Contrôles ANSSI · fin 2026 · entités essentielles et importantes

Pentest de conformité NIS2 : rapport mappé article 21, prêt pour les contrôles ANSSI

Votre entité doit démontrer des mesures de sécurité appropriées et proportionnées au sens de l'article 21 NIS2 : pas seulement déclarer les avoir mises en place. Le pentest de conformité NIS2 produit la preuve technique : vulnérabilités identifiées, exploitées, corrigées, et un rapport structuré pour l'ANSSI.

Article 21 NIS2 Référentiel ReCyF Rapport ANSSI-ready Retest inclus
Demander mon diagnostic flash

10+ ans d'expérience · 100+ missions · réponse 24-48 h · intervenant unique certifié Qualiopi

Échéances à retenir

  • Été 2026 : Loi de résilience NIS2 promulguée en France
  • Fin 2026 : Premiers contrôles ANSSI sur les entités essentielles
  • Maintenant : Lancer le pentest, remédier, constituer le dossier

Délai réaliste pentest → retest → dossier : 2 à 4 mois selon périmètre. Ne pas attendre octobre 2026.

Pourquoi un pentest dédié à la conformité NIS2

Un pentest standard identifie des vulnérabilités. Un pentest de conformité NIS2 répond à une question différente : quelles mesures de l'article 21 sont techniquement insuffisantes, et comment le prouver ?

Rapport opposable

La matrice de couverture article 21 et le mapping ReCyF constituent un document structuré, produit par un tiers indépendant, présentable lors d'un contrôle ANSSI ou à votre COMEX.

Périmètre aligné NIS2

Le périmètre de test est défini à partir de vos "services essentiels" au sens NIS2, pas uniquement des actifs techniques. Les interfaces prestataires et la chaîne d'approvisionnement numérique sont incluses.

Responsabilité des dirigeants

NIS2 engage personnellement les dirigeants des entités essentielles. Le rapport de pentest est une preuve tangible de la prise en charge effective des risques, documentable avant tout incident.

Périmètre testé

Chaque vecteur est relié aux mesures de l'article 21 NIS2 auxquelles il répond. Le périmètre exact est cadré avec vous selon la taille et le secteur de votre entité.

Surface externe et applicative

  • Applications web et API exposées (art. 21.2.e, 21.2.f)
  • Authentification et contrôle des accès : MFA, SSO, comptes à privilèges (art. 21.2.j)
  • Chiffrement des données en transit et au repos (art. 21.2.h)
  • Exposition de services et ports réseaux (art. 21.2.e)
  • Sous-domaines et actifs oubliés (art. 21.2.g)

Chaîne d'approvisionnement et tiers

  • Accès prestataires et sous-traitants (art. 21.2.d)
  • Intégrations tierces et API partenaires (art. 21.2.d)
  • Gestion des vulnérabilités logicielles : dépendances, composants (art. 21.2.f)
  • Simulation de phishing ciblé, optionnel (art. 21.2.i)
  • Vérification des procédures de journalisation et d'alerte (art. 21.2.b)

Livrables

Rapport technique

Chaque vulnérabilité avec score CVSS, preuve d'exploitation, impact mesuré et plan de remédiation priorisé.

Matrice article 21 NIS2

Pour chacune des 10 mesures : couverture testée, résultat (conforme / partiel / insuffisant), recommandation associée.

Mapping ReCyF

Correspondance entre les vulnérabilités identifiées et les catégories du référentiel de cybersécurité ANSSI (ReCyF).

Synthèse exécutive

Niveau de conformité global, risques prioritaires, recommandations. Format présentable à votre COMEX, votre assureur ou l'ANSSI.

Plan de remédiation

Actions correctives par finding, effort estimé, ordre de priorité. Format exploitable directement par vos équipes techniques.

Retest inclus

Vérification que les vulnérabilités critiques sont corrigées. Le retest complète le dossier de preuve technique pour l'ANSSI.

Tarif

À partir de 4 500 EUR HT

Périmètre externe focalisé (5 jours). Engagement complet avec tests internes et chaîne d'approvisionnement : sur devis.

