norppa.io
Tous les guides

Guide · 12 min de lecture

NIS2 et l'exigence de chaîne d'approvisionnement — ce que cela signifie en pratique

La directive NIS2 a reconfiguré les obligations de cybersécurité à travers l'Europe. L'une des exigences les plus concrètes concerne la chaîne d'approvisionnement : vous devez gérer les cyberrisques de vos fournisseurs, pas seulement les vôtres. Cela ne se résume pas à un questionnaire envoyé une fois par an. Le délai de transposition (17 octobre 2024) est écoulé et les obligations s'appliquent désormais ; les États membres transposent NIS2 en droit national à des rythmes variables, et l'application a commencé.

À qui s'applique l'exigence ?

NIS2 divise les entités en deux catégories selon le secteur et la taille :

Entités essentielles

Énergie, transports, marchés bancaires et financiers, santé, eau potable, eaux usées, infrastructures numériques, TIC gouvernementales et espace.

Entités importantes

Services postaux et de messagerie, gestion des déchets, produits chimiques, production alimentaire, industrie manufacturière, services numériques et organismes de recherche.

Le seuil de taille est généralement de 50 employés ou 10 millions d'euros de chiffre d'affaires annuel. Les entreprises dépassant ce seuil relèvent automatiquement de NIS2.

Il est important de noter que les petites entreprises peuvent également être soumises aux exigences par voie contractuelle — si vous fournissez des services critiques à un client assujetti à NIS2, celui-ci imposera vraisemblablement des obligations de conformité dans le contrat.

Source officielle : Directive NIS2 sur EUR-Lex — voir notamment les considérants 80–90 et l'art. 21.

Que requiert concrètement l'art. 21(2)(d) ?

L'article 21(2)(d) impose des mesures pour la sécurité de la chaîne d'approvisionnement et les relations avec les fournisseurs. D'après les orientations de l'ENISA et les interprétations des autorités de contrôle nationales, l'exigence comporte quatre éléments fondamentaux :

1

Évaluation des risques fournisseurs avant contractualisation

Avant d'intégrer un nouveau fournisseur, vous devez évaluer sa posture de cybersécurité. Il ne s'agit pas d'un simple questionnaire — cela implique une évaluation vérifiable : ce fournisseur a-t-il subi une violation, dispose-t-il de vulnérabilités connues dans son infrastructure, ses certificats sont-ils valides ? L'évaluation doit couvrir l'ensemble de l'empreinte exposée sur Internet du fournisseur — pas seulement le domaine principal, mais aussi les adresses IP et l'infrastructure qui en sont distinctes (par ex. passerelles VPN, relais de messagerie, hôtes dédiés).

2

Clauses contractuelles et obligations de notification

Les contrats doivent comporter une clause obligeant les fournisseurs à signaler les incidents de sécurité sans délai. Sans cette clause, vous ne pouvez pas respecter votre propre obligation de notification initiale de 24 heures à l'autorité de contrôle si un incident fournisseur affecte vos services.

3

Surveillance continue pendant toute la durée du contrat

C'est là que la plupart des organisations accusent encore du retard. La norme des 'mesures appropriées' imposée par NIS2 implique en pratique une surveillance continue — pas seulement une vérification annuelle. La situation d'un fournisseur peut changer radicalement en une journée : ransomware, violation de données, vulnérabilité critique. Une évaluation annuelle ne permet guère de les détecter à temps.

4

Preuves documentées pour l'audit

L'autorité de contrôle peut demander des preuves de la façon dont vous avez géré les risques fournisseurs. « Nous avons surveillé la situation » ne suffit pas — il vous faut une documentation horodatée des constatations, des mesures prises et des risques acceptés.

Pourquoi les évaluations annuelles seules sont insuffisantes

Un audit fournisseur traditionnel — un questionnaire une fois par an, peut-être un certificat — satisfait l'intention de base de NIS2, mais ne répond pas à l'obligation de surveillance continue. Considérez ces scénarios réels :

!

Votre fournisseur est touché par un ransomware en janvier. Votre revue annuelle a été réalisée en mars. Vous l'apprenez en juin lorsqu'un projet est retardé.

!

Les identifiants des employés de votre fournisseur sont divulgués sur des marchés du dark web. Vous l'ignorez jusqu'à ce qu'un attaquant les utilise pour accéder à des systèmes auxquels le fournisseur a accès.

!

Le certificat TLS de votre fournisseur expire et son service cesse de fonctionner. Vous le découvrez via des réclamations clients.

Tous les trois sont des scénarios reconnaissables — des façons typiques dont le risque fournisseur se concrétise. La surveillance continue signifie détecter ces changements en quelques jours, pas en quelques mois.

Segmentation des fournisseurs : comment prioriser

Tous les fournisseurs ne doivent pas être surveillés avec la même intensité. La segmentation basée sur le risque est à la fois pratique et conforme à l'esprit de la directive :

Niveau 1 — Fournisseurs critiques

Accès direct à vos systèmes, données ou environnements de production. Niveau de surveillance le plus élevé, SAQ complet, surveillance technique continue. Exemples : fournisseurs cloud, éditeurs ERP, services de sécurité gérés.

Niveau 2 — Fournisseurs importants

Rôle significatif dans les opérations mais accès direct limité aux systèmes critiques. Surveillance technique régulière, SAQ allégé. Exemples : logiciels RH, outils marketing, partenaires logistiques.

Niveau 3 — Fournisseurs à faible risque

Accès direct limité ou nul aux données critiques. Une revue annuelle est suffisante. Exemples : fournitures de bureau, services de nettoyage, restauration.

Le risque de quatrième partie — souvent négligé

NIS2 ne se limite pas à vos fournisseurs directs. Les propres fournisseurs de vos fournisseurs peuvent représenter un risque pour vous. Si votre fournisseur cloud utilise un sous-traitant pour des services de centre de données et que ce sous-traitant subit une attaque, l'impact peut se propager à toute la chaîne.

C'est pourquoi l'évaluation des fournisseurs devrait inclure la question : le fournisseur connaît-il ses propres sous-traitants critiques et les évalue-t-il à leur tour ?

Art. 23 : notification d'incident lié à un fournisseur

Si un incident de sécurité chez un fournisseur provoque une perturbation significative de vos propres services, vous avez une obligation de notification initiale à l'autorité de contrôle nationale dans les 24 heures, suivie d'une notification complète dans les 72 heures et d'un rapport final dans le mois.

Le problème pratique : pour être informé à temps d'un incident chez un fournisseur, vous devez disposer d'une visibilité en temps réel sur son état. Les fournisseurs ne signalent pas toujours les incidents de manière proactive — ou le font trop tard. La surveillance continue comble cette lacune.

Orientations de l'ENISA : Ressources d'implémentation NIS2 de l'ENISA — lignes directrices sur la notification des incidents et les mesures de sécurité.

Que recherchent les autorités de contrôle ?

Les autorités de contrôle nationales évaluent la conformité à travers des preuves pratiques, pas des déclarations. Les documents utiles lors d'un audit comprennent :

  • Registre des fournisseurs avec segmentation et classification des risques
  • Réponses SAQ avec dates
  • Journaