Skip to content
Conformité

NIS2 et gestion de la surface d’attaque : ce que les DSI doivent savoir

La directive NIS2 est entrée en vigueur en octobre 2024. Elle impose aux DSI de maîtriser leur surface d'attaque externe. Voici ce que la directive exige concrètement et comment l'EASM vous aide à y répondre.

Thomas Leroy
Thomas Leroy
5 février 20257 min
NIS2 et gestion de la surface d’attaque : ce que les DSI doivent savoir

NIS2 et gestion de la surface d'attaque : le guide complet pour les DSI

La directive NIS2 (Network and Information Security 2) est entrée en application dans les États membres de l'UE depuis octobre 2024. Elle étend considérablement le périmètre de la directive NIS originale et impose de nouvelles obligations aux DSI. Parmi elles : la maîtrise de la surface d'attaque externe.

Qui est concerné par NIS2 ?

NIS2 élargit significativement le périmètre de NIS1. Sont concernées :

Entités essentielles (EE) :

  • Énergie, transport, santé, eau, infrastructure numérique
  • Services bancaires et infrastructures des marchés financiers
  • Administrations publiques de niveau central
  • Entreprises > 250 employés ou CA > 50M€ dans ces secteurs

Entités importantes (EI) :

  • Services postaux, gestion des déchets, produits chimiques
  • Industrie manufacturière critique, fournisseurs numériques
  • Entreprises entre 50 et 250 employés dans ces secteurs

Ce que NIS2 impose concrètement

Article 21 : Mesures de gestion des risques

NIS2 impose aux organisations concernées de mettre en œuvre des mesures techniques et organisationnelles incluant :

  1. Politiques d'analyse des risques et de sécurité des SI
  2. Gestion des incidents : détection, réponse, notification
  3. Continuité d'activité et gestion de crise
  4. Sécurité de la chaîne d'approvisionnement
  5. Gestion des vulnérabilités et tests de sécurité
  6. Pratiques d'hygiène cyber de base

Ce que cela signifie pour votre surface d'attaque

L'article 21 exige implicitement :

  • Un inventaire des actifs exposés sur Internet
  • Une surveillance continue des vulnérabilités
  • Des processus de patch management documentés
  • La gestion des risques tiers (fournisseurs, sous-traitants)

NIS2 et EASM : la correspondance

Exigence NIS2Capacité EASM
Inventaire des actifsDécouverte automatique continue
Évaluation des risquesScan de vulnérabilités priorisé
Détection des incidentsAlertes temps réel
Sécurité chaîne d'approSurveillance actifs tiers
Reporting régulateursRapports de conformité exportés
Tests de sécuritéScans récurrents planifiés

Les sanctions NIS2 à connaître

CatégorieAmende maximale
Entités essentielles10M€ ou 2% du CA mondial
Entités importantes7M€ ou 1,4% du CA mondial
Responsabilité dirigeantsSanction personnelle possible

Plan d'action NIS2 pour les DSI

Immédiat (0-30 jours) :

  1. Valider si votre organisation est EE ou EI
  2. Désigner un RSSI ou responsable NIS2
  3. Lancer un audit de surface d'attaque externe

Court terme (30-90 jours) : 4. Déployer une solution EASM 5. Documenter vos processus de gestion des vulnérabilités 6. Évaluer la sécurité de vos principaux fournisseurs

Moyen terme (90-180 jours) : 7. Mettre en place le reporting de conformité 8. Tester vos procédures de gestion d'incidents 9. Former les dirigeants à leurs nouvelles responsabilités

Conclusion

NIS2 n'est pas qu'une contrainte réglementaire — c'est une opportunité de structurer votre programme de cybersécurité. L'EASM est l'outil qui vous permet de répondre aux exigences NIS2 tout en améliorant concrètement votre posture de sécurité.

Mots-clés : NIS2 DSI obligations, directive NIS2 conformité, NIS2 gestion surface attaque, NIS2 EASM, sanctions NIS2 entreprise, NIS2 entités essentielles importantes

← Retour au blog