Network & Information Security Directive (NIS2) Rapport de conformité

Un Network & Information Security Directive (NIS2) rapport de conformité est un document qui décrit l'adhésion d'une organisation aux dernières réglementations NIS2, garantissant la sécurité et la résilience des réseaux et des systèmes d'information dans l'Union européenne.

Récapitulatif

Les règles de l'UE en matière de cybersécurité introduites en 2016 ont été mises à jour par la directive NIS2, entrée en vigueur en 2023. Cette mise à jour a modernisé le cadre juridique existant pour faire face à la numérisation croissante et à l’évolution du paysage des menaces de cybersécurité. En élargissant le champ d’application des règles de cybersécurité à de nouveaux secteurs et entités, il améliore la résilience et les capacités de réponse aux incidents des entités publiques et privées, des autorités compétentes et de l’UE dans son ensemble.

La directive NIS2 prévoit des mesures juridiques visant à améliorer le niveau global de cybersécurité dans l'UE en garantissant :
  • l'état de préparation des États membres, exigeant qu'ils soient équipés de manière appropriée, par exemple d'unComputer Security Incident Response Team (CSIRT) et une autorité nationale compétente en matière de réseaux et de systèmes d'information (NIS).
  • Coopération entre tous les États membres, en établissant un groupe de coopération pour soutenir et faciliter la coopération stratégique et l'échange d'informations entre les États membres.
  • Une culture de sécurité dans tous les secteurs vitaux pour l’économie et la société, s’appuyant fortement sur les TIC, tels que l’énergie, les transports, l’eau, les banques, les infrastructures des marchés financiers, les soins de santé et les infrastructures numériques.

Objectifs clé

  • Améliorer les normes globales de cybersécurité au sein de l’UE.
  • Renforcer la résilience et les capacités de réponse aux incidents des organisations publiques et privées.
  • Favoriser une meilleure collaboration et un meilleur partage d’informations entre les États membres de l’UE.
  • Standardisez les exigences en matière de cybersécurité dans divers secteurs et infrastructures critiques.

Implications pour les organisations

Les organisations des secteurs couverts par NIS2 doivent se conformer aux exigences de cybersécurité de la directive. Cela comprend la mise en œuvre de mesures de gestion des risques, de procédures de signalement des incidents et de mesures de sécurité de la chaîne d'approvisionnement.

AppScan et NIS2

L'article 21 de la directive NIS2 définit les exigences suivantes en matière de cybersécurité :

Les États membres doivent veiller à ce que les entités essentielles mettent en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et des systèmes d'information utilisés pour leurs opérations ou services et pour prévenir ou minimiser l'impact des incidents sur les destinataires de leurs services et autres. prestations de service.

Ces mesures devraient tenir compte des normes européennes et internationales les plus récentes et pertinentes, ainsi que du coût de leur mise en œuvre. Ils doivent assurer un niveau de sécurité adapté aux risques posés. Lors de l'évaluation de la proportionnalité de ces mesures, des facteurs tels que l'exposition au risque de l'entité, sa taille, la probabilité d'incidents et la gravité des impacts potentiels, y compris les impacts sociétaux et économiques, doivent être pris en compte.

Les mesures doivent suivre une approche tous risques pour protéger les réseaux et les systèmes d'information ainsi que leurs environnements physiques contre les incidents, et doivent inclure au moins les éléments suivants :

  • Politiques d'analyse des risques et de sécurité des systèmes d'information
  • Gestion des incidents
  • Continuité des activités, y compris la gestion des sauvegardes, la reprise après sinistre et la gestion des crises
  • Sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations avec les fournisseurs directs ou les prestataires de services
  • Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris la gestion et la divulgation des vulnérabilités
  • Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques de cybersécurité
  • Pratiques de base en matière de cyberhygiène et formation en cybersécurité
  • Politiques et procédures concernant l'utilisation de la cryptographie et, le cas échéant, le cryptage
  • Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs
  • L'utilisation de solutions d'authentification multifacteur ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.

CeAppScan Le rapport utilisera la publication spéciale 800-53 Révision 5 du National Institute of Standards and Technology (NIST) comme cadre de sécurité international complet recommandé, comme le conseille la directive NIS2, pour identifier tout problème potentiel de non-conformité lié à la sécurité des applications Web.

Pour plus d'informations sur la directive NIS2, visitez : Directive NIS2

Pour plus d'informations sur la sécurisation des applications Web, visitez : HCL Software -AppScan

