Conformité NIS2 — Mise en Conformité avec la Directive Cybersécurité Européenne

La directive NIS2 (UE 2022/2555) étend massivement le périmètre de son prédécesseur NIS1. Là où NIS1 concernait quelques centaines d'opérateurs de services essentiels en France, NIS2 impacte potentiellement plusieurs milliers d'organisations françaises.

Les secteurs hautement critiques (Annexe I) sont : l'énergie (électricité, district heating and cooling, pétrole, gaz, hydrogène), les transports (aérien, ferroviaire, fluvial, routier), le secteur bancaire, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques (points d'échange Internet, fournisseurs DNS, registres de noms de domaine TLD, fournisseurs de services cloud, datacenters, réseaux de diffusion de contenu, prestataires de services de confiance, fournisseurs de réseaux et services de communications électroniques publics), la gestion des services ICT (B2B), l'espace, et les administrations publiques.

Les secteurs critiques (Annexe II) couvrent : les services postaux et de messagerie, la gestion des déchets, la fabrication de produits chimiques, la fabrication de denrées alimentaires, la fabrication (dispositifs médicaux, ordinateurs, électronique, optique, équipements électriques, machines, véhicules, autres transports), les fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), et la recherche.

Un critère de taille s'applique généralement : sont concernées les moyennes entreprises (50 salariés ou plus, 10M€ de CA ou bilan) et grandes entreprises. Toutefois, certaines entités sont soumises indépendamment de leur taille : les fournisseurs de réseaux publics de communications électroniques, les prestataires de services de confiance qualifiés, les registres de noms de domaine TLD, et les administrations publiques. Les PME opérant dans les infrastructures numériques critiques peuvent également être incluses.

L'article 21 de NIS2 établit la liste des mesures de sécurité minimales que les entités concernées doivent mettre en œuvre. Ces mesures sont formulées de manière à être proportionnées au risque et à la taille de l'organisation, mais elles sont contraignantes et doivent être documentées.

Sur le plan technique, NIS2 exige notamment : la mise en place de politiques de sécurité des systèmes d'information formalisées et approuvées par la direction, une gestion des accès rigoureuse incluant l'authentification multifacteur (MFA) ou l'authentification continue basée sur le risque, la sécurisation des communications (chiffrement en transit et au repos pour les données sensibles), une politique de mise à jour et de gestion des vulnérabilités, et des procédures de sauvegarde et de continuité d'activité testées régulièrement.

La sécurité de la chaîne d'approvisionnement fait l'objet d'une attention particulière dans NIS2 : les entités doivent évaluer et gérer les risques de sécurité liés à leurs fournisseurs et prestataires de services. Cela implique des clauses contractuelles de sécurité, des évaluations de la maturité sécurité des fournisseurs critiques, et des tests d'intrusion couvrant les interfaces avec les tiers.

La détection des incidents est également au cœur des exigences : les organisations doivent disposer de capacités de surveillance, de détection et de réponse aux incidents adaptées à leur profil de risque. Un SOC interne ou externalisé, des outils SIEM correctement configurés, et des procédures de réponse aux incidents documentées et testées sont les composantes clés de cette exigence.

La directive NIS2 devait être transposée par les États membres de l'Union européenne avant le 17 octobre 2024. En France, le processus de transposition est conduit par l'ANSSI qui publie régulièrement des guides et recommandations pour accompagner les organisations.

L'ANSSI recommande fortement de ne pas attendre la publication des textes de transposition définitifs pour démarrer la démarche de conformité. Les exigences fondamentales de NIS2 sont claires et les organisations qui s'y préparent dès maintenant prennent une avance décisive. À l'inverse, celles qui attendent risquent de se retrouver dans l'urgence avec des ressources sécurité disponibles limitées sur le marché.

Pour une organisation qui démarre sa démarche NIS2 de zéro, un calendrier réaliste comprend : 1 à 2 mois pour l'analyse de risque et le bilan de conformité initial, 3 à 6 mois pour la mise en place des mesures techniques prioritaires, 2 à 3 mois pour les tests de sécurité (incluant pentest et audit), et une démarche continue de suivi et d'amélioration. Au total, un programme de mise en conformité NIS2 solide s'étend sur 6 à 12 mois selon la maturité de départ.

Les tests d'intrusion s'inscrivent directement dans les exigences NIS2, notamment à travers l'obligation d'évaluer l'efficacité des mesures de gestion des risques. Un test d'intrusion est le moyen le plus concret et le plus probant de démontrer que les mesures de sécurité déployées résistent effectivement aux tentatives d'attaque.

Dans le cadre NIS2, le pentest doit couvrir les systèmes d'information contribuant aux services essentiels ou importants de l'organisation. Le périmètre typique inclut les applications web et API (portails clients, interfaces de gestion, applications métier critiques), l'infrastructure réseau et les accès distants, les environnements cloud, et les systèmes d'authentification centralisés.

Au-delà du pentest technique, NIS2 valorise les exercices de simulation d'incident qui testent la capacité de l'organisation à détecter, contenir et notifier une attaque dans les délais imposés (24h pour l'alerte précoce, 72h pour la notification initiale). Ces exercices de type Purple Team ou simulation de crise complètent le pentest en évaluant les dimensions organisationnelles et humaines de la résilience.

Atlas RedConsult produit des rapports spécifiquement formatés pour le contexte NIS2 : cartographie des vulnérabilités avec scoring de risque CVSS, mapping avec les mesures de l'article 21, plan de remédiation priorisé, et attestation de réalisation utilisable pour votre dossier de conformité.

Notre accompagnement NIS2 est conçu pour vous apporter à la fois la conformité réglementaire et une amélioration tangible de votre niveau de sécurité. Nous n'aimons pas les audits de conformité qui produisent d'épais rapports sans valeur opérationnelle.

Notre première intervention est un diagnostic NIS2 de 2 jours : évaluation de votre périmètre, identification des gaps prioritaires, et production d'une feuille de route de mise en conformité. Ce diagnostic vous donne une vision claire de votre situation et des efforts à engager avant même de démarrer des travaux.

Sur la base de ce diagnostic, nous proposons un programme de tests adapté : pentest des systèmes critiques, revue de configuration des environnements cloud, test des mécanismes d'authentification, et exercice de simulation d'incident. Chaque test est planifié en coordination avec vos équipes pour minimiser l'impact opérationnel.

Nous vous accompagnons également dans la mise en place des mesures de remédiation suite aux tests, et nous proposons un suivi trimestriel pour vérifier l'avancement du plan d'action. Cet accompagnement continu est particulièrement apprécié par les organisations qui n'ont pas d'équipe sécurité interne dimensionnée pour gérer seules leur conformité NIS2.