Alle Storys
Folgen
Keine Story von Horizon3.AI Europe GmbH mehr verpassen.

Horizon3.AI Europe GmbH

Horizon3.ai : Capacité de test d'intrusion doublée grâce à la NIS2

Horizon3.ai : Capacité de test d'intrusion doublée grâce à la NIS2
  • Bild-Infos
  • Download
  • Demande accrue de tests d'intrusion en prévision de l'entrée en vigueur imminente de la NIS2.
  • Dennis Weyel, responsable pour l'Europe : « Les entreprises reconnaissent qu'un test d'intrusion est la meilleure preuve de conformité. » Un test d'intrusion consiste en une simulation de cyberattaque sur le réseau informatique d'une entreprise.
  • Horizon3.ai gère NodeZero, l'une des plateformes de tests d'intrusion les plus reconnues au monde, au sein de l'UE.

Paris, le 9 octobre 2024 - La société de cybersécurité Horizon3.ai aurait doublé sa capacité de test de pénétration en Europe. Selon Horizon3.AI Europe GmbH, basée à Francfort-sur-le-Main, l'entreprise étend ses services en réponse à une augmentation de la demande suite à la mise en œuvre imminente du règlement sur la sécurité des réseaux et de l'information (NIS2) dans l'Union européenne. « D'après nos nombreuses conversations avec les clients, il est clair que beaucoup d'organisations n'ont réalisé que récemment qu'un test de pénétration est le meilleur et probablement le seul moyen légal de fournir une preuve contraignante de conformité avec NIS2 », déclare Dennis Weyel, directeur technique international responsable de l'Europe chez Horizon3.ai.

Lors d'un test de pénétration (en jargon industriel « pentest »), le réseau informatique de l'entreprise est délibérément attaqué pour le compte de l'entreprise afin d'évaluer sa cyber-résilience. « On peut imaginer un pentest comme une cyberattaque à grande échelle et très sophistiquée, mais contrairement à une véritable attaque de criminels, l'entreprise en a le contrôle », explique Dennis Weyel à propos de cette approche. Horizon3.ai exploite l'une des plateformes de pentesting les plus complètes au monde, NodeZero, sur son site de Francfort, qui est mise à la disposition des organisations et des institutions publiques par l'intermédiaire de partenaires appelés Managed Service Providers (MSP) et Managed Security Service Providers (MSSP).

Grâce aux capacités élargies de NodeZero, les réseaux informatiques sur site dans les entreprises (on-premise) et les configurations dans les environnements cloud courants comme AWS ou Azure peuvent faire l'objet d'une évaluation de la sécurité, rapporte Horizon3.ai. Le fournisseur a introduit sa propre solution appelée « NodeZero Cloud Pentesting » peu avant l'entrée en vigueur de l'obligation NIS2, qui aide les entreprises à identifier et à remédier aux vulnérabilités complexes exploitables et aux chemins d'attaque cachés dans leurs environnements en nuage.

La BCE, pionnière des tests d'intrusion en Europe

En Europe, la Banque centrale européenne (BCE) a fait progresser de manière significative le concept de pentesting pour le secteur financier. Cette année, la BCE soumet plus de 100 banques de l'UE à un test de pénétration, qu'elle qualifie de « test de résistance à la cyber-résilience ». Avec l'annonce de la directive européenne NIS2, qui devrait bientôt entrer en vigueur, le concept de test de pénétration en tant qu'évaluation ultime de la cyber-résilience est étendu au-delà du secteur financier à de nombreuses autres industries classées comme infrastructures critiques (KRITIS). Les secteurs concernés sont l'énergie, les transports, les banques, les infrastructures des marchés financiers, les soins de santé, l'eau potable, les eaux usées, les infrastructures numériques, la gestion des services TIC, l'administration publique, l'espace, les services postaux et de messagerie, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, la production, le traitement et la distribution de denrées alimentaires, la production et la fabrication d'appareils médicaux, de machines et de véhicules, ainsi que les appareils électriques/électroniques, les fournisseurs de services numériques et la recherche.

