Conformité NIS2 avec des logiciels libres. Sans licence

/dans /par
NIS2 · Cybersécurité · Logiciels libres

Conformité NIS2 avec des logiciels libres.
Sans licence, sans verrouillage.

La directive NIS2 (UE 2022/2555) impose des exigences strictes en matière de cybersécurité aux entités essentielles et importantes. Des outils comme Wazuh, Ansible et OpenVAS couvrent la majorité des mesures techniques de l'article 21 — gratuitement. Ce guide explique ce qu'ils couvrent, ce qu'ils ne couvrent pas et où se situe le vrai risque organisationnel.

13 min de lectureNIS2 · Sécurité · Open source · mis à jour

En Belgique, la loi du 26 avril 2024 transpose NIS2 en droit national. Si votre organisation opère dans un secteur essentiel ou important — ou si vous fournissez des services technologiques à une entité qui le fait — vous êtes concerné. Les amendes atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Et pourtant, de nombreuses organisations paient des licences à six chiffres pour des outils que des alternatives open source reproduisent sans frais.

Chez SIXE, nous déployons Wazuh, Ansible, OpenVAS et Keycloak en environnements de production pour des clients opérant dans des secteurs réglementés NIS2. Ce guide distille ce que nous avons appris : quels contrôles les outils libres couvrent réellement, lesquels ils ne couvrent pas, et ce qui distingue une organisation qui passe l'audit de celle qui installe les mêmes outils et échoue.

01 · Champ d'application

NIS2 vous concerne-t-il ? Et quel cadre choisir en Belgique ?

NIS2 s'applique aux entités essentielles (énergie, transports, banques, santé, eau, infrastructures numériques, administration publique, espace) et aux entités importantes (fabrication, alimentation, services postaux, gestion des déchets, chimie, fournisseurs numériques). Si vous fournissez des technologies à l'un de ces secteurs, les exigences de sécurité de la chaîne d'approvisionnement (article 21.2.d) peuvent vous concerner via vos clients.

Belgique vs France — deux situations très différentes

Belgique : la loi du 26 avril 2024 est en vigueur. L'auto-évaluation devait être soumise au CCB avant le 18 avril 2026 via le cadre CyberFundamentals (CyFun®) ou ISO 27001.

France : la transposition est en retard. Le projet de loi Résilience (NIS2 + directive REC + DORA) a été adopté en première lecture au Sénat en mars 2025. L'entrée en vigueur est attendue courant 2026. L'autorité compétente sera l'ANSSI.

Calculateur de catégorie NIS2

Trois questions pour identifier votre catégorie et les priorités techniques qui en découlent :

~/nis2-classificateur-entite
Question 1 sur 3
$ nis2-classificateur --question 1
Quel secteur décrit le mieux votre organisation ?
$ nis2-classificateur --output
Kit technique recommandé

Ce résultat est indicatif. Votre classification exacte dépend de la loi nationale de transposition et, dans certains cas, d'une désignation explicite par l'autorité compétente. En Belgique, vérifiez auprès du CCB.

02 · Carte de couverture

Quel outil couvre quelles mesures NIS2 ?

Sélectionnez un outil pour voir sa couverture NIS2 et les mesures spécifiques de l'article 21 qu'il adresse. Le pourcentage reflète sa part des contrôles techniques — pas la conformité totale, qui inclut toujours une couche organisationnelle qu'aucun outil ne remplace.

