Audit NIS2 : le pentest comme preuve d'efficacité de
vos mesures
Dans un audit NIS2, cocher les mesures de l'article 21 ne prouve rien. Où le pentest s'insère, ce qu'il prouve, et ce qu'il ne remplace pas.
own2pwn··11 min de lecture
Le classeur est prêt. Politique de sécurité signée, EDR déployé, sauvegardes chiffrées, MFA activé, procédure d'incident rédigée. Sur le tableau de suivi NIS2, chaque ligne est au vert. Puis l'auditeur pose la seule question qui compte : « Comment savez-vous que tout ça fonctionne ? » Et là, le silence. Vous avez déployé des mesures. Vous n'avez jamais vérifié qu'elles résistent à quelqu'un qui essaie vraiment de passer. C'est le point aveugle de tout audit NIS2.
C'est exactement le trou que la directive NIS2 vous demande de combler, et c'est là qu'un audit NIS2 sérieux fait appel au test d'intrusion. Le pentest prouve l'efficacité d'une partie de vos mesures, pas votre conformité entière : voilà où il s'insère, ce qu'il prouve, et ce qu'il ne remplace pas. Si vous vous demandez encore si NIS2 vous concerne, commencez plutôt par le guide sur la directive NIS2 et par notre article dédié aux PME concernées par NIS2.
« Audit NIS2 » : deux choses qu'on confond tout le temps
Quand un dirigeant tape « audit NIS2 », il mélange en réalité deux exercices très différents, et cette confusion coûte cher au moment de choisir un prestataire.
- L'audit de conformité (documentaire et organisationnel). Un consultant passe en revue votre gouvernance, vos politiques, votre analyse de risques, votre plan de continuité. Il compare l'existant aux exigences de l'article 21 et produit un écart. C'est indispensable, mais ça reste déclaratif : on vérifie que la mesure existe, pas qu'elle tient.
- Le test technique (le pentest). Un attaquant mandaté essaie réellement de compromettre vos systèmes exposés. Il ne lit pas votre politique de mot de passe : il tente de la casser. Il ne coche pas « WAF déployé » : il le contourne, ou il n'y arrive pas, et dans les deux cas vous avez une réponse factuelle.
Les deux sont complémentaires. L'audit documentaire dit où vous en êtes sur le papier ; le pentest dit ce qui se passe quand le papier rencontre un adversaire. NIS2 ne se contente pas du premier, et c'est écrit noir sur blanc.
Ce que l'article 21 exige vraiment : prouver l'efficacité
L'article 21.2 de la directive liste dix mesures minimales de gestion des risques. La plupart des guides s'arrêtent à les recopier. Le point qu'on oublie systématiquement est le (f) : des « politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité ». Traduit : la directive vous demande explicitement de tester ce que vous avez mis en place, pas seulement de le mettre en place.
Un test d'intrusion est l'instrument le plus direct pour matérialiser ce (f). Mais il éclaire aussi plusieurs autres mesures de la liste, parce qu'un attaquant se moque de vos silos organisationnels :
- (e) sécurité de l'acquisition, du développement et de la maintenance, y compris le traitement et la divulgation des vulnérabilités. Vos applications web exposées sont le terrain n°1, et traiter puis divulguer les failles est exactement ce qu'un pentest matérialise : il trouve les injections, les défauts de contrôle d'accès et les composants vulnérables, puis les documente, là où aucune revue documentaire ne les verra.
- (d) sécurité de la chaîne d'approvisionnement. Vos prestataires, vos sous-domaines oubliés, vos API tierces élargissent votre surface sans que vous le sachiez. C'est le pont naturel vers l'cartographie de la surface d'attaque externe pour NIS2.
- (g) hygiène informatique de base et formation. Un test révèle les comptes par défaut, les services d'administration exposés, les certificats expirés : l'hygiène telle qu'elle est vécue, pas telle qu'elle est décrite.
- (a) analyse des risques. Les résultats du pentest réalimentent votre analyse de risques avec des scénarios prouvés, au lieu d'hypothèses.
Le pentest n'est pas tout l'audit NIS2
Du classeur vert à la preuve : où le test s'insère
Concrètement, la valeur d'un pentest dans un audit NIS2 tient en une bascule : vous passez d'une affirmation (« nous avons un pare-feu applicatif ») à une démonstration datée et reproductible (« voici la requête qui l'a contourné le 12 mars, voici le correctif, voici le retest qui confirme la fermeture »). C'est ce dossier de preuve que l'auditeur, l' assureur cyber et, en cas d'incident, l'autorité de contrôle attendent.
