NIS2 : les 10 actifs externes que vous devez surveiller dès maintenant
Dans le cadre de NIS2, la surveillance de la surface d'attaque n'est pas une option. Mais face à une infrastructure souvent étendue, par où commencer ? Voici les 10 catégories d'actifs que tout programme NIS2-conforme doit couvrir en priorité.
1. Les portails d'accès distants
Pourquoi c'est critique : VPN, RDP, Citrix, Pulse Secure — ces points d'entrée sont les cibles favorites des ransomwares. En 2024, 71 % des intrusions ont débuté par un accès distant compromis.
Ce qu'il faut surveiller : Versions logicielles, CVE applicables, MFA activé, certificats valides.
2. Les serveurs mail exposés
Pourquoi c'est critique : Exchange, Postfix, Zimbra exposés sur Internet sont des cibles récurrentes (ProxyLogon, ProxyShell, CVE-2024-21410).
Ce qu'il faut surveiller : Version du serveur mail, configuration DMARC/DKIM/SPF, ports IMAP/SMTP ouverts.
3. Les certificats SSL/TLS
Pourquoi c'est critique : Un certificat expiré interrompt les services. Un certificat émis sur un sous-domaine inconnu peut indiquer un takeover.
Ce qu'il faut surveiller : Date d'expiration (alerte 30j avant), autorité émettrice, cohérence avec l'inventaire.
4. Les applications web et APIs publiques
Pourquoi c'est critique : OWASP Top 10, injections SQL, auth bypass — les applications web sont la catégorie la plus exploitée.
Ce qu'il faut surveiller : Technologies utilisées, version des CMS et frameworks, headers sécurité (CSP, HSTS).
5. Les sous-domaines et enregistrements DNS
Pourquoi c'est critique : Subdomain takeover, DNS hijacking, phishing via typosquatting.
Ce qu'il faut surveiller : Nouveaux sous-domaines, CNAME pointant vers des services libérés, enregistrements SPF.
6. Les services cloud exposés
Pourquoi c'est critique : Buckets S3 publics, bases de données MongoDB ouvertes, Elasticsearch sans auth.
Ce qu'il faut surveiller : Permissions d'accès, authentification requise, chiffrement activé.
7. Les ports et services réseau non standard
Pourquoi c'est critique : Des services administratifs (SSH, RDP, Telnet, SMB) exposés sont exploités en quelques heures.
Ce qu'il faut surveiller : Nouveaux ports ouverts, services sur ports non standard, changements de configuration.
8. Les actifs des filiales et sociétés acquises
Pourquoi c'est critique : Une filiale moins mature en sécurité peut être le vecteur d'entrée vers le groupe.
Ce qu'il faut surveiller : Périmètre de chaque filiale, écart de maturité sécurité, accès inter-sociétés.
9. Les fournisseurs critiques avec accès à votre SI
Pourquoi c'est critique : Un prestataire compromis peut être un pivot vers votre infrastructure (supply chain attack).
Ce qu'il faut surveiller : Surface d'attaque des fournisseurs IT critiques, vulntérabilités de leurs systèmes exposés.
10. Les credentials exposés et fuites de données
Pourquoi c'est critique : Des comptes compromis dans des breaches permettent des attaques par credential stuffing.
Ce qu'il faut surveiller : Adresses email professionnelles dans des bases de données de fuites, dark web monitoring.
Tableau de priorisation NIS2
| Actif | Criticité NIS2 | Délai surveillance cible |
|---|---|---|
| Portails accès distants | 🔴 Critique | Temps réel |
| Serveurs mail | 🔴 Critique | Quotidien |
| Certificats SSL | 🟡 Élevé | Hebdomadaire |
| Applications web | 🔴 Critique | Quotidien |
| DNS/sous-domaines | 🟡 Élevé | Quotidien |
| Cloud exposé | 🔴 Critique | Temps réel |
| Ports/services | 🟡 Élevé | Quotidien |
| Filiales | 🟡 Élevé | Hebdomadaire |
| Fournisseurs | 🟡 Élevé | Hebdomadaire |
| Credentials | 🔴 Critique | Temps réel |
Mots-clés : NIS2 actifs surveiller, surveillance surface attaque NIS2, actifs externes prioritaires, EASM NIS2 programme, inventaire actifs NIS2