La directive (UE) 2022/2555, mieux connue sous le nom de NIS2, constitue une avancée significative vers l'établissement d'un niveau commun de cybersécurité dans toute l'Union européenne. Cette directive, entrée en vigueur le 16 janvier 2023, vise à renforcer la résilience des services essentiels et des fournisseurs de services numériques face aux cybermenaces en introduisant des normes et des pratiques cohérentes en matière de cybersécurité.
Le secteur de l'imprimerie, comme de nombreux autres, relève du champ d'application de la directive NIS2. Par conséquent, les entités du secteur de l'imprimerie doivent comprendre les implications de la directive NIS2 et prendre les mesures nécessaires pour se conformer aux normes de sécurité. D'ici le 17 octobre 2024, les États membres sont tenus d'adopter et de publier les mesures indispensables pour se conformer à la directive NIS2.
Cet article explore les détails de la directive NIS2 et ses implications pour les distributeurs et les clients de MyQ X.
Si vous êtes un client final de MyQ X, discutez des exigences et des recommandations de la directive NIS2 avec votre fournisseur/distributeur MyQ X. Les partenaires MyQ sont formés pour offrir une assistance de premier ordre et vous aideront à mettre en œuvre les mesures nécessaires.
Principaux domaines de la directive NIS2
Gestion des risques et cybersécurité
Adoptez une approche de gestion des risques en matière de cybersécurité. Cela implique d'identifier et d'évaluer les risques pesant sur les réseaux et les systèmes d'information, de mettre en œuvre des mesures pour atténuer ces risques et de réévaluer régulièrement ces mesures.
Assurez-vous que votre serveur et les logiciels associés sont à jour avec les derniers correctifs de sécurité afin d'atténuer les vulnérabilités. De plus, mettez en œuvre et testez régulièrement des plans de sauvegarde et de reprise après sinistre afin de garantir la disponibilité et l'intégrité des données. MyQ publie régulièrement des correctifs pour ses produits. Il est fortement recommandé de vous tenir informé, de suivre ces publications et de définir votre stratégie et vos procédures de mise à jour à l'avance. MyQ génère une liste des composants logiciels (SBOM) pour chaque version, que vous pouvez obtenir auprès de votre fournisseur/distributeur MyQ, ce qui permet aux organisations d'analyser les composants utilisés dans le logiciel afin de détecter d'éventuelles vulnérabilités de sécurité.
La segmentation du réseau est un outil essentiel pour mettre en œuvre une politique Zero Trust dans la pratique. Elle offre aux organisations des moyens de contrôler leurs réseaux à l'aide de politiques de sécurité plus granulaires. Elle garantit que même si un attaquant compromet une partie du réseau, il ne peut pas se déplacer facilement vers d'autres zones. Cependant, les organisations disposant d'environnements segmentés sont confrontées à des défis pour rendre l'impression facilement accessible.
Avec MyQ X, les files d'impression peuvent être propagées dans des réseaux segmentés grâce aux Mobile Print Agents, et les documents hébergés dans le cloud peuvent être téléchargés et libérés immédiatement depuis l'écran du périphérique avec Easy Print. La prise en charge de Microsoft Universal Print ou d'Application Proxy dans le client mobile peut considérablement aider les organisations à mettre en place des services d'impression dans l'ensemble de leur environnement tout en garantissant la protection de l'accès à ces ressources.
Les certificats SSL pour les connexions sécurisées permettent de répondre aux exigences de la norme NIS2 en matière de transmission sécurisée des données sur les réseaux. MyQ X est livré prêt à l'emploi avec une communication sécurisée activée grâce à l'autorité de certification embarquée. Les organisations utilisant une infrastructure PKI d'entreprise peuvent atteindre un niveau de sécurité des communications encore plus élevé en fournissant directement des certificats personnalisés.
Dans la mesure du possible, imposez l'utilisation du protocole TLS pour les communications avec d'autres systèmes. Sécurisez la connexion à Active Directory ou à d'autres annuaires d'utilisateurs à l'aide du protocole LDAPS. Assurez-vous que la transmission des e-mails s'effectue via SMTPS et vérifiez tous les paramètres de la page Réseau de MyQ X et de l'onglet Sécurité d'Easy Config (par exemple, que le serveur Web n'autorise que les connexions sécurisées).
MyQ offre également la possibilité de chiffrer les bases de données, les numérisations et les travaux d'impression. Le chiffrement des données est essentiel pour garantir la confidentialité et l'intégrité des informations sensibles, ce qui constitue un aspect clé de la conformité NIS2.
Pour la communication entre les périphériques, il est essentiel de mettre en œuvre des protocoles de communication offrant le plus haut niveau de sécurité. Il est fortement recommandé d'utiliser SNMPv3 plutôt que v1 ou v2(c) pour surveiller et gérer l'état et les fonctionnalités des périphériques sur un réseau.
