Guide · 9 min de lecture
NIS2 Art. 21(2) — liste de contrôle de sécurité pour les fournisseurs
Une liste de contrôle pratique pour les équipes d'approvisionnement et de sécurité. À utiliser aussi bien lors de l'intégration de nouveaux fournisseurs que lors des révisions annuelles — couvrant ce qu'il faut demander, quelles preuves collecter et comment réagir en cas de lacune.
NIS2 Art. 21(2)(d) vous oblige à évaluer la posture de cybersécurité de vos fournisseurs dans le cadre de votre propre gestion des risques de chaîne d'approvisionnement. L'exigence couvre aussi bien les nouveaux fournisseurs que les relations existantes — une révision annuelle est le minimum.
Cette liste de contrôle couvre les six sous-clauses de l'art. 21(2) les plus pertinentes pour la sécurité de la chaîne d'approvisionnement. Chaque section comprend trois questions, une brève explication de l'importance et un document de preuve suggéré.
Remarque : Cette liste de contrôle est indicative — votre autorité compétente ou votre auditeur peut exiger des mesures supplémentaires selon votre secteur ou la taille de votre organisation. Pour les exigences contractuelles, consultez un juriste.
Art. 21(2)(a)Gestion des risques
NIS2 exige que vos fournisseurs gèrent les risques de cybersécurité de manière systématique — pas seulement annuellement, mais en continu. Demandez des preuves du processus, pas seulement une réponse oui/non.
- Le fournisseur dispose d'un processus documenté de gestion des risques de cybersécurité (ex. SMSI ou certification ISO 27001)
- La gestion des risques est revue régulièrement par la direction générale ou le conseil d'administration — date de la dernière revue disponible
- Les systèmes d'information critiques et les responsabilités de traitement des données sont inventoriés et classifiés
Documents de preuve suggérés :
- · Politique de gestion des risques ou documentation SMSI
- · Certificat ISO 27001 ou rapport d'audit équivalent
Art. 21(2)(b)Gestion des incidents
NIS2 Art. 23 exige que les incidents significatifs soient signalés à l'autorité de contrôle dans les 24 heures. En pratique, cela n'est possible que si votre fournisseur vous notifie rapidement — raison pour laquelle l'obligation de notification doit être inscrite dans le contrat.
- Le fournisseur dispose d'un processus documenté de réponse aux incidents avec un plan IR testé
- Le fournisseur s'engage contractuellement à vous notifier dans les 24 heures suivant la détection d'un incident significatif
- Un contact d'incident désigné (référent CSIRT) est nommé et joignable 24h/24
Documents de preuve suggérés :
- · Résumé du plan de réponse aux incidents
- · Engagement écrit de notification en 24 heures dans le contrat
Art. 21(2)(d)Chaîne d'approvisionnement
NIS2 s'étend aux fournisseurs de vos fournisseurs — le risque dit de quatrième partie. Vous devez savoir qui accède à vos données ou systèmes, même indirectement via des sous-traitants.
- Le fournisseur connaît ses propres sous-traitants critiques ayant accès aux données ou systèmes
- Le fournisseur dispose d'un processus d'évaluation de la sécurité de ses sous-traitants au moins annuellement
- Les exigences de sécurité sont inscrites dans les propres contrats du fournisseur — pas uniquement une référence générale
Documents de preuve suggérés :
- · Registre des sous-traitants ou résumé des 4es parties critiques
- · Description du processus d'évaluation des 4es parties
Art. 21(2)(e)Approvisionnement et développement
Les vulnérabilités connues et les logiciels en fin de vie font partie des vecteurs d'attaque les plus courants. Le fournisseur doit démontrer une gestion active des vulnérabilités.
