Guide NIS2 · 7 min
Votre posture de sécurité externe sous NIS2 : ce que voient fournisseurs et clients
Sous NIS2, vos clients sont responsables de la sécurité de leurs fournisseurs (article 21(2)(d)) et évaluent de plus en plus ce risque de l'extérieur, à partir du seul visible publiquement : votre authentification e-mail, vos certificats et ce qui, de votre infrastructure, est exposé à Internet. Ce sont les signaux qu'un attaquant voit en premier. Ce guide explique les signaux externes qui déterminent comment vous êtes jugé comme fournisseur, pourquoi chacun compte, et comment les vérifier et les corriger.
À retenir
- • NIS2 fait descendre l'évaluation des fournisseurs le long de la chaîne ; l'essentiel part de votre posture publiquement visible.
- • Les signaux les plus forts : usurpation d'e-mail (SPF/DMARC), hygiène des certificats et systèmes exposés à Internet.
- • Vous pouvez voir et corriger la plupart vous-même en quelques minutes, avant un client ou un attaquant.
Pourquoi la vue externe compte sous NIS2
L'article 21(2)(d) de NIS2 rend une entreprise concernée responsable du cyber-risque porté par ses fournisseurs directs. Comme un acheteur ne peut auditer chaque fournisseur en profondeur, la première passe pratique est la vue externe : des signaux visibles sans aucun accès à vos systèmes. Un signal faible ne prouve pas l'insécurité, mais c'est ce qu'un client remarque, ce à quoi un questionnaire est comparé et ce qu'un attaquant sonde en premier. Bien faire est peu coûteux et très parlant.
Source officielle : Directive NIS2 sur EUR-Lex — article 21(2) (mesures de sécurité) et 21(2)(d) (sécurité de la chaîne d'approvisionnement).
Les signaux externes qui façonnent votre évaluation
Aucun ne nécessite d'accès à vos systèmes ; tous sont visibles depuis Internet public. Ils correspondent aux mesures attendues par NIS2 et à la manière dont opèrent réellement les attaquants.
Usurpation d'e-mail (SPF et DMARC)
Si votre domaine ne publie ni SPF ni DMARC, ou si DMARC est en p=none, n'importe qui peut envoyer des e-mails semblant venir de vous. C'est le mécanisme du hameçonnage et de la fraude au président (BEC), trivialement vérifiable dans votre DNS public.
Hygiène des certificats (TLS)
Des certificats expirés ou bientôt expirés sur vos services principaux signalent un faible contrôle opérationnel et peuvent rompre la confiance et la disponibilité. Les journaux de transparence des certificats rendent aussi votre historique public.
Systèmes hors production et d'administration exposés
Des hôtes de développement, de préproduction ou d'administration accessibles depuis Internet élargissent votre surface d'attaque et manquent souvent d'un durcissement de niveau production. Ils apparaissent fréquemment dans les journaux publics de transparence des certificats.
Identifiants fuités et exposition aux fuites
Des identifiants d'employés exposés dans des jeux de données publics de fuites et d'infostealers constituent une voie d'accès directe. C'est une information externe et publique qu'un attaquant peut exploiter avant que vous ne le remarquiez.
Durcissement du transport web (HSTS et en-têtes)
L'absence de HSTS et d'en-têtes connexes est mineure isolément, mais ensemble ils indiquent la constance des fondamentaux. Les évaluateurs les lisent comme un indicateur de maturité opérationnelle.
Voyez comment vos fournisseurs se situent réellement
7 jours gratuits · sans carte bancaire · annulez à tout moment
Comment le vérifier et le maintenir
Vous pouvez vérifier la plupart vous-même en quelques minutes, avec des outils publics et votre propre DNS. Le plus difficile est de le maintenir dans le temps : un certificat expire, un nouveau sous-domaine s'expose, des identifiants fuient. Une surveillance externe continue observe ces signaux pour votre domaine et vos fournisseurs, et associe chaque constat à l'article NIS2 pertinent, afin que vous voyiez et corrigiez avant l'évaluation d'un client ou un attaquant.