Continuité des activités et gestion de crise
Les organisations doivent s'assurer que leurs opérations peuvent se poursuivre en cas de perturbation majeure.
Mettez en place des serveurs redondants ou des systèmes de basculement pour garantir que les services d'impression restent disponibles en cas d'incident. MyQ X permet la mise en œuvre de mesures de basculement à l'aide de plusieurs méthodes.
MyQ prend en charge le clustering de basculement Windows Server pour une haute disponibilité, garantissant que les services sont automatiquement transférés vers un nœud de secours en cas de panne.
Si la connexion au serveur MyQ est perdue, la fonctionnalité d'impression de secours permet aux utilisateurs de continuer à imprimer via un périphérique de secours. MyQ Desktop Client envoie les travaux d'impression directement à un périphérique de secours lorsque la connectivité au serveur est interrompue. Cela garantit que les opérations d'impression peuvent se poursuivre sans interruption pendant les pannes de serveur, ce qui est crucial pour maintenir la continuité des activités. De même, la fonctionnalité de mise en file d'attente des périphériques, prise en charge par certains fournisseurs, peut être combinée avec la connexion hors ligne pour un fonctionnement hors réseau, ce qui augmente encore la disponibilité des services d'impression.
Les sauvegardes régulières de la base de données et la possibilité de restaurer les données MyQ sont conformes aux exigences de la norme NIS2 visant à garantir la disponibilité et la résilience des données face aux cyberattaques ou aux pannes système. Les sauvegardes de la base de données et des journaux peuvent être planifiées avec MyQ X et effectuées automatiquement, y compris les sauvegardes de la base de données SQL du Central Server.
En savoir plus :
Modèle d'accès avec privilèges minimaux
Les utilisateurs ne doivent se voir accorder que le niveau d'accès ou les autorisations minimales nécessaires pour effectuer les opérations requises.
NIS2 encourage la séparation des tâches afin d'empêcher tout accès non autorisé aux systèmes critiques.
En attribuant des droits spécifiques pour l'accès à la gestion du système et des utilisateurs, à la gestion des travaux, aux rapports ou aux journaux, il est possible d'accorder à certains utilisateurs un accès à privilèges élevés à des zones particulières de l'environnement MyQ, tout en limitant les droits d'accès des autres. De même, les droits peuvent être attribués par serveur de site ; ainsi, les administrateurs d'un serveur de site local n'obtiendront pas d'accès à privilèges élevés dans d'autres sites et succursales de l'organisation où cela n'est pas souhaité.
Lorsque l'administrateur utilise la gestion des utilisateurs par groupes (groupes de sécurité), il peut réduire le nombre d'étapes nécessaires à la configuration des droits d'accès tout en continuant à bénéficier de la création et de la suppression de comptes utilisateurs. Pour en savoir plus, consultez la section Création et suppression de comptes utilisateurs ci-dessous.
Des autorisations d'accès granulaires doivent être appliquées à l'ensemble de l'infrastructure de l'organisation, y compris tous les composants de l'écosystème MyQ X. L'accès doit être réservé exclusivement aux administrateurs et au personnel autorisé, afin de garantir que seules les personnes disposant des privilèges appropriés puissent gérer ces systèmes et interagir avec eux. Cela concerne les périphériques physiques, les serveurs physiques et leur système d'exploitation (Windows Server), les serveurs SQL, le stockage, etc.
En savoir plus :
Réponse aux incidents et audit
Pour gérer les incidents, établissez des procédures et mettez-les en pratique régulièrement. En cas d'activité suspecte, restreignez ou suspendez l'accès de l'utilisateur afin d'éviter tout dommage supplémentaire. La mise en œuvre adéquate de ces mesures peut atténuer l'impact d'événements imprévus.
Les fonctionnalités de journalisation et d'audit de MyQ (MyQ Logs et MyQ Audit Log) peuvent s'avérer extrêmement utiles pour la réponse aux incidents et leur suivi. Ces journaux aident à détecter, enquêter et réagir face à des activités suspectes, ce qui constitue un aspect obligatoire de la norme NIS2.
Les journaux doivent être surveillés régulièrement, et les notifications doivent être activées pour les incidents que l'organisation juge critiques. Pour ce faire, l'utilitaire Log Notifier embarqué dans MyQ X peut être configuré pour surveiller les événements dans l'environnement MyQ et le personnel responsable peut être averti afin de prendre des mesures immédiates. Les tâches planifiées en cours d'exécution (telles que la synchronisation des utilisateurs, la détection des imprimantes, etc.) peuvent également envoyer des avertissements à des contacts prédéfinis. Les administrateurs peuvent également configurer MyQ X pour envoyer des alertes automatisées en cas d'échec des travaux d'impression ou d'erreurs critiques.
