La directive NIS 2 bouleverse la cybersécurité en Europe, particulièrement dans le domaine de la gestion des identités et des accès (IAM). Découvrez son impact concret sur votre stratégie de sécurité des identités et les actions à entreprendre rapidement pour assurer votre conformité.

---

Sommaire

1. Qu’est-ce que la directive NIS 2 et qui est concerné ?
2. La transposition de NIS 2 en France : le rôle de l’ANSSI
3. NIS 2 et la gestion des identités et accès (IAM)
4. Sécurité des comptes administratifs et protection des annuaires
5. Sécurisation des accès distants et gestion des identités des prestataires
6. Infrastructure d’administration dédiée pour les Entités Essentielles
7. Se préparer à NIS 2 avec Aduneo
8. FAQ sur NIS 2 et la gestion des identités

---

Qu’est-ce que la directive NIS 2 et qui est concerné ?

La directive NIS 2 (Network and Information Systems) représente une évolution majeure dans la régulation européenne de la cybersécurité. Entrée en vigueur le 18 octobre 2024, cette directive renforce considérablement le cadre existant pour répondre aux cybermenaces croissantes qui ciblent les organisations européennes.

L’innovation principale de NIS 2 réside dans l’élargissement significatif de son champ d’application par rapport à la première directive NIS de 2016. Alors que NIS 1 concernait uniquement les Opérateurs de Services Essentiels (OSE = opérateurs de transport, d’énergie, des infrastructures d’eau) et les fournisseurs de services numériques (DSP = informatique cloud – IaaS, PaaS, SaaS, moteurs de recherche, marketplaces, ), NIS 2 introduit deux nouvelles catégories d’entités soumises à la réglementation :

• Les Entités Essentielles (EE) : incluant les anciens OSE et d’autres organisations critiques
• Les Entités Importantes (EI) : couvrant de nouveaux secteurs jugés stratégiques

Cette extension du périmètre signifie que des milliers d’organisations supplémentaires, tant publiques que privées, doivent désormais se conformer aux exigences de cybersécurité imposées par NIS 2, avec un accent particulier sur la protection des systèmes d’identités numériques. Les EE par exemple, concernent de nouveaux secteurs (banques, marchés financiers, santé …) et les EI viennent compléter la longue liste d’entités concernés (cabinets d’experts comptables, services de messagerie et d’envoi, production et distribution de produits chimiques, d’aliments en gros, fabrication de machines et équipements, fournisseurs numériques…).

La transposition de NIS 2 en France : le rôle de l’ANSSI

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pilote la mise en œuvre de cette directive européenne. Bien que la finalisation de la transposition ait connu quelques délais, une première version du texte de transposition est déjà en circulation et donne des indications précises sur les obligations qui seront imposées aux entreprises françaises.

Les 20 objectifs de sécurité de NIS 2

Le document de transposition s’articule autour de 20 objectifs de sécurité structurés, chacun comportant :

• Un descriptif détaillé de l’objectif
• Une justification de son importance dans le cadre global
• Une liste de mesures acceptables pour démontrer la conformité
• Ces objectifs couvrent l’ensemble du spectre de la cybersécurité, depuis la gouvernance jusqu’à la gestion des incidents, avec une attention particulière portée à la sécurité des identités et des accès, considérée comme un pilier fondamental de la protection des systèmes d’information.

NIS 2 et la gestion des identités et accès (IAM) : 4 points clés

L’un des aspects les plus significatifs de NIS 2 concerne la gestion des identités et des accès (IAM). Parmi les 20 objectifs de sécurité, l’objectif 13 est entièrement consacré à l’IAM, soulignant l’importance cruciale de cette dimension dans la stratégie globale de cybersécurité.

Voici les 4 points essentiels à retenir concernant la gestion des identités sous NIS 2 :

1. Définition et périmètre des identités

NIS 2 adopte une définition large de la notion d’identité, qui recouvre non seulement les utilisateurs humains, mais également les processus automatiques et les services. Cette approche holistique reconnaît que chaque entité interagissant avec les systèmes d’information – qu’elle soit humaine ou machine – nécessite des droits d’accès spécifiques et contrôlés.