Wazuh (SIEM / XDR / HIDS)
Plateforme de sécurité unifiée open source : centralisation des journaux, détection d'intrusions, intégrité des fichiers (FIM), détection de vulnérabilités et réponse active. Aucun frais de licence, agents illimités.
Couverture technique NIS2 Art. 21
72 %
Art. 21.2.bDétection et traitement des incidents
Art. 21.2.bRéponse active — confinement automatisé
Art. 21.2.eDétection et priorisation des vulnérabilités
Art. 21.2.gGestion centralisée des journaux et rétention
Art. 21.2.gSurveillance continue 24h/24 des systèmes
Art. 21.2.aIntégrité des fichiers et répertoires (FIM)
Art. 21.2.aÉvaluation de la configuration de sécurité (CIS)
Art. 21.2.iGestion des identités et des accès (IAM)
Services Wazuh de SIXE →
Ansible + OpenSCAP + Lynis
Durcissement en infrastructure-as-code : définissez votre configuration sécurisée de référence, appliquez-la à toute votre flotte et produisez des preuves d'audit reproductibles. Essentiel pour démontrer une gestion systématique de la sécurité.
Couverture technique NIS2 Art. 21
55 %
Art. 21.2.aDurcissement et gestion de la configuration
Art. 21.2.aConfiguration de référence reproductible (IaC)
Art. 21.2.eGestion des correctifs — automatisée et tracée
Art. 21.2.fApplication des politiques de chiffrement
Art. 21.2.hAcquisition et déploiement sécurisés de logiciels
Art. 21.2.bDétection et alerte en temps réel
Formation Linux — LPIC-1 et LPIC-2 →
OpenVAS / GVM (Greenbone Community)
Scanner de vulnérabilités open source. L'article 21.2.e de NIS2 exige une gestion systématique des vulnérabilités. GVM Community Edition fournit des analyses planifiées, la priorisation par score CVSS et des rapports prêts pour l'audit — gratuitement.
Couverture technique NIS2 Art. 21
30 %
Art. 21.2.eIdentification et gestion des vulnérabilités
Art. 21.2.eDivulgation et priorisation des CVE (CVSS)
Art. 21.2.hAnalyse de sécurité à l'acceptation des logiciels
Art. 21.2.bDétection de menaces en temps réel
Conseil en gestion des vulnérabilités →
Keycloak / FreeIPA + privacyIDEA
Gestion des identités et des accès (IAM) open source avec SSO, RBAC et authentification multi-facteur. L'article 21.2.i de NIS2 exige le MFA pour tous les accès privilégiés et distants. Keycloak le délivre sans licence par utilisateur.
Couverture technique NIS2 Art. 21
40 %
Art. 21.2.iAuthentification multi-facteur (MFA)
Art. 21.2.iSSO et gestion centralisée des identités
Art. 21.2.iContrôle d'accès basé sur les rôles (RBAC)
Art. 21.2.iAccès distant chiffré et gestion des sessions
Art. 21.2.bSurveillance et corrélation d'événements
Solutions identité et accès →
pfSense / OPNsense + Suricata
Pare-feu open source et segmentation réseau. Avec Suricata en IDS/IPS réseau. NIS2 exige des mesures de sécurité réseau et de contrôle d'accès — segmentation du périmètre et inspection du trafic sans licence par équipement.
Couverture technique NIS2 Art. 21
38 %
Art. 21.2.aSegmentation réseau et sécurité périmétrique
Art. 21.2.fCommunications chiffrées — application TLS
Art. 21.2.iAccès distant chiffré (VPN)
Art. 21.2.dContrôle des accès réseau fournisseurspartiel
Art. 21.2.bDétection corrélée entre systèmes
Architecture réseau sécurisée →
BorgBackup / Restic + LUKS
Sauvegardes chiffrées, dédupliquées et vérifiables. L'article 21.2.c de NIS2 exige la continuité des activités et la gestion des sauvegardes. LUKS pour le chiffrement des supports. Les auditeurs veulent une restauration testée et documentée — pas supposée.
Couverture technique NIS2 Art. 21
28 %
Art. 21.2.cGestion des sauvegardes et procédures de reprise
Art. 21.2.cContinuité des activités et reprise après sinistrepartiel
Art. 21.2.fChiffrement au repos (LUKS, VeraCrypt)
Art. 21.2.cHaute disponibilité (entités essentielles)
Support Debian et gestion des sauvegardes →
Couverture ≠ conformité

Aucun outil — libre ou commercial — ne couvre 100 % des mesures de l'article 21 à lui seul. Le stack technique est nécessaire mais pas suffisant. La gestion des risques, les procédures de réponse aux incidents, les contrats fournisseurs et la responsabilité de la direction sont organisationnels — aucun produit ne les livre.