La gestion des journaux peut être centralisée en exportant et en traitant les journaux via le Journal des événements Windows, puis traitée par des systèmes SIEM si nécessaire. Assurez-vous que les durées de conservation de l'historique, des journaux et des journaux d'audit sont suffisantes pour vos besoins. Cette configuration s'effectue dans Paramètres – Gestion du système.
La mise en place de SLA solides est essentielle pour les services gérés tels que MyQ, en particulier dans le cadre de la réglementation NIS2. Afin de garantir des délais de réponse rapides en cas d'incident, les organisations devraient envisager d'opter pour les offres d'assistance Premium.
En savoir plus :
Authentification sécurisée
L'authentification sécurisée garantit que seuls les utilisateurs autorisés accèdent aux systèmes. L'authentification à deux facteurs (2FA) renforce cette sécurité en exigeant deux types d'identifiants, ce qui augmente considérablement la sécurité.
Les exigences en matière de mot de passe et de code PIN, l'authentification à deux facteurs sur les terminaux intégrés, ou l'utilisation de « Se connecter avec Microsoft » sur les interfaces Web ou les terminaux intégrés (avec le client mobile MyQ X) offrent des alternatives pour sécuriser l'accès à l'environnement MyQ X.
Le client mobile MyQ X peut être configuré pour exiger une vérification biométrique, ce qui renforce encore la sécurité du compte utilisateur MyQ X en exigeant un facteur supplémentaire lors de l'authentification sur les périphériques.
La mise en place de mécanismes de verrouillage des comptes utilisateur après plusieurs tentatives de connexion infructueuses renforce la sécurité et réduit le risque d'attaques par force brute.
En savoir plus :
Provisionnement et déprovisionnement des utilisateurs
La création et la suppression de comptes garantissent que les utilisateurs se voient immédiatement refuser l'accès à l'environnement MyQ dès leur suppression du répertoire d'utilisateurs source.
MyQ prend en charge la synchronisation automatique et planifiée des utilisateurs avec des systèmes externes tels que LDAP, Microsoft Entra ID (anciennement Azure AD), Google Workspace et les fichiers CSV. Cela garantit que les utilisateurs nouvellement ajoutés sont automatiquement importés dans l'environnement MyQ X sans saisie manuelle. En synchronisant régulièrement les données des utilisateurs, MyQ X permet de maintenir une liste à jour des utilisateurs disposant des droits d'accès appropriés, réduisant ainsi le risque d'accès non autorisé.
La gestion par groupes et l'utilisation de groupes de sécurité dans le répertoire utilisateur source peuvent faciliter l'attribution et la suppression automatiques des droits d'accès à certaines parties de l'environnement MyQ X pour les utilisateurs nouvellement provisionnés ou supprimés.
MyQ X offre une fonctionnalité d'enregistrement automatique, permettant aux utilisateurs de s'enregistrer eux-mêmes en envoyant des travaux d'impression, en passant un badge ou en créant un compte via l'interface Web. Cette fonctionnalité est particulièrement utile dans les environnements accueillant fréquemment des utilisateurs externes, tels que des employés invités. Les utilisateurs du système peuvent se voir attribuer un code PIN temporaire qui expire après une période définie, garantissant ainsi que l'accès est automatiquement révoqué dès que l'utilisateur n'en a plus besoin.
MyQ prend en charge l'anonymisation des données utilisateur afin de se conformer aux réglementations en matière de confidentialité. Ce processus supprime de manière irréversible tous les identifiants personnels, rendant les comptes utilisateur à la fois inutilisables et intraçables, tout en permettant la création de rapports et l'audit du système sans compromettre la confidentialité.
En savoir plus :
Sensibilisation et formation
La directive NIS2 souligne la nécessité de sensibiliser et de former le personnel aux pratiques de cybersécurité.
Il est recommandé d'organiser des sessions de formation pour le personnel informatique et les administrateurs sur la gestion sécurisée de l'environnement MyQ X, en mettant l'accent sur la conformité à la norme NIS2. La meilleure solution consiste à consulter votre fournisseur/distributeur pour la gestion de l'écosystème MyQ X. Les partenaires MyQ sont formés pour fournir un support de la plus haute qualité.
De plus, des programmes de sensibilisation doivent être mis en place pour aider les utilisateurs finaux à identifier les menaces et leur expliquer l'utilisation de l'écosystème MyQ X, ainsi que les mesures à prendre en cas d'incidents de sécurité ou autres.
Livre blanc sur la sécurité et déploiement sécurisé
Pour en savoir plus sur la manière d'atteindre les meilleurs standards de sécurité avec MyQ X, consultez la suite de ce guide consacré à la sécuritéMyQ X.
Mis à jour le 16/9/2024