information. Ces mesures comprennent l'utilisation de mécanismes de contrôle d'accès sûrs et robustes. La directive encourage les entités à adopter l'approche du "moindre privilège", selon laquelle les utilisateurs se voient accorder les niveaux d'accès minimaux nécessaires à l'exercice de leurs fonctions.
La partie 21.2.j de la directive NIS2 porte sur l'utilisation de l' authentification multifactorielle (AMF) comme moyen de vérification de l'identité des utilisateurs. L'AMF est une méthode d'authentification qui exige des utilisateurs qu'ils fournissent au moins deux facteurs de vérification pour accéder à une ressource telle qu'une application, un compte en ligne ou un réseau privé virtuel.
En résumé, les points 21.2.i et 21.2.j de la directive NIS2 soulignent l'importance d'un contrôle d'accès rigoureux et de l'utilisation d'une authentification multifactorielle pour protéger les réseaux et les systèmes d'information. Ces mesures sont considérées comme essentielles pour empêcher les accès non autorisés et garantir la sécurité des informations sensibles. Toutefois, les orientations de la directive NIS2 sont plutôt faibles par rapport aux exigences d'autres cadres tels que la norme ISO 27001. Par conséquent, les meilleures pratiques de la norme ISO 27001 peuvent être utilisées pour répondre à la demande de conformité à la directive NIS2.
Les contrôles suivants des chapitres 5 (contrôles organisationnels) et 8 (contrôles technologiques) sont liés à la gestion des accès:
En substance, le contrôle ISO 27001 "5.15 Contrôle d'accès" concerne la mise en œuvre de mesures efficaces pour gérer et restreindre l'accès aux informations, réduisant ainsi le risque d'accès non autorisé et de violations potentielles des données. Il est divisé en deux sections principales : "Gestion des accès des utilisateurs" et "Responsabilités des utilisateurs". La "gestion de l'accès des utilisateurs" consiste à accorder ou à révoquer les droits d'accès aux utilisateurs en fonction de leur rôle et de leurs responsabilités au sein de l'organisation. Cela comprend la gestion des droits d'accès privilégiés, l'examen des droits d'accès des utilisateurs et la suppression ou l'ajustement des droits d'accès.
Le point "Responsabilités de l'utilisateur" sous "5.15 Contrôle d'accès" consiste à sensibiliser les utilisateurs à leurs responsabilités lorsqu'ils accèdent aux systèmes d'information de l'organisme. Il s'agit notamment de s'assurer que les utilisateurs respectent la politique de contrôle d'accès de l'organisme et qu'ils comprennent les conséquences du non-respect de cette politique.
En outre, le point 5.15 "Contrôle d'accès" souligne également l'importance d'utiliser des procédures de connexion sécurisées, de gérer efficacement les mots de passe et de limiter l'utilisation de programmes utilitaires susceptibles de contourner les contrôles des systèmes et des applications. Ce contrôle est essentiel pour maintenir l'intégrité, la confidentialité et la disponibilité des informations d'une organisation.
Le contrôle "5.16 Gestion de l'identité" oblige les organisations à créer un système complet de gestion de l'identité, impliquant une méthode formelle d'enregistrement et de désenregistrement des utilisateurs. L'objectif est d'aider à attribuer les droits d'accès avec soin, en contrôlant l'accès aux différentes informations et systèmes au sein de l'entreprise. La mise en œuvre de mises à jour et de révisions régulières des droits d'accès des utilisateurs est une nécessité, garantissant leur pertinence continue, en particulier dans des situations telles que les changements de rôle ou le départ d'un employé.
La gestion des privilèges d'accès spéciaux, comme ceux des administrateurs de système, est également cruciale, l'accent étant mis sur une utilisation restreinte et une surveillance constante. Toutes ces mesures visent à éviter les accès non autorisés et les abus potentiels. En outre, cet élément de contrôle souligne le rôle significatif des utilisateurs dans le maintien de la sécurité de leurs informations d'authentification, en insistant sur l'importance de la confidentialité des mots de passe et du signalement rapide de toute violation présumée.
Le contrôle souligne essentiellement l'importance d'une gestion attentive des informations d'authentification. Il impose aux utilisateurs d'être conscients de leur rôle dans le maintien de la confidentialité et de la sécurité de leurs informations d'authentification respectives. Les processus automatisés doivent gérer efficacement l'attribution des mots de passe, et l'exactitude de ces mots de passe doit être vérifiée avant leur utilisation afin de réduire le risque d'accès non autorisé.
Le contrôle nécessite également l'incorporation de mesures de sécurité fermes telles que des mots de passe robustes et une authentification à deux facteurs, ainsi que des procédures de connexion sécurisées, augmentant ainsi le quotient de sécurité. Il exige en outre que les informations d'authentification soient modifiées en temps utile à tout signe de compromission potentielle, ce qui permet d'empêcher tout accès non autorisé même si les informations d'authentification sont compromises.
