norppa.io
Guides

Guide NIS2 · 9 min

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Le questionnaire de sécurité fournisseur est le point de départ de la plupart des diligences au titre de l'article 21(2)(d) de NIS2 — et l'endroit où beaucoup d'entre elles échouent en silence. Les questionnaires habituels sont trop longs pour être achevés, notés par personne et jamais confrontés à la réalité. Ce guide couvre ce qu'il vaut vraiment la peine de demander, comment transformer les réponses en décisions, que faire quand un fournisseur reste en deçà, et l'unique angle mort que partage tout questionnaire. Il se termine par un modèle que vous pouvez reprendre directement dans votre propre processus.

Points clés

  • Six domaines axés sur la décision portent l'essentiel — résistez à l'envie d'ajouter des cases que personne ne notera jamais.
  • Notez les réponses et lisez « en cours » comme une lacune ; un questionnaire ne vaut la peine que s'il peut changer une décision.
  • Chaque réponse est le fournisseur qui se note lui-même — associez-la à une preuve technique externe pour saisir les contradictions.

Quoi demander — les six domaines qui comptent

Un questionnaire mérite sa place en étant court et ciblé. Couvrez bien ces six domaines et arrêtez-vous là ; les cinquante cases supplémentaires que personne ne note apportent de la longueur, pas de l'assurance.

1

Gouvernance et responsabilité

Qui possède réellement la sécurité, et la direction la regarde-t-elle ou se contente-t-elle de la valider ? NIS2 met l'organe de direction en cause, c'est donc le premier indice de la façon dont un fournisseur prend le reste au sérieux.

2

Contrôle d'accès et authentification

L'authentification faible reste la voie d'entrée la plus courante. L'authentification multifacteur et le moindre privilège sont ici le plancher, pas des extras à points bonus.

3

Réponse aux incidents et notification

Vous voulez un fournisseur capable de repérer un problème, de le contenir et de vous prévenir vite — car votre propre délai de l'article 23 peut commencer avec son incident, pas le vôtre.

4

Continuité d'activité et sauvegardes

S'il tombe ou se fait rançonner, à quelle vitesse votre service revient-il ? Une sauvegarde testée et un temps de reprise annoncé en disent plus qu'une phrase rassurante.

5

Chaîne d'approvisionnement et risque de quatrième partie

Ses fournisseurs sont aussi votre risque. Demandez s'il évalue ses propres sous-traitants critiques et s'il vous préviendra quand ils changent.

6

Technique et protection des données

Chiffrement, cadence de correctifs et lieu où vivent vos données — les contrôles concrets qu'un scan externe pourra ensuite confirmer ou contredire.

Comment noter les réponses — ne vous contentez pas de les collecter

Un questionnaire classé et oublié vous a coûté du temps et n'a rien rapporté. La valeur est dans la notation :

  • Pondérez selon la criticité — un « non » sur l'AMF d'un fournisseur qui détient vos données clients pèse bien plus qu'un document de politique manquant chez un prestataire de bas niveau. Fixez les pondérations avant l'envoi, pas après l'arrivée des réponses.
  • Lisez « en cours » comme « non » — tant qu'un contrôle n'est pas en place et prouvé, c'est une lacune avec une date de remédiation, pas une réussite. Les bonnes intentions ne survivent pas à un audit.
  • Soyez attentif aux non-réponses — des réponses vagues ou évasives sont elles-mêmes une réponse. Exigez du concret ou des preuves plutôt que d'accepter une case cochée au pied de la lettre.
  • Refaites le point selon un calendrier — les réponses se périment. Un questionnaire rempli une fois par an décrit un jour, pas les onze mois qui suivent.

Que faire quand un fournisseur reste en deçà

Une lacune n'est pas automatiquement une raison d'écarter un fournisseur, mais elle doit mener quelque part. Convenez d'un plan de remédiation avec des responsables et des dates nommés, consignez-le, et rendez les lacunes importantes contractuelles : un droit à la preuve, une date de correction et une voie d'escalade en cas de dérapage.

Pour les fournisseurs critiques, liez la remédiation à la relation — réévaluation avant renouvellement, clauses de sécurité dans le contrat, et droit de demander des preuves plutôt que d'accepter des assurances sur parole. Dans tous les cas, consignez la décision. Accepter un risque résiduel est un choix parfaitement légitime, mais seulement quand c'est une décision écrite et assumée, et non quelque chose passé entre les mailles du filet.

