Gouvernance des accès à distance sécurisés et du VPN pour NIS2 et DORA

À 07 h 42, un lundi matin, Maria, RSSI d’un fournisseur SaaS fintech en forte croissance, reçoit trois messages avant son café.

Le premier vient du SOC : un compte VPN appartenant à un ingénieur support s’est authentifié depuis un pays où l’entreprise n’a aucun personnel. Le deuxième vient de l’équipe commerciale : un client du secteur des services financiers demande des preuves montrant que tous les accès à distance à privilèges sont protégés par MFA, journalisés, segmentés et revus dans le cadre de contrôles du risque lié aux TIC alignés sur DORA. Le troisième vient du service juridique : le même événement pourrait impliquer un accès à des données à caractère personnel ; le DPO veut donc savoir si les preuves relatives à GDPR Article 32 sont suffisamment complètes pour démontrer l’existence de mesures techniques et organisationnelles appropriées.

Rien n’a encore explosé. Aucune note de rançongiciel. Aucune exfiltration confirmée. Aucune interruption de service client.

Mais Maria connaît la réalité inconfortable. Lorsque la gouvernance des accès à distance est faible, chaque échange de conformité devient défensif. Une connexion VPN devient une question d’hygiène cyber au titre de NIS2. Un compte de prestataire devient une question de risque lié aux TIC provenant de tiers au titre de DORA. Une session de bureau à distance dans un environnement client devient une question de sécurité du traitement au titre du GDPR. Un journal manquant devient un constat d’audit.

Le rapport d’audit externe déjà posé sur son bureau aggrave la situation. Les auditeurs n’ont pas identifié d’attaque zero-day sophistiquée. Ils ont trouvé des comptes de prestataires partagés, une authentification multifacteur appliquée de manière incohérente, des groupes VPN historiques, des exceptions non gouvernées et des gigaoctets de journaux trop bruités pour soutenir une investigation. Une dette technique transformée en exposition réglementaire.

En 2026, la gouvernance des accès à distance sécurisés et du VPN n’est pas un sujet limité à la sécurité réseau. C’est un système de contrôle de niveau conseil d’administration qui relie l’identité, la sécurité des terminaux, l’accès des fournisseurs, la gestion des vulnérabilités, la journalisation, la réponse aux incidents, la responsabilité en matière de protection des données et la résilience opérationnelle.

Le problème des accès à distance a changé

Il y a quelques années, la gouvernance des accès à distance se résumait souvent à une réponse simple : « nous avons un VPN ». Cette réponse ne résiste plus à un examen sérieux.

Un environnement moderne d’accès à distance peut inclure des concentrateurs VPN d’entreprise, des passerelles Zero Trust Network Access, des bastions d’administration pour la gestion des accès à privilèges, des bastions d’administration cloud, une infrastructure de bureau à distance, des tunnels de maintenance fournisseurs, des accès de prestataires de services managés, des comptes d’urgence « break glass », des portails d’administration SaaS, des accès développeurs à l’environnement de production, des appareils mobiles, des réseaux domestiques, des Wi‑Fi publics et des dérogations BYOD.

Chaque chemin peut devenir un point de preuve réglementaire.

NIS2 Article 21 attend des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées. Celles-ci comprennent l’analyse des risques et les politiques de sécurité des systèmes d’information, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’acquisition et la maintenance sécurisées, la gestion des vulnérabilités, les politiques d’évaluation de l’efficacité des mesures de cybersécurité, l’hygiène cyber, la formation à la cybersécurité, la cryptographie et le chiffrement lorsque cela est pertinent, la sécurité des ressources humaines, les politiques de contrôle d’accès, la gestion des actifs, l’authentification multifacteur ou l’authentification continue lorsque cela est approprié, les communications sécurisées et les communications d’urgence sécurisées.

