La base de données des vulnérabilités de l’UE, gérée et maintenue par l’ENISA, contient des informations sur les vulnérabilités publiquement connues dans les produits et services TIC. L’objectif de cette base de données est d’améliorer la cybersécurité en centralisant les informations sur les vulnérabilités et en les rendant accessibles à toutes les parties prenantes.

Selon les sources, la base de données comprend les informations suivantes :

• Informations illustrant la vulnérabilité : Bien que les sources ne détaillent pas les spécificités, cela fait probablement référence à une description détaillée de la vulnérabilité, à son impact potentiel et aux méthodes d’exploitation.
• Produits ou services TIC affectés et gravité de la vulnérabilité : Cela inclut une liste spécifique des produits et services impactés par la vulnérabilité ainsi qu’une évaluation de sa gravité basée sur les circonstances de l’exploitation potentielle. Cela aide les utilisateurs à comprendre les risques associés à la vulnérabilité et à hiérarchiser les efforts de remédiation.
• Disponibilité de correctifs (patchs), et en leur absence, directives des autorités compétentes ou des CSIRT pour atténuer les risques : Cela garantit que les utilisateurs ont accès aux étapes de résolution. Si aucun correctif n’est disponible, la base de données fournit des indications de la part d’autorités telles que les CSIRT sur la manière d’atténuer les risques jusqu’à la publication d’un correctif. Ces indications peuvent inclure des solutions temporaires, des configurations de sécurité ou des mesures de contournement.

Les sources soulignent que les entités peuvent volontairement divulguer et enregistrer des vulnérabilités publiquement connues dans la base de données des vulnérabilités de l’UE. Cette divulgation volontaire vise à promouvoir une culture de la cybersécurité et à encourager la collaboration entre les parties prenantes. Pour les organisations entrant dans le périmètre de la directive, comprendre ces obligations fait partie d’un parcours de mise en conformité NIS2 plus large, incluant la gestion des vulnérabilités, la notification des incidents et des mesures de sécurité proportionnées au risque. Vous pouvez approfondir le cadre réglementaire de référence dans l’article sur l’objectif principal de la directive NIS2.

[Callforaction-NIS2-Footer]