Conformité NIS2 : Quel est le rôle du renseignement sur les menaces ?

Cet article a été mis à jour le 13 avril 2026 et a été initialement publié le 8 janvier 2024.

En juin 2025, l'Agence de l'Union européenne pour la cybersécurité (ENISA) a publié son rapport. Guide de mise en œuvre technique (« les Lignes directrices ») qui prévoient :

• Des conseils pratiques pour la mise en œuvre des exigences
• Exemples de preuves démontrant qu'une exigence est en place
• Mise en correspondance entre les exigences de sécurité, les meilleures pratiques du secteur et les autres normes et cadres nationaux ou internationaux

Un thème récurrent de ces recommandations est le rôle du renseignement sur les menaces. Plutôt que de le considérer comme une option, les recommandations le présentent comme un élément essentiel de la gestion des risques, du traitement des incidents, de la sécurité de la chaîne d'approvisionnement et de la gestion des vulnérabilités.

Cet article répertorie les sections spécifiques où les directives font référence aux renseignements sur les menaces.

Le renseignement sur les menaces comme fondement de la gestion des risques

Le cadre de gestion des risques constitue le fondement de la conformité de l'organisation aux normes NIS2 ou aux actes d'exécution spécifiques des États membres. Dans la section 2.1.2 relative à la politique de gestion des risques, le guide précise que « les entités concernées doivent établir des procédures d'identification, d'analyse, d'évaluation et de traitement des risques (processus de gestion des risques de cybersécurité) ». Dans le cadre de ce processus, le guide explique que les entités doivent notamment :

e) analyser les risques pesant sur la sécurité des réseaux et des systèmes d’information, notamment la menace, la probabilité, l’impact et le niveau de risque, en tenant compte des renseignements sur les cybermenaces et des vulnérabilités.

En intégrant le renseignement sur les menaces comme ressource principale pour comprendre les risques de cybersécurité, le guide l'intègre à divers domaines de la conformité. 

Lorsque les directives mentionnent spécifiquement le renseignement sur les menaces

Continuité des activités et gestion de crise Section 4.3.3 

Les lignes directrices précisent que les entités concernées doivent mettre en œuvre un processus de gestion et d'utilisation des informations relatives aux incidents, aux vulnérabilités, aux menaces ou aux mesures d'atténuation possibles, en tenant compte des étapes suivantes :

• S'assurer que le point de contact possède des connaissances suffisantes concernant les incidents et les renseignements sur les menaces
• Valider les informations par rapport aux journaux internes, aux flux de renseignements sur les menaces et aux politiques de sécurité existantes

En outre, à travers des exemples de preuves, les lignes directrices réaffirment l'importance pour le point de contact de posséder des connaissances suffisantes en matière de renseignements sur les menaces. 

Sécurité de la chaîne d'approvisionnement Section 5.1.7

Les lignes directrices précisent que les entités concernées doivent :

• Surveillez régulièrement les rapports d'accord de niveau de service concernant les mises en œuvre.
• Examiner les incidents liés aux produits et services de la CI provenant de fournisseurs et de prestataires de services.
• Évaluer s'ils doivent procéder à des examens inopinés et documenter les résultats 
• Analyser les risques que les modifications apportées aux produits et services TIC engendrent et les atténuer en temps opportun.

Dans la section « Conseils » de cette sous-section, le guide indique qu’en plus des autres données, les organisations pourraient prendre en compte « les informations provenant d’incidents connus ou de renseignements sur les cybermenaces ».

Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information Section 6.10.4

Les lignes directrices précisent que les entités concernées doivent examiner et mettre à jour les canaux qu'elles utilisent pour surveiller les informations relatives aux vulnérabilités. À l'aide d'exemples de preuves, elles identifient :

• Journaux répertoriant les activités de surveillance des informations sur les vulnérabilités, y compris les dates et les sources surveillées (par exemple, les avis de sécurité, les bulletins des fournisseurs, les flux de renseignements sur les menaces).

Comment la gestion de l'exposition aux menaces (TEM) peut-elle permettre aux organisations de se conformer à la norme NIS2 ?

Au-delà des utilisations spécifiées du renseignement sur les menaces, les organisations qui doivent se conformer à la loi de mise en œuvre de la norme NIS2 de leur État membre peuvent utiliser le TEM pour contribuer à atténuer divers risques et prouver que leurs contrôles de sécurité fonctionnent comme prévu.

Surveillance des accès avec gestion de l'exposition des identités

Dans la section 11.1.2, les directives indiquent que les politiques de contrôle d'accès doivent garantir que l'accès n'est accordé qu'aux utilisateurs correctement authentifiés. 

La section 11.1.3 précise que les entités concernées doivent revoir et mettre à jour leurs politiques à intervalles réguliers et en cas d'incidents importants, de changements opérationnels ou de risques. À titre d'exemple, les lignes directrices incluent :

• Rapports d'incidents antérieurs contenant des enregistrements de tous les incidents de sécurité liés au contrôle d'accès 
• Registres des examens et des mises à jour montrant que l'entité examine et met à jour régulièrement ses politiques, le cas échéant.