DORA exige des entités financières qu’elles maintiennent des cadres documentés de gestion des risques liés aux TIC, des processus relatifs aux incidents liés aux TIC, des tests de résilience opérationnelle numérique et une gouvernance des risques liés aux TIC provenant de tiers. DORA Article 5 confie à l’organe de direction la responsabilité de définir, d’approuver et de superviser la gestion des risques liés aux TIC, ainsi que d’en demeurer responsable. Article 28 exige que le risque lié aux TIC provenant de tiers soit géré comme une composante intégrante de ce cadre.

GDPR Article 32 exige des mesures techniques et organisationnelles appropriées pour la sécurité du traitement, notamment la confidentialité, l’intégrité, la disponibilité, la résilience, la capacité de restauration, les tests et la capacité de démontrer que les données à caractère personnel sont protégées contre l’accès, la perte, l’altération ou la divulgation non autorisés.

Le problème du RSSI n’est pas de savoir si le VPN fonctionne. La vraie question est de savoir si l’organisation peut prouver que l’accès à distance est gouverné, évalué selon les risques, approuvé, durci, surveillé, revu, testé et intégré à la réponse aux incidents.

C’est là qu’ISO/IEC 27001:2022 devient utile. La norme ne traite pas le VPN comme un équipement autonome. Elle place l’accès à distance dans le SMSI : domaine d’application, parties intéressées, appréciation des risques, sélection des mesures de sécurité, planification opérationnelle, gestion des fournisseurs, audit interne, revue de direction et amélioration continue.

Commencer par le domaine d’application du SMSI, pas par la règle de pare-feu

Lorsque Clarysec examine la gouvernance des accès à distance, nous ne commençons pas par demander une capture d’écran de la configuration VPN. Nous commençons par la frontière du SMSI.

ISO/IEC 27001:2022 exige que l’organisation définisse son contexte, ses parties intéressées, leurs exigences et le domaine d’application du SMSI, y compris les interfaces et dépendances avec d’autres organisations. Pour l’accès à distance, le domaine d’application doit inclure explicitement les personnes, les systèmes, les fournisseurs et les services réseau qui rendent le télétravail possible.

Une organisation SaaS ou de technologie financière doit identifier :

• Les employés qui accèdent à distance aux systèmes de production
• Les prestataires et développeurs disposant de droits d’administration à distance
• Les MSP, MSSP et autres fournisseurs disposant d’un accès opérationnel
• Le personnel du support client accédant aux données des locataires
• Les utilisateurs des fonctions finance, RH et juridique accédant à distance à des données à caractère personnel
• Les consoles cloud et les interfaces de programmation (API) d’administration à distance
• Les plateformes VPN, ZTNA, de fournisseur d’identité et de gestion des terminaux
• Les journaux, les intégrations SIEM et les emplacements de conservation
• Les exceptions d’accès à distance et les procédures d’accès d’urgence
• Les équipements en périphérie réseau gérés par des fournisseurs et les outils de support à distance

Il ne s’agit pas seulement d’une bonne discipline documentaire. Le champ d’application de NIS2 peut inclure des fournisseurs cloud, des centres de données, des MSP, des MSSP, des fournisseurs de communications électroniques, des fournisseurs d’infrastructures numériques et des fournisseurs de gestion de services TIC selon la taille, le secteur et la désignation. DORA s’applique aux entités financières et constitue le régime sectoriel de gestion du risque lié aux TIC pour ces entités. Le GDPR peut s’appliquer aux organisations établies dans l’UE et hors UE lorsque le traitement concerne des personnes dans l’UE, des établissements dans l’UE, des services proposés à des personnes dans l’Union ou la surveillance de comportements.

Si le domaine d’application de votre SMSI ignore l’accès à distance des tiers, l’administration à distance, l’infrastructure VPN ou la connectivité gérée par des fournisseurs, votre dispositif de contrôle peut être incomplet avant même que l’auditeur ne commence son échantillonnage.