Erreurs fréquentes
- ✕Considérer l'authentification e-mail comme terminée dès que SPF existe, alors que DMARC reste en p=none et ne bloque rien.
- ✕Corriger le site principal mais laisser les hôtes dev, préprod ou admin exposés et non durcis.
- ✕Supposer que 'nous avons réussi le questionnaire' signifie que la réalité externe correspond encore des mois plus tard.
- ✕Ne jamais vérifier ce que les données publiques de fuites exposent déjà sur vos comptes.
Voyez comment votre posture externe s'associe à NIS2
Un exemple de rapport fournisseur (constats, correspondance NIS2 et preuves) en deux minutes.
7 jours gratuits · sans carte bancaire · annulez à tout moment
Guides associés
Comment se conformer à NIS2 : une feuille de route étape par étape
Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.
Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille
Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.
NIS2 pour les fournisseurs : vous n'êtes pas désigné, mais vos clients le sont
La plupart des entreprises ne sont jamais désignées au titre de NIS2, mais beaucoup doivent s'y conformer malgré tout. Comment l'obligation de chaîne d'approvisionnement d'un client concerné (article 21, paragraphe 2, point d) descend jusqu'à vous, ce qu'il demande et comment répondre de façon crédible.
NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique
NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.
Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie
Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.
NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs
Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.
Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit
Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.
Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués
Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.
NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir
Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.
ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent
Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.
Amendes et sanctions NIS2 : combien, qui est responsable et comment les éviter
Ce que sont les sanctions NIS2 : les plafonds de l'article 34 (10 M€ / 2 % pour les entités essentielles, 7 M€ / 1,4 % pour les importantes), la responsabilité personnelle de la direction (art. 20, art. 32), les mesures non pécuniaires et comment les éviter.
NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous
En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.
RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux
En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.
Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement
Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.
Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)
Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.
Statut de transposition de NIS2 : dans quels pays de l'UE est-elle en vigueur
Lesquels des 27 États membres de l'UE ont transposé NIS2 en droit national et lesquels finalisent encore, et pourquoi les écarts atteignent votre chaîne d'approvisionnement malgré tout.
Clauses contractuelles fournisseurs NIS2 : que exiger de vos fournisseurs
Les clauses qui rendent l'obligation de chaîne d'approvisionnement de NIS2 exécutoire : socle de sécurité, fenêtre de notification, droits de preuve et d'audit, répercussion aux sous-traitants, et vérification continue.
Vos fournisseurs utilisent-ils l'IA ? Le risque fournisseur NIS2 rencontre le règlement IA de l'UE
Les fournisseurs intègrent de plus en plus l'IA dans les services dont vous dépendez, et leurs fournisseurs aussi. Où l'IA des fournisseurs et de la n-ième partie crée un risque au titre de l'art. 21(2)(d) de NIS2 et du règlement IA, quoi évaluer et comment garder la visibilité.
Usurpation de fournisseur et fraude au président (BEC) : usurpation d'e-mail, DMARC et NIS2
L'une des attaques de chaîne d'approvisionnement les plus courantes ne nécessite aucune intrusion : un e-mail usurpé qui détourne un paiement ou vole des données. Comment fonctionnent le BEC et l'usurpation de fournisseur, les réglages SPF, DKIM et DMARC qui les arrêtent, et comment cela s'inscrit dans l'art. 21(2)(d) de NIS2.
Dernière révision: 19 juin 2026
Ce guide fournit des informations générales sur le droit de l'UE, et non des conseils juridiques. NIS2 prend effet via la loi de transposition nationale de chaque État membre de l'UE, qui peut différer dans le détail. Vérifiez les obligations qui s'appliquent à vous auprès de votre autorité compétente ou de votre conseil juridique.