Guide · 10 min de lecture
Évaluation des cyber-risques fournisseurs — ce que le monitoring NIS2 automatisé vérifie
Une description complète de toutes les catégories de contrôle, leur pertinence pour NIS2 et la manière dont les constatations se traduisent en actions.
Renseignement passif — aucun trafic vers le fournisseur
Le monitoring automatisé repose sur un renseignement passif : toutes les données sont collectées à partir de sources publiques — registres de certificats, enregistrements DNS, bases de données de ransomwares, bases de données de violations HIBP, registres de sanctions et flux OSINT ouverts. Aucun trafic n'est envoyé au réseau du fournisseur, et son consentement n'est pas requis.
La suite complète de contrôles s'exécute quotidiennement, les flux ransomware et dark web environ toutes les 6 heures. Les constatations critiques — comme une inscription sur une liste de victimes de ransomware ou une fuite active de données d'identification sur le dark web — déclenchent immédiatement une alerte par e-mail.
Surveillance des victimes de ransomware
Art. 21(2)(b)Plusieurs flux de renseignements sur les ransomwares sont vérifiés environ toutes les 6 heures. Si votre fournisseur apparaît sur une liste de victimes — signe d'une attaque de ransomware active ou récente — vous recevez une alerte le jour même. Cela peut justifier une conversation urgente avec le fournisseur pour savoir si vous ou vos données êtes en danger.
Fuites d'identifiants sur le dark web
Art. 21(2)(i)Les bases de données de malwares infostealer et les marchés du dark web sont analysés à la recherche de paires e-mail/mot de passe liées au domaine du fournisseur. Les identifiants compromis sont le vecteur d'attaque le plus courant — les identifiants de connexion volés des employés de votre fournisseur peuvent finir par cibler vos systèmes.
Sécurité des e-mails
Art. 21(2)(h)Un SPF, DKIM ou DMARC manquant ou mal configuré permet d'abuser du domaine du fournisseur pour de l'usurpation d'e-mails. Vérifie également MTA-STS (protection de la couche de transport des e-mails), l'enregistrement de rapport TLS-RPT et l'indicateur de marque BIMI. Tous sont des exigences cryptographiques au titre de l'Art. 21(2)(h) de NIS2.
Certificats TLS et DNSSEC
Art. 21(2)(h)La validité des certificats TLS est vérifiée avec des alertes 14 jours avant expiration. La validation DNSSEC vérifie si la chaîne DNS est signée et intègre — un DNSSEC manquant expose le fournisseur à l'usurpation DNS. Les enregistrements CAA indiquent si l'émission de certificats est restreinte aux AC approuvées.
Configuration de la sécurité web
Art. 21(2)(c)Les attributs de sécurité des cookies (Secure, HttpOnly, SameSite) sont vérifiés — des attributs manquants permettent le détournement de session ou des attaques XSS. Le fichier robots.txt est analysé pour détecter la divulgation de chemins sensibles. Le fichier security.txt est vérifié pour confirmer l'existence d'un canal de divulgation responsable des vulnérabilités.
Vulnérabilités et scores CVE/EPSS
Art. 21(2)(e)Les inscriptions CISA KEV (Known Exploited Vulnerabilities) liées aux CVE associés à l'infrastructure du fournisseur sont identifiées immédiatement. Les scores EPSS (Exploit Prediction Scoring System) priorisent les vulnérabilités par probabilité d'exploitabilité — pas uniquement selon la gravité CVSS.
Sanctions et vérifications des listes noires MX
Art. 21(2)(e) & Art. 21(2)(j)Les listes de sanctions de l'UE, de l'ONU et de l'OFAC sont vérifiées contre l'organisation du fournisseur. Les adresses IP des serveurs de messagerie du fournisseur (enregistrements MX) sont vérifiées contre quatre listes noires en temps réel (RBL) — une inscription indique un abus d'e-mail ou une compromission antérieure.
SAQ — questionnaire d'auto-évaluation
Art. 21(2)(a) & (b) & (d)Le monitoring technique couvre la surface d'attaque visible de l'extérieur. Les exigences au niveau des processus — gestion des risques, gestion des incidents, gouvernance de la chaîne d'approvisionnement — sont couvertes en envoyant au fournisseur un questionnaire d'auto-évaluation SAQ depuis le portail norppa.io. Les réponses sont stockées et combinées avec le profil de risque technique.
Évaluation des risques et niveaux de gravité
Chaque constatation est classée dans l'un des quatre niveaux de gravité : critique (action immédiate), élevé (correction sous 7 jours), moyen (correction sous 30 jours) et faible (informatif). Le score de risque (0–100, 100 = propre) est calculé en fonction de la gravité des constatations ouvertes.
Le score de risque est conçu comme un outil de priorisation, pas comme une vérité absolue. Un fournisseur peut obtenir un score faible en raison d'une seule vulnérabilité critique, même si sa posture de sécurité globale est solide.
Cycle de vie d'une constatation
Une constatation est créée lorsqu'un contrôle détecte une anomalie. Elle reste ouverte jusqu'à ce que le problème soit résolu — le contrôleur confirme la correction automatiquement lors de la prochaine exécution. Si une constatation représente un risque connu et accepté, elle peut être marquée comme « risque accepté » avec un commentaire. La même constatation ne déclenchera pas de nouvelles alertes sauf si la situation change.
Toutes les constatations sont automatiquement mappées au sous-alinéa correspondant de l'Art. 21(2) de NIS2 — elles apparaissent à la fois dans la vue en temps réel du portail et dans le rapport PDF mensuel.
Cartographie NIS2 et rapportage
Le rapport mensuel comprend un résumé exécutif par IA, des scores NIS2 par article, des profils de risque par fournisseur et une liste d'actions correctives priorisées. Le rapport est conçu pour une présentation au niveau de la direction — pas uniquement pour les équipes techniques.
Le rapport comprend également les constatations acceptées comme risques documentés. Cela est important à des fins d'audit : NIS2 n'exige pas zéro constatation — il exige une gestion documentée des risques.
Votre propre domaine — évaluation externe complète
Les domaines fournisseurs sont évalués par OSINT passif — données publiquement disponibles uniquement. Votre propre domaine peut en outre bénéficier d'une évaluation mensuelle de sécurité externe : ports et services exposés, risques de vulnérabilités connues et configuration SSL/TLS. Aucune intégration, aucun accès à votre réseau interne.