Construire une pile de contrôles d’accès à distance

Un programme solide d’accès à distance doit être construit comme une pile de contrôles, et non comme une politique unique. Dans les travaux de mise en œuvre de Clarysec, les contrôles ISO/IEC 27002:2022 de base comprennent généralement :

• 6.7 Télétravail
• 5.15 Contrôle d’accès
• 5.16 Gestion des identités
• 5.17 Informations d’authentification
• 5.18 Droits d’accès
• 8.5 Authentification sécurisée
• 8.1 Terminaux utilisateurs
• 8.8 Gestion des vulnérabilités techniques
• 8.9 Gestion des configurations
• 8.15 Journalisation
• 8.16 Activités de surveillance
• 8.20 Sécurité des réseaux
• 8.22 Séparation des réseaux
• 5.19 Sécurité de l’information dans les relations avec les fournisseurs
• 5.20 Prise en compte de la sécurité de l’information dans les accords avec les fournisseurs
• 5.21 Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC
• 5.22 Surveillance, revue et gestion des changements des services fournis par les fournisseurs
• 5.23 Sécurité de l’information pour l’utilisation de services cloud
• 5.24 Planification et préparation de la gestion des incidents de sécurité de l’information
• 5.26 Réponse aux incidents de sécurité de l’information
• 5.28 Collecte des preuves
• 5.30 Préparation des TIC à la continuité d’activité

Zenith Controls : le guide de conformité croisée cartographie le Télétravail 6.7 comme un contrôle préventif soutenant la confidentialité, l’intégrité et la disponibilité, avec des liens opérationnels vers la gestion des actifs, la protection de l’information, la sécurité physique et la sécurité des systèmes et des réseaux. Il relie également le Télétravail à la sécurité des actifs hors site 7.9, aux Terminaux utilisateurs 8.1, à la sensibilisation, l’éducation et la formation à la sécurité de l’information 6.3, au transfert d’information 5.14, à la Sécurité des réseaux 8.20, à la Séparation des réseaux 8.22, au bureau propre et écran verrouillé 7.7, et à la préparation des TIC à la continuité d’activité 5.30.

Cette relation est importante. Une exigence VPN sans gestion des terminaux ne protège pas contre un ordinateur portable volé. La MFA sans journalisation ne soutient pas l’investigation. L’accès fournisseur sans segmentation augmente le rayon d’impact. Le télétravail sans signalement des incidents retarde le confinement.

La pile de contrôles change la discussion. Au lieu de débattre de la question « le VPN est-il conforme ? », l’organisation crée un modèle traçable : risque d’accès à distance, contrôle ISO, exigence de politique, mise en œuvre technique, responsable des preuves et fréquence de revue.

Transformer l’intention de la politique en preuves d’audit

Les auditeurs acceptent rarement « nous utilisons généralement la MFA » comme preuve. Ils recherchent des exigences formellement approuvées, des contrôles mis en œuvre et des enregistrements démontrant leur fonctionnement.

La boîte à outils de politiques de Clarysec fournit aux équipes un langage précis qu’elles peuvent adopter et adapter. La Politique de sécurité réseau - PME indique à la clause 5.5.1 :

« L’accès VPN doit exiger l’authentification multifacteur (MFA) et être restreint au personnel désigné. »

La même politique PME transforme la journalisation en exigence de conservation à la clause 6.3.3 :

« L’accès via VPN doit être journalisé, avec conservation des durées de session et des adresses IP source pendant au moins 6 mois. »

Pour les comportements en télétravail, la Politique de télétravail - PME indique à la clause 5.2.3 :

« Le Wi‑Fi public ne peut être utilisé que lorsqu’un tunnel sécurisé (VPN) est actif. »

Pour les environnements d’entreprise, la Politique de télétravail est encore plus directe. La clause 5.2.1.1 exige du personnel de :

« Utiliser un VPN approuvé par l’entreprise ou une infrastructure de bureau à distance. »

La clause 5.2.1.2 exige des organisations de :

