L’échéance est déjà derrière nous. NIS2 (la directive européenne actualisée sur la cybersécurité) devait être transposée en droit national dans toute l’Union avant le 17 octobre 2024. Si votre organisation exploite des services essentiels, ou pèse d’un poids significatif dans l’un des secteurs concernés, la question n’est plus de savoir si les règles s’appliquent : elle est de savoir si vous pouvez démontrer à un régulateur que vos contrôles d’accès y répondent. Et pour la première fois, cette question atterrit sur le bureau de la direction, et non plus seulement à la DSI.
L’authentification est désormais inscrite dans la loi, plus seulement dans les recommandations
Les référentiels de bonnes pratiques antérieurs recommandaient l’authentification multifacteur. NIS2 va plus loin. Ses mesures de base en matière de gestion des risques (article 21) imposent aux organisations de mettre en place des contrôles techniques comprenant des politiques de contrôle d’accès, de la cryptographie et, énoncé noir sur blanc, l’usage de solutions d’authentification multifacteur ou d’authentification continue lorsque cela se justifie.
Concrètement, un second facteur faible ou facultatif n’est plus une position défendable. Si un auditeur vous demande comment un administrateur à privilèges se connecte à votre VPN, à vos serveurs Windows ou à votre console d’administration, « un mot de passe et parfois un code SMS » est la réponse qui ouvre un constat de non-conformité.
À qui cela s’applique
NIS2 répartit les organisations entre entités essentielles et importantes dans un large éventail de secteurs : énergie, transports, banque et infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, administration publique et d’autres encore, avec un second niveau qui englobe les services postaux, la gestion des déchets, l’industrie manufacturière, l’agroalimentaire, la chimie et les fournisseurs numériques. De nombreuses organisations qui échappaient à la directive NIS d’origine relèvent désormais pleinement de sa remplaçante.
Deux évolutions font passer le sujet au-delà de la simple case à cocher :
- Responsabilité de la direction. Les organes de direction doivent approuver et superviser les mesures de gestion des risques de cybersécurité, et peuvent voir leur responsabilité personnelle engagée en cas de manquement.
- Des sanctions bien réelles. Les autorités de contrôle peuvent infliger des amendes conséquentes : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, pour les entités essentielles.
À quoi ressemble vraiment une authentification « au niveau NIS2 »
Disposer de quelques mécanismes MFA ne revient pas à satisfaire l’intention de la directive. Trois éléments distinguent un contrôle qui convainc un auditeur de celui qui ne fait bonne figure que sur une diapositive :
- Résistance à l’hameçonnage. Les codes SMS peuvent être interceptés ou détournés par échange de carte SIM (SIM swap), et, tout comme les notifications push basiques en un seul geste, ils succombent au relais d’un intercepteur (adversary-in-the-middle, AiTM). Une clé liée au matériel à l’intérieur de l’appareil de l’utilisateur (une clé qui ne peut être ni copiée ni rejouée) élimine cette catégorie de risques. La lassitude face aux notifications (push fatigue) est un problème distinct, qu’aucune clé ni biométrie n’enraye une fois que la demande atteint le téléphone : on n’en vient à bout que par ce que la demande affiche : une description précise et lisible de ce qui est exactement approuvé, de sorte que rien n’est jamais approuvé à l’aveugle.
- Couverture des accès à privilèges et distants. L’exigence n’est pas « la MFA sur la messagerie web ». C’est chaque voie qu’un attaquant emprunterait réellement : VPN, bureau à distance, connexions aux serveurs, consoles d’administration.
- La preuve. NIS2 consiste autant à démontrer le contrôle qu’à l’exercer. Chaque authentification devrait laisser une trace auditable et infalsifiable de qui a approuvé quoi, et à quel moment.
Où Notakey s’inscrit
Notakey est conçu précisément pour ce profil d’organisation : réglementée, soucieuse de sa sécurité, et redevable devant des auditeurs.
- La clé de l’utilisateur est générée dans le matériel sécurisé du téléphone et ne le quitte jamais. Il n’y a aucun secret partagé à dérober, et rien à hameçonner.
- Chaque connexion et chaque transaction constitue un événement signé cryptographiquement et horodaté : la piste d’audit qu’une évaluation NIS2 réclame, produite automatiquement au lieu d’être reconstituée après coup.
- Il couvre les voies d’accès qui comptent, via les protocoles que vos systèmes parlent déjà. Voyez les guides pratiques pour la 2FA sur un VPN via RADIUS, le bureau à distance Windows et le SSH Linux.
- Il fonctionne dans votre propre infrastructure ou dans le cloud, de sorte que les données d’authentification peuvent rester sous votre contrôle, avec une conformité PSD2, eIDAS et RGPD intégrée dès la conception plutôt qu’ajoutée après coup.
Nous n’allons délibérément pas vous dire que Notakey « vous rend conforme à NIS2 ». Aucun produit ne le fait à lui seul. Ce qu’il fait, c’est combler la partie de l’écart qui relève de l’authentification, et vous remettre les preuves pour le démontrer.
Commencez par un pilote, pas par un document de politique
Le moyen le plus rapide de savoir si votre authentification répond à NIS2, c’est de la mettre à l’épreuve dans votre propre environnement : un vrai VPN, une vraie connexion d’administrateur, une poignée d’utilisateurs réels. Cela vous en apprendra davantage sur votre écart (et sur vos preuves) en une semaine qu’une grille de fonctionnalités en un trimestre.
Essayez la démo en ligne pour signer une transaction depuis votre propre téléphone en deux minutes environ, ou demandez une démo et nous relierons votre accès VPN, SSO ou Windows à un pilote opérationnel.
Cet article fournit une information générale et ne constitue pas un avis juridique. NIS2 est transposée en droit national séparément par chaque État membre de l’UE ; vérifiez les obligations, seuils et échéances précis qui s’appliquent à votre organisation auprès d’un conseil qualifié.