MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Son entrée en vigueur nécessite de mettre en place des solutions modernes qui ne pourront être déployées que sur les fondements d’une politique cryptographique ad hoc. En effet, sans certificat rien ne peut fonctionner. Keyfactor, la solution de sécurité « identity-first » pour les entreprises, livre les 4 étapes essentielles pour répondre aux exigences de gouvernance centralisée et d’auditabilité de NIS 2 :
NIS 2 exige des entreprises de connaître, maîtriser et contrôler tous les certificats détenus au sein de leurs systèmes afin d’être à même de faire un reporting clair et détaillé en cas de cyberattaque.
Les entreprises doivent donc commencer par faire l’inventaire en temps réel et de façon exhaustive de la globalité de leurs assets cryptographiques (nombre, validité, emplacement, usage...) afin de s’assurer que tout est identifié et conforme à la directive.
Le recours à des technologies modernes de PKI, qui garantissent une politique de cryptographie forte basée sur des certificats, est indispensable afin d’assurer l’authentification systématique des identités et des machines et d’adopter une stratégie multi-facteurs. Pour ce faire, il est essentiel d’implémenter une PKI ou de vérifier que celle en place répond à un cadre de gouvernance cryptographique centralisée sur des systèmes hétérogènes.
Lors des dernières cyberattaques, les hackers ont traqué les clés de signature mal sécurisées afin de pouvoir signer des malwares parfaitement authentiques. Pour éviter cette situation, il est recommandé de déployer des politiques dédiées, en définissant les autorisations d’utilisation des clés en fonction des utilisateurs, des groupes, des appareils, de l’heure et du lieu ou de l’outil de signature.
L’automatisation de la gestion des certificats permet d’éviter les pannes et d’assurer la continuité des activités. Les équipes peuvent ainsi conserver une visibilité sur les certificats une fois émis et les remplacer facilement s’ils arrivent à expiration ou s’ils ne sont plus fiables.
Une approche zero-trust, des mises à jour logicielles régulières, la gestion des risques, la gestion de l’identité et de l’accès, la signature de code, l’authenticité des logs d’audits, … toutes ces mesures reposent sur une PKI et une gestion appropriée des certificats. La mise en place d’une politique cryptographique forte est donc une étape indispensable, voire obligatoire, pour se mettre en conformité avec NIS 2.
