ConformScan
Démarrer gratuitement →
NIS2AWSComplianceChecklist

Checklist NIS2 pour AWS : Le guide complet 2025

Tout ce que les entreprises hébergées sur AWS doivent savoir sur NIS2 : qui est concerné, quoi vérifier et comment automatiser la conformité avant votre auditeur.

10 mars 2025·8 min de lecture·
ConformScan

La directive européenne NIS2 est applicable depuis le 17 octobre 2024. Si votre entreprise fonctionne sur AWS et entre dans son champ d'application, vous avez besoin d'une checklist claire de ce qu'il faut corriger — et d'un moyen de le vérifier automatiquement. Ce guide couvre les deux.

Qui est concerné par NIS2 ?

NIS2 s'applique à toute entreprise opérant dans l'UE avec soit :

  • 50+ salariés ou €10 M+ de chiffre d'affaires annuel, ET
  • des activités dans un secteur couvert : énergie, transport, santé, eau, infrastructure numérique, services TIC, banque, infrastructure des marchés financiers ou fabrication de produits critiques.

Contrairement à NIS1, NIS2 couvre également les entités importantes (entreprises de taille moyenne) — pas uniquement les opérateurs de services essentiels. Cela signifie que des dizaines de milliers d'entreprises européennes entrent désormais dans le champ d'application.

Ce que NIS2 exige (Article 21)

L'article 21 impose une approche de la sécurité basée sur les risques. Pour l'infrastructure cloud, cela se traduit en 8 catégories concrètes :

1. IAM & Contrôle d'accès

  • MFA imposé sur tous les utilisateurs IAM (notamment root)
  • Pas d'utilisation du compte root pour les opérations quotidiennes
  • Politiques IAM au moindre privilège — pas de permissions wildcard *
  • Clés d'accès renouvelées dans les 90 jours
  • Pas d'identifiants codés en dur dans Lambda ou les données utilisateur EC2

2. Chiffrement au repos

  • Buckets S3 : chiffrement côté serveur activé (SSE-S3 ou SSE-KMS)
  • Instances RDS : chiffrement du stockage activé
  • Volumes EBS : chiffrés à la création
  • DynamoDB : chiffrement au repos activé
  • Secrets stockés dans AWS Secrets Manager ou SSM Parameter Store (pas dans les variables d'environnement)

3. Chiffrement en transit

  • Les politiques des buckets S3 imposent HTTPS uniquement (refus du HTTP)
  • RDS : paramètre rds.force_ssl activé
  • Les load balancers utilisent uniquement des listeners TLS 1.2+
  • Les distributions CloudFront imposent la redirection HTTPS

4. Sécurité réseau

  • Pas de groupes de sécurité ouverts sur 0.0.0.0/0 sur le port 22 (SSH) ou 3389 (RDP)
  • VPC Flow Logs activés dans toutes les régions
  • Sous-réseaux publics uniquement pour les ressources qui nécessitent explicitement un accès internet
  • RDS non accessible publiquement

5. Journalisation & Surveillance

  • CloudTrail activé dans toutes les régions, validation des fichiers journaux activée
  • Journaux CloudTrail chiffrés avec KMS
  • GuardDuty activé
  • Règles Config activées pour la surveillance continue de la conformité
  • Rétention des journaux ≥ 12 mois (recommandation NIS2)

6. Réponse aux incidents (Article 23)

NIS2 exige la notification d'incidents significatifs aux autorités nationales dans les 24 heures (alerte initiale) et 72 heures (notification complète). Du côté infrastructure, cela signifie :

  • Alarmes CloudWatch pour les événements critiques (connexion root, modifications de politique, authentification échouée)
  • Notifications SNS configurées pour les findings GuardDuty
  • Règles de remédiation automatisées où possible (Config + SSM)

7. Sécurité de la chaîne d'approvisionnement

  • Rôles inter-comptes examinés et restreints
  • Accès tiers audité via IAM Access Analyzer
  • Images ECR analysées pour les vulnérabilités
  • Layers Lambda et dépendances uniquement depuis des sources de confiance

8. Continuité d'activité

  • Sauvegardes automatiques RDS activées avec ≥7 jours de rétention
  • Déploiements Multi-AZ pour les bases de données de production
  • Versioning S3 activé sur les buckets critiques
  • Procédures de reprise après sinistre documentées et testées

Pénalités NIS2 pour non-conformité

En vertu de l'article 34, NIS2 impose des amendes maximales de :

  • Entités essentielles : jusqu'à €10 millions ou 2 % du chiffre d'affaires annuel mondial
  • Entités importantes : jusqu'à €7 millions ou 1,4 % du chiffre d'affaires annuel mondial

Les conseils d'administration peuvent également être tenus personnellement responsables, et des interdictions temporaires de fonctions de gestion sont possibles en cas de violations répétées.

Comment automatiser les vérifications de conformité NIS2

Les audits manuels sur cette checklist prennent des semaines — et deviennent obsolètes dès qu'une nouvelle ressource est créée. Le scanning automatisé résout les deux problèmes.

ConformScan exécute tous les 193+ contrôles mappés NIS2 sur votre infrastructure AWS live en moins de 2 minutes. Vous obtenez :

  • Une liste priorisée de findings avec des comptes à rebours SLA (3 → 14 → 30 jours)
  • Du code de remédiation Terraform et CLI pour chaque finding
  • Un rapport PDF prêt pour votre auditeur ou DPO
  • Des scans quotidiens planifiés pour être informé immédiatement en cas de dérive

Résumé

La conformité NIS2 sur AWS n'est pas un projet ponctuel — c'est un processus continu. Les 8 catégories ci-dessus couvrent les exigences techniques essentielles. Automatisez la vérification, corrigez les lacunes et conservez les preuves pour votre auditeur. Le coût d'un scan est bien inférieur au coût d'une amende.

Prêt à analyser votre infrastructure ?

1 scan gratuit/mois · Sans carte bancaire · Résultats en moins de 2 minutes · Hébergé en Allemagne

Démarrer gratuitement →

Autres guides conformité

GDPRDSGVO

Sécurité cloud RGPD/DSGVO : Ce que les utilisateurs AWS & Azure doivent corriger en 2025

7 min de lecture

BSI C5Audit

Préparation à l'audit BSI C5 : Guide étape par étape pour les équipes cloud

9 min de lecture

Checklist NIS2 pour AWS : Le guide complet 2025 | ConformScan Blog