< Retour aux articles

Publié le 16 novembre 2023

NIS2 : comment sécuriser vos accès distants aux données sensibles ?

     55% des Français travaillent en mode hybride. Entre présence au bureau, télétravail, déplacements professionnels… les collaborateurs ont besoin d’un accès distant aux données de leur organisation pour travailler efficacement. Mais accéder à distance aux données sensibles présente des risques en matière de cybersécurité.

Dans ce contexte, la directive NIS2, publiée le 27 décembre 2022 au Journal Officiel de l’Union Européenne, complète la législation déjà en vigueur pour renforcer la sécurité des données sensibles au sein des organisations. Quelles sont les nouvelles obligations des entreprises, et quelles solutions adopter pour sécuriser les accès distants ?

Directive NIS2 : un nouveau cadre pour la sécurité des données sensibles

La directive NIS2 s’adresse à toutes les entreprises qui remplissent au moins l’une de ces conditions :

  • l’entreprise est présente dans deux États membres de l’UE
  • elle compte plus de 50 salariés
  • son chiffre d’affaires est supérieur à 10 millions d’euros
  • son secteur d’activité est mentionné les annexes 1 et 2 de la directive : santé, finance, transports, télécommunications, spatial…
  • les sous-traitants, fournisseurs, prestataires de services pour une infrastructure d’une entreprise soumise à la directive NIS2 sont également concernés.

Elle étend ainsi le périmètre de la directive NIS1 déjà en vigueur… tout en renforçant les obligations légales des entreprises en matière de sécurité des données sensibles.

Ainsi, toutes les entreprises soumises à la réglementation se doivent de :

  • Mener une analyse des risques et de prendre en compte les cybermenaces susceptibles d’impacter leur SI.
     
  • Mettre en place des mesures de protection du SI et de ses données à différents niveaux : chiffrement des données, traitement des vulnérabilités, sécurité du réseau, contrôle des accès ou encore gestion des utilisateurs.
     
  • Préparer un plan pour maintenir la continuité de l’activité en cas d’incident.
     
  • Former les collaborateurs aux risques informatiques, aux bonnes pratiques de cyberhygiène, et à la politique de sécurité de l’organisation.
     
  • Déclarer les incidents de sécurité à l’ANSSI dans un délai de 24 heures, ainsi qu’une évaluation d’impact dans un délai de 72 heures.

La réglementation NIS2 devrait être officiellement appliquée d’ici octobre 2024. Les organisations qui ne répondront pas aux exigences de la directive s'exposeront à des sanctions, avec des amendes pouvant aller de 7 à 10 millions d’euros ou de 1,4% à 2% du chiffre d’affaires mondial total.

 

Pour en savoir plus découvrez notre ebook dédié à la directive NIS2 :

Accès distants non sécurisés : quels risques pour votre entreprise ?

Un accès distant non sécurisé expose votre entreprise à plusieurs cyberrisques. Parmi eux, on peut notamment citer :

  • l’interception des échanges des données sensibles par une attaque de type “man in the middle”.
     
  • l’exploitation d’un réseau non sécurisé, tel qu’un WiFi public ,qui  peut entraîner des violations de données.
     
  • le phishing et les arnaques au président, qui exploitent la distance physique entre les collaborateurs pour usurper leur identité et demander par exemple des ordres de virement frauduleux.
     
  • l’accès d’une personne non autorisée aux données de l'entreprise via l’appareil d’un collaborateur.
     
  • le vol d’un appareil contenant des données sensibles.
     
  • l’exploitation de vulnérabilités applicatives ou logicielles sur un terminal utilisé pour accéder aux données sensibles.

 

Toutes ces menaces peuvent directement compromettre la sécurité des données sensibles de votre entreprise.

Une violation de données n’est pas sans conséquence. D’abord, elle entraîne des coûts liés à la notification des victimes, à la procédure judiciaire et à la remédiation de l’incident. L’entreprise victime doit ensuite renforcer ses mesures de protection. Si la violation est la conséquence d’une non-conformité au RGPD ou à la directive NIS2, des amendes légales peuvent être infligées. Malheureusement, une fuite de données détériore la confiance des clients ainsi que l’image de marque. Beaucoup d’entreprises victimes perdent des clients et des revenus suite à une divulgation de leurs données sensibles.

Les meilleures pratiques pour sécuriser les accès distants

Plusieurs dispositifs de sécurité permettent de renforcer la sécurité des accès distants tout en respectant les exigences de la directive NIS2.

  • L’authentification multi-facteurs (AMF) : elle permet de vérifier que la personne qui tente de se connecter au SI de votre entreprise est bien un collaborateur. Celui-ci doit s’identifier non seulement par son identifiant et son mot de passe, mais aussi par une seconde authentification via une clé digitale, la réception d’un code par SMS, ou encore la reconnaissance faciale. Elle empêche ainsi les tentatives de connexion malveillantes.
     
  • La gestion des identités et des accès (IAM) : cette approche consiste à définir les habilitations de chaque utilisateur afin de protéger les données les plus sensibles. Les solutions IAM permettent de gérer les identités (création, modification et suppression de comptes d'utilisateurs) et de moduler les accès et les privilèges en fonction du rôle de chacun (poste occupé, partenaires, fournisseurs etc.). L’accès aux données sensibles est ainsi restreint au plus petit nombre d’utilisateurs possible.

     
  • Les VPN (Virtual Private Networks) pour sécuriser les connexions distantes : ils assurent le chiffrement des données lors des échanges à distance. Même en cas d’interception, elles restent ainsi totalement illisibles. Par ailleurs, un VPN protège les données et la navigation en cas de connexion à un réseau non sécurisé, à l’instar d’un WiFi public.

     
  • La formation des employés : les collaborateurs qui travaillent à distance doivent être sensibilisés aux cyberrisques et formés aux bonnes pratiques de cyberhygiène, ainsi qu’aux règles internes mises en place. Ce travail de formation a pour but de réduire les risques d’erreur humaine et de ne laisser aux cybercriminels aucune opportunité à saisir.

La démocratisation du travail à distance a augmenté les risques d’exposition aux cybermenaces. Les attaquants exploitent les accès distants non sécurisés pour cibler les données sensibles de l’entreprise. Une mise en conformité à la nouvelle directive NIS2, l’adoption de solutions de sécurité adéquates et la formation des collaborateurs sont autant de mesures à prendre pour sécuriser les accès distants.

3