« Exiger l’authentification multifacteur (MFA) pour toutes les tentatives de connexion. »

La Politique de sécurité réseau aligne la référence technique avec la clause 6.3.1 :

« Tous les accès à distance doivent être chiffrés, par exemple via IPsec ou SSL VPN, et exiger l’authentification multifacteur (MFA). »

La Politique de contrôle d’accès indique à la clause 5.6.1 :

« Les événements d’accès doivent être journalisés et conservés conformément à la Politique de journalisation et de surveillance. »

Pour les fournisseurs, la Politique de sécurité des tiers et des fournisseurs exige à la clause 6.3.2 :

« Tous les accès des tiers doivent être journalisés et surveillés et, lorsque cela est faisable, segmentés au moyen de bastions, de VPN ou de passerelles Zero Trust. »

La Politique de gestion des vulnérabilités et des correctifs - PME indique à la clause 6.5.1 :

« Les systèmes qui traitent des données à caractère personnel, fournissent un accès à distance ou sont exposés à l’extérieur doivent être priorisés pour les scans et les mises à jour. »

Ces clauses deviennent puissantes lorsqu’elles sont reliées à des preuves opérationnelles. La politique dit que la MFA est requise. Le fournisseur d’identité prouve l’application. Le journal VPN prouve l’utilisation. L’alerte SIEM prouve la surveillance. La revue d’accès prouve le besoin métier continu. Le rapport de vulnérabilités prouve que le service d’accès à distance est priorisé. Le playbook d’incident prouve la préparation de la réponse.

C’est la différence entre posséder une politique et exploiter un contrôle.

Les cinq questions auxquelles chaque RSSI doit répondre

Le modèle de gouvernance des accès à distance de Clarysec repose sur cinq questions utiles pour les audits ISO 27001, la préparation à NIS2, les revues des risques liés aux TIC au titre de DORA et les dossiers probants relatifs à GDPR Article 32.

1. Qui est autorisé à se connecter à distance ?

L’accès à distance doit être limité aux utilisateurs, rôles et fournisseurs autorisés. Les contrôles ISO/IEC 27002:2022 Contrôle d’accès 5.15, Gestion des identités 5.16 et Droits d’accès 5.18 définissent le socle de gouvernance.

Zenith Controls cartographie le Contrôle d’accès 5.15 comme un contrôle préventif centré sur la gestion des identités et des accès. Il relie ce contrôle à la Gestion des identités, aux Droits d’accès, aux Informations d’authentification, aux Terminaux utilisateurs, à l’Authentification sécurisée et au respect des politiques. En pratique, une politique d’accès n’est crédible que si les identités sont uniques, gérées sur l’ensemble du cycle de vie, authentifiées et revues.

Un bon enregistrement d’accès à distance doit répondre aux questions suivantes :

• Quelle personne ou quel fournisseur dispose d’un accès ?
• Quels systèmes peut-il atteindre ?
• Quel rôle ou contrat justifie l’accès ?
• Qui l’a approuvé ?
• La MFA est-elle appliquée ?
• Quand l’accès a-t-il été revu pour la dernière fois ?
• Quand l’accès temporaire expire-t-il ?
• Quelle source de journal prouve l’utilisation ?

Cela soutient également les résultats PR.AA du NIST Cybersecurity Framework 2.0 relatifs à la gestion des identités, à l’authentification, à l’autorisation, au moindre privilège et à la séparation des tâches.

2. Quel niveau de sécurité des équipements et du réseau est requis ?

L’accès à distance doit dépendre de la confiance accordée à l’appareil, et pas seulement des identifiants de l’utilisateur. Un mot de passe valide et une approbation MFA depuis un appareil non géré, infecté ou non corrigé restent un risque élevé.

