Le rôle de la MFA en conformité avec CMMC, NIS2 et IEC 62443

Alors que la transformation numérique s'accélère dans les secteurs industriels, énergétiques et d'infrastructures critiques, le rôle de la gestion des identités et des accès (IAM) est devenu central tant en matière de sécurité réseau que de conformité réglementaire. Pour les CISOs, directeurs informatiques et ingénieurs réseau guidant les organisations dans des environnements de systèmes de contrôle complexes, comprendre comment l'authentification multi-facteurs (MFA) s'intègre aux cadres réglementaires comme CMMC, NIS2 et IEC 62443 n'est plus seulement prudent—c'est impératif.

Contrairement à la sécurité périmétrique ou au simple isolement, les régimes de conformité modernes exigent explicitement des mesures d'identité en couches pour prévenir les attaques basées sur les informations d'identification et les mouvements latéraux. Cet article explore les raisons techniques et architecturales pour lesquelles, avec un accent particulier sur la place de la MFA dans les normes de conformité contemporaines pour les environnements industriels et critiques.

Contexte historique : Des mots de passe à la MFA

L'ère du mot de passe

Historiquement, l'accès aux systèmes IT et OT était régi par l'authentification par mot de passe. Les informations d'identification administratives sur les systèmes de contrôle, les comptes partagés et les paramètres par défaut persistaient souvent pendant des années. Les limites sont rapidement devenues évidentes : les mots de passe peuvent être interceptés (sur le réseau ou au repos), devinés, craqués par force brute ou hameçonnés.

Le besoin de quelque chose de plus fort

L'escalade d'une simple gêne à un risque existentiel est devenue claire avec des incidents notables : le ver Stuxnet a pénétré des interfaces homme-machine faiblement sécurisées en 2010, et des événements de ransomware ultérieurs ont exploité des informations d'identification par défaut ou compromises. L'introduction de l'authentification à deux facteurs (2FA) puis de la MFA plus mature dans les produits d'entreprise a apporté un certain soulagement, mais le monde de l'OT était à la traîne en raison des architectures héritées et des préoccupations opérationnelles.

L'essor de la MFA

La MFA n'est pas nouvelle. Les algorithmes de mot de passe à usage unique basé sur le temps (TOTP), les jetons matériels (RSA SecurID, par exemple) et les systèmes de réponse aux défis existent depuis la fin des années 1980. Ce qui a changé, c'est leur intégration dans les plateformes grand public—surtout dans les secteurs critiques soumis à une surveillance réglementaire.

Authentification multi-facteurs : une perspective technique

Qu'est-ce que la MFA?

La MFA exige que les utilisateurs s'authentifient en utilisant au moins deux (de préférence plus) "facteurs" différents :

• Quelque chose que vous savez: Mots de passe, codes PIN

• Quelque chose que vous avez: Jeton matériel, smartphone, carte intelligente

• Quelque chose que vous êtes: Biométrie

L'objectif principal est d'éliminer les points de défaillance uniques. Pour un attaquant, compromettre un seul facteur ne devrait pas suffire.

Pièges de mise en œuvre dans les réseaux industriels

Contrairement aux applications cloud modernes, les réseaux industriels comportent généralement des automates programmables, des interfaces homme-machine et des postes de travail SCADA hérités, souvent dépourvus de support natif pour la MFA. Les stratégies de rétrofit incluent les hôtes intermédiaires (serveurs bastion), les passerelles RDP ou SSH qui imposent la MFA avant d'accéder aux segments sensibles. Ces stratégies nécessitent une architecture réseau soigneuse, car introduire un point unique de MFA devant un hôte intermédiaire partagé peut devenir une cible attrayante.

MFA dans CMMC, NIS2 et IEC 62443 : Exigences techniques et orientations

CMMC (Modèle de certification en maturité de cybersécurité)

CMMC, formalisé par le Département de la Défense des États-Unis en 2020, sous-tend désormais l'assurance cybernétique pour les entrepreneurs de défense. CMMC 2.0 regroupe les exigences antérieures et est explicite quant à la gestion des accès privilégiés.

• Niveaux 2 / 3 Exigences : La MFA doit être appliquée pour tous les utilisateurs accédant aux systèmes hébergeant des informations classifiées contrôlées (CUI). Cela concerne non seulement l'accès externe (VPN), mais aussi les comptes privilégiés internes et les fonctions d'administration—peu importe si l'endpoint est IT ou OT.

• Implications techniques : Pour les organisations avec des réseaux OT connectés directement ou indirectement à l'informatique entreprise, intégrer des services d'annuaire (comme AD avec MFA) et s'assurer que tous les accès privilégiés, surtout à distance, passent par un mécanisme de MFA est nécessaire. Les solutions varient : Azure AD, Okta, ou AD FS sur site avec des jetons matériels. Pour l'OT isolé, une MFA locale "hors-ligne" via des jetons physiques peut être nécessaire.

NIS2 (Directive sur la sécurité des réseaux et de l'information de l'UE, version 2)

NIS2, adopté par l'UE en 2022, élargit le champ des secteurs et impose des exigences de sécurité basées sur des objectifs—particulièrement autour de la gestion des identités et des accès.

• Article 21 : Impose des "politiques de gestion des accès des utilisateurs et l'utilisation de solutions d'authentification forte, en particulier pour les accès à distance". Bien qu'elle ne prescrive pas les technologies, la NIS2 s'aligne sur les lignes directrices de l'ENISA et implique généralement la MFA comme l'état de l'art.