2. La fin des comptes partagés

La directive impose que chaque utilisateur dispose d’un compte individuel pour accéder aux systèmes. L’utilisation de comptes partagés, bien que tolérée dans certains cas exceptionnels, doit être strictement encadrée avec des mesures de sécurité renforcées, comme la modification immédiate des mots de passe après le départ d’un utilisateur. Cette exigence vise à garantir la traçabilité des actions et la responsabilité individuelle.

3. Obligation de recertification annuelle

NIS 2 rend obligatoire la mise en place d’au moins une campagne de recertification par an. Cette mesure fondamentale assure que les droits d’accès restent alignés avec les besoins réels des utilisateurs et conformes aux politiques de sécurité en vigueur, réduisant ainsi le risque d’accumulation de privilèges inappropriés au fil du temps.

4. Journalisation systématique des accès

Les organisations doivent désormais consigner tous les événements liés à la gestion des identités, à l’authentification et aux accès aux systèmes d’information. Cette journalisation complète constitue un élément essentiel pour garantir la traçabilité, faciliter les investigations en cas d’incident et permettre une supervision efficace de la sécurité.

NIS 2 et annuaires : Sécurité des comptes administratifs et protection des annuaires

L’objectif de sécurité 14 aborde spécifiquement la gestion des comptes à privilèges élevés, reconnaissant leur criticité dans la chaîne de sécurité. Il stipule que les actions d’administration doivent être réalisées via des comptes dédiés, distincts des comptes utilisateurs standards, afin de limiter les risques de compromission.

La création de comptes administratifs spécifiques s’accompagne d’exigences strictes :

• Journalisation systématique et détaillée des actions réalisées
• Traçabilité renforcée des opérations sensibles
• Surveillance accrue des activités administratives

Un point particulièrement notable concerne la protection des annuaires d’identités (comme Active Directory), véritables cœurs de confiance des systèmes d’information modernes. NIS 2 exige que :

• Les annuaires soient accessibles uniquement via des comptes d’administration spécifiques
• Une segmentation stricte des privilèges soit mise en œuvre
• Un administrateur accédant à l’annuaire et à d’autres systèmes dispose de plusieurs comptes distincts
• Une revue annuelle de la configuration des annuaires soit effectuée, idéalement avec des outils automatisés

Ces mesures visent à préserver l’intégrité et la sécurité des systèmes d’annuaire, particulièrement ciblés lors des cyberattaques sophistiquées.

NIS 2 et IAM : Sécurisation des accès distants et gestion des identités des prestataires

La pandémie mondiale a accéléré la généralisation du travail à distance, augmentant les risques liés aux accès externes. L’objectif de sécurité 10 de NIS 2 aborde cette problématique en imposant des mesures de chiffrement robustes et des mécanismes d’authentification renforcés.

Pour les Entités Essentielles (EE), la mise en place de l’authentification multi-facteurs (MFA) devient obligatoire pour tous les accès distants. Cette exigence reflète les bonnes pratiques du secteur et répond à la recrudescence des attaques ciblant les identités.

Cependant, l’objectif 13, bien qu’il traite en profondeur de la gestion des identités, n’aborde pas suffisamment la problématique spécifique de la gestion des identités des prestataires externes, souvent basée sur des comptes partagés. Cette lacune pourrait exposer certaines organisations à des risques accrus si des mesures complémentaires ne sont pas mises en place pour réguler ces accès privilégiés externes.

