Gestion et divulgation des vulnérabilités NIS 2
NIS 2 traite de la gestion des vulnérabilités sur deux niveaux : comme mesure de cybersécurité requise pour les organisations individuelles (Article 21) et comme cadre de divulgation coordonnée des vulnérabilités au niveau de l'UE (Articles 12-13). Ensemble, ces dispositions créent une approche complète pour identifier, gérer et partager les informations sur les vulnérabilités de cybersécurité.
Points clés
| Point | Résumé |
|---|---|
| Exigence organisationnelle | L'Article 21(2)(e) exige des politiques de traitement et de divulgation des vulnérabilités |
| Base de données de vulnérabilités de l'UE | L'ENISA exploite une base de données européenne des vulnérabilités |
| Divulgation coordonnée | Les États membres doivent établir des politiques de divulgation coordonnée des vulnérabilités |
| Rôle des CSIRT | Les CSIRT nationaux agissent comme coordinateurs pour la divulgation des vulnérabilités |
| Approche proactive | Les organisations doivent identifier et traiter activement les vulnérabilités |
Réponse rapide : NIS 2 exige des organisations qu'elles mettent en œuvre des politiques de traitement et de divulgation des vulnérabilités dans le cadre de leurs mesures de cybersécurité. Au niveau de l'UE, la directive établit un cadre de divulgation coordonnée des vulnérabilités via l'ENISA et les CSIRT nationaux, créant un processus structuré pour signaler et traiter les vulnérabilités.
Gestion des vulnérabilités au niveau organisationnel
Ce que NIS 2 exige
L'Article 21(2)(e) impose la sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, incluant le traitement et la divulgation des vulnérabilités. Cela se traduit par :
| Exigence | Description |
|---|---|
| Identification des vulnérabilités | Processus pour découvrir les vulnérabilités dans vos systèmes |
| Évaluation des vulnérabilités | Évaluation du risque que présente chaque vulnérabilité |
| Planification de la remédiation | Approche priorisée pour traiter les vulnérabilités |
| Gestion des correctifs | Application rapide des correctifs et mises à jour de sécurité |
| Politiques de divulgation | Procédures pour gérer les rapports de vulnérabilités de chercheurs externes |
Construire un programme de gestion des vulnérabilités
Étape 1 : Établir un inventaire des actifs
Vous ne pouvez pas gérer les vulnérabilités dans des systèmes que vous ne connaissez pas :
- Maintenir un inventaire complet de tous les matériels, logiciels et services
- Inclure les informations de version et le statut des correctifs
- Suivre les dates de fin de vie et de fin de support
- Cartographier les dépendances entre systèmes
Étape 2 : Mettre en œuvre l'analyse et la détection
| Outil/Processus | Objectif |
|---|---|
| Scanners de vulnérabilités | Analyse automatisée des réseaux et systèmes pour les vulnérabilités connues |
| Tests d'intrusion | Attaques simulées pour identifier les vulnérabilités exploitables |
| Analyse de code | Analyse statique et dynamique du code applicatif |
| Audits de configuration | Revue des configurations système par rapport aux référentiels de sécurité |
| Renseignement sur les menaces | Surveillance des vulnérabilités nouvellement divulguées affectant votre pile technologique |
Étape 3 : Évaluer et prioriser
Toutes les vulnérabilités ne présentent pas le même risque. Priorisez en fonction de :
| Facteur | Considération |
|---|---|
| Gravité | Score CVSS et impact potentiel |
| Exploitabilité | Existe-t-il un exploit connu ? Est-il activement exploité dans la nature ? |
| Exposition | Le système vulnérable est-il exposé sur Internet ou isolé ? |
| Criticité | Quelle est l'importance du système affecté pour vos opérations ? |
| Sensibilité des données | Quelles données pourraient être accessibles via la vulnérabilité ? |
Étape 4 : Remédier
| Action | Délai |
|---|---|
| Vulnérabilités critiques (activement exploitées) | Immédiat (24-48 heures) |
| Vulnérabilités élevées | Dans les 7-14 jours |
| Vulnérabilités moyennes | Dans les 30 jours |
| Vulnérabilités faibles | Dans les 90 jours ou prochaine fenêtre de maintenance |
Lorsque l'application immédiate des correctifs n'est pas possible, mettez en œuvre des contrôles compensatoires (isolation réseau, surveillance supplémentaire, restrictions d'accès) tout en travaillant vers la remédiation.