03 · Le fossé organisationnel

Installer les outils n'est pas être conforme à NIS2

C'est l'erreur la plus fréquente et la plus coûteuse. Arriver à un audit avec Wazuh fraîchement déployé, sans processus de gestion des risques documenté, sans plan de réponse aux incidents et sans gouvernance de sécurité au niveau de la direction : les outils ne vous sauveront pas.

Les logiciels libres couvrent le quoi technique. NIS2 exige aussi le comment organisationnel :

  • Politique de gestion des risques — formelle, révisée annuellement, approuvée par la direction
  • Procédure de réponse aux incidents — qui reçoit l'alerte, comment les incidents sont triés, comment respecter les délais 24 h / 72 h / 1 mois
  • Sécurité de la chaîne d'approvisionnement — clauses de sécurité contractuelles avec tous vos fournisseurs technologiques (art. 21.2.d)
  • Responsabilité de la direction — l'article 20 rend les dirigeants personnellement responsables en cas de manquement à NIS2
  • Plan de continuité — avec restauration testée et documentée, pas supposée
  • Formation du personnel — avec registre de présence. Nos formations LPIC-1 et LPIC-2 couvrent les compétences Linux que les auditeurs attendent de l'équipe qui opère le stack de sécurité
NIS2 n'est pas un projet ponctuel

La conformité est un système de gestion continu : révisions régulières des risques, mise à jour du registre d'incidents, réévaluation de la chaîne d'approvisionnement, ajustement des outils. Si vos outils génèrent des alertes que personne ne consulte et sur lesquelles personne n'agit, c'est une caméra de surveillance avec l'écran éteint.

04 · Évaluation de maturité

Où en êtes-vous réellement ?

Cochez uniquement ce que vous avez en production et documenté — pas ce qui est en cours ou prévu :

Auto-évaluation de maturité NIS2
Cochez uniquement ce qui est opérationnel et documenté. Le score se met à jour en temps réel.
Gouvernance et gestion des risques
Politique de gestion des risques documentée et approuvée par la direction
Analyse des risques formelle complétée et mise à jour dans les 12 derniers mois
Direction formellement responsable de la cybersécurité (art. 20 NIS2)
Responsable de la sécurité désigné formellement pour la conformité NIS2
Mesures techniques (Art. 21)
SIEM/XDR déployé et ajusté à votre environnement — pas une installation par défaut
Durcissement documenté et reproductible (Ansible + OpenSCAP ou équivalent)
Gestion des vulnérabilités : analyses planifiées avec suivi des CVE et SLA de remédiation
MFA imposé pour tous les comptes privilégiés et les accès distants (art. 21.2.i)
Procédure de réponse aux incidents avec délais 24 h / 72 h / 1 mois définis
Continuité et chaîne d'approvisionnement
Sauvegardes chiffrées avec restauration testée et documentée (pas supposée)
Chiffrement au repos sur tous les appareils traitant des données sensibles (LUKS ou équivalent)
Clauses de sécurité dans les contrats avec tous vos fournisseurs technologiques (art. 21.2.d)
Formation à la sécurité dispensée au personnel avec registre de présence
0 %
Point de départ
Cochez ce que vous avez en place. Le score se met à jour en direct.
05 · La plateforme sous-jacente

Linux est la base de votre stack NIS2. Maîtrisez-la.

Wazuh tourne sur Linux. OpenVAS tourne sur Linux. Ansible administre des serveurs Linux. Keycloak se déploie sur Linux. Tout le stack de sécurité open source repose sur Linux — et un système d'exploitation mal administré invalide chaque outil qui tourne dessus.

Chez SIXE, nous proposons deux services qui répondent directement aux exigences NIS2 :

  • Support Debian — maintenance proactive, application des correctifs de sécurité, durcissement CIS et documentation des changements. Tout ce que NIS2 exige pour la gestion du cycle de vie du système d'exploitation et la traçabilité des correctifs.
  • Formation LPIC-1 et LPIC-2 — certification internationale couvrant l'administration, la sécurité, les réseaux et l'automatisation Linux. Les auditeurs NIS2 attendent de l'équipe opérant le stack de sécurité qu'elle détienne des compétences accréditées et démontrables. Les badges Credly servent de preuves.