Le NIS2 n'affecte pas seulement les entreprises d'infrastructures critiques (KRITIS) elles-mêmes, mais aussi leurs fournisseurs, leurs clients et leurs autres partenaires commerciaux. Dennis Weyel fait remarquer que « la demande de pentesting a considérablement augmenté non seulement dans l'UE, mais aussi en Amérique du Nord et en Asie, car de nombreuses entreprises basées dans ces régions comptent parmi leurs clients des entreprises basées dans l'UE, dans le cadre de chaînes d'approvisionnement internationales. Toute attaque contre un partenaire commercial peut avoir un impact direct sur toutes les entreprises connectées ».

Un test d'intrusion comme révélateur de la résilience cybernétique

Selon Horizon3.ai, lors d'un test de pénétration utilisant NodeZero, tous les appareils, machines et systèmes connectés sont énumérés, puis vérifiés pour détecter les vulnérabilités de sécurité. « Les logiciels obsolètes des appareils situés en dehors du réseau central constituent l'un des points d'entrée les plus courants pour les cybercriminels », explique Dennis Weyel. Il cite des exemples tels que les caisses enregistreuses, les caméras de surveillance, les imprimantes, les machines à commande numérique, les robots de fabrication et l'automatisation des bâtiments. Partant du principe qu'« une chaîne est aussi solide que son maillon le plus faible », NodeZero examine tous ces composants dans le cadre d'un test de pénétration afin de garantir une chaîne de sécurité sans faille et de mettre en évidence les vulnérabilités qui doivent être corrigées le plus rapidement possible, par exemple au moyen d'une mise à jour logicielle.

Selon l'opérateur de la plateforme, un test de pénétration utilisant NodeZero permet non seulement de découvrir des vulnérabilités techniques, mais aussi des faiblesses humaines qui mettent en péril la sécurité du réseau de l'entreprise. Horizon3.ai affirme s'appuyer sur l'ingénierie sociale à cette fin, par exemple en vérifiant si les mots de passe liés à la sécurité peuvent être dérivés des activités des employés sur les médias sociaux. Si un employé combine le nom de son animal de compagnie, sur lequel il publie régulièrement, avec sa propre date de naissance pour créer un mot de passe, la sécurité du réseau de l'entreprise n'est pas en bon état », explique Dennis Weyel en guise d'exemple, avant d'ajouter : »NodeZero identifie ce type de mots de passe à partir de l'activité des employés sur les médias sociaux : « NodeZero identifie de tels risques de sécurité humaine lors d'une attaque simulée qui ne serait jamais détectée par la simple utilisation d'un logiciel défensif ».

Le directeur technique international responsable de l'Europe chez Horizon3.ai explique la différence entre l'offensive et la défensive dans ce contexte : « Dans la plupart des entreprises, des dizaines de programmes sont en cours d'exécution pour lutter contre les cyberattaques, et c'est une bonne chose. Cependant, il est tout aussi nécessaire de vérifier régulièrement, au moyen de tests de pénétration, dans quelle mesure ces logiciels défensifs résistent à différents scénarios d'attaque. Cette épreuve décisive pour la cyber-résilience est imposée par la norme NIS2 ». Dans le cas du phishing, l'une des formes d'attaque les plus courantes utilisant l'ingénierie sociale, où un employé est incité à cliquer sur un lien toxique, NodeZero contribue à l'endiguement ultérieur en aidant les organisations à réduire les autorisations qu'un employé individuel a dans le réseau de l'entreprise à ce qui est nécessaire pour son travail. Ainsi, si un seul compte est piraté, les attaquants ne peuvent toujours pas accéder à l'ensemble du réseau.

Dennis Weyel établit un lien avec la politique : « La bureaucratie européenne peut sembler excessive dans de nombreux domaines, mais avec la NIS2, l'UE a mis en place un niveau de sécurité qui est sans aucun doute nécessaire de toute urgence, car il transforme les scénarios d'attaque en un test ultime de résilience cybernétique. Dans ce contexte, la politique devance effectivement l'économie, car la ruée actuelle vers NodeZero s'explique uniquement par l'urgence de la situation à laquelle de nombreuses entreprises doivent faire face. »