Étape 5 : Vérifier et documenter
- Vérifier que les correctifs sont appliqués avec succès
- Rescanner pour confirmer que les vulnérabilités sont remédiées
- Documenter toutes les activités de gestion des vulnérabilités
- Suivre les métriques : délai de remédiation, nombre de vulnérabilités, couverture des scans
Divulgation coordonnée des vulnérabilités (niveau UE)
Base de données européenne des vulnérabilités de l'ENISA
NIS 2 charge l'ENISA d'établir et de maintenir une base de données européenne des vulnérabilités. Cette base de données :
- Contient des informations sur les vulnérabilités connues dans les produits et services TIC
- Accepte les contributions volontaires de toute entité (dans le périmètre ou non)
- Inclut des informations de gravité et des orientations de remédiation
- Est accessible au public pour soutenir la gestion des vulnérabilités
- Complète d'autres bases de données de vulnérabilités (CVE, NVD)
Divulgation coordonnée nationale
Chaque État membre doit établir :
- Une politique de divulgation coordonnée des vulnérabilités
- Un CSIRT désigné pour agir comme coordinateur de la divulgation des vulnérabilités
- Des processus pour que les chercheurs en sécurité signalent les vulnérabilités de manière responsable
- Des calendriers et procédures pour coordonner la remédiation avec les éditeurs
Comment fonctionne la divulgation coordonnée
| Étape | Acteur | Action |
|---|---|---|
| 1 | Chercheur | Découvre une vulnérabilité |
| 2 | Chercheur | Signale au CSIRT national ou directement à l'éditeur |
| 3 | CSIRT | Valide la vulnérabilité et coordonne avec l'éditeur |
| 4 | Éditeur | Développe et teste un correctif ou une atténuation |
| 5 | CSIRT + Éditeur | Coordonnent le calendrier de divulgation publique |
| 6 | Éditeur | Publie le correctif et l'avis de sécurité |
| 7 | CSIRT | Publie l'avis coordonné, met à jour la base de données ENISA |
| 8 | Organisations | Appliquent le correctif et vérifient la remédiation |
Politique de divulgation des vulnérabilités pour les organisations
Les entités NIS 2 doivent établir leur propre politique de divulgation des vulnérabilités qui permet aux chercheurs en sécurité de signaler les vulnérabilités de manière responsable :
Éléments clés
| Élément | Description |
|---|---|
| Périmètre | Quels systèmes et services sont couverts |
| Canal de signalement | Comment soumettre les rapports de vulnérabilités (email, formulaire, plateforme) |
| Safe harbor | Engagement à ne pas poursuivre les chercheurs de bonne foi |
| Délai de réponse | Délais prévus pour l'accusé de réception et la remédiation |
| Communication | Comment l'organisation communiquera avec les rapporteurs |
| Reconnaissance | Si et comment les chercheurs seront crédités |
Intégration avec le signalement des incidents NIS 2
L'exploitation de vulnérabilités peut déclencher des obligations de signalement des incidents NIS 2. Lorsqu'une vulnérabilité est activement exploitée et cause un incident significatif :
- Le délai d'alerte précoce de 24 heures s'applique
- La notification d'incident doit référencer la vulnérabilité
- Le rapport final doit inclure la vulnérabilité dans l'analyse de la cause profonde
- Les informations sur la vulnérabilité doivent être partagées avec le CSIRT pour aider à protéger d'autres entités
Gestion des vulnérabilités de la chaîne d'approvisionnement
La sécurité de la chaîne d'approvisionnement sous NIS 2 inclut la surveillance des vulnérabilités dans les produits tiers :
- S'abonner aux avis de sécurité des éditeurs pour tous les logiciels critiques
- Surveiller les bases de données de vulnérabilités pour les problèmes dans votre pile technologique
- Inclure des exigences de gestion des vulnérabilités dans les contrats fournisseurs
- Avoir des processus pour agir rapidement lorsque des vulnérabilités de la chaîne d'approvisionnement sont divulguées
- Participer aux processus de divulgation coordonnée des vulnérabilités lorsque c'est approprié
Questions fréquentes
Devons-nous gérer notre propre programme de divulgation des vulnérabilités ?
NIS 2 exige des politiques de traitement et de divulgation des vulnérabilités, mais cela ne signifie pas nécessairement que vous ayez besoin d'un programme de bug bounty complet. Au minimum, vous devez avoir un processus clair pour recevoir et traiter les rapports de vulnérabilités, que ce soit via un simple email de contact sécurité ou un programme de divulgation plus structuré. L'essentiel est que les parties externes aient un moyen de signaler les vulnérabilités de manière responsable.
Comment cela se rapporte-t-il aux tests d'intrusion ?
Les tests d'intrusion sont une composante de la gestion des vulnérabilités. L'exigence de NIS 2 d'évaluer l'efficacité de la cybersécurité (Article 21(2)(f)) soutient des tests d'intrusion réguliers comme moyen d'identifier les vulnérabilités que l'analyse automatisée pourrait manquer. La fréquence doit être proportionnée à votre profil de risque, avec des tests d'intrusion annuels comme base raisonnable pour la plupart des organisations.
Qu'en est-il des vulnérabilités zero-day ?
Les vulnérabilités zero-day (celles sans correctifs disponibles) nécessitent une approche différente : mettre en œuvre des contrôles compensatoires, augmenter la surveillance et coordonner avec les éditeurs et les CSIRT. Le cadre de divulgation coordonnée des vulnérabilités sous NIS 2 est conçu pour gérer exactement ces situations, garantissant que les informations sur les zero-days sont partagées de manière responsable pour minimiser le risque d'exploitation pendant que la remédiation est développée.