Le contrôle ISO 27001 "5.1.8 Droits d'accès" décrit les aspects importants de la gestion des droits d'accès. Il détaille la nécessité d'une politique de contrôle d'accès, décrit les processus d'enregistrement et de désenregistrement des utilisateurs, ainsi que l'attribution des accès, et met l'accent sur la gestion des droits d'accès privilégiés et des informations d'authentification secrètes.
Il est également recommandé de procéder à des audits réguliers des droits d'accès des utilisateurs et de supprimer ou d'ajuster rapidement les droits en cas de changement de rôle ou de cessation d'emploi. La mise en œuvre efficace du point 5.1.8 "Droits d'accès" favorise la confidentialité et l'intégrité des informations, ainsi que le respect des mandats en matière de sécurité de l'information.
Dans la capture d'écran suivante, vous pouvez voir un exemple de la manière dont un outil peut être utilisé, par exemple pour garantir l'aspect de la révision régulière des droits d'accès au système de données. Dans l'outil, les rôles d'accès sont clairement documentés et une description du processus indique comment les rôles d'accès sont revus régulièrement. Dans ce cas, l'outil permet également à l'utilisateur de fixer une date/un cycle de révision pour s'assurer que les révisions ont bien lieu.
Lors de la définition des contrôles d'accès, il est essentiel de se concentrer sur l'accès privilégié. En le limitant et en le gérant efficacement, une organisation s'assure que seuls les utilisateurs, les logiciels et les processus autorisés peuvent accéder aux informations privilégiées. La méthode d'attribution des droits d'accès privilégiés dépend d'un système d'autorisation bien conçu qui s'aligne sur la politique de contrôle d'accès correspondante.
Ce contrôle impose que l'attribution et l'utilisation des droits d'accès soient restreintes et contrôlées. Cela signifie que ces droits ne doivent être accordés qu'à un nombre limité de personnes de confiance et que leur utilisation doit être surveillée et enregistrée. En outre, l'attribution de droits d'accès privilégiés doit faire l'objet d'une procédure d'autorisation formelle.
Les utilisateurs disposant de droits d'accès privilégiés doivent recevoir une formation appropriée, c'est-à-dire qu'ils doivent être sensibilisés aux risques associés à leurs droits et aux responsabilités qu'ils assument. Ils doivent également être formés à l'utilisation sûre et efficace de leurs droits. Enfin, ces droits doivent être réexaminés à intervalles réguliers. Cela permet de s'assurer que ces droits sont toujours nécessaires et qu'ils sont utilisés de manière appropriée.
Le contrôle "8.3 Restriction de l'accès à l'information" décrit les règles d'octroi et de révocation des droits d'accès et impose la protection des services en réseau et la mise en œuvre de procédures de connexion sécurisées.
En substance, il est conçu pour garantir que l'accès à l'information est limité aux seuls utilisateurs autorisés et que ces droits d'accès sont gérés, révisés et mis à jour régulièrement afin de préserver l'intégrité et la confidentialité de l'information.
L'objectif principal de ce contrôle est de s'assurer que l'accès au code source est limité au personnel autorisé. Il s'agit d'empêcher les modifications non autorisées, qui pourraient entraîner des vulnérabilités du système ou des activités malveillantes. Il vise également à protéger les droits de propriété intellectuelle de l'organisation.
En outre, le contrôle exige que les droits d'accès au code source soient réexaminés à intervalles réguliers et mis à jour si nécessaire. Il s'agit de s'assurer que seules les personnes qui ont besoin d'un accès pour exercer leurs fonctions en disposent et que les anciens employés ou ceux qui ont changé de rôle au sein de l'organisation ne conservent pas un accès superflu.
L'authentification sécurisée, dans le contexte de la norme ISO 27001, consiste à vérifier l'identité d'un utilisateur, d'un système ou d'une application avant d'accorder l'accès à des informations ou à des ressources. Cette vérification s'effectue généralement par l'utilisation de mots de passe, de données biométriques ou d'autres formes d'identification.
Ce contrôle exige que les organisations mettent en œuvre un processus d'authentification sécurisé adapté à la nature du système ou de l'application. Il peut s'agir d'une authentification multifactorielle (AMF), qui utilise deux ou plusieurs types d'informations d'identification pour une sécurité accrue.
En outre, le contrôle stipule que les informations d'authentification doivent être protégées afin d'empêcher leur divulgation à des parties non autorisées. Cela peut impliquer le cryptage des données, la mise à jour régulière des mots de passe ou l'utilisation de canaux sécurisés pour la transmission des informations d'authentification.
Comme nous l'avons déjà mentionné, la norme ISO 27001 impose le contrôle de l'accès aux services de réseau. Cela implique l'utilisation de MFA pour s'assurer que seuls les utilisateurs autorisés peuvent accéder au réseau. Cela est particulièrement important pour l'accès à distance, où les risques d'accès non autorisé sont plus élevés.
L'authentification multifactorielle (AMF) est un protocole de sécurité essentiel qui exige des utilisateurs qu'ils vérifient leur identité par le biais de deux formes d'authentification ou plus avant d'accéder à des données sensibles. Les méthodes d'authentification multifactorielle sont les suivantes :
L'authentification biométrique, les mots de passe à usage unique (OTP), les notifications push et les jetons matériels ou logiciels sont des techniques d'AMF couramment utilisées aujourd'hui.
