Prix
Essai

Authentification multifactorielle et systèmes de communication d’urgence

Dans cet article, nous décrirons l'exigence de l'article 21(2)(j) du NIS2, qui demande à votre organisation de mettre en place une authentification multifactorielle et des systèmes de communication d'urgence.

Authentification multifactorielle et systèmes de communication d’urgence

Dans cet article, nous décrirons l’exigence de l’article 21(2)(j) du NIS2, qui demande à votre organisation de mettre en place une authentification multifactorielle et des systèmes de communication d’urgence.

Authentification multifactorielle

Cette exigence vise à renforcer le contrôle d’accès et à réduire le risque d’accès non autorisé en utilisant plusieurs facteurs d’authentification et en vérifiant en permanence le comportement de l’utilisateur et le contexte d’une session.

Exigence

Lorsque des utilisateurs, des composants informatiques ou d’autres biens accèdent aux réseaux et aux systèmes d’information de votre organisation, ils doivent être authentifiés au moyen d’une authentification multifactorielle ou d’une authentification continue. Les exigences spécifiques doivent suivre votre évaluation des risques et être conformes aux politiques de contrôle d’accès de votre organisation.

L’authentification multifactorielle doit être appliquée lors de l’accès :

  • à distance,
  • les systèmes administratifs,
  • des données sensibles ou confidentielles,
  • les systèmes critiques,

L’authentification continue peut être utilisée pour contrôler et vérifier l’identité d’un utilisateur au cours d’une session active, sur la base de facteurs comportementaux et contextuels, tels que les tentatives de connexion à partir d’un lieu inconnu, d’un appareil inconnu ou nouvellement enregistré, à des heures inhabituelles ou selon des schémas anormaux.

Documentation

Vous devez revoir votre politique de contrôle d’accès, y compris l’authentification multifactorielle et l’authentification continue, à intervalles réguliers ou après des changements majeurs et des incidents de sécurité. Cette révision doit être documentée.

Systèmes de communication d’urgence

Vous devez veiller à ce que les communications vocales, vidéo et textuelles soient toujours disponibles, y compris dans les situations d’urgence. Ces canaux de communication doivent protéger la confidentialité, l’intégrité et la disponibilité au sein de l’organisation.

Exigence

Vous devez évaluer les besoins en canaux de communication, y compris les exigences en matière de protection de la confidentialité par le cryptage et de redondance pour garantir des options alternatives. Ces besoins doivent être pris en compte dans l’évaluation des risques et dans les procédures de continuité des activités, de traitement des incidents et de gestion des crises.

Cela pourrait se faire de la manière suivante :

  • préparer des plans de communication sécurisée lors d’un incident majeur, y compris des procédures d’escalade et des rapports aux partenaires, aux autorités et aux CSIRT,
  • décrire les canaux de communication internes et externes existants, la manière dont ils sont activés, utilisés et rétablis en cas de défaillance,
  • garantir la disponibilité en établissant une redondance, de sorte que des canaux alternatifs soient toujours disponibles,
  • mettre en place des processus de gestion de crise qui incluent la communication avec les services de sécurité, les autorités sectorielles, les CSIRT et les autres parties prenantes,
  • permettre la communication entre différents systèmes par le biais de canaux fiables qui sont séparés logiquement, cryptographiquement ou physiquement des autres canaux afin de protéger les flux de données contre toute altération ou divulgation.

Parmi les exemples de canaux de communication, on peut citer les solutions alternatives de Voice over Internet Protocol, les services de messagerie cryptée, les radios, les téléphones satellites ou les SMS. Les canaux sélectionnés doivent garantir la confidentialité et être disponibles indépendamment des systèmes primaires. Une politique doit spécifier le niveau de classification des données qui peuvent être partagées par chaque canal.

Documentation

Les systèmes de communication d’urgence doivent être testés régulièrement et peuvent faire partie d’un exercice annuel de gestion de crise. Les résultats des tests et des exercices doivent être documentés afin de s’assurer que les leçons sont tirées et que des améliorations sont apportées.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.