Zenith Blueprint : la feuille de route en 30 étapes de l’auditeur l’explique dans la phase Controls in Action, étape 16, People Controls II :

« Les télétravailleurs doivent être tenus d’utiliser uniquement des appareils approuvés par l’entreprise, configurés par l’informatique avec chiffrement intégral du disque, protection active des terminaux, application automatique des correctifs et temporisations de verrouillage d’écran imposées. »

La même étape souligne que l’accès à distance doit passer par le VPN d’entreprise, idéalement protégé par MFA, et que le BYOD doit être interdit ou autorisé uniquement dans des conditions strictes telles que l’enrôlement MDM, la conteneurisation et l’effacement à distance.

C’est ici que convergent les Terminaux utilisateurs 8.1, le Télétravail 6.7, la Gestion des vulnérabilités techniques 8.8, la Gestion des configurations 8.9 et la Sécurité des réseaux 8.20.

Pour GDPR Article 32, le niveau de sécurité des équipements est important parce que les terminaux distants font partie des mesures techniques et organisationnelles qui protègent les données à caractère personnel. Pour DORA, il soutient la gestion des risques liés aux TIC et la résilience opérationnelle. Pour NIS2, il soutient l’hygiène cyber, le contrôle d’accès, la gestion des actifs et la gestion des vulnérabilités.

3. Comment la session est-elle protégée ?

Une session d’accès à distance sécurisée doit utiliser un transport chiffré, une authentification forte, la segmentation et des chemins d’administration contrôlés.

Zenith Blueprint, phase Risk Management, étape 14, Risk Treatment Policies and Regulatory Cross-References, fournit l’attente relative à l’accès à distance :

« Tout accès à distance aux systèmes internes doit utiliser un VPN sécurisé ou une connexion chiffrée équivalente. L’authentification multifacteur (MFA) est requise pour les connexions à distance aux réseaux de l’entreprise. »

L’étape 20, Contrôles 8.18 à 8.26, demande aux organisations de valider la sécurité des services réseau en listant tous les services réseau internes et externes tels que DNS, VPN, SMTP, DHCP et les passerelles API, en confirmant les protocoles sécurisés, en revoyant les contrôles d’accès et en vérifiant les clauses de sécurité des tiers lorsque les services sont gérés à l’extérieur.

Un VPN n’est pas seulement un appareil. C’est un service réseau avec des choix de protocoles, des restrictions d’accès, des certificats, des chemins de pare-feu, des dépendances vis-à-vis de tiers, des exigences d’application des correctifs et des journaux.

4. Comment l’accès est-il surveillé et investigué ?

La gouvernance des accès à distance doit inclure la journalisation et la surveillance. NIS2 Article 23 définit des attentes de notification par étapes pour les incidents significatifs, notamment une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures et un rapport final dans un délai d’un mois. DORA exige des entités financières qu’elles détectent, gèrent, classifient, escaladent et déclarent les incidents majeurs liés aux TIC, y compris l’analyse de la cause racine et la communication lorsque les intérêts financiers des clients sont affectés. L’analyse des violations au titre du GDPR dépend de la capacité à comprendre si des données à caractère personnel ont été consultées, modifiées, divulguées, perdues ou autrement compromises.

Sans journaux d’accès à distance, l’organisation ne peut pas répondre avec assurance à la première question de l’autorité de régulation : que s’est-il passé ?

Une journalisation robuste doit capturer l’identité de l’utilisateur, le résultat de l’authentification, l’adresse IP source, la géolocalisation lorsque cela est approprié, l’identité de l’appareil, le service cible, l’action privilégiée, la durée de session, les tentatives échouées, les changements administratifs et la corrélation avec les événements des terminaux et des identités.

5. Comment les exceptions et les vulnérabilités sont-elles traitées ?

L’infrastructure d’accès à distance est à haute valeur. Les passerelles VPN, les équipements ZTNA, les fournisseurs d’identité, les bastions et les services de bureau à distance doivent figurer parmi les actifs les plus activement gérés du programme de vulnérabilités.

