Skip to content
Conformité

NIS2 et gestion de la surface d'attaque : ce que les DSI doivent savoir

La directive NIS2 impose de nouvelles obligations en matière de gestion des risques cyber, incluant la surveillance de la surface d'attaque externe. Ce que les DSI doivent mettre en place dès 2025.

Karim Benali
30 septembre 20248 min
NIS2 et gestion de la surface d'attaque : ce que les DSI doivent savoir

NIS2 et gestion de la surface d'attaque : ce que les DSI doivent savoir

La directive NIS2 (Network and Information Security 2) est entrée en application en France en 2024. Elle étend considérablement le périmètre des organisations concernées et durcit les exigences de sécurité. L'un des aspects les moins bien compris de NIS2 concerne la gestion de la surface d'attaque externe — un domaine dans lequel de nombreuses organisations accumulent encore des lacunes critiques.

NIS2 en bref : qui est concerné ?

NIS2 s'applique à deux catégories d'entités :

CatégorieSeuilsSecteurs
Entités Essentielles+250 employés ou +50M€ CAÉnergie, Transport, Santé, Finance, Eau, Digital, Espace
Entités Importantes50-250 employés ou 10-50M€ CAServices postaux, Gestion des déchets, Chimie, Alimentation, Industrie, Services numériques

Estimation : environ 15 000 à 20 000 entités en France sont soumises à NIS2.

Les 4 exigences NIS2 qui impliquent directement la surface d'attaque

Article 21.2.a — Politiques d'analyse des risques

NIS2 exige une évaluation régulière des risques cyber, incluant l'identification des actifs critiques et de leurs exposition. Vous ne pouvez pas évaluer ce que vous ne connaissez pas : la découverte de la surface d'attaque est une condition préalable à cette analyse.

Article 21.2.b — Gestion des incidents

NIS2 exige la détection et notification rapide des incidents (24h pour notification initiale, 72h pour rapport détaillé). Une exposition non détectée est une vulnérabilité qui peut rester sans réponse pendant des semaines. L'EASM permet de détecter les nouvelles expositions en temps réel.

Article 21.2.h — Sécurité de la chaîne d'approvisionnement

NIS2 impose d'évaluer la sécurité de vos fournisseurs et partenaires. L'EASM permet de scanner la surface d'attaque de vos tiers critiques et de détecter leurs expositions avant qu'elles ne vous impactent.

Article 21.2.e — Sécurité des réseaux

NIS2 exige la surveillance des réseaux et des systèmes d'information, incluant les interfaces exposées sur Internet. L'EASM complète votre SIEM en couvrant les actifs exposés dont vous ignoriez l'existence.

Ce que NIS2 exige concrètement

1. Inventaire des actifs critiques

NIS2 n'impose pas explicitement un outil EASM, mais elle exige un inventaire de vos actifs et une évaluation de leur exposition. Impossible à faire manuellement pour une organisation de taille significative.

Exigence pratique : Maintenir un inventaire à jour de tous les actifs exposés sur Internet, avec leur niveau de vulnérabilité.

2. Détection des vulnérabilités

NIS2 exige la mise en place de procédures d'identification et de traitement des vulnérabilités. L'EASM fournit une liste priorisée des vulnérabilités exposées publiquement.

3. Surveillance continue

Les obligations de NIS2 ne peuvent pas être satisfaites avec des audits ponctuels annuels. La directive exige une approche de surveillance continue.

4. Documentation et reporting

En cas de contrôle ou d'incident, vous devez pouvoir prouver vos mesures de sécurité. L'EASM fournit des rapports détaillés sur l'état de votre surface d'attaque.

Sanctions NIS2 : ce que vous risquez

Type d'entitéAmende maximale
Entité Essentielle10 millions € ou 2% du CA mondial
Entité Importante7 millions € ou 1,4% du CA mondial

En plus des amendes, NIS2 prévoit des sanctions administratives pouvant aller jusqu'à la suspension temporaire d'activité pour les entités essentielles.

Plan d'action NIS2 pour les DSI

Étape 1 — Déterminer si vous êtes concerné (1 semaine) Vérifiez vos effectifs, votre CA et votre secteur d'activité au regard des seuils NIS2.

Étape 2 — Cartographier votre surface d'attaque (2-4 semaines) Déployez un outil EASM pour découvrir l'ensemble de vos actifs exposés et établir un inventaire initial.

Étape 3 — Évaluer les écarts (2 semaines) Identifiez les vulnérabilités critiques et les configurations à risque. Priorisez selon la criticité et l'exposition.

Étape 4 — Mettre en place la surveillance continue (ongoing) Définissez un programme de scans récurrents et des procédures d'alerte et de remédiation.

Étape 5 — Documenter pour le régulateur Conservez les rapports de votre EASM comme preuve de votre dispositif de surveillance.

Breach Atlas et la conformité NIS2

Brech Atlas a été conçu pour répondre aux exigences réglementaires des organisations concernées par NIS2, DORA et ISO 27001. La plateforme fournit :

  • Rapport de conformité NIS2 : cartographie des actifs, niveaux d'exposition, historique des corrections
  • Alertes temps réel : notification immédiate de toute nouvelle exposition critique
  • Audit trail : historique complet des découvertes et remédiations pour les contrôleurs
  • Scan fournisseurs : évaluation de la surface d'attaque de votre chaîne d'approvisionnement
← Retour au blog