Blackbox ou whitebox pour un audit NIS2 ?
Les deux approches répondent à des questions différentes, et un audit NIS2 bien mené sait laquelle il commande.
Le blackbox : la vision de l'attaquant réel
Le testeur part de zéro, comme un attaquant sur Internet : il découvre votre surface, cherche l'entrée, tente de pivoter. C'est le meilleur miroir de la menace réelle et le plus parlant pour un comité de direction. Il répond à la question : « que peut faire quelqu'un qui nous vise, sans rien savoir de nous ? » Détail dans notre guide du déroulement d'un pentest.
Le whitebox : la couverture en profondeur
Le testeur reçoit le code, les accès, l'architecture. Il ne perd pas de temps à trouver la porte : il inspecte chaque pièce. Pour la mesure (e), c'est souvent le plus rentable : on couvre l'ensemble des chemins, y compris ceux qu'un attaquant externe mettrait des mois à atteindre. Pour un actif critique au sens NIS2, la couverture prime sur le réalisme.
En pratique, pour une entité NIS2, on combine : blackbox sur le périmètre exposé pour le réalisme et le rapport de direction, whitebox sur les applications qui portent les données sensibles pour l'exhaustivité. Le budget se raisonne à la criticité, pas au forfait ; on détaille la logique dans notre article sur le prix d'un test d'intrusion.
NIS2 fait remonter la responsabilité au dirigeant
Ce qui rend NIS2 différent des textes précédents, c'est que la responsabilité remonte au sommet. Les organes de direction doivent approuver les mesures et superviser leur mise en œuvre, et leur responsabilité peut être engagée. Un dossier de preuve d'efficacité n'est donc plus un confort technique : c'est la démonstration de diligence qui protège le dirigeant le jour où une autorité demande des comptes. « Nous avions déployé les mesures » pèse peu ; « nous les avons fait tester, corrigées et retestées » pèse lourd.
Calez le périmètre avant de commander un test
À retenir
- « Audit NIS2 » recouvre deux exercices : l'audit documentaire (la mesure existe) et le test technique (la mesure tient). NIS2 exige les deux.
- L'article 21.2 (f) impose d'évaluer l'efficacité de vos mesures. Le pentest est l'instrument le plus direct pour le prouver.
- Le test éclaire aussi les mesures (e) développement, (d) chaîne d'approvisionnement et (g) hygiène, parce qu'un attaquant ignore vos silos.
- Un pentest n'est pas la conformité complète : il ne couvre ni la gouvernance, ni la notification d'incident, ni la continuité. Se le faire vendre comme conformité complète est une promesse à fuir.
- Blackbox pour le réalisme, whitebox pour la couverture : une entité NIS2 combine les deux selon la criticité de l'actif.
- Le dossier de preuve protège le dirigeant dont la responsabilité est désormais engagée.
Si votre tableau de conformité est au vert mais que vous ne pourriez pas prouver qu'une seule de ces mesures résiste à une vraie tentative, c'est le moment de combler l'écart. Un test d'intrusion web en conditions réelles transforme vos cases cochées en preuves datées, et vous rend l'audit NIS2 beaucoup plus serein. Parlons de votre périmètre : on cible d'abord ce qui est exposé, donc ce qui compte.
Articles liés
appsec
Directive NIS2 : qui est concerné, obligations, sanctions et calendrier France
Directive NIS2 : qui est concerné (entités essentielles ou importantes), les 10 mesures de l'article 21, les sanctions et la notification d'incident.
appsec
NIS2 et PME : êtes-vous concerné, et par où commencer ?
Seuils de taille, entités essentielles vs importantes, effet ruissellement via la sous-traitance, calendrier France 2026 : le guide honnête pour savoir si NIS2 concerne votre PME, et les premières étapes concrètes pour s'y mettre.
appsec
EASM et conformité NIS2 : cartographier sa surface d'attaque externe
On ne protège pas ce qu'on ne voit pas. Entre l'EASM (External Attack Surface Management) et l'article 21 NIS2, voici comment cartographier votre surface d'attaque externe, traquer le shadow IT et corréler les CVE avant l'attaquant.