NIS2

Comprendre NIS2 dans la livraison logicielle moderne

La directive NIS2 renforce les exigences en matière de cybersécurité et de résilience dans l’ensemble de l’Union européenne.

Elle s’applique aux :

  • Opérateurs d’infrastructures critiques
  • Fournisseurs d’énergie
  • Organisations de transport
  • Établissements de santé
  • Fournisseurs de services numériques
  • Organismes d’administration publique
  • Grandes et moyennes entreprises dans les secteurs essentiels

Contrairement aux normes volontaires, NIS2 est une directive réglementaire.
Les États membres doivent la transposer en droit national.

Pour les organisations qui développent et déploient des logiciels, NIS2 a un impact direct sur :

  • La sécurité de la chaîne d’approvisionnement
  • La gestion des risques tiers
  • Le signalement des incidents
  • La responsabilité de gouvernance
  • La résilience opérationnelle

Les pipelines CI/CD ne sont plus des outils internes — ils font partie de la chaîne d’approvisionnement numérique réglementée.

Pourquoi NIS2 est important pour les pipelines CI/CD

La livraison logicielle moderne repose sur :

  • Les plateformes d’hébergement Git
  • Les services SaaS de CI/CD
  • Les dépôts d’artefacts
  • Les dépendances open source
  • Les registres de conteneurs
  • Les fournisseurs cloud
  • Les plugins de marketplace

Chacun de ces éléments introduit une exposition au risque de la chaîne d’approvisionnement.

NIS2 exige explicitement des organisations qu’elles gèrent les risques de cybersécurité provenant de :

  • Fournisseurs directs
  • Prestataires de services
  • Dépendances de la chaîne d’approvisionnement numérique

Si votre pipeline CI/CD dépend d’une infrastructure externe ou de composants open source, NIS2 s’applique.

Exigences clés de NIS2 pertinentes pour le CI/CD

L’article 21 de NIS2 définit les mesures de gestion des risques de cybersécurité.

Pour le CI/CD et la livraison logicielle, cela se traduit en cinq domaines clés.

1. Gestion des risques et gouvernance

Les organisations doivent mettre en œuvre :

  • Des processus documentés de gestion des risques
  • Une responsabilité claire au niveau de la direction
  • Des politiques de développement sécurisé
  • Une gestion contrôlée des changements

Pour le CI/CD, cela signifie :

  • Des workflows d’approbation formels
  • La séparation des responsabilités
  • La gestion des exceptions basée sur le risque
  • Des déploiements en production contrôlés

La gouvernance doit être démontrable — pas informelle.

2. Sécurité de la chaîne d’approvisionnement

NIS2 exige explicitement l’évaluation de :

  • La posture de sécurité des fournisseurs
  • Les risques liés aux dépendances
  • Les fournisseurs de services cloud
  • L’intégrité de la chaîne d’approvisionnement logicielle

Cela affecte :

  • Les fournisseurs SaaS de CI/CD
  • Les plateformes Git
  • Les registres d’artefacts
  • Les plugins de marketplace
  • Les miroirs de dépendances

Les organisations doivent :

  • Classifier les fournisseurs par niveau de risque
  • Définir des exigences contractuelles de sécurité
  • Conserver des droits d’audit
  • Planifier des stratégies de sortie
  • Surveiller les incidents fournisseurs

Le risque lié à la chaîne d’approvisionnement est une préoccupation réglementaire de premier plan sous NIS2.

3. Développement sécurisé et gestion des vulnérabilités

NIS2 attend :

  • Des processus de cycle de développement sécurisé
  • Une remédiation rapide des vulnérabilités
  • Une divulgation coordonnée des vulnérabilités
  • Une gestion sécurisée des configurations

Pour le CI/CD, cela inclut :

  • L’intégration SAST
  • L’analyse des dépendances (SCA)
  • La génération de SBOM
  • Les artefacts signés
  • Les portes de politique automatisées

Les contrôles de sécurité doivent être intégrés au processus de livraison.

4. Détection et signalement des incidents

NIS2 introduit des délais stricts de signalement des incidents :

  • Alerte précoce dans les 24 heures
  • Notification d’incident dans les 72 heures
  • Rapport final dans un délai d’un mois

Cela nécessite :

  • Une surveillance fiable
  • Une journalisation centralisée
  • La traçabilité des déploiements
  • Une capacité d’investigation rapide

Les logs CI/CD et la provenance des artefacts sont essentiels lors d’une investigation d’incident.

5. Continuité d’activité et résilience

Les organisations doivent assurer :

  • Des procédures de sauvegarde
  • Des capacités de reprise après sinistre
  • Des plans de gestion de crise
  • Des tests de résilience opérationnelle

Pour le CI/CD, cela inclut :

  • La sauvegarde des configurations de pipeline
  • Des environnements d’exécution alternatifs
  • La redondance des fournisseurs cloud
  • La capacité de sortie des fournisseurs SaaS

La résilience n’est pas optionnelle.

NIS2 vs DORA — Différences clés

Bien que les deux traitent de la résilience et du risque lié à la chaîne d’approvisionnement, leur périmètre diffère.

NIS2DORA
S’applique aux entités essentielles et importantesS’applique aux entités financières
Directive de cybersécurité largeRéglementation sectorielle
Fort accent sur la chaîne d’approvisionnementForte gouvernance des tiers ICT
Accent sur le signalement des incidentsCadre de gestion du risque ICT

Les organisations du secteur financier peuvent être soumises aux deux.

Implications architecturales pour le CI/CD

Une architecture CI/CD alignée sur NIS2 devrait :

  • Imposer des workflows d’approbation
  • Bloquer les builds à haut risque
  • Générer automatiquement des SBOM
  • Signer les artefacts
  • Conserver des logs inviolables
  • Restreindre les accès privilégiés
  • Surveiller les anomalies en production
  • Documenter les dépendances tierces

L’architecture doit réduire le risque systémique de la chaîne d’approvisionnement.

Faiblesses courantes de la chaîne d’approvisionnement NIS2

Les problèmes fréquents incluent :

  • Des GitHub Actions tierces non surveillées
  • Des runners CI partagés entre les environnements
  • Aucun inventaire des outils SaaS
  • Aucune génération de SBOM
  • Aucune clause d’audit contractuelle
  • Aucune stratégie de sortie documentée

Ces faiblesses deviennent une exposition réglementaire sous NIS2.

Modèle de maturité NIS2 pour la livraison logicielle

Niveau 1 — Contrôles de sécurité basiques

Gestion des risques ad hoc, journalisation limitée.

Niveau 2 — Sécurité basée sur les outils

Outils de sécurité intégrés mais pas pleinement appliqués.

Niveau 3 — Contrôles CI/CD appliqués

Portes de politique bloquantes, approbations structurées.

Niveau 4 — Gouvernance réglementée de la chaîne d’approvisionnement

Inventaire complet des fournisseurs, surveillance, planification de sortie, conservation des preuves.

Les opérateurs d’infrastructures critiques devraient opérer au niveau 3 ou supérieur.

Guides pratiques NIS2

Principe final

NIS2 ne réglemente pas les outils.
Il réglemente le risque.

Si votre architecture CI/CD applique les contrôles de la chaîne d’approvisionnement et génère des preuves dès la conception, la conformité NIS2 devient structurelle.
Si le risque fournisseur est informel ou non documenté, NIS2 devient un passif opérationnel.

La livraison sécurisée est désormais une exigence réglementaire.