Tableau 1. Sections et descriptions
Sections Description
AC-2(2) Automatiquement [Sélection : supprimer ; désactiver] les comptes temporaires et d'urgence après [Affectation : période définie par l'organisation pour chaque type de compte].
AC-4 Appliquer les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes connectés en fonction de [Affectation : politiques de contrôle du flux d'informations définies par l'organisation].
AC-6 Utilisez le principe du moindre privilège, en autorisant uniquement les accès autorisés aux utilisateurs (ou aux processus agissant au nom des utilisateurs) qui sont nécessaires pour accomplir les tâches organisationnelles assignées.
AC-7.a Appliquer une limite de [Affectation : nombre défini par l'organisation] tentatives de connexion non valides consécutives par un utilisateur au cours d'une [Affectation : période définie par l'organisation].
AC-10 Limitez le nombre de sessions simultanées pour chaque [Affectation : compte et/ou type de compte défini par l'organisation] à [Affectation : numéro défini par l'organisation].
AC-12 Terminez automatiquement une session utilisateur après [Affectation : conditions définies par l'organisation ou événements déclencheurs nécessitant une déconnexion de session].
AC-17 Établir et documenter les restrictions d'utilisation, les exigences de configuration/connexion et les conseils de mise en œuvre pour chaque type d'accès à distance autorisé ; et B. Autorisez chaque type d’accès à distance au système avant d’autoriser de telles connexions.
CM-7 Configurer le système pour fournir uniquement [Affectation : capacités essentielles à la mission définie par l'organisation] ; et B. Interdire ou restreindre l'utilisation des fonctions, ports, protocoles, logiciels et/ou services suivants : [Affectation : fonctions interdites ou restreintes définies par l'organisation, ports système, protocoles, logiciels et/ou services].
IA-2 Identifiez et authentifiez de manière unique les utilisateurs de l’organisation et associez cette identification unique aux processus agissant au nom de ces utilisateurs.
AI-4(1) Interdire l'utilisation d'identifiants de compte système identiques aux identifiants publics des comptes individuels.
IA-5 Gérez les authentificateurs système en : a. Vérifier, dans le cadre de la distribution initiale de l'authentifiant, l'identité de l'individu, du groupe, du rôle, du service ou du dispositif recevant l'authentifiant ; b. Établir le contenu initial de l'authentifiant pour tout authentifiant émis par l'organisation ; c. S'assurer que les authentifiants disposent d'un mécanisme suffisamment solide pour l'utilisation prévue ; d. Établir et mettre en œuvre des procédures administratives pour la distribution initiale des authentifiants, pour les authentifiants perdus, compromis ou endommagés, et pour la révocation des authentifiants ; e. Modification des authentificateurs par défaut avant la première utilisation ; F. Modification ou actualisation des authentifiants [Affectation : période définie par l'organisation par type d'authentificateur] ou lorsque [Affectation : événements définis par l'organisation] se produisent ; g. Protéger le contenu de l'authentificateur contre toute divulgation et modification non autorisée ; h. Exiger des individus qu'ils prennent et faire en sorte que les appareils mettent en œuvre des contrôles spécifiques pour protéger les authentifiants ; et moi. Modification des authentificateurs pour les comptes de groupe ou de rôle lorsque l'adhésion à ces comptes change.
RA-5 Surveiller et rechercher les vulnérabilités du système et des applications hébergées [Tâche : fréquence définie par l'organisation et/ou de manière aléatoire conformément au processus défini par l'organisation] et lorsque de nouvelles vulnérabilités affectant potentiellement le système sont identifiées et signalées ; b. Utiliser des outils et des techniques de surveillance des vulnérabilités qui facilitent l'interopérabilité entre les outils et automatiser certaines parties du processus de gestion des vulnérabilités en utilisant des normes pour : 1. Énumération des plates-formes, des failles logicielles et des configurations inappropriées ; 2. Formatage des listes de contrôle et des procédures de test ; et 3. Mesurer l'impact de la vulnérabilité ; c. Analyser les rapports d'analyse des vulnérabilités et les résultats de la surveillance des vulnérabilités ; d. Corriger les vulnérabilités légitimes [Tâche : délais de réponse définis par l'organisation] conformément à une évaluation organisationnelle des risques ; e. Partager les informations obtenues à partir du processus de surveillance des vulnérabilités et des évaluations de contrôle avec [Affectation : personnel ou rôles définis par l'organisation] pour aider à éliminer des vulnérabilités similaires dans d'autres systèmes ; et f. Utilisez des outils de surveillance des vulnérabilités qui incluent la capacité de mettre facilement à jour les vulnérabilités à analyser.
SC-5 [Sélection : Protéger contre ; Limiter] les effets des types d'événements de déni de service suivants : [Affectation : types d'événements de déni de service définis par l'organisation] ; et B. Utiliser les contrôles suivants pour atteindre l'objectif de déni de service : [Affectation : contrôles définis par l'organisation par type d'événement de déni de service].
SC-8 Protéger la [Sélection (une ou plusieurs) : confidentialité ; intégrité] des informations transmises.
SC-13 - un Déterminer la [Affectation : utilisations cryptographiques définies par l'organisation] ; et B. Implémentez les types de cryptographie suivants requis pour chaque utilisation cryptographique spécifiée : [Affectation : types de cryptographie définis par l'organisation pour chaque utilisation cryptographique spécifiée].
SC-23 Protégez l’authenticité des sessions de communication.
SI-3.A Implémenter [Sélection (un ou plusieurs) : basée sur la signature ; non basés sur des signatures] mécanismes de protection contre les codes malveillants aux points d'entrée et de sortie du système pour détecter et éradiquer les codes malveillants.
SI-3.B Mettez automatiquement à jour les mécanismes de protection contre les codes malveillants à mesure que de nouvelles versions sont disponibles, conformément à la politique et aux procédures de gestion de la configuration organisationnelle.
SI-10 Vérifiez la validité des entrées d'informations suivantes : [Affectation : entrées d'informations définies par l'organisation dans le système].
SI-11.A Générez des messages d'erreur qui fournissent les informations nécessaires aux actions correctives sans révéler d'informations qui pourraient être exploitées.