• Implications techniques : Tous les points d'accès OT/IT à distance (et un sous-ensemble croissant de locaux) doivent intégrer la MFA. Pratiquement, cela nécessite une fédération entre les annuaires IT/OT lorsque c'est faisable, ou l'isolement des OT sensibles via des passerelles dédiées. Étant donné que les États membres doivent appliquer ces mesures via une législation nationale, les détails varieront, mais l'attente est claire.

IEC 62443 (Réseaux de communication industriels—Sécurité des réseaux et des systèmes)

IEC 62443 est la norme mondiale canonique pour la sécurité OT, avec une série modulaire de documents abordant divers aspects du cycle de vie et de l'architecture des systèmes de contrôle industriel (ICS).

• IEC 62443-3-3 (Exigences de sécurité du système et niveaux de sécurité) : spécifiquement, SR 1.4 (« Utilisation de mécanismes d'authentification forte ») et SR 1.2 (« Identification et authentification des utilisateurs ») établissent des exigences explicites pour l'utilisation de l'authentification multi-facteurs ou d'autres solutions d'authentification « robustes » pour l'administration et les accès à distance.

• Implications techniques : Pour atteindre SL3 (« restreint au personnel autorisé ») et au-delà, la MFA est de facto obligatoire pour les actifs OT critiques et pour toute administration à distance, y compris les postes de travail d'ingénierie et les serveurs intermédiaires. La complexité d'intégration est élevée—les fournisseurs hérités proposent parfois des solutions propriétaires, et la compatibilité croisée (par exemple, entre AD, LDAP et les capacités natives des dispositifs) n'est pas triviale.

Considérations sur l'architecture du réseau

Où placer la MFA

• Périmètre (accès à distance) : Tous les VPN et les liaisons inter-sites doivent imposer la MFA, avec des politiques de fermeture en cas d'échec pour éviter les contournements.

• Entre les zones IT/OT : Pour les environnements hybrides ou convergents, l'accès des utilisateurs traversant les limites de zone doit passer par une passerelle de sécurité imposant la MFA (par exemple, serveurs intermédiaires, solutions PAM).

• Accès local OT : Dans les environnements avec des fournisseurs ou des sous-traitants mobiles, déployer la MFA localement est un défi mais possible via des jetons badgés ou des authentificateurs portables.

Intégration PAM et MFA

Les solutions de gestion des accès privilégiés (PAM) offrent souvent une MFA intégrée, des enregistrements de session et des licences d'accès pour les systèmes OT. Exiger que toutes les connexions administratives—qu'elles soient depuis l'IT ou sur site—passent par la passerelle PAM simplifie la conformité tout en renforçant la granularité et l'auditabilité. Cependant, attention à ne pas introduire de goulets d'étranglement ou de points uniques de défaillance.

Collaboration IT/OT et défis procéduraux

Pourquoi les déploiements de MFA échouent dans les environnements ICS

Les déploiements de MFA échouent le plus souvent lorsque les contraintes opérationnelles sont sous-estimées :

• Fiabilité : Les systèmes OT ne peuvent pas tolérer les pannes d'authentification. Les solutions MFA doivent offrir des modes de secours locaux ou hors ligne.

• Compatibilité héritée : Certains automates/IMH ne peuvent pas prendre en charge nativement la MFA. Les solutions impliquent de partager l'accès via des intermédiaires conformes.

• Acceptation des utilisateurs : Les ingénieurs résistent souvent à la complication des procédures d'accès d'urgence. Des processus de cassage de verre préconfigurés avec un audit strict sont nécessaires.

Le rôle de la gouvernance

La mise en œuvre de la MFA doit être plus qu'une simple case technique à cocher. Une politique robuste, des tests réguliers de l'efficacité de la MFA et une compréhension des processus d'exception (par exemple, qui a le droit de passer outre, enregistré et justifié) déterminent si la conformité tiendra lors d'audits ou d'analyses d'incidents.

Au-delà de la conformité : résultats et limites en matière de sécurité

Alors que l'adoption de la MFA augmente la confiance lors des audits et réduit considérablement le risque d'attaques basées sur les informations d'identification, elle n'est pas une panacée. La MFA résistante au phishing (telle que FIDO2/WebAuthn) devient rapidement la norme de base à mesure que les attaquants déjouent de plus en plus les codes SMS et les applications TOTP. De plus, les attaques de matériel en boucle, les menaces à la chaîne d'approvisionnement et les attaques de contournement des flux d'authentification nécessitent une réponse architecturale en couches (segmentation du réseau, détection des anomalies, application stricte du principe du moindre privilège).

Conclusion

L'intégration de la MFA dans les cadres de conformité comme CMMC, NIS2 et IEC 62443 représente les leçons durement apprises de la dernière décennie : l'identité est le nouveau périmètre et l'authentification ne peut pas reposer uniquement sur les mots de passe. Pour les opérateurs, les ingénieurs et les responsables de la sécurité, des stratégies robustes de MFA sont à la fois une nécessité organisationnelle et un défi technique, notamment dans les contraintes et réalités des réseaux industriels. Être honnête sur ce qui fonctionne, ce qui échoue et ce qui peut être réalisé de manière réaliste à court terme est essentiel pour construire des environnements à la fois sûrs et conformes.

À retenir :

• La MFA est désormais non négociable dans la plupart des régimes pertinents pour les opérateurs d'infrastructures industrielles et critiques.

• L'intégration dans l'OT est possible, mais nécessite une conception prudente et la reconnaissance des réalités opérationnelles—en particulier en matière de fiabilité, de support hérité et d'accès d'urgence.

• Considérez la conformité comme un programme vivant et évolutif : les normes continueront de se durcir.

Lectures complémentaires et références

• Documentation Officielle CMMC

• Texte de la Directive NIS2

• Norme IEC 62443-3-3

• Conseils CISA sur la MFA

• Conseils Stratégiques US-CERT