L'angle mort du questionnaire : l'auto-déclaration

Chaque réponse est une affirmation que le fournisseur fait sur lui-même. Certaines sont honnêtes, d'autres optimistes, d'autres tout simplement périmées au moment où vous les lisez. Un questionnaire vous dit ce qu'un fournisseur croit — ou voudrait vous faire croire — de sa sécurité ; il ne vous dit pas ce qui est réellement exposé sur internet ce matin.

C'est pourquoi les programmes les plus solides placent le questionnaire à côté d'une preuve technique externe. Quand un fournisseur écrit « oui, tout le trafic est chiffré » et qu'un scan trouve un certificat expiré ou un formulaire de connexion en clair, vous avez une contradiction qui mérite une conversation. Le questionnaire capture le processus et l'intention ; le monitoring externe continu le corrobore — ou démasque son bluff. Le but n'est pas d'en choisir un. C'est d'utiliser les deux.

Un modèle de questionnaire gratuit à adapter

Reprenez ces sections dans votre propre processus. Gardez les réponses en oui / non / en cours plus un champ de preuve, pour que chaque affirmation puisse être étayée — ou défaite — plus tard.

1. Gouvernance et responsabilité

  • Existe-t-il une personne nommément responsable de la sécurité de l'information ?
  • La direction générale a-t-elle approuvé une politique de sécurité au cours des 12 derniers mois ?
  • Le personnel reçoit-il une sensibilisation à la sécurité au moins une fois par an ?

2. Contrôle d'accès et authentification

  • L'authentification multifacteur est-elle imposée pour les accès distants et d'administration ?
  • Les droits d'accès sont-ils revus et révoqués rapidement lors d'un changement de rôle ?
  • Le moindre privilège est-il appliqué aux systèmes hébergeant nos données ?

3. Réponse aux incidents et notification

  • Existe-t-il un plan de réponse aux incidents documenté, testé au cours des 12 derniers mois ?
  • Pouvez-vous nous notifier un incident pertinent dans les 24 heures ?
  • Avez-vous eu une violation à déclarer au cours des 24 derniers mois ? Si oui, qu'avez-vous changé ensuite ?

4. Continuité d'activité et sauvegardes

  • Les sauvegardes sont-elles chiffrées, testées et stockées hors ligne ou de façon immuable ?
  • Quel est votre objectif de temps de reprise (RTO) pour le service que vous nous fournissez ?
  • Disposez-vous d'un plan de reprise après sinistre, et quand a-t-il été exercé pour la dernière fois ?

5. Chaîne d'approvisionnement et risque de quatrième partie

  • Évaluez-vous la sécurité de vos propres sous-traitants critiques ?
  • Nous notifierez-vous des changements de sous-traitants traitant nos données ?
  • Détenez-vous des certifications pertinentes (p. ex. ISO 27001) ? Pouvez-vous en partager le périmètre ?

6. Technique et protection des données

  • Les données sont-elles chiffrées en transit et au repos selon les standards actuels ?
  • Réalisez-vous un balayage régulier des vulnérabilités et corrigez-vous selon un calendrier défini ?
  • Dans quelles juridictions nos données sont-elles stockées et traitées ?

Source : Directive (UE) 2022/2555 (NIS2), article 21(2)(d) — sécurité de la chaîne d'approvisionnement — faites correspondre vos questions aux mesures de l'article 21 et à votre loi de transposition nationale.

Comment norppa.io aide

norppa.io envoie le questionnaire d'auto-évaluation à vos fournisseurs directement depuis la plateforme — pas de tableurs, pas de relances d'e-mails. Les réponses reviennent suivies, versionnées et notées selon la pondération que vous fixez.

Le point essentiel : chaque réponse est placée à côté du profil de risque technique en direct du fournisseur — plus de cent contrôles, rafraîchis chaque jour. Là où un « oui » assuré entre en conflit avec ce que le scan voit réellement, norppa.io le signale, de sorte que vous lisez non seulement ce qu'un fournisseur dit, mais s'il tient. Exactement l'angle mort de la section ci-dessus, refermé.

Envoyez votre premier SAQ — et voyez-le recoupé

Regardez un rapport fournisseur d'exemple, ou comment le questionnaire fonctionne dans norppa.io.

Voir le rapport d'exemple À propos du SAQ

Guides associés

NIS2 et les exigences sur la chaîne d'approvisionnement — ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

NIS2 Art. 21(2) — liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà — et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas — notification légale, responsabilité de la direction, enregistrement et assurance continue — et comment combler l'écart.