  • TJM 900 à 1 400 EUR HT selon complexité
  • Rapport + matrice art. 21 + mapping ReCyF inclus
  • Retest et synthèse exécutive inclus
  • NDA signable avant échange de périmètre
Demander mon diagnostic flash

ou réserver un appel découverte

Les 10 mesures de l'article 21 NIS2

Le pentest de conformité NIS2 teste et documente votre niveau sur chacune de ces mesures. Les cases marquées ✓ sont directement couvertes par le périmètre standard ; les autres font l'objet d'une recommandation documentaire.

§ Mesure article 21.2 Couvert par le pentest
a Politiques d'analyse des risques et de sécurité des SI Partiel
b Gestion des incidents ✓ Journalisation, alertes
c Continuité des activités et gestion des crises Partiel
d Sécurité de la chaîne d'approvisionnement ✓ Accès tiers, intégrations
e Sécurité de l'acquisition, du développement et de la maintenance des réseaux et SI ✓ Applications, infrastructure
f Politiques et procédures pour évaluer l'efficacité des mesures Le pentest lui-même
g Pratiques de base de cyberhygiène et formation ✓ Exposition actifs, config
h Politiques et procédures relatives à la cryptographie ✓ TLS, chiffrement données
i Sécurité des ressources humaines, politiques de contrôle d'accès ✓ opt. Phishing ciblé
j Authentification à plusieurs facteurs (MFA) ou solutions d'authentification continue ✓ IAM, accès à privilèges

La couverture exacte dépend du périmètre cadré avec vous. Voir aussi notre article sur pentest et conformité NIS2 pour le contexte réglementaire détaillé.

Questions fréquentes

NIS2 s'applique aux entités essentielles (EE) et aux entités importantes (EI) dans les secteurs critiques : énergie, transports, santé, eau, infrastructures numériques, administration, banque, marchés financiers, espace (EE) ; et fournisseurs numériques, services postaux, déchets, fabrication, chimie, alimentation, recherche (EI). Seuils indicatifs : plus de 50 salariés ou plus de 10 M EUR de CA pour les EI. Vérifiez votre situation via le simulateur Mon Espace NIS2 de l'ANSSI.

Non. La conformité NIS2 est une démarche globale : gouvernance, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement. Le pentest répond aux mesures 21.2.e (sécurité des réseaux et SI), 21.2.f (évaluation des mesures) et 21.2.d (chaîne d'approvisionnement). Il constitue une preuve technique essentielle et opposable, mais ne remplace pas un SMSI ni un plan de réponse aux incidents. C'est une pièce clé du dossier, pas le dossier entier.

Un pentest classique livre un rapport de vulnérabilités classées par CVSS. Le pentest de conformité NIS2 y ajoute : la matrice de couverture des 10 mesures de l'article 21, le mapping avec le référentiel ReCyF de l'ANSSI, et une synthèse exécutive structurée pour un contrôle ANSSI ou une présentation COMEX. Le périmètre est également défini à partir de vos "services essentiels" au sens NIS2, pas uniquement des actifs techniques.

Dès maintenant. Les contrôles ANSSI démarrent fin 2026. Un pentest suivi de remédiation, d'un retest et de la constitution du dossier documentaire prend 2 à 4 mois selon le périmètre et la capacité de correction de vos équipes. Attendre le second semestre 2026 expose à un dossier incomplet lors d'un contrôle. La première étape est un diagnostic flash pour évaluer l'exposition externe actuelle en 48 h.

Pour les entités essentielles : jusqu'à 10 M EUR ou 2 % du CA mondial annuel. Pour les entités importantes : jusqu'à 7 M EUR ou 1,4 % du CA mondial. Les dirigeants des entités essentielles peuvent être tenus personnellement responsables en cas de manquement grave aux obligations de supervision. Vérifiez les modalités exactes dans la loi de transposition française avant publication de tout document.

Ressource gratuite

La checklist NIS2 CodiTrust liste 40 points de contrôle couvrant les 10 mesures de l'article 21, traduits en actions concrètes, avec grille d'auto-évaluation.

Télécharger la checklist NIS2

Aller plus loin

Notre article de fond explique le lien entre pentest et conformité NIS2 : mesures couvertes, planning, documentation pour l'ANSSI.

Lire l'article NIS2

Contrôles ANSSI fin 2026 : combien de temps vous reste-t-il ?

Commencez par un diagnostic flash : exposition externe évaluée sous 48 h, à partir de 1 200 EUR HT.

Demander mon diagnostic flash