Tests de sécurité NIS2 : pentest, scan de vulnérabilités et fréquence obligatoire
L'article 21 de NIS2 impose aux entités essentielles et importantes de mettre en place des mesures pour "évaluer l'efficacité des mesures de gestion des risques de cybersécurité". En pratique, cela se traduit par l'obligation de réaliser des tests de sécurité réguliers : pentests, scans de vulnérabilités, tests de phishing simulé. Ces tests ne sont plus optionnels — ils font partie des preuves que les autorités de contrôle peuvent exiger.
Ce que dit NIS2 sur les tests de sécurité
NIS2 ne fixe pas de fréquence exacte pour les tests, mais elle impose que les entités :
- Évaluent régulièrement l'efficacité de leurs mesures de sécurité
- Corrigent les vulnérabilités identifiées dans des délais raisonnables selon leur criticité
- Documentent leurs tests et leurs résultats pour pouvoir les présenter aux autorités de contrôle
- Intègrent les résultats des tests dans leur processus de gestion des risques
Pour les entités essentielles, les autorités peuvent demander des audits de sécurité réalisés par des auditeurs qualifiés indépendants — c'est-à-dire des prestataires qualifiés PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) par l'ANSSI.
Les trois types de tests de sécurité
1. Test d'intrusion (pentest)
Le pentest est la simulation d'une attaque réelle par un hacker éthique pour identifier les vulnérabilités exploitables dans votre SI. Il peut être réalisé en :
- Boîte noire : le testeur n'a aucune information préalable, comme un attaquant externe
- Boîte grise : le testeur dispose de quelques informations (compte utilisateur, documentation partielle)
- Boîte blanche : le testeur a accès à tout (code source, architecture, comptes admin) pour une analyse exhaustive
Fréquence recommandée : au minimum une fois par an pour les systèmes exposés sur Internet. Après chaque changement majeur d'infrastructure ou de périmètre (refonte d'application, migration cloud, ouverture d'un nouveau service).
Prestataires : pour les entités essentielles soumises à NIS2, privilégier des prestataires qualifiés PASSI par l'ANSSI. La liste des prestataires qualifiés est disponible sur le site de l'ANSSI.
2. Scan de vulnérabilités
Le scan de vulnérabilités est une analyse automatisée de vos systèmes pour identifier les failles connues (CVE) et les mauvaises configurations. Il est complémentaire au pentest mais moins profond :
- Scan interne : depuis l'intérieur du réseau, pour identifier toutes les vulnérabilités y compris sur les systèmes non exposés
- Scan externe : depuis Internet, pour identifier ce qu'un attaquant peut voir et exploiter
- Outils : Tenable Nessus, Qualys, OpenVAS (open source), Nuclei pour les applications web
Fréquence recommandée : mensuelle pour les systèmes critiques exposés, trimestrielle pour le reste. Les scans peuvent être automatisés et schedulés.
3. Test de phishing simulé
Le phishing simulé teste la résistance de vos collaborateurs aux emails malveillants, qui représentent encore 80% des vecteurs d'entrée des cyberattaques :
- Envoi de faux emails de phishing à l'ensemble des collaborateurs (ou à des échantillons)
- Mesure du taux de clic, de saisie de credentials, et de signalement
- Formation ciblée pour les collaborateurs ayant "mordu" à l'hameçon
- Rapport et KPIs pour mesurer l'évolution dans le temps
Fréquence recommandée : au moins 2 à 4 campagnes par an, avec des scénarios variés (usurpation d'identité RH, faux Urssaf, fausses factures, faux support IT).
Fréquences recommandées selon la criticité
La fréquence des tests doit être proportionnée à la criticité des actifs et au niveau de risque :
- Entités essentielles, services exposés critiques : pentest semestriel + scan mensuel + phishing trimestriel
- Entités importantes, services exposés standards : pentest annuel + scan trimestriel + phishing semestriel
- PME hors périmètre NIS2 : pentest annuel (recommandé) + scan semestriel + phishing annuel
- Après incident majeur : pentest systématique pour vérifier l'éradication complète de la menace
Intégration des tests dans la PSSI
Pour satisfaire les exigences NIS2, les tests de sécurité doivent être formalisés dans votre Politique de Sécurité des Systèmes d'Information (PSSI) :
- Définir le périmètre des tests (systèmes inclus, exclus, méthodes autorisées)
- Fixer le calendrier annuel des tests et les responsables
- Définir le processus de remédiation des vulnérabilités identifiées avec des délais par criticité
- Établir le processus de validation que les correctifs ont bien été appliqués (retest)
- Archiver les rapports de tests pour les présenter lors des contrôles ANSSI
Budget et ROI des tests de sécurité
Le coût d'un pentest varie selon la taille du périmètre et la méthode :
- Pentest web application (1-2 apps) : 5 000 à 15 000 €
- Pentest infrastructure interne : 8 000 à 25 000 €
- Pentest complet (interne + externe + AD) : 15 000 à 50 000 € selon la taille
- Scan de vulnérabilités automatisé : 2 000 à 8 000 €/an en SaaS
Ces coûts sont à mettre en regard du coût moyen d'une cyberattaque pour une PME (230 000 € selon le Cesin) et des amendes NIS2 potentielles. Le ROI des tests de sécurité est positif dès qu'une vulnérabilité critique est identifiée et corrigée avant d'être exploitée.
Conclusion
Les tests de sécurité réguliers sont devenus une obligation réglementaire sous NIS2 et une nécessité opérationnelle face à la multiplication des cyberattaques. CyberConform réalise des tests d'intrusion qualifiés PASSI, des scans de vulnérabilités et des campagnes de phishing simulé pour les PME et ETI. Nos rapports fournissent un plan de remédiation priorisé et des livrables directement réutilisables dans votre démarche de conformité NIS2.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit