NIS 2 ou Network and Information Security 2
NIS 2 ou NIS2 est le principal règlement de l'Union européenne visant à renforcer la cybersécurité de ses États membres. Il a été publiée le 27 décembre 2022, remplace la précédente NIS de 2016 et sera transposée en droit national avant le 17 octobre 2024.
NIS 2 impose des exigences de sécurité pour les entités essentielles et importantes (anciennement Opérateurs de Services Essentiels / OSE et Fournisseurs de Services Numériques / FSN), mais également pour leurs sous-traitants et fournisseurs.
NIS2 fournit de nouvelles exigences sur la gestion des incidents, la gestion des risques, les tests de sécurité et la sécurité de la chaîne d'approvisionnement.
Patrowl est entièrement conforme aux exigences de NIS 2 en matière de tests d'intrusion en continu des actifs grâce à la Cybersécurité Offensive as-a-Service. Pour plus de détails, veuillez lire Patrowl.
Tout le monde est concerné
Les fournisseurs peuvent être utilisés comme relais pour compromettre une cible réelle, comme lors de l'attaque de la chaîne d'approvisionnement SolarWinds. Une opération de piratage nommée SUNBURST a introduit une porte dérobée dans le produit SolarWinds pour pirater plusieurs agences gouvernementales américaines. NIS 2 exige que les entités essentielles et importantes prennent en compte la cybersécurité de leurs fournisseurs (85) : "Les entités essentielles et importantes devraient donc évaluer et prendre en compte la qualité globale et la résilience des produits et services, les mesures de gestion des risques de cybersécurité intégrées à ces produits et services, ainsi que les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisées."
Patrowl permet de vérifier en continu et facilement la cybersécurité externe de vos fournisseurs, quelles que soient leur taille. Pour plus de détails, veuillez lire ci-dessous et Patrowl.
Identification des systèmes critiques
Les entités essentielles et importantes doivent identifier en temps réel les systèmes critiques et les systèmes qui y sont liés. Ces systèmes peuvent inclure des bases de données clients, des serveurs de paiement en ligne et des applications de banque mobile. Patrowl permet une (re)découverte continue de tous vos actifs exposés sur Internet (orientés vers l'extérieur). Pour plus de détails, veuillez lire ci-dessous et Patrowl.
Tests de sécurité continus
NIS 2 exige que les entités essentielles et importantes effectuent des audits de sécurité proactifs et réguliers, ainsi que des analyses de sécurité, afin d'identifier les vulnérabilités connues, mais aussi les vulnérabilités inconnues. En ce qui concerne les actifs exposés sur Internet, cela inclut tous les risques OWASP tels que : Contrôle d'accès défaillant, Conception non sécurisée, Configuration de sécurité incorrecte, Composants obsolètes, Injection... Patrowl est entièrement conforme à ces exigences en identifiant en continu toutes vos faiblesses et vulnérabilités, sans aucun impact négatif sur le fonctionnement des services des entités. Patrowl vous offre également une solution facile pour remédier à ces vulnérabilités, avec une priorisation et une contextualisation. Pour plus de détails, consultez la description de notre solution Patrowl.