Audit cybersécurité NIS2 pour ETI industrielle

L'ETI industrielle française que nous avons accompagnée — entre 250 et 500 salariés, deux sites de production, un savoir-faire métallurgique exporté à plus de 60% — entrait pour la première fois dans le périmètre NIS2 du fait de son rang d'opérateur essentiel. Le délai pour démontrer une posture de cybersécurité conforme était de six mois, sans quoi l'ANSSI pouvait engager une procédure de mise en demeure assortie d'amendes pouvant atteindre 2% du chiffre d'affaires mondial. La direction n'était pas hostile à l'investissement, mais elle n'avait ni RSSI ni capacité interne à conduire un programme transverse IT et OT en parallèle. Notre mandat couvrait l'audit, la priorisation, le pilotage de la remédiation et la préparation au contrôle. La phase d'audit a été conçue pour couvrir les quatre angles que les contrôleurs NIS2 vérifient. Côté externe, un OSINT systématique a cartographié l'exposition publique : sous-domaines oubliés, comptes nominatifs des dirigeants sur LinkedIn corrélés à des domaines de phishing pré-positionnés, fuites historiques d'identifiants dans HaveIBeenPwned (39% du personnel exposé sur au moins un dump). Un pentest externe a complété cette reconnaissance avec scan réseau autorisé, énumération de ports, et exploitation des CVE non patchées sur les services exposés (deux RCE potentielles sur des firmwares VPN, corrigées dans les 72 heures suivantes). Le pentest interne blanc — le plus révélateur — a mis l'attaquant dans la peau d'un collaborateur dont le poste aurait été compromis par phishing. En six jours, l'équipe a obtenu les droits Domain Admin par enchaînement classique : Kerberoasting sur un compte de service à mot de passe faible, AS-REP roasting sur un compte sans pré-authentification Kerberos, abus d'une délégation contrainte mal configurée, mouvement latéral via WinRM avec des hachés capturés. Aucune de ces techniques n'est exotique ; toutes sont documentées depuis dix ans. Leur efficacité ici traduisait moins une faiblesse technique unique qu'une absence de tiering Active Directory et de surveillance des chemins d'élévation. La revue de configuration et de documentation a couvert l'Active Directory complet, les ACL des partages métier critiques, les règles firewall (à la fois côté IT et côté firewall industriel séparant la production), la segmentation VLAN, la couverture log et la rétention. Nous avons examiné quarante documents de politique — chartes informatiques, plan de continuité, procédures de gestion des incidents, contrats fournisseurs — et conduit quatorze entretiens couvrant IT, OT, direction industrielle, RH et direction générale. Les entretiens sont indispensables pour valider que les politiques écrites correspondent aux pratiques réelles ; presque jamais elles ne le font intégralement. Les recommandations ont été regroupées en trois vagues priorisées par exposition. La vague 1 (semaines 1 à 4) a traité les six vulnérabilités critiques en moins de trois semaines : durcissement des comptes Kerberos, retrait des accès Domain Admin nominatifs aux comptes de service, patching des firmwares VPN, segmentation immédiate IT/OT avec un firewall industriel Belden Tofino et des diodes de données unidirectionnelles vers la supervision. La vague 2 (semaines 5 à 14) a déployé le tiering Active Directory complet (T0 administration domaine, T1 serveurs, T2 stations), LAPS pour les mots de passe administrateur locaux, le groupe Protected Users pour les comptes sensibles, un bastion administrateur avec MFA matériel YubiKey, et la mise en place de sauvegardes offline immuables sur cassettes LTO conservées hors site. La vague 3 (semaines 15 à 24) a posé le socle de détection et de réponse durable : SIEM Wazuh on-premise corrélé avec les sources Windows Event Log, sysmon, firewall et OT, abonnement à un SOC managé 24/7 avec engagement de prise en compte sous 15 minutes pour les alertes critiques, et rédaction d'un plan de réponse à incidents testé par deux exercices table-top supervisés par l'équipe ANSSI référente. Le plan couvre explicitement les chaînes de décision pour l'arrêt partiel de la production en cas de ransomware, la communication CNIL en moins de 72 heures conformément au RGPD, et la déclaration NIS2 à l'ANSSI sous 24 heures. La préparation au contrôle a été le dernier livrable. Nous avons compilé un dossier de preuve technique structuré exigence par exigence — capture des configurations actuelles, logs SIEM des derniers 30 jours, attestations de patching, comptes-rendus d'exercices d'incident — et coaché la direction sur le déroulement type d'un entretien ANSSI. L'autorité a accepté le dossier sans réserve, ce qui a permis à l'ETI de souscrire son assurance cyber aux conditions normales du marché — l'assureur exigeait précisément le passage NIS2 avant de proposer une prime sous le seuil de 1% de l'EBITDA. Quatorze mois après la clôture du programme, le bilan tient en quelques chiffres : 47 vulnérabilités identifiées, 47 corrigées (6 critiques en moins de trois semaines, les 41 autres en moins de six mois), maturité ISMS mesurée selon la grille ANSSI passée de 1,8 à 3,7 sur 5, zéro incident majeur déclaré et trois alertes de niveau moyen toutes maîtrisées sous 90 minutes par le SOC. La direction industrielle a depuis institutionnalisé une revue trimestrielle de sécurité présentée au comité exécutif, ce qui était l'objectif culturel implicite du programme.