Retrouvez notre suite d’article sur l’authentification multifacteur « Quelques écueils à éviter en authentification MFA« , « Contre le phishing, toutes les MFA et 2FA ne sont pas nés égales » et « MFA, 2FA, passwordless, comment s’y retrouver ?« 

Infrastructure d’administration dédiée pour les Entités Essentielles

L’objectif de sécurité 15, applicable uniquement aux Entités Essentielles, introduit une exigence particulièrement contraignante : la mise en place d’une infrastructure d’administration dédiée. Cette obligation comprend :

• Des comptes spécifiques pour les tâches d’administration
• Des postes de travail dédiés exclusivement à l’administration
• Des interfaces réseau spécifiquement réservées aux actions d’administration

Cette approche de cloisonnement vise à renforcer l’isolation des systèmes critiques et à limiter drastiquement les risques de compromission des environnements d’administration.

Par ailleurs, les EE sont également tenues de journaliser et d’analyser systématiquement tous les événements liés à la gestion des identités et des accès, conformément à l’objectif de sécurité 16. Cette surveillance doit couvrir :

• Les événements d’authentification
• La gestion des comptes et des droits d’accès
• Les accès aux ressources sensibles

La centralisation des événements de sécurité joue ici un rôle déterminant pour détecter rapidement les incidents potentiels et y réagir efficacement.

Téléchargez notre livre blanc « Réussir l’intégration d’une solution d’IGA »

Se préparer à NIS 2 avec Aduneo

Même si le texte définitif de transposition n’est pas encore publié, les premières versions montrent clairement une orientation vers une cybersécurité renforcée, avec des exigences accrues en matière de gestion des identités numériques. Ce cadre réglementaire ne fait pas qu’encourager les bonnes pratiques : il les rend obligatoires pour un large éventail d’organisations.

Aduneo, expert en solutions de gestion des identités et des accès, accompagne les entreprises dans leur mise en conformité avec NIS 2 grâce à :

• L’évaluation de la maturité IAM de votre organisation face aux exigences NIS 2
• L’élaboration de stratégies de mise en conformité adaptées à votre contexte
• L’implémentation de solutions techniques pour répondre aux obligations légales
• La mise en place de solutions d’authentification forte (2FA, MFA, passwordless)
• Le déploiement de solution de gestion des accès à privilège (PAM)

La directive NIS 2 marque un tournant décisif dans la gestion de la cybersécurité en Europe, avec des implications majeures pour la gestion des identités et des accès. En renforçant les mesures de sécurité autour des comptes utilisateurs, des annuaires et des accès administratifs, cette directive vise à protéger les systèmes critiques contre des menaces de plus en plus sophistiquées.

Contactez nos experts pour évaluer votre situation actuelle et définir votre feuille de route vers la conformité NIS 2.

FAQ sur NIS 2 et la gestion des identités

Quelles organisations sont concernées par NIS 2 ?

NIS 2 s’applique aux Entités Essentielles (EE) et aux Entités Importantes (EI) dans de nombreux secteurs, élargissant considérablement le périmètre par rapport à NIS 1. Les secteurs concernés incluent l’énergie, les transports, la santé, les services financiers, les infrastructures numériques, l’administration publique, l’espace, et bien d’autres.

Quand les entreprises doivent-elles être conformes à NIS 2 ?

Les États membres avaient jusqu’au 18 octobre 2024 pour transposer la directive dans leur droit national. Les organisations désignées disposent ensuite d’un délai spécifique après la publication des textes nationaux pour se mettre en conformité.

Quelles sont les sanctions en cas de non-conformité ?

Les sanctions peuvent atteindre jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel, selon le montant le plus élevé, pour les infractions les plus graves.

Comment savoir si mon entreprise est une Entité Essentielle ou une Entité Importante ?

La classification dépend du secteur d’activité et de la taille de l’organisation. L’ANSSI publie des précisions sur les critères de qualification. Nous recommandons de consulter un expert pour déterminer votre statut.

L’authentification multifacteur (MFA) est-elle obligatoire sous NIS 2 ?

Pour les Entités Essentielles, la MFA est obligatoire pour les accès distants. Pour les Entités Importantes, elle est fortement recommandée comme bonne pratique.

Cet article a été rédigé par l’équipe d’experts IAM d’Aduneo, spécialiste des solutions de gestion des identités et des accès depuis plus de 10 ans. Dernière mise à jour : Avril 2025.