3 bonnes raisons d’utiliser un VPN pour se conformer à NIS2

Auteur : Arnaud DUFOURNET, Chief Marketing Officer

Les rapports annuels d’activité de l’ANSSI et de Cybermalveillance ont tous les deux montré une hausse préoccupante des cyberattaques en 2024 (+49,9% des demandes d’assistance constaté par cybermalvaillance et +15% des évènements de sécurité pour l’ANSSI). Face à cette montée en puissance des menaces, il est impératif pour les entreprises françaises de renforcer leur résilience. C’est bien sûr tout l’enjeu de la directive NIS2 dont la transposition est toujours en cours. Le projet de loi sur la « résilience des infrastructures critiques et le renforcement de la cybersécurité » présenté en Conseil des ministres le 15 octobre 2024 et adopté par le Sénat le 12 mars dernier, ne devrait pas passer devant l’Assemblée Nationale avant septembre. Pour rappel, il transpose trois directives européennes (REC, NIS 2 et DORA) pour harmoniser et simplifier la conformité des entités concernées par ces textes européens.

Un nouveau référentiel d’exigences techniques et organisationnelles

L’un des enjeux majeurs de l’application de cette loi est l’extension du périmètre des organisations concernées par la cyber résilience. En effet ce sont environ 15 000 organisations en France qui vont devoir se conformer et la grande majorité d’entre elles va découvrir de nouveaux niveaux d’exigence en matière de cybersécurité.

Pour les guider, l’ANSSI a travaillé dès fin 2023 sur un référentiel articulé autour de 20 objectifs de sécurité permettant d’atteindre la conformité NIS2. Ces objectifs répondent à 4 enjeux : la Protection, la Défense, la Gouvernance et la Résilience.

Suite à la consultation de fédérations, d’associations professionnelles, d’associations d’élus et des représentants des collectivités territoriales, une seconde version contenant toujours 20 objectifs, est en cours de finalisation. Ces objectifs sont accompagnés de mesures concrètes à mettre en place ainsi que les moyens acceptables de conformité pour les EE (Entités Essentielles) et EI (Entités Importantes). Parmi ces mesures l’usage du VPN émerge comme une solution incontournable pour répondre à 3 objectifs fixés par l’ANSSI.

Sécuriser les accès distants

Qu’elles soient importantes ou essentielles, les organisations assujetties à NIS2 doivent impérativement maitriser les accès à leur système d’information. La grande nouveauté de cette directive européenne est que cette maitrise concerne aussi bien les accès distants accordés aux collaborateurs nomades comme les télétravailleurs, que les prestataires et les fournisseurs informatiques bénéficiant également d’accès.

L’usage d’un VPN répond de deux manières à l’objectif de sécurisation des accès distants :

• Authentification renforcée. Pour les entités essentielles, l’accès distant doit être protégé par une authentification multifacteur. Par exemple, l’ouverture d’un tunnel VPN ne peut intervenir qu’après la présentation d’un certificat valide associé à une carte à puce et la validation d’un code PIN.
• Chiffrement des connexions. L’utilisation d’un VPN permet de garantir la confidentialité des échanges grâce à des mécanismes de chiffrement conformes aux attentes du référentiel de sécurité.

Sécuriser l’architecture des SI

La directive NIS2 impose le contrôle des accès et le cloisonnement des ressources, notamment lorsque des tiers (par exemple, des prestataires) sont autorisés à accéder aux systèmes d’information. Il est essentiel de limiter ces accès à des ressources clairement définies. D’autre part, l’authentification et le traçage des accès viennent compléter les mesures à prendre.

Quels sont les avantages d’un VPN IPsec comme celui de TheGreenBow ?

• Micro-segmentation des accès. Le VPN permet de configurer des tunnels spécifiques qui ne donnent accès qu’à certaines ressources correspondant au profil de l’utilisateur. Par exemple, les VPN IPsec sont utilisés par les Opérateurs d’Importance Vitale (OIV) pour sécuriser l’accès aux SI à Diffusion Restreinte (SIDR).
• Traçabilité et contrôle Chaque connexion VPN est tracée et peut être supervisée via une console dédiée, garantissant ainsi une authentification renforcée (surtout si l’authentification à plusieurs facteurs est mise en oeuvre) et une gestion fine des accès.
• Filtrage des communications. En complément des pare-feux et passerelles d’entrée, le VPN peut être configuré pour filtrer les URL ou plage IP accessibles, bloquant ainsi toute communication non essentielle.

Identifier et réagir aux incidents de sécurité

En matière de défense, il est crucial d’identifier rapidement les incidents de sécurité et de mettre en place une procédure claire pour analyser, qualifier et réagir aux événements suspects.

Le référentiel recommande de s’appuyer sur des signalements issus de diverses sources (employés, prestataires, clients, usagers) et de réaliser une analyse des causes afin d’éviter toute récurrence.

En quoi un VPN peut-il être utile pour atteindre cet objectif ?

• Collecte sécurisée des logs. Un client VPN installé sur chaque endpoint qui doit accéder à distance au SI, permet de collecter et transmettre de manière chiffrée des informations essentielles à l’analyse des incidents de connexion. La centralisation des logs issus des clients VPN complète efficacement les sources d’information d’une plateforme EDR ou XDR.
• Supervision continue Les événements collectés par le VPN, une fois analysés, peuvent aider à identifier des tentatives d’attaque ou à minimiser l’impact d’un incident. Une console de supervision (comme un Communication Management Center) offre une historisation des événements et un audit continu des connexions à distance.

Alors que les cyberattaques continuent de faire des ravages – comme en témoigne l’attaque coûteuse subie par Marks & Spencer en avril dernier, estimée à 300 millions de livres – la transposition de la directive NIS2 se concrétise. L’utilisation de tunnels VPN, couplée à des règles ZTNA, apparaît comme une des solutions incontournables pour répondre aux exigences de sécurité. Pour aider les organisations à trouver les solutions adaptées à ces nouveaux standards, Hexatrust propose une brochure détaillée recensant les solutions françaises de cybersécurité. Se préparer dès maintenant est primordial pour assurer la résilience de demain.