L 'objectif principal de l'AMF est de créer une défense à plusieurs niveaux, rendant l'accès plus difficile aux personnes non autorisées, même si l'un des facteurs d'authentification est compromis.
De nos jours, vous pouvez trouver des outils pour rendre votre travail plus efficacepour littéralement n'importe quoi. Cela peut vous faciliter la vie lorsqu'il s'agit de respecter les exigences en matière de droits d'accès et d'AMF. Voyons par exemple comment vous pouvez suivre les droits d'accès à des systèmes de données importants. Dans la capture d'écran suivante, vous pouvez voir une tâche dans un outil, qui se concentre sur la "Révision régulière des droits d'accès aux systèmes de données". À cette fin, tous les systèmes de données importants sont liés en tant que documentation.
Dans cet outil, il suffit de passer aux systèmes de données documentés pour obtenir une liste de tous les systèmes de données, qui pourrait se présenter comme suit :
Avec une telle vue d'ensemble, vous pouvez non seulement garder une trace de tous les systèmes de données dont vous souhaitez contrôler le droit d'accès, mais vous pouvez également y associer d'autres informations. Par exemple, grâce à cet outil, chaque élément de documentation répertorié est accompagné d'une fiche d'information distincte contenant toutes les informations importantes sur chacun des ensembles de données. Dans la capture d'écran suivante, vous pouvez voir un exemple d'utilisation de la collecte de l'autorisation du système (à l'aide de l'AMF).
La complexité de la mise en œuvre de l' authentification multifactorielle (AMF) ou des contrôles d'accès dans le cadre de la conformité à la norme ISO 27001 est l'un des défis les plus courants. Les systèmes d'AMF et de contrôle d'accès peuvent être complexes à mettre en place et à gérer, en particulier pour les organisations ayant un grand nombre d'utilisateurs ou une infrastructure informatique complexe. Cela peut conduire à des erreurs ou à des vulnérabilités s'ils ne sont pas correctement gérés.
Un autre défi est la résistance des utilisateurs. L'AMF ajoute une étape supplémentaire au processus de connexion, ce que certains utilisateurs peuvent trouver peu pratique. Cela peut entraîner une résistance à l'adoption, en particulier si les avantages de l'AMF ne sont pas clairement communiqués aux utilisateurs.
Le coût est également un défi important. La mise en œuvre de l'AMF et de systèmes de contrôle d'accès robustes peut s'avérer coûteuse, en particulier pour les petites et moyennes entreprises. Le coût comprend non seulement la mise en place initiale, mais aussi la maintenance et la gestion continues.
En outre, il est difficile de rester en conformité avec des normes en constante évolution. La norme ISO 27001 et d'autres normes de cybersécurité sont régulièrement mises à jour pour tenir compte des nouvelles menaces et des meilleures pratiques. Les organisations doivent se tenir au courant de ces changements et s'assurer que leurs systèmes de contrôle d'accès et d'AMF restent conformes. Certains outils peuvent vous aider à rester à jour et vous indiquer de manière efficace ce qui a changé dans une mise à jour d'un cadre et quel travail supplémentaire vous devez potentiellement investir.
Enfin, il faut trouver un équilibre entre la sécurité et la facilité d'utilisation. Si l'AMF et les contrôles d'accès robustes peuvent considérablement renforcer la sécurité, ils peuvent aussi rendre les systèmes plus difficiles à utiliser. Les organisations doivent trouver un équilibre qui assure une sécurité forte sans avoir d'impact négatif sur l'expérience de l'utilisateur.
En conclusion, on ne saurait trop insister sur l'importance d'un contrôle d'accès solide et de mesures d'authentification multifactorielle (AMF) lorsque l'on vise la conformité à la norme ISO 27001 (ou NIS2). Ces mesures de sécurité sont essentielles pour protéger les informations sensibles et empêcher l'accès non autorisé aux systèmes et aux données. Elles constituent l'épine dorsale de toute stratégie de cybersécurité efficace.
Les normes ISO 27001 et NIS2 fournissent des lignes directrices pour la mise en œuvre de ces mesures et soulignent en outre la nécessité d'une politique de contrôle d'accès bien définie, d'une gestion efficace de l'accès des utilisateurs, de responsabilités claires pour les utilisateurs et de mécanismes d'authentification solides. Le respect de ces normes permet non seulement d'améliorer le niveau de sécurité d'une organisation, mais aussi de démontrer son engagement à maintenir des niveaux élevés de protection des données.
En fin de compte, la maîtrise du contrôle d'accès et de l'AMF est un voyage permanent. Elle exige des efforts constants pour anticiper l'évolution des menaces et adapter les mesures de sécurité en conséquence. Mais les récompenses - sécurité renforcée, conformité aux normes internationales et tranquillité d'esprit - font que ces efforts en valent la peine. Consultez les autres articles du blog de l'Académie si vous souhaitez en savoir plus sur les meilleures pratiques en matière de mise en place d'un SMSI.
