NIS2 Pentest France : Obligations de sécurité pour les entités essentielles et importantes
La directive (UE) 2022/2555 relative à la sécurité des réseaux et des systèmes d'information (NIS2) a été transposée en droit français par la loi n° 2024-449 du 21 mai 2024. Cette loi élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité renforcées, en distinguant les entités essentielles (EE) et les entités importantes (EI). L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité nationale compétente pour la supervision et le contrôle. Ce guide explique quelles entités sont concernées en France, ce qu'exige concrètement l'Art. 21 de NIS2 en matière de tests de sécurité et comment structurer un test de pénétration conforme.
Pourquoi NIS2 et la loi française de 2024 imposent des tests de pénétration
NIS2 est bien plus contraignante que son prédécesseur NIS1 : elle multiplie par dix le nombre d'entités soumises à des obligations de cybersécurité en France, passant de quelques centaines d'OIV et OSE à plusieurs milliers d'entités essentielles et importantes dans 18 secteurs. L'article 21 de la directive NIS2 impose aux entités concernées d'adopter des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information ». Ces mesures incluent explicitement « l'évaluation de l'efficacité des mesures de gestion des risques en matière de cybersécurité », ce qui, selon l'ANSSI, comprend des tests de pénétration réguliers pour les systèmes critiques. La loi française n° 2024-449 précise que l'ANSSI peut diligenter des contrôles sur place et sur pièces pour vérifier la conformité. Les entités ne respectant pas leurs obligations s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel total pour les entités essentielles, et 7 millions d'euros ou 1,4 % pour les entités importantes. Les dirigeants peuvent également être tenus personnellement responsables.
- NIS2 Art. 21 §2 (g) : gestion des vulnérabilités et divulgation — audit de sécurité, analyse des risques et politiques de sécurité des systèmes d'information comme composantes obligatoires des mesures de cybersécurité.
- Loi n° 2024-449, Art. L. 711-1 : l'ANSSI dispose d'un pouvoir de contrôle élargi incluant la vérification de l'efficacité des mesures techniques — les tests de pénétration constituent une preuve tangible de cette efficacité.
- Classification OIV (Opérateurs d'Importance Vitale) : les OIV, définis par la loi de programmation militaire (LPM), sont soumis à des exigences encore plus strictes que NIS2 — les tests de pénétration sont déjà obligatoires via l'instruction interministérielle n° 6600.
- Classification OSE (Opérateurs de Services Essentiels) issu de NIS1, désormais intégré dans la catégorie « entités essentielles » NIS2 : les entités précédemment désignées OSE conservent leurs obligations NIS1 et se voient appliquer les obligations NIS2 renforcées.
- Secteurs couverts : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, services TIC, espace, administrations publiques, services postaux et d'expédition, gestion des déchets, chimie, alimentation, fabrication, services numériques, recherche.
- Signalement des incidents (NIS2 Art. 23) : les incidents significatifs doivent être notifiés à l'ANSSI dans un délai de 24 heures — un test de pénétration documenté démontre que l'entité a exercé une diligence raisonnable avant l'incident.
- Sanctions (loi n° 2024-449) : jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles ; jusqu'à 7 M€ ou 1,4 % du CA mondial pour les entités importantes ; responsabilité personnelle des dirigeants pour manquement délibéré.
Ce qu'un test de pénétration conforme NIS2 doit couvrir en France
- Systèmes d'information critiques (NIS2 Art. 21 §2) : identification et cartographie des actifs numériques critiques, évaluation des risques selon la méthodologie EBIOS Risk Manager (recommandée par l'ANSSI), test de pénétration des systèmes à fort impact.
- Contrôle d'accès et gestion des identités : authentification multi-facteur (MFA) pour les accès administrateurs, gestion des comptes privilégiés (PAM), politique de mots de passe, revue des droits d'accès.
- Sécurité des réseaux et segmentation : vérification de la segmentation réseau (zones DMZ, VLAN, micro-segmentation), test des pare-feux et proxies, détection des chemins d'attaque latéraux, CVE-2021-44228 (Log4Shell) dans les équipements réseau.
- Sécurité des applications web et API : OWASP Top 10 (2021) — injection SQL (CVE-2022-1292 impliquant OpenSSL), XSS, SSRF, désérialisation non sécurisée ; OWASP API Top 10 (2023) pour les API de services essentiels.
