La directive NIS2 est en vigueur. Pour les DSI et RSSI des entités concernées, les obligations en matière d'accès privilégiés sont précises et vérifiables. Ce guide détaille les articles pertinents, ce qu'ils imposent concrètement, et comment y répondre avec un bastion PAM.
NIS2 en bref : qui est concerné ?
La directive NIS2 (Network and Information Security 2) élargit considérablement le périmètre de NIS1. En France, la transposition concerne des milliers d'entités supplémentaires dans 18 secteurs, organisées en deux catégories :
- Entités essentielles (EE) — énergie, transports, santé, eau, infrastructures numériques, administrations centrales, etc.
- Entités importantes (EI) — services postaux, gestion des déchets, fabrication, alimentaire, chimie, fournisseurs numériques, etc.
Si vous êtes dans l'un de ces secteurs avec un chiffre d'affaires ou un bilan dépassant certains seuils, NIS2 vous concerne directement. L'ANSSI publie la liste complète et les seuils applicables.
Les articles NIS2 qui concernent les accès privilégiés
L'article 21 de NIS2 est la clé de voûte des mesures techniques et organisationnelles. Voici les points qui touchent directement à la gestion des accès :
| Article / Point | Obligation | Impact PAM |
|---|---|---|
| 21.2.a | Politiques d'analyse des risques et de sécurité des systèmes d'information | Cartographier les accès privilégiés et les risques associés |
| 21.2.d | Sécurité des ressources humaines, politiques de contrôle d'accès, gestion des actifs | Contrôle granulaire : qui accède à quoi, révocation immédiate |
| 21.2.e | Sécurité de la chaîne d'approvisionnement — prestataires et fournisseurs de services | Tracer les accès des tiers, limiter leur périmètre, enregistrer leurs sessions |
| 21.2.g | Pratiques de base en matière de cyberhygiène et formation | MFA obligatoire, mots de passe forts, principe du moindre privilège |
| 21.2.i | Authentification multifacteur (MFA) ou authentification continue | MFA sur tous les accès à distance, en particulier les accès privilégiés |
| 23 | Notification d'incident sous 24h (alerte initiale) et 72h (rapport complet) | Audit trail exploitable pour reconstituer la chronologie d'un incident |
Que vérifient concrètement les auditeurs ?
Lors d'un audit NIS2 ou d'une inspection ANSSI, les questions portent sur des éléments précis. Voici ce que vous devez être en mesure de démontrer :
1. Liste des comptes privilégiés
Qui dispose de droits administrateurs dans votre SI ? Sur quels systèmes ? Depuis quand ? La réponse doit être documentée et tenue à jour. Un bastion centralise cette information.
2. Traçabilité des actions
Pour chaque connexion administrative : qui s'est connecté, à quelle ressource, à quelle heure, depuis quelle adresse IP, et pendant combien de temps. Sans système de journalisation dédié, cette information est dispersée ou inexistante.
3. Enregistrement des sessions
L'enregistrement vidéo des sessions (ce que l'administrateur a fait à l'écran) est devenu la référence en matière de preuve. Pour les secteurs les plus sensibles, l'ANSSI recommande explicitement cette mesure.
4. Gestion des accès prestataires
Vos prestataires IT ont-ils des accès permanents à votre SI ? Comment sont-ils gérés ? Sont-ils révoqués à la fin du contrat ? NIS2 impose une surveillance active de ces accès tiers.
5. MFA sur tous les accès distants
Le MFA ne peut pas être optionnel pour les accès privilégiés. Les auditeurs vérifient que cette mesure s'applique sans exception, y compris pour les prestataires.
La checklist de mise en conformité PAM
- ▸ Inventaire des comptes privilégiés — recenser tous les comptes admin, systèmes et applicatifs
- ▸ Point d'accès unique — centraliser tous les accès distants via un bastion, supprimer les accès directs
- ▸ MFA obligatoire — TOTP, FIDO2 ou SSO avec MFA, sans exception pour les accès privilégiés
- ▸ Principe du moindre privilège — chaque utilisateur/prestataire accède uniquement aux ressources nécessaires
- ▸ Enregistrement des sessions — vidéo complète RDP/SSH/VNC, stockée et protégée
- ▸ Audit trail horodaté — journalisation de toutes les connexions, immuable et exportable
- ▸ Accès JIT (Just-in-Time) — accès temporaires avec expiration automatique pour les interventions ponctuelles
- ▸ Revue régulière des accès — révocation des comptes inactifs, revue trimestrielle des droits
- ▸ Rapports de conformité — génération de rapports d'audit NIS2 exportables pour les audits
- ▸ Supervision en temps réel — capacité à observer et interrompre une session suspecte en direct
Ce que Remsek couvre nativement
Remsek a été conçu pour répondre directement aux exigences NIS2. Voici la correspondance :
| Exigence NIS2 | Fonctionnalité Remsek | Statut |
|---|---|---|
| MFA obligatoire (21.2.i) | TOTP natif + SSO OIDC/SAML avec MFA | Couvert |
| Contrôle d'accès (21.2.d) | Groupes, permissions par connexion, restrictions IP et horaires | Couvert |
| Accès prestataires (21.2.e) | Comptes dédiés, accès JIT avec expiration, enregistrement obligatoire | Couvert |
| Enregistrement sessions | Vidéo complète RDP/SSH/VNC, relecture intégrée | Couvert |
| Audit trail (article 23) | Journalisation horodatée, exportable, rapports NIS2/ISO/SOC2 | Couvert |
| Supervision temps réel | Page Supervision avec observation et kill session | Couvert |
| Accès JIT | Workflow de demande d'accès avec approbation et expiration auto | Couvert |
| Souveraineté des données | On-premise, données en France, aucune dépendance cloud tiers | Couvert |
Les erreurs à éviter lors d'un projet de mise en conformité NIS2
- Confondre VPN et bastion PAM — un VPN donne un accès réseau, pas une traçabilité des actions. L'auditeur fera la différence.
- Exclure les prestataires du périmètre — les accès tiers sont explicitement visés par NIS2. Ils doivent être couverts au même titre que les accès internes.
- Ne journaliser que les connexions — savoir que quelqu'un s'est connecté ne suffit pas. Ce qui a été fait pendant la session est aussi important.
- Implémenter le MFA uniquement sur le portail — le MFA doit être appliqué au niveau du bastion, pas seulement sur l'annuaire.
- Sous-estimer la gestion du cycle de vie des comptes — un compte prestataire non révoqué après fin de mission est une vulnérabilité réelle et un écart NIS2.
Conclusion
NIS2 n'impose pas de produit particulier, mais ses exigences convergent vers ce qu'un bastion PAM bien configuré couvre naturellement : MFA, contrôle d'accès, enregistrement des sessions, audit trail, gestion des prestataires.
Pour un DSI, la priorité est de pouvoir répondre "oui, documenté" à chaque point de la checklist ci-dessus. Un bastion PAM comme Remsek est la solution la plus directe pour y parvenir, avec des rapports de conformité prêts à l'emploi pour vos prochains audits.
Besoin d'un rapport de conformité NIS2 clé en main ?
Remsek génère des rapports d'audit NIS2, ISO 27001 et SOC 2 directement depuis l'interface. Demandez une démo.
Demander une démo