Aux termes de la section 11.6.1, les lignes directrices décrivent les différentes technologies d’authentification que les entités concernées peuvent utiliser pour identifier les utilisateurs, les appareils ou les systèmes, notamment :

• Authentification par mot de passe
• Clés d'accès
• Authentification à deux facteurs
• MFA
• Authentification biométrique,
• L'authentification par jeton, comme un code d'accès à usage unique (OTP)
• Carte à puce
• Clés de sécurité Fast Identity Online 2
• Authentification par certificat
• SSO
• OpenID Connect

Comment la microscopie électronique à transmission (MET) aide

Grâce à la gestion de l'exposition des identités, les entités concernées peuvent documenter leurs pratiques de gestion des risques liés au contrôle d'accès en surveillant de manière proactive :

• Les identifiants divulgués et de fichiers cleptogiciels sur le web clair, le dark web et le deep web, y compris Telegram canaux de visibilité sur les menaces actuelles et émergentes 
• Alertes quasi instantanées lors de l'apparition de nouvelles expositions potentielles sur le marché noir
• Visibilité sur les risques externes pour les utilisateurs et les vecteurs d'attaque potentiels des adversaires

Surveillance des logiciels malveillants et des virus via la surveillance des marchés du Dark Web et des canaux Telegram illicites

Ce guide aborde les stratégies d'atténuation des risques liées à la prévention et à la détection des logiciels malveillants dans les systèmes et les réseaux. 

Dans la section 6.9 Protection contre les logiciels malveillants et non autorisés, les lignes directrices reconnaissent :

«… l’utilisation de logiciels de détection et de réparation malveillants et non autorisés à elle seule n’est généralement pas suffisante ou peut ne pas être disponible ; elle doit donc être complétée par des mesures supplémentaires.»

Comment la microscopie électronique à transmission (MET) aide

La gestion des événements technologiques (TEM) offre une mesure complémentaire permettant aux entités concernées de surveiller les communications des acteurs malveillants et d'identifier les mentions du nom ou du domaine de l'entreprise. Par exemple, cette surveillance peut contribuer à identifier les appareils compromis et à atténuer les risques de manière proactive. 

Gestion des vulnérabilités par la priorisation à l'aide de discussions sur les exploits en situation réelle

Dans la section 6.10.2, les lignes directrices précisent que les entités concernées doivent :

c) remédier, sans délai indu, aux vulnérabilités identifiées par les entités concernées comme étant critiques pour leurs opérations

d) s’assurer que leur gestion des vulnérabilités est compatible avec leurs procédures de gestion des changements, de gestion des correctifs de sécurité, de gestion des risques et de gestion des incidents

De plus, dans la section 6.10.4, les Lignes directrices fournissent les exemples de preuves suivants :

• Liste des canaux de surveillance des vulnérabilités techniques, y compris les points de contact uniques des fournisseurs et prestataires de services
• Abonnements aux services de notification de vulnérabilités pertinents, aux listes de diffusion et aux systèmes d'alerte (par exemple, CERT, avis des fournisseurs et forums de sécurité)
• Journaux répertoriant les examens périodiques des canaux de surveillance afin de vérifier qu'ils sont à jour et efficaces
• Enregistrements des alertes ou notifications reçues des canaux de surveillance concernant de nouvelles vulnérabilités, y compris la manière dont ces alertes ont été traitées et les actions entreprises par la suite.

Comment la microscopie électronique à transmission (MET) aide

TEM complète les services traditionnels de surveillance des vulnérabilités pour aider les équipes de sécurité et de gestion des vulnérabilités à améliorer leur gestion des vulnérabilités et l'atténuation des risques. Par exemple, les acteurs malveillants sur des plateformes telles que… Exploitation de forum du dark web, Les organisations discutent souvent des vulnérabilités qu'elles envisagent de cibler et de leurs techniques actuelles. En intégrant ces informations à leurs stratégies d'identification des risques de vulnérabilité, elles peuvent atténuer plus rapidement les failles de sécurité susceptibles d'avoir le plus d'impact sur leurs opérations et leurs données sensibles. 

Le renseignement sur les menaces est essentiel à la conformité à la norme NIS2

Les recommandations techniques d'ENISA indiquent clairement que le renseignement sur les menaces n'est pas une option pour se conformer à la directive NIS2 ; il est intégré à ses exigences fondamentales en matière de gestion des risques, de traitement des incidents, de sécurité de la chaîne d'approvisionnement et de gestion des vulnérabilités. Les organisations qui considèrent le renseignement sur les menaces comme une simple formalité se contenteront de respecter la lettre de l'exigence. Celles qui le mettent en œuvre par une surveillance continue du web visible et du dark web, le suivi de l'exposition des identités et le renseignement sur les exploits concrets se doteront d'une conformité à la fois solide en cas d'audit et véritablement efficace pour réduire les risques.