- Gestion des correctifs et des vulnérabilités (NIS2 Art. 21 §2 (e)) : identification des systèmes non corrigés, CVE critiques non patchés (CVSS ≥ 9.0), évaluation de l'exposition aux vulnérabilités connues (NVD/CVE).
- Sécurité de la chaîne d'approvisionnement (NIS2 Art. 21 §2 (d)) : évaluation des composants logiciels tiers, SBOM (Software Bill of Materials), risques liés aux fournisseurs cloud et SaaS, CVE dans les bibliothèques open source.
- Résilience et continuité d'activité (NIS2 Art. 21 §2 (c)) : test de la robustesse des sauvegardes contre les attaques ransomware, simulation d'exfiltration de données, vérification des procédures de reprise d'activité.
- Cryptographie et protection des données (NIS2 Art. 21 §2 (h)) : évaluation de la solidité des protocoles cryptographiques, détection des suites de chiffrement obsolètes, conformité aux recommandations cryptographiques de l'ANSSI (guide ANSSI-PG-083).
- Journalisation et détection (NIS2 Art. 21 §2 (a)) : vérification que les activités d'attaque sont enregistrées et détectées par les outils SIEM, intégrité des journaux d'audit, délai de détection des incidents.
- Infrastructure cloud et services numériques : erreurs de configuration des environnements cloud (AWS, Azure, GCP), exposition des interfaces de gestion, sécurité des conteneurs Docker/Kubernetes, CVE-2022-3786 et CVE-2022-3602 (OpenSSL 3.x).
Exemple de finding
Injection SQL sur le portail de déclaration d'incidents NIS2
Le portail interne de gestion et de déclaration d'incidents de cybersécurité (NIS2 Art. 23) présente une vulnérabilité d'injection SQL dans le paramètre de recherche de la table des incidents. En utilisant une charge utile de type UNION SELECT, un attaquant authentifié avec des droits « opérateur » peut extraire la totalité des enregistrements de la base de données, y compris les détails confidentiels des incidents passés, les coordonnées des responsables de sécurité et les clés d'API d'intégration avec l'ANSSI. L'extraction complète de la base (environ 15 000 enregistrements) a été réalisée en moins de 90 secondes. Cette vulnérabilité contredit directement les mesures de protection de l'Art. 21 NIS2 et expose l'entité à une violation de données notifiable.
Correction : Utiliser exclusivement des requêtes paramétrées (prepared statements) pour toutes les interactions avec la base de données — éliminer toute construction dynamique de requêtes SQL. Mettre en place un WAF (Web Application Firewall) configuré pour détecter les tentatives d'injection. Restreindre les permissions de la base de données au principe du moindre privilège — le compte de service ne doit avoir accès qu'aux tables nécessaires. Effectuer une revue complète du code source pour identifier d'autres occurrences de construction dynamique de requêtes. Documenter la remédiation conformément à NIS2 Art. 21 §2 et notifier l'incident potentiel à l'ANSSI si des données ont été exfiltrées.
Référence : CVE-2022-1292 (OpenSSL) · CWE-89 SQL Injection · OWASP A03:2021 Injection · NIS2 Art. 21 §2 (a) mesures de sécurité · Loi n° 2024-449 Art. L. 711-1 obligation de sécurité
Pentest NIS2 : comparaison des options
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Offres de pentest conformes NIS2
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur le test de pénétration NIS2 en France
Quelles entités françaises sont soumises à NIS2 ?
La loi n° 2024-449 transpose NIS2 en France en distinguant les entités essentielles (grandes entreprises dans des secteurs critiques comme l'énergie, les transports, la banque, la santé, l'infrastructure numérique) et les entités importantes (moyennes entreprises dans les mêmes secteurs). Les OIV existants sont intégrés dans la catégorie des entités essentielles. L'ANSSI publie et maintient la liste des entités désignées. Les micro-entreprises (< 10 salariés, < 2 M€ de CA) sont généralement exemptées sauf dans certains secteurs critiques.
NIS2 impose-t-elle explicitement des tests de pénétration ?