Horizon3.ai donne la priorité aux entreprises qui appartiennent au groupe central de KRITIS, comme les hôpitaux ou les fournisseurs d'énergie. « Nous avons mis en place une voie rapide pour les opérateurs d'infrastructures critiques », explique Dennis Weyel. Il donne deux exemples pour illustrer cette priorité : « Une cyberattaque contre un hôpital, par exemple, peut être une question de vie ou de mort. Une panne d'électricité généralisée pourrait potentiellement affecter des milliers de foyers. »

Établir une routine mensuelle de pentesting

Selon ses propres déclarations, Horizon3.ai s'est préparé à une nouvelle expansion des capacités de NodeZero. L'opérateur de la plateforme ne craint pas la surcapacité. « Un test par mois n'est certainement pas excessif si l'on considère que plus de 1 600 nouvelles vulnérabilités sont découvertes chaque mois en Europe, dont près d'un tiers sont classées comme critiques ou à haut risque », déclare Dennis Weyel, qui fournit un point de référence pour la conformité à la norme NIS2*. Sa recommandation personnelle : un test par semaine. Il s'appuie sur des statistiques montrant que plus de 60 nouveaux points d'entrée potentiels pour les cybercriminels sont découverts chaque jour.

Comme NodeZero effectue tous les contrôles de sécurité de manière autonome à partir du nuage, les coûts en personnel et les coûts financiers pour les entreprises auditées sont faibles, souligne-t-il. Chaque entreprise de taille moyenne peut et doit soumettre sa cyber-résilience à un test de pénétration au moins aussi régulièrement qu'elle paie le loyer mensuel de ses bureaux », recommande Dennis Weyel, “car les conséquences d'une négligence peuvent être tout aussi graves : sans loyer, l'entreprise perd son point d'ancrage qui lui permet de fonctionner ; en cas de cyber-attaque, sa fonctionnalité technique et organisationnelle, y compris tous les processus opérationnels, les données et les secrets d'affaires, sont en danger”. En outre, la responsabilité personnelle est engagée jusqu'au conseil d'administration ou à la direction, non seulement à l'égard des organismes publics en termes de conformité au NIS2, mais aussi à l'égard des actionnaires, des partenaires commerciaux et, en cas de vol de données, des clients ».

* https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

À propos de Horizon3.ai et NodeZero : Horizon3.ai propose, sous le nom de NodeZero, une plateforme basée sur le cloud qui permet aux entreprises et aux administrations publiques d'effectuer une auto-attaque de leur infrastructure informatique afin de vérifier leur cyber-résilience (ce que l'on appelle des tests de pénétration ou pentests). Grâce au concept de cloud computing, les coûts sont faibles, ce qui rend le pentesting régulier abordable pour les entreprises de taille moyenne. Horizon3.ai analyse en permanence la scène cybercriminelle afin de pouvoir prendre en compte immédiatement les nouvelles vulnérabilités émergentes via le cloud. NodeZero ne se contente pas de détecter les failles de sécurité, mais fournit également des indications concrètes pour y remédier. Avec cette plateforme, Horizon3.ai aide les entreprises et les autorités à répondre aux exigences réglementaires croissantes en matière de cyber-résilience, qui suggèrent de procéder à une auto-attaque en interne au moins une fois par semaine. Demandez une démonstration gratuite à l'adresse suivante : www.horizon3.ai.

Remarque sur la marque : NodeZero est une marque déposée de Horizon3.ai.

Pour plus d'informations : Horizon3.AI Europe GmbH, Sebastian-Kneipp-Str. 41, 60439 Frankfurt am Main, Web : www.horizon3.ai

Agence de relations publiques : euromarcom public relations GmbH, www.euromarcom.de, team@euromarcom.de

- - - -

Weitere Storys: Horizon3.AI Europe GmbH
Weitere Storys: Horizon3.AI Europe GmbH
  • 10.09.2024 – 09:00

    Tripwires : Horizon3.ai avec un nouveau concept de sécurité contre les cyberattaques

    Tripwires : Horizon3.ai avec un nouveau concept de sécurité contre les cyberattaques - NodeZero Tripwires : lors d'une attaque simulée, les points faibles sont découverts et des fils d'arrêt numériques sont placés précisément à cet endroit, ce qui donne l'alerte en cas d'attaque réelle. - Un système d'alerte précoce pour les réseaux d'entreprise sur la ...