Pentest NIS2 : Comment Répondre aux Exigences de la Directive Européenne

Autres

Pentest NIS2 : Comment Répondre aux Exigences de la Directive Européenne

En avril 2024, une backdoor malveillante est découverte dans XZ Utils,  une bibliothèque de compression présente sur des millions de systèmes Linux. Son auteur avait infiltré le projet open-source pendant deux ans, gagnant progressivement la confiance des mainteneurs légitimes avant d’injecter son code malveillant. Résultat : une vulnérabilité critique dans les serveurs SSH de milliers d’organisations mondiales. C’est précisément ce type de risque que la directive NIS2 cible. Depuis sa transposition en droit français, des milliers d’entreprises font face à des obligations légales de cybersécurité – dont des tests de sécurité réguliers. Voici ce que NIS2 exige concrètement et comment un pentest y répond.

NIS2 en France : Secteurs obligatoires, calendrier et obligations techniques

La directive NIS2 (Network and Information Security Directive 2) étend considérablement le périmètre de NIS1. Elle concerne deux catégories d’entités :

  • Entités essentielles (EE) : énergie, transport, santé, eau, infrastructures numériques, administration publique, espace – plus de 250 salariés ou plus de 50 millions d’euros de chiffre d’affaires
  • Entités importantes (EI) : services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, fournisseurs numériques – plus de 50 salariés ou plus de 10 millions d’euros de CA

Ces informations proviennent de la définition européenne des tailles d’entreprises, mais la qualification NIS2 dépend aussi du secteur exact, du type d’activité, parfois du rôle critique et des désignations nationales. Par exemple, certaines entités sont couvertes quelle que soit leur taille (registres TLD, fournisseurs DNS, certaines administrations publiques etc.).

L’article 21 de NIS2 liste les mesures techniques obligatoires pour toutes ces entités :

  • gestion des risques SSI
  • gestion des incidents
  • continuité d’activité
  • sécurité de la chaîne d’approvisionnement
  • sécurité du développement et maintenance
  • politiques d’évaluation de l’efficacité des mesures
  • cyber-hygiène
  • cryptographie et chiffrement
  • contrôle d’accès et authentification
  • MFA et communications sécurisées

L’ANSSI met à disposition un guide complet pour déterminer si votre organisation relève de NIS2 et identifier vos obligations précises. Les sanctions en cas de non-conformité atteignent 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % pour les entités importantes. Pour les organisations concernées, la question n’est plus « faut-il faire un pentest ? » mais « quand et comment le documenter pour l’auditeur ? »

Comment un test d’intrusion couvre les exigences NIS2

Pour approfondir le déroulement complet d’un test d’intrusion : https://www.hackmosphere.fr/test-intrusion

Un pentest réalisé dans le cadre de NIS2 suit quatre phases, chacune documentée pour l’audit de conformité.

Phase 1 – Reconnaissance : cartographie de l’infrastructure exposée, des services cloud, des sous-domaines et des actifs numériques. Nmap permet la découverte réseau et l’identification des services actifs, des versions logicielles et des ports ouverts. Amass assure l’énumération avancée des sous-domaines et la cartographie complète de la surface d’attaque externe.

Phase 2 – Identification des failles : analyse des CVE actives, mauvaises configurations et failles de logique métier. OpenVas effectue un scan de vulnérabilités pour identifier les CVE critiques et les écarts de configuration. En pentest interne, BloodHound analyse les relations d’Active Directory pour cartographier les chemins d’escalade de privilèges – un point d’attention direct de NIS2 sur le contrôle d’accès.

Phase 3 – Exploitation : démonstration de l’impact réel pour prioriser les remédiations. Metasploit Framework permet l’exploitation contrôlée des vulnérabilités, avec preuves de compromission. La suite Impacket teste la résistance des protocoles Windows (SMB, NTLM, Kerberos) pour évaluer la solidité de l’infrastructure Active Directory.

Phase 4 – Rapport et retest : le rapport de pentest constitue la pièce justificative principale pour l’audit NIS2. Il documente chaque vulnérabilité avec son score CVSS 3.1, son impact métier et les recommandations de remédiation priorisées. Le retest valide les corrections avant soumission à l’autorité compétente.

