Pourquoi la supply chain est dans NIS2
Les attaques via la chaîne d’approvisionnement (SolarWinds, Kaseya, 3CX) ont démontré qu’un fournisseur compromis peut devenir un vecteur d’attaque massif contre des milliers d’entités. NIS2 tire les leçons de ces incidents en imposant aux entités régulées de gérer activement les risques que leurs fournisseurs font peser sur elles.
C’est une rupture majeure par rapport à NIS1, qui ignorait presque totalement la question des prestataires. Désormais, "je ne savais pas que mon fournisseur était vulnérable" n’est plus une défense recevable auprès de l’ANSSI.
Ce que dit l’Article 21
L’Article 21 de NIS2 liste les mesures de gestion des risques de cybersécurité que les entités doivent mettre en place. Parmi elles, le point (d) concerne explicitement la supply chain.
Directive NIS2 — Article 21, §2 (d)
"La sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs."
La Commission européenne a également publié des lignes directrices spécifiques sur la mise en oeuvre de cet article, précisant que les entités doivent prendre en compte les "vulnérabilités propres à chaque fournisseur ou prestataire de services direct et la qualité globale des produits et des pratiques en matière de cybersécurité de leurs fournisseurs".
Identifier vos fournisseurs critiques
La première étape est de cartographier vos fournisseurs et d’identifier ceux qui sont "critiques" pour votre activité ou votre cybersécurité. Un fournisseur est considéré critique s’il répond à au moins l’un des critères suivants :
Accès aux systèmes
Le fournisseur a un accès technique (distant ou physique) à vos systèmes d’information.
Traitement de données sensibles
Le fournisseur traite ou stocke des données sensibles de votre organisation (données clients, personnelles, financières).
Service essentiel
L’indisponibilité du service fournisseur entraînerait une interruption de votre activité principale.
Infrastructure partagée
Le fournisseur gère des composants d’infrastructure partagée (réseau, cloud, identité).
Évaluer les risques fournisseurs
Pour chaque fournisseur critique identifié, vous devez évaluer le risque qu’il représente selon deux dimensions : sa posture de sécurité intrinsèque et le niveau de dépendance de votre organisation vis-à-vis de lui.
| Dimension | Questions à poser | Sources d’information |
|---|---|---|
| Posture sécurité fournisseur | Certifié ISO 27001 ? Politique RSSI ? Historique d’incidents ? | Certifications, questionnaire, rapports de pentest partagés |
| Nature des accès accordés | Accès logique ? Physique ? Étendue des permissions ? | Revue des accès, tickets d’accès, logs |
| Dépendance opérationnelle | Délai de basculement vers un alternative ? Niveau de criticité ? | Analyse BIA (Business Impact Analysis) |
| Maturité contractuelle | Clauses de sécurité existantes ? Droit d’audit ? SLA sécurité ? | Revue des contrats actuels |
Obligations contractuelles minimales
NIS2 ne spécifie pas de clauses contractuelles types, mais vous devez être en mesure de démontrer que vos contrats avec les fournisseurs critiques contiennent des exigences de sécurité proportionnées. Voici les clauses minimales à inclure.
Exigences de sécurité minimales
Le fournisseur doit maintenir des mesures de sécurité au moins équivalentes à vos propres exigences NIS2 pour les systèmes en interaction avec les vôtres.
Notification d’incident
Délai de notification obligatoire (ex : 4h) en cas d’incident de sécurité chez le fournisseur susceptible d’affecter vos systèmes ou données.
Droit d’audit
Droit de réaliser ou de faire réaliser un audit de sécurité chez le fournisseur, ou d’obtenir les résultats d’audits tiers récents (SOC2, ISO 27001).
Gestion des sous-traitants
Obligation pour le fournisseur d’imposer des exigences équivalentes à ses propres sous-traitants qui auraient accès à vos données ou systèmes.
Restitution et destruction des données
Procédure de restitution et de destruction sécurisée des données en fin de contrat, avec preuve de destruction.
Questionnaires de sécurité fournisseurs
Au-delà des clauses contractuelles, un questionnaire de sécurité annuel permet de suivre l’évolution de la posture sécurité de vos fournisseurs critiques. Voici les thèmes à couvrir.
Gouvernance
- Politique sécurité formalisée
- RSSI ou responsable sécurité désigné
- Certification ISO 27001 ou SOC2
Contrôle d’accès
- MFA activé sur les accès
- Revue périodique des accès
- Gestion des comptes de service
Gestion des incidents
- Procédure de notification clients
- CERT interne ou abonnement CSIRT
- Historique des incidents des 12 mois
Continuité
- Plan de continuité documenté
- Tests de reprise réalisés
- RTO/RPO définis pour les services
Plan d’action pratique
Voici les étapes concrètes pour mettre en conformité votre gestion de la supply chain avec NIS2, ordonnées par priorité.
- 01
Cartographier
Lister tous vos fournisseurs et prestataires avec accès à vos systèmes ou données. Identifier les critiques selon les critères définis plus haut.
- 02
Évaluer
Envoyer un questionnaire de sécurité aux fournisseurs critiques. Documenter les réponses et évaluer les risques résiduels.
- 03
Contractualiser
Mettre à jour les contrats existants pour inclure les clauses minimales NIS2. Priorité aux contrats en renouvellement prochain.
- 04
Surveiller
Mettre en place un processus de surveillance continue : revue annuelle des questionnaires, suivi des incidents fournisseurs.
- 05
Documenter
Conserver toutes les preuves : questionnaires remplis, contrats signés, historique des révisions. Ce sont les preuves présentées en audit.
Points clés à retenir
- NIS2 rend les entités responsables des risques de leurs fournisseurs critiques.
- La cartographie des fournisseurs est la première étape indispensable.
- Les contrats existants doivent être mis à jour avec des clauses sécurité NIS2-compatibles.
- Un questionnaire annuel est le minimum pour suivre la posture sécurité des fournisseurs.
- Conservez toutes les preuves documentaires : elles seront demandées en audit.