- Aucune version de logiciel en fin de vie ou en fin de support n'est exploitée dans l'environnement de production
- Les vulnérabilités critiques (CVSS ≥ 9,0) sont corrigées dans les 30 jours suivant leur divulgation publique
- Les vulnérabilités répertoriées dans la CISA KEV sont remédiées dans les 48 heures suivant leur inscription sur la liste
Documents de preuve suggérés :
- · Description du processus de gestion des vulnérabilités
- · Rapport de correctifs le plus récent ou instantané de l'état des vulnérabilités
Art. 21(2)(h)Cryptographie
Les certificats TLS expirés, les redirections HTTPS manquantes et la sécurité e-mail mal configurée sont des lacunes techniques que norppa.io vérifie automatiquement chaque jour.
- Tous les services publics utilisent un certificat TLS valide et non expiré — pas de certificats auto-signés ou expirés
- La redirection HTTPS est appliquée sur toutes les propriétés web et les points de terminaison API
- La sécurité e-mail est correctement configurée : SPF (hardfail), DKIM (signé) et DMARC (au moins politique de quarantaine)
Documents de preuve suggérés :
- · Description du processus de gestion des certificats TLS
- · Rapport DMARC ou impression de la configuration DNS
Art. 21(2)(i)Contrôle d'accès
Les identifiants volés sont le point de départ le plus courant des cyberattaques. Le fournisseur doit démontrer à la fois la prévention des abus d'identifiants et une détection rapide.
- L'AMF est imposée sur tous les systèmes critiques et comptes administrateurs — aucune exception autorisée
- La surveillance des fuites d'identifiants est en place (sources dark web, HIBP ou service équivalent)
- Les identifiants compromis sont renouvelés immédiatement après détection et l'incident est documenté
Documents de preuve suggérés :
- · Capture d'écran de la configuration d'application de l'AMF ou politique
- · Fournisseur de surveillance des fuites d'identifiants ou description du processus
Que faire lorsqu'un fournisseur échoue à la liste de contrôle ?
Une seule lacune ne signifie pas automatiquement la fin de la relation fournisseur. L'essentiel est de réagir systématiquement et de documenter les mesures prises.
1–2 lacunes : documenter et accepter
Enregistrez les lacunes dans votre registre des fournisseurs, demandez au fournisseur de fournir un plan de remédiation dans les 90 jours et faites un suivi lors de la prochaine révision annuelle.
3–5 lacunes ou une lacune dans Art. 21(2)(b) : surveillance renforcée
Élevez le fournisseur à un niveau de risque supérieur. Demandez un plan de remédiation écrit avec des délais. Envisagez de restreindre l'accès aux systèmes les plus critiques jusqu'à ce que les lacunes soient résolues.
6+ lacunes ou une vulnérabilité technique critique : escalader
Escaladez vers le RSSI ou la direction générale. Évaluez l'utilisation des recours contractuels. Si le fournisseur a accès aux données ou systèmes de production, envisagez de suspendre l'accès jusqu'à résolution de la situation.
Quels éléments peuvent être automatisés ?
Six éléments de cette liste de contrôle sont de nature technique — ils évoluent dans le temps sans que le fournisseur vous en informe nécessairement. L'évaluation manuelle annuelle ne satisfait généralement pas la norme des 'mesures appropriées' de NIS2 en matière de surveillance continue.
norppa.io vérifie ces éléments automatiquement chaque jour pour tous vos fournisseurs :
- Art. 21(2)(h) : validité des certificats TLS et redirections HTTPS, configuration SPF/DKIM/DMARC, DNSSEC
- Art. 21(2)(i) : fuites d'identifiants provenant de sources dark web et bases de données de violations HIBP
- Art. 21(2)(e) : surveillance des inscriptions CISA KEV, constatations de vulnérabilités basées sur le score CVE/EPSS
- Art. 21(2)(b) : inscriptions sur les listes de victimes de ransomware — alerte immédiate si un fournisseur y apparaît
Les éléments de niveau processus (Art. 21(2)(a), (b), (d)) sont couverts par le questionnaire d'auto-évaluation SAQ de norppa.io, que vous pouvez envoyer aux fournisseurs directement depuis le portail.