XZ Utils et SolarWinds : Quand la supply-chain devient le vecteur d’attaque NIS2

L’attaque XZ Utils de 2024 illustre parfaitement pourquoi NIS2 consacre un article entier à la gestion des risques de la chaîne d’approvisionnement. Un seul contributeur malveillant, deux ans d’infiltration progressive dans un projet open-source de confiance, et une backdoor SSH sur des millions de serveurs Linux. L’attaque n’est pas venue de l’extérieur – elle est venue de l’intérieur de la supply chain logicielle.

SolarWinds, en 2020, avait suivi le même schéma à plus grande échelle. Une mise à jour corrompue d’Orion avait compromis 18 000 organisations, dont plusieurs agences gouvernementales américaines. Les attaquants avaient séjourné dans les systèmes pendant des mois sans être détectés.

La technique T1195 Supply Chain Compromise documentée par MITRE ATT&CK référence précisément ces vecteurs d’attaque. NIS2 article 21 y répond directement en imposant l’évaluation des risques fournisseurs. Un pentest orienté supply chain teste concrètement :

  • Les intégrations tierces et leurs niveaux d’accès aux systèmes internes
  • Les dépendances open-source et leurs CVE connues
  • Les APIs exposées aux partenaires et sous-traitants
  • Les flux de données entre systèmes internes et services externes

Laisser la supply chain hors du périmètre du pentest, c’est sécuriser la façade d’un immeuble tout en laissant la porte de service ouverte.

Plan de conformité NIS2 : De l’audit technique à la correction

Les étapes concrètes pour atteindre la conformité NIS2 par le test d’intrusion :

  1. Identifier le périmètre NIS2 – systèmes, réseaux, fournisseurs critiques, actifs numériques exposés
  2. Réaliser un pentest initial – état des lieux complet avec scoring CVSS 3.1
  3. Prioriser les remédiations – critique (CVSS ≥ 9) en 72 heures, haute (CVSS 7-8) sous 30 jours
  4. Documenter chaque correction – traçabilité pour l’auditeur ANSSI
  5. Retest de validation – confirmation des corrections avant soumission
Obligation NIS2 (art. 21)Apport du pentest
Évaluation des risques et politiques de sécurité des SIComplémentaire : le pentest valide concrètement les scénarios de risque identifiés dans l’analyse SSI et mesure l’exploitabilité réelle des vulnérabilités
Gestion des incidentsPartielle : permet de tester les capacités de détection, d’alerte et de réponse du SOC/CSIRT face à une attaque simulée
Continuité d’activité et gestion de criseComplémentaire : mesure l’impact métier possible d’une compromission et teste les scénarios de reprise et de résilience
Sécurité de la chaîne d’approvisionnementPartielle : identifie les faiblesses liées aux fournisseurs, APIs, accès tiers, composants open source et interconnexions
Sécurité dans l’acquisition, le développement et la maintenanceComplète : vérifie les vulnérabilités applicatives et erreurs de configuration avant mise en production
Évaluation de l’efficacité des mesures de cybersécuritéComplète : objectif central du pentest ; vérifie l’efficacité réelle des contrôles techniques et organisationnels
Hygiène cyber et formation sécuritéPartielle : les campagnes de phishing ou d’ingénierie sociale évaluent le niveau de sensibilisation des utilisateurs
Cryptographie et chiffrementPartielle : contrôle les mauvaises implémentations cryptographiques et défauts de configuration TLS/VPN
Contrôle d’accès et gestion des identités (IAM)Complète : identifie les privilèges excessifs, escalades, mouvements latéraux et défauts MFA
Authentification forte et communications sécuriséesComplète : vérifie la robustesse des mécanismes MFA, sessions, secrets et protocoles sécurisés

Conclusion

Hackmosphere accompagne les entreprises soumises à NIS2 dans la réalisation de tests d’intrusion documentés, avec des livrables adaptés aux exigences d’audit de l’ANSSI. Plus d’informations sur notre offre pentest cyber.

La mise en conformité NIS2 n’est pas une contrainte administrative : c’est l’occasion de cartographier réellement votre exposition aux risques cyber. Les organisations qui anticipent sortent renforcées. Celles qui attendent l’audit font face à des remontées critiques dans l’urgence. Un test d’intrusion bien conduit transforme une obligation réglementaire en avantage de sécurité durable.