Un processus mature de gestion des exceptions doit inclure le propriétaire de l’actif, le service d’accès à distance affecté, la gravité de la vulnérabilité, l’exploitabilité, l’exposition des données, les contrôles compensatoires temporaires, l’approbation du propriétaire du risque, la date d’expiration, les preuves de retest, ainsi qu’un lien vers le registre des risques et le plan de traitement des risques.

Pour ISO/IEC 27001:2022, cela soutient le traitement des risques, le contrôle opérationnel et l’amélioration continue. Pour DORA, cela soutient la gestion des risques liés aux TIC, les tests et la remédiation. Pour NIS2, cela soutient la gestion des vulnérabilités et les actions correctives sans retard injustifié. Pour le GDPR, cela aide à démontrer que la sécurité du traitement était fondée sur les risques plutôt qu’ad hoc.

L’accès à distance des fournisseurs est le piège d’audit caché

De nombreuses défaillances d’accès à distance ne sont pas des défaillances des employés. Ce sont des défaillances de gouvernance des fournisseurs.

Un MSP possède un ancien compte VPN. Un fournisseur logiciel utilise un identifiant partagé. Un partenaire de support se connecte par bureau à distance pour résoudre un problème ayant un impact client. Un fournisseur cloud gère la passerelle d’accès à distance. Un prestataire conserve un accès après la clôture du projet.

DORA est particulièrement strict sur ce point. Article 28 exige des entités financières qu’elles gèrent le risque lié aux TIC provenant de tiers dans le cadre de gestion des risques liés aux TIC et qu’elles demeurent pleinement responsables même lorsque les services TIC sont externalisés. Il attend des registres des accords contractuels TIC, des diligences préalables, des normes de sécurité de l’information, des droits d’audit et d’inspection, des droits de résiliation, une analyse du risque de concentration et des stratégies de sortie pour les fonctions critiques ou importantes. Article 30 précise les dispositions contractuelles telles que la protection des données, les niveaux de service, les lieux de traitement, l’accès aux données et leur récupération, l’assistance pendant les incidents, la coopération avec les autorités, les mesures de sécurité, les droits d’audit et l’assistance à la sortie.

NIS2 Article 21 inclut également la sécurité de la chaîne d’approvisionnement et les relations avec les fournisseurs et prestataires de services, avec une attention portée aux vulnérabilités propres aux fournisseurs et à leurs pratiques de cybersécurité.

NIST CSF 2.0 GV.SC fournit un modèle opérationnel pratique : stratégie de gestion des risques de la chaîne d’approvisionnement, rôles, criticité des fournisseurs, exigences contractuelles, diligence raisonnable, surveillance, participation aux incidents et activités post-relation.

Pour les clients de Clarysec, la règle pratique est simple : l’accès à distance des tiers doit être traité comme un accès à privilèges sauf preuve contraire. Il doit être nominatif, approuvé, limité dans le temps, protégé par MFA, journalisé, surveillé et segmenté.

Cartographie de conformité croisée : un système de contrôle, plusieurs obligations

La gouvernance des accès à distance est l’un des meilleurs exemples de conformité croisée. Les mêmes preuves peuvent satisfaire plusieurs obligations si elles sont conçues correctement.

Une correspondance plus détaillée des contrôles ISO montre pourquoi la gouvernance des accès à distance porte autant de valeur de conformité.

NIS2 introduit également une responsabilité explicite de la direction. Article 20 exige des organes de direction des entités essentielles et importantes qu’ils approuvent les mesures de gestion des risques de cybersécurité, supervisent leur mise en œuvre et suivent une formation. DORA Article 5 exige de manière similaire que l’organe de direction des entités financières définisse, approuve et supervise les dispositifs de gestion des risques liés aux TIC, et en demeure responsable.

Le conseil d’administration n’a pas besoin d’approuver chaque règle de pare-feu. Mais il doit approuver le niveau de risque lié à l’accès à distance : MFA obligatoire, accès fournisseurs journalisé, accès à privilèges segmenté, infrastructure d’accès à distance corrigée dans des délais définis, exceptions limitées dans le temps et cyberincidents escaladés via des canaux convenus.

Sprint de 90 minutes pour constituer les preuves d’accès à distance

Une façon pratique de mettre en évidence les lacunes consiste à constituer un mini-dossier probant autour d’un chemin d’accès. Choisissez un exemple, tel que « accès VPN pour les ingénieurs support production », puis réalisez le sprint suivant.

L’objectif n’est pas la paperasse. L’objectif est de relier la politique à la preuve. Si le dossier probant ne peut pas être complété pour un chemin d’accès, l’organisation a identifié une véritable lacune de gouvernance avant que l’auditeur ou l’autorité de régulation ne la trouve.

Cet exercice s’inscrit également dans la méthode de profil NIST CSF 2.0 : cadrer le profil, collecter les politiques et exigences, documenter les résultats actuels et cibles, analyser les écarts, créer un plan d’action priorisé et mettre en œuvre les améliorations.

Comment les auditeurs testeront l’accès à distance

Un audit de l’accès à distance peut varier selon le profil de l’auditeur. Zenith Controls aide les organisations à se préparer parce qu’il cartographie les relations entre contrôles ISO/IEC 27002:2022 dans une vue de conformité croisée plutôt que sous la forme d’une simple liste de contrôle.

Une organisation prête pour l’audit ne court pas après les captures d’écran. Elle maintient un système vivant de preuves.

Constats fréquents en 2026

Dans les évaluations, Clarysec observe régulièrement les mêmes problèmes d’accès à distance :

• La MFA est activée pour les employés, mais pas pour les fournisseurs, les comptes d’urgence ou les profils VPN historiques
• Les journaux d’accès à distance existent, mais ne sont pas conservés assez longtemps, centralisés ou reliés aux identités
• La conformité des terminaux est gérée séparément de l’accès VPN, si bien que des appareils non gérés peuvent encore se connecter
• Les revues d’accès se concentrent sur les applications métier mais ignorent les groupes VPN, les autorisations de bastion et les rôles d’administration cloud
• L’infrastructure d’accès à distance est absente de la liste de priorité des vulnérabilités
• L’accès fournisseur est approuvé de manière informelle et n’est pas reflété dans les contrats
• Les exceptions n’ont ni date d’expiration, ni contrôle compensatoire, ni approbation du propriétaire du risque
• Les comptes « break glass » ne sont pas testés, surveillés ou revus
• Les sessions à privilèges ne sont pas segmentées du trafic général d’accès à distance
• Les playbooks de réponse aux incidents n’incluent pas la collecte des preuves d’accès à distance

Ces constats sont évitables. Ils proviennent généralement d’une responsabilité fragmentée. Les équipes réseau sont responsables du VPN. L’IAM est responsable de la MFA. L’informatique est responsable des appareils. Les achats sont responsables des contrats fournisseurs. Le juridique est responsable des conditions de traitement des données. Le SOC est responsable des alertes. La conformité est responsable des preuves d’audit.

Le SMSI doit les relier.

Le modèle opérationnel cible pour l’accès à distance sécurisé

Un modèle mature de gouvernance des accès à distance sécurisés et du VPN doit inclure les pratiques opérationnelles suivantes :