Pour le durcissement automatisé : notre service de déploiement Ansible applique les profils de sécurité CIS sur toute votre flotte, génère des preuves de conformité et laisse la configuration sous forme de code versionné dans Git — exactement ce qu'un auditeur souhaite trouver pour la gestion systématique des risques.

En résumé

L'essentiel, pour ceux qui manquent de temps

Six points

Wazuh couvre le cadre opérationnel : gestion des journaux, détection d'intrusions, FIM, analyse des vulnérabilités.

Ansible + OpenSCAP automatise le durcissement et le rend reproductible et auditable.

OpenVAS / GVM gère les vulnérabilités avec des analyses planifiées et traçables.

Keycloak centralise les identités et impose le MFA pour les accès privilégiés et distants.

BorgBackup + LUKS couvre la continuité des activités et le chiffrement au repos.

→ Tout cela sans politique de gestion des risques, plan de réponse aux incidents et cadre de gouvernance : l'audit ne passera pas.

FAQ

Questions fréquentes sur NIS2 et les logiciels libres

Oui. La directive NIS2 prescrit des résultats, pas des produits. Wazuh, Ansible, OpenVAS, Keycloak et pfSense couvrent la grande majorité des mesures techniques de l'article 21 — sans frais de licence.

Non. Wazuh adresse une partie importante du cadre opérationnel — gestion des journaux, détection d'intrusions, FIM et détection de vulnérabilités. Mais NIS2 exige également une IAM avec MFA, des sauvegardes chiffrées, la segmentation réseau, une gestion des risques formelle et la responsabilité de la direction qu'aucun outil ne fournit seul.

CyberFundamentals (CyFun®) est le cadre de cybersécurité du CCB belge comme voie pratique vers la conformité NIS2. Il comporte 4 niveaux (Small, Basic, Important, Essential) et 75 % des entités enregistrées en Belgique l'ont choisi plutôt qu'ISO 27001.

Pas encore. Le projet de loi Résilience (NIS2 + directive REC + DORA) a été adopté en première lecture au Sénat en mars 2025 et son entrée en vigueur est attendue courant 2026. En Belgique, la loi du 26 avril 2024 est déjà en vigueur.

Avec une base de sécurité existante, 4 à 6 mois est réaliste pour une entité importante. Les entités essentielles ont généralement besoin de 8 à 14 mois. Le déploiement technique est la phase la plus courte — l'ajustement des outils, la documentation et la gouvernance prennent le plus de temps.

Trois étapes : alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous un mois. Wazuh fournit les capacités de détection et de journalisation pour respecter ces délais, mais le signalement à l'autorité compétente (CCB en Belgique, ANSSI en France) est un processus organisationnel.

Références

Réglementation et ressources citées

Directive (UE) 2022/2555 (NIS2). EUR-Lex

Loi belge du 26 avril 2024 — transposition NIS2. CCB Belgique

CyberFundamentals (CyFun®) — cadre de conformité du CCB. Safeonweb@Work

ANSSI — cybersécurité et transposition NIS2 en France. anssi.fr

Wazuh — Ensuring NIS2 compliance. wazuh.com

Greenbone — GVM Community Edition. greenbone.net

Wazuh — documentation officielle. documentation.wazuh.com

Publié : · Dernière mise à jour :

NIS2 · Logiciels libres · SIXE

Nous déployons des stacks NIS2 open source en production

Session technique de 30 minutes, sans engagement. Dites-nous votre catégorie NIS2, ce que vous avez en place et où se situent vos lacunes. Nous ressortons avec une esquisse d'architecture et les prochaines étapes concrètes.

WhatsApp Demander un diagnostic NIS2 Solutions Wazuh
Liquid AI LFM2.5 sur IBM Power9 AIX : 27 tokens/s sans GPULiquid AI’s New Model on IBM AIX10 erreurs d’architecture et de ROI dans l’exode post-VMware
SIXE