NIS2 Art. 21 §2 impose des « mesures appropriées » incluant la gestion des vulnérabilités, les audits de sécurité et l'évaluation de l'efficacité des mesures. L'ANSSI interprète ces exigences comme incluant des tests de pénétration réguliers pour les systèmes critiques. Un test de pénétration constitue la preuve la plus tangible de l'évaluation pratique de l'efficacité des mesures de sécurité, ce qui en fait un élément central de toute stratégie de conformité NIS2.
À quelle fréquence faut-il réaliser un test de pénétration pour respecter NIS2 ?
NIS2 ne fixe pas de fréquence minimale, mais les lignes directrices de l'ENISA et l'ANSSI recommandent des tests au moins annuels pour les systèmes critiques, et des tests après chaque modification substantielle de l'infrastructure. Pour les entités essentielles dans les secteurs les plus exposés (infrastructure numérique, santé, énergie), une fréquence semestrielle est recommandée, complétée par un scanning de vulnérabilités continu.
Comment l'ANSSI contrôle-t-elle le respect de NIS2 ?
L'ANSSI dispose, en vertu de la loi n° 2024-449, de pouvoirs de contrôle sur place et sur pièces. Elle peut demander la communication de tout document relatif aux mesures de cybersécurité, y compris les rapports de tests de pénétration. En cas de contrôle, l'absence de rapport de pentest récent (moins de 12 mois) est susceptible d'être qualifiée de manquement aux obligations de l'Art. 21 NIS2. L'ANSSI peut également diligenter des audits de cybersécurité auprès des entités désignées.
Quelle est la différence entre NIS2 et les obligations OIV en France ?
Les OIV (Opérateurs d'Importance Vitale) sont définis par la loi de programmation militaire française et soumis à des obligations encore plus strictes que NIS2, notamment l'instruction interministérielle n° 6600 qui impose des tests de pénétration réguliers avec notification à l'ANSSI. NIS2 élargit le périmètre au-delà des OIV pour inclure un plus grand nombre d'entités dans des secteurs moins stratégiques. En pratique, les OIV doivent satisfaire à la fois aux obligations OIV et à celles de NIS2 (en tant qu'entités essentielles).
Quelles sont les sanctions en cas de non-conformité NIS2 en France ?
La loi n° 2024-449 prévoit : pour les entités essentielles, des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel total (le montant le plus élevé étant retenu) ; pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4 % du CA mondial. Les dirigeants peuvent être tenus personnellement responsables pour manquement délibéré. L'ANSSI peut également publier les manquements constatés, avec un impact significatif sur la réputation de l'entité.
Comment DORA et NIS2 s'articulent-ils pour les entités financières françaises ?
En vertu du principe de lex specialis, DORA prévaut sur NIS2 pour les entités financières dans le périmètre de DORA (établissements de crédit, entreprises d'assurance, etc.). Ces entités n'ont à se conformer qu'à DORA pour ce qui concerne les tests de pénétration — la conformité DORA est réputée couvrir les obligations NIS2 équivalentes. Les entités opérant à la fois dans le secteur financier (DORA) et dans un autre secteur NIS2 doivent appliquer DORA pour les activités financières et NIS2 pour les autres activités.
Qu'est-ce que l'ANSSI attend d'un rapport de test de pénétration conforme NIS2 ?
Selon les guides de l'ANSSI (notamment le guide des recommandations relatives à l'audit des systèmes d'information), un rapport de pentest conforme doit inclure : le périmètre des systèmes testés et la méthodologie utilisée (PTES, OWASP, ou EBIOS RM), la liste des vulnérabilités identifiées avec score CVSS, les preuves d'exploitation pour les constats critiques, les recommandations de remédiation priorisées, la qualification du prestataire (PASSI — Prestataire d'Audit de la Sécurité des Systèmes d'Information), le statut de remédiation. Matproof Sentinel génère un rapport structuré correspondant à ces attentes.
Approfondir — articles de blog associés
Démarrez votre pentest conforme NIS2 en France
Répondez aux exigences de la loi n° 2024-449 et de l'Art. 21 NIS2 avec un rapport de test de pénétration audit-ready, généré en quelques heures. Mapping explicite sur les obligations NIS2 et les recommandations ANSSI inclus dans chaque rapport.
Démarrer le pentest NIS2