• Maintenir un inventaire de toutes les méthodes d’accès à distance, y compris VPN, ZTNA, RDP, bastions, portails d’administration SaaS et tunnels fournisseurs
• Exiger la MFA pour tous les accès à distance, y compris les fournisseurs, les administrateurs et les comptes d’urgence
• Appliquer la conformité des équipements avant l’accès lorsque cela est techniquement faisable
• Utiliser la segmentation, les bastions ou les passerelles Zero Trust pour les accès à privilèges et les accès de tiers
• Journaliser l’adresse IP source, l’identité de l’utilisateur, le résultat de l’authentification, le système cible et la durée de session
• Conserver les journaux conformément aux besoins de politique, de réglementation et d’investigation
• Prioriser les systèmes d’accès à distance pour les scans de vulnérabilités et l’application des correctifs
• Revoir périodiquement les droits d’accès et lors d’un changement de rôle, d’un départ ou d’une modification de contrat fournisseur
• Limiter dans le temps les accès d’urgence, temporaires et fournisseurs
• Inclure l’accès à distance dans la réponse aux incidents, l’évaluation des violations et les exercices de crise
• Tester la résilience des accès à distance et les routes d’accès de secours lorsque la continuité l’exige
• Intégrer l’accès à distance des fournisseurs dans les contrats, la diligence raisonnable, la surveillance et la planification de sortie
• Communiquer à la direction les indicateurs de risque liés à l’accès à distance

Pour Maria, cela devient un plan d’action pratique. Au cours des deux premières semaines, elle utilise Zenith Blueprint pour mettre à jour les documents de gouvernance, aligner les politiques sur les obligations NIS2 et DORA, et obtenir l’approbation de la direction. Le mois suivant, ses équipes informatiques et sécurité appliquent la MFA à tous les profils d’accès à distance, segmentent l’accès des prestataires, ajustent la journalisation et priorisent les systèmes VPN et ZTNA pour la remédiation des vulnérabilités. En continu, elle mène des revues d’accès trimestrielles, teste la collecte des preuves d’incident et communique les indicateurs de risque au conseil d’administration.

Le résultat n’est pas seulement une configuration VPN plus propre. C’est un système de contrôle de l’accès à distance capable de résister à l’audit, de soutenir la réponse aux incidents et de réduire le risque opérationnel réel.

Constituer votre dossier probant d’accès à distance avant le prochain incident

L’alerte VPN du lundi matin n’a pas besoin de devenir une crise. Mais elle doit devenir un test de gouvernance.

Pouvez-vous identifier l’utilisateur ? Pouvez-vous prouver la MFA ? Pouvez-vous confirmer le niveau de sécurité de l’appareil ? Pouvez-vous reconstruire la session ? Pouvez-vous déterminer si des données à caractère personnel étaient accessibles ? Pouvez-vous montrer que le compte a été approuvé et revu ? Pouvez-vous prouver que l’équipement VPN était corrigé ? Pouvez-vous démontrer que l’accès fournisseur est journalisé et segmenté ? La direction peut-elle voir le risque ?

Si la réponse est « pas encore », Clarysec peut vous aider.

Commencez par Zenith Blueprint : la feuille de route en 30 étapes de l’auditeur pour structurer votre feuille de route de mise en œuvre ISO/IEC 27001:2022, en particulier l’étape 14 pour les politiques de traitement des risques, l’étape 16 pour les contrôles de télétravail, l’étape 19 pour l’authentification sécurisée et l’étape 20 pour la sécurité des services réseau. Utilisez Zenith Controls : le guide de conformité croisée pour cartographier le Télétravail, le Contrôle d’accès, l’Authentification sécurisée, les contrôles fournisseurs, la journalisation et la sécurité réseau avec les contrôles ISO/IEC 27002:2022 associés et les preuves de conformité croisée.

Ensuite, opérationnalisez les exigences avec les politiques Clarysec telles que la Politique de télétravail, la Politique de sécurité réseau, la Politique de contrôle d’accès, la Politique de sécurité des tiers et des fournisseurs, ainsi que leurs équivalents prêts pour les PME.

Votre prochain audit ne doit pas être la première fois que vos preuves d’accès à distance sont assemblées. Construisez-les maintenant, testez-les maintenant, et faites de la gouvernance des accès à distance sécurisés l’une des parties les plus solides de votre programme de conformité. Contactez Clarysec pour une évaluation de la gouvernance des accès à distance, téléchargez les modèles de politiques ou réservez une démonstration pour voir comment vos contrôles actuels se cartographient avec ISO 27001, NIS2, DORA et GDPR Article 32.