Conformité

Conformité NIS2 et PAM : ce que vérifient vraiment les auditeurs

23 mars 2026 · 11 min de lecture

Votre organisation est soumise à NIS2, et un audit approche. Avoir "un bastion" n'est pas suffisant : les auditeurs vont demander des preuves précises. Voici ce qu'ils cherchent sur les accès privilégiés, les pièges à éviter, et comment préparer votre dossier de conformité.

Ce que NIS2 exige sur les accès privilégiés

La directive NIS2, transposée en droit français, impose aux entités essentielles et importantes des mesures de sécurité proportionnées aux risques. Sur le volet accès privilégiés, les exigences sont réparties dans plusieurs articles :

Art. 21.2.i Authentification multifacteur

NIS2 impose explicitement "des politiques et des procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement", ainsi que "l'utilisation d'une authentification à plusieurs facteurs ou d'une authentification continue". Pour les accès distants aux systèmes critiques, le MFA est obligatoire — et les auditeurs le vérifient avec des démonstrations en direct.

Art. 21.2.e Sécurité de la chaîne d'approvisionnement

Vos prestataires, sous-traitants et fournisseurs IT qui accèdent à votre SI sont dans le périmètre NIS2. L'article exige que vous maîtrisiez et traciez leurs accès. Un compte prestataire sans expiration, sans MFA, et dont les connexions ne sont pas enregistrées constitue un écart majeur.

Art. 21.2.d Contrôle d'accès et gestion des identités

Politiques de moindre privilège, révision périodique des droits, désactivation des comptes inactifs : l'auditeur va demander vos procédures écrites ET les preuves que vous les appliquez réellement.

Art. 23 Notification d'incident sous 72 heures

Pour notifier correctement un incident, vous devez être capable de reconstituer ce qui s'est passé. Sans audit trail exploitable, cette notification est impossible à produire dans les délais. L'absence de logs de sessions privilégiées constitue un défaut de préparation à la notification.

Ce que les auditeurs demandent concrètement

Voici les preuves documentaires et techniques que les auditeurs PAM réclament lors d'un contrôle NIS2 :

1. Cartographie des comptes privilégiés

Liste exhaustive de tous les comptes avec droits administrateurs : locaux, domaine, applicatifs, de service. L'auditeur vérifie que vous savez exactement qui a des droits élevés et sur quels systèmes. Un tableur Excel mal maintenu ne suffit pas.

2. Preuve d'activation du MFA

Capture d'écran ou démonstration en direct : chaque connexion à un système critique impose bien un second facteur. Attention : "le MFA est disponible mais optionnel" ne répond pas à l'exigence. Il doit être obligatoire sur les accès privilégiés.

3. Logs de connexion horodatés et immuables

L'auditeur demande des extraits de logs pour une période donnée. Ces logs doivent mentionner l'identifiant de l'utilisateur, l'IP source, le système accédé, l'heure de début et de fin de session. Les logs stockés dans des fichiers texte modifiables ne satisfont pas l'exigence d'immuabilité.

4. Enregistrement des sessions (recommandé, parfois exigé)

Pour les secteurs OIV/OSE et les accès aux systèmes les plus critiques, l'enregistrement vidéo des sessions est souvent requis. L'auditeur peut demander à rejouer une session pour vérifier que l'outil fonctionne réellement.

5. Procédure de révocation des accès

Démonstration que vous pouvez désactiver un accès en temps réel. Si l'auditeur vous demande de révoquer l'accès du "prestataire test" pendant l'audit et que cela prend 3 jours, c'est un écart documenté.

6. Politique de gestion des accès tiers

Document décrivant comment vous accordez, encadrez et révoquez les accès prestataires. NIS2 exige une approche formalisée — pas seulement une pratique informelle.

Erreur fréquente : Présenter des outils sans preuves d'utilisation. "Nous avons un bastion" sans logs, sans liste de sessions enregistrées, sans procédure écrite ne convainc pas un auditeur. La conformité se prouve avec des évidences, pas avec des intentions.

Checklist de préparation à l'audit PAM NIS2

Inventaire à jour de tous les comptes privilégiés (humains et techniques)
MFA activé et obligatoire sur toutes les connexions distantes aux systèmes critiques
Logs de connexion centralisés, horodatés, conservés au moins 12 mois
Sessions RDP/SSH des administrateurs et prestataires enregistrées et rejouables
Procédure formalisée de création et révocation des accès prestataires
Accès prestataires avec expiration automatique (JIT access ou date de fin)
Revue trimestrielle des comptes actifs avec droits élevés
Rapports de conformité exportables au format NIS2 / ISO 27001
Capacité à produire un rapport d'incident complet en moins de 72 heures
Formation documentée des équipes aux procédures d'accès privilégiés

Les pièges qui coûtent cher lors d'un audit

Piège 1 : confondre disponibilité et obligation

MFA disponible mais non appliqué, enregistrement de sessions activable mais désactivé, politique de moindre privilège rédigée mais non respectée : les auditeurs vérifient l'effectivité des contrôles, pas leur existence théorique.

Piège 2 : des logs incomplets ou illisibles

Des logs syslog bruts sans contexte (sans nom d'utilisateur, sans IP source, sans durée de session) ne suffisent pas. NIS2 exige une traçabilité exploitable — c'est-à-dire des logs que vous pouvez analyser et présenter à un tiers en cas d'incident.

Piège 3 : ignorer les accès tiers

Les prestataires qui accèdent à votre SI via leur propre VPN, avec leurs propres outils, en dehors de votre bastion : ces accès échappent à votre audit trail. L'auditeur NIS2 considère que vous en êtes responsable — même si c'est techniquement votre prestataire qui gère.

Piège 4 : absence de procédure de réponse à incident

NIS2 ne demande pas seulement de prévenir les incidents — il demande de les gérer et les notifier. Sans audit trail exploitable ni procédure documentée, vous ne pouvez pas démontrer votre capacité à répondre dans les 72 heures réglementaires.

Comment Remsek couvre les exigences NIS2

Remsek génère nativement les évidences attendues par les auditeurs NIS2 :

MFA obligatoire — TOTP intégré, SSO OIDC/SAML, impossible de se connecter sans second facteur
Audit trail complet — chaque connexion horodatée, IP source, durée, utilisateur, système accédé
Enregistrement des sessions — vidéo rejouable de chaque session RDP/SSH/VNC
JIT Access — accès prestataires avec expiration automatique configurable
Rapports de conformité — export PDF/CSV au format NIS2, ISO 27001, SOC 2
Révocation en temps réel — désactivation d'un accès en un clic, avec effet immédiat

Avant l'audit : Exportez un rapport de conformité depuis Remsek et parcourez-le avec votre RSSI. Ce document liste les connexions, les sessions enregistrées et les comptes actifs — c'est le point de départ de votre dossier de preuves pour l'auditeur.

Conclusion

La conformité NIS2 sur les accès privilégiés n'est pas une question de cases à cocher. C'est la capacité à démontrer, preuves à l'appui, que vous maîtrisez qui accède à quoi, depuis où et que vous pouvez reconstituer tout incident en moins de 72 heures.

Un bastion PAM correctement déployé et configuré produit naturellement ces évidences. La préparation à l'audit devient alors un exercice de collecte et de présentation — pas une course contre la montre pour combler des lacunes.

Prêt pour votre prochain audit NIS2 ?

Remsek génère les preuves de conformité NIS2 automatiquement. Déployez en moins d'une heure.

Demander une démo