Retour aux actualitésTests sécurité

    Tests de sécurité NIS2 : pentest, scan de vulnérabilités et fréquence obligatoire

    10 min de lecture

    L'article 21 de NIS2 impose aux entités essentielles et importantes de mettre en place des mesures pour "évaluer l'efficacité des mesures de gestion des risques de cybersécurité". En pratique, cela se traduit par l'obligation de réaliser des tests de sécurité réguliers : pentests, scans de vulnérabilités, tests de phishing simulé. Ces tests ne sont plus optionnels — ils font partie des preuves que les autorités de contrôle peuvent exiger.

    Ce que dit NIS2 sur les tests de sécurité

    NIS2 ne fixe pas de fréquence exacte pour les tests, mais elle impose que les entités :

    • Évaluent régulièrement l'efficacité de leurs mesures de sécurité
    • Corrigent les vulnérabilités identifiées dans des délais raisonnables selon leur criticité
    • Documentent leurs tests et leurs résultats pour pouvoir les présenter aux autorités de contrôle
    • Intègrent les résultats des tests dans leur processus de gestion des risques

    Pour les entités essentielles, les autorités peuvent demander des audits de sécurité réalisés par des auditeurs qualifiés indépendants — c'est-à-dire des prestataires qualifiés PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) par l'ANSSI.

    Les trois types de tests de sécurité

    1. Test d'intrusion (pentest)

    Le pentest est la simulation d'une attaque réelle par un hacker éthique pour identifier les vulnérabilités exploitables dans votre SI. Il peut être réalisé en :

    • Boîte noire : le testeur n'a aucune information préalable, comme un attaquant externe
    • Boîte grise : le testeur dispose de quelques informations (compte utilisateur, documentation partielle)
    • Boîte blanche : le testeur a accès à tout (code source, architecture, comptes admin) pour une analyse exhaustive

    Fréquence recommandée : au minimum une fois par an pour les systèmes exposés sur Internet. Après chaque changement majeur d'infrastructure ou de périmètre (refonte d'application, migration cloud, ouverture d'un nouveau service).

    Prestataires : pour les entités essentielles soumises à NIS2, privilégier des prestataires qualifiés PASSI par l'ANSSI. La liste des prestataires qualifiés est disponible sur le site de l'ANSSI.

    2. Scan de vulnérabilités

    Le scan de vulnérabilités est une analyse automatisée de vos systèmes pour identifier les failles connues (CVE) et les mauvaises configurations. Il est complémentaire au pentest mais moins profond :

    • Scan interne : depuis l'intérieur du réseau, pour identifier toutes les vulnérabilités y compris sur les systèmes non exposés
    • Scan externe : depuis Internet, pour identifier ce qu'un attaquant peut voir et exploiter
    • Outils : Tenable Nessus, Qualys, OpenVAS (open source), Nuclei pour les applications web

    Fréquence recommandée : mensuelle pour les systèmes critiques exposés, trimestrielle pour le reste. Les scans peuvent être automatisés et schedulés.

    3. Test de phishing simulé

    Le phishing simulé teste la résistance de vos collaborateurs aux emails malveillants, qui représentent encore 80% des vecteurs d'entrée des cyberattaques :

    • Envoi de faux emails de phishing à l'ensemble des collaborateurs (ou à des échantillons)
    • Mesure du taux de clic, de saisie de credentials, et de signalement
    • Formation ciblée pour les collaborateurs ayant "mordu" à l'hameçon
    • Rapport et KPIs pour mesurer l'évolution dans le temps

    Fréquence recommandée : au moins 2 à 4 campagnes par an, avec des scénarios variés (usurpation d'identité RH, faux Urssaf, fausses factures, faux support IT).

    Fréquences recommandées selon la criticité

    La fréquence des tests doit être proportionnée à la criticité des actifs et au niveau de risque :

    • Entités essentielles, services exposés critiques : pentest semestriel + scan mensuel + phishing trimestriel
    • Entités importantes, services exposés standards : pentest annuel + scan trimestriel + phishing semestriel
    • PME hors périmètre NIS2 : pentest annuel (recommandé) + scan semestriel + phishing annuel
    • Après incident majeur : pentest systématique pour vérifier l'éradication complète de la menace

    Intégration des tests dans la PSSI

    Pour satisfaire les exigences NIS2, les tests de sécurité doivent être formalisés dans votre Politique de Sécurité des Systèmes d'Information (PSSI) :

    • Définir le périmètre des tests (systèmes inclus, exclus, méthodes autorisées)
    • Fixer le calendrier annuel des tests et les responsables
    • Définir le processus de remédiation des vulnérabilités identifiées avec des délais par criticité
    • Établir le processus de validation que les correctifs ont bien été appliqués (retest)
    • Archiver les rapports de tests pour les présenter lors des contrôles ANSSI

    Budget et ROI des tests de sécurité

    Le coût d'un pentest varie selon la taille du périmètre et la méthode :

    • Pentest web application (1-2 apps) : 5 000 à 15 000 €
    • Pentest infrastructure interne : 8 000 à 25 000 €
    • Pentest complet (interne + externe + AD) : 15 000 à 50 000 € selon la taille
    • Scan de vulnérabilités automatisé : 2 000 à 8 000 €/an en SaaS

    Ces coûts sont à mettre en regard du coût moyen d'une cyberattaque pour une PME (230 000 € selon le Cesin) et des amendes NIS2 potentielles. Le ROI des tests de sécurité est positif dès qu'une vulnérabilité critique est identifiée et corrigée avant d'être exploitée.

    Conclusion

    Les tests de sécurité réguliers sont devenus une obligation réglementaire sous NIS2 et une nécessité opérationnelle face à la multiplication des cyberattaques. CyberConform réalise des tests d'intrusion qualifiés PASSI, des scans de vulnérabilités et des campagnes de phishing simulé pour les PME et ETI. Nos rapports fournissent un plan de remédiation priorisé et des livrables directement réutilisables dans votre démarche de conformité NIS2.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit