Audit NIS2 — Tests de Sécurité pour la Conformité à la Directive NIS2

La directive NIS2 (Network and Information Security 2), adoptée par l'Union européenne en décembre 2022, remplace et étend considérablement le champ d'application de la directive NIS1. En France, sa transposition a été initiée par l'ANSSI et concerne un nombre bien plus important d'organisations que son prédécesseur.

NIS2 distingue deux catégories d'entités. Les entités essentielles regroupent les organisations opérant dans les secteurs les plus critiques : énergie (électricité, pétrole, gaz, hydrogène), transports (aérien, ferroviaire, fluvial, routier), secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (IXP, DNS, TLD, datacenters, cloud, réseaux de communications électroniques), gestion des services ICT, espace, et administrations publiques. Ces entités sont soumises aux obligations les plus strictes.

Les entités importantes couvrent un spectre plus large : services postaux et messagerie, gestion des déchets, fabrication (dispositifs médicaux, informatique, électronique, véhicules), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), et recherche. Leurs obligations, bien que légèrement allégées, restent substantielles et assorties de sanctions significatives.

Les seuils de taille jouent également un rôle : sont en principe concernées les entreprises de taille moyenne (50 salariés et plus, 10M€ de CA ou total de bilan), voire plus petites pour certaines entités critiques quelle que soit leur taille. L'ANSSI dispose d'un outil d'autoévaluation permettant aux organisations de déterminer leur statut, mais une analyse juridique approfondie reste recommandée compte tenu des enjeux de qualification.

L'article 21 de la directive NIS2 impose aux entités concernées l'adoption de mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information utilisés pour leurs activités.

Ces mesures obligatoires couvrent : les politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information, la gestion des incidents, la continuité des activités et la gestion des crises, la sécurité de la chaîne d'approvisionnement, la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes, les politiques et procédures relatives à l'évaluation de l'efficacité des mesures de gestion des risques (c'est ici que les tests d'intrusion s'inscrivent directement), les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité, les politiques et procédures relatives à l'utilisation de la cryptographie, la sécurité des ressources humaines, et l'utilisation de l'authentification multifacteur.

NIS2 introduit également une obligation de notification des incidents significatifs sous 24 heures pour une alerte précoce, 72 heures pour une notification initiale, et un mois pour un rapport final. Ces délais contraignants exigent une capacité de détection et de réponse aux incidents mature, que seule une évaluation rigoureuse — dont les tests d'intrusion — permet de valider.

Une nouveauté majeure de NIS2 : la responsabilité personnelle des dirigeants. Les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre, et peuvent être tenus responsables en cas de violation des obligations. Cette disposition place la cybersécurité au niveau du conseil d'administration.

Un audit NIS2 complet doit couvrir l'ensemble des systèmes d'information critiques contribuant aux services essentiels ou importants de l'organisation. Le périmètre est déterminé par une analyse de risque préalable qui identifie les actifs les plus critiques et les scénarios d'attaque les plus pertinents.

Les tests portent généralement sur : les applications web et API exposées sur Internet (portails clients, interfaces B2B, applications métier), l'infrastructure réseau (segmentation, pare-feu, VPN, accès distants), les systèmes d'authentification et d'annuaire (Active Directory, IAM), les postes de travail et terminaux mobiles via des tests de phishing et d'ingénierie sociale, les environnements cloud (AWS, Azure, GCP) et les configurations de sécurité associées, et la chaîne d'approvisionnement logicielle.

Un aspect souvent sous-estimé : les tests de la capacité de détection et de réponse. NIS2 impose des délais de notification très courts. Il est donc indispensable de vérifier que les équipes SOC détectent effectivement les attaques simulées dans les délais permettant de respecter les obligations de notification. Ces exercices Purple Team combinant attaque et défense sont particulièrement adaptés au contexte NIS2.

Atlas RedConsult a développé une méthodologie d'audit NIS2 spécifiquement adaptée aux exigences de la directive et aux attendus de l'ANSSI. Notre approche combine les standards internationaux (PTES, OWASP, NIST) avec les recommandations françaises et européennes pour produire des rapports directement exploitables dans le cadre de votre démarche de conformité NIS2.

Nous débutons par un atelier de cadrage avec vos équipes sécurité et vos responsables métier pour définir le périmètre, les règles d'engagement et les objectifs de l'audit. Cette phase est essentielle pour garantir que les tests couvrent bien les fonctions critiques identifiées dans votre analyse de risque NIS2.

L'exécution des tests suit une progression structurée : reconnaissance passive (OSINT), reconnaissance active (scanning), identification des vulnérabilités, exploitation contrôlée, escalade de privilèges, et mouvements latéraux. Chaque vulnérabilité exploitée est documentée avec son impact potentiel en termes de disponibilité, intégrité et confidentialité des données et services.

Notre rapport final comporte une section spécifique sur la conformité NIS2 : pour chaque mesure de l'article 21, nous indiquons si les tests révèlent des lacunes, et nous proposons des recommandations de remédiation priorisées. Ce format facilite le reporting vers votre direction générale et, le cas échéant, vers l'ANSSI.

NIS2 introduit un régime de sanctions nettement plus sévère que NIS1. Pour les entités essentielles, les amendes administratives peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial.

Ces sanctions peuvent s'appliquer pour tout manquement aux obligations de l'article 21 (mesures de gestion des risques), de l'article 23 (notification des incidents) ou des obligations d'enregistrement. L'autorité compétente — l'ANSSI pour la France — dispose également de pouvoirs d'injonction, de mise en demeure, et peut ordonner la suspension temporaire de certaines activités dans les cas les plus graves.

La nouveauté la plus impactante pour les dirigeants : NIS2 permet aux États membres de prévoir la responsabilité personnelle des personnes physiques exerçant des fonctions de direction au sein d'une entité essentielle ou importante. En cas de violation grave et répétée des obligations, les dirigeants peuvent être tenus personnellement responsables et interdits temporairement d'exercer des fonctions de direction dans le secteur.

Face à ces risques, investir dans un audit NIS2 préventif est bien plus rentable que de subir une procédure de mise en demeure ou une sanction. Les organisations proactives qui démontrent une démarche de conformité sérieuse bénéficient également d'un traitement plus favorable de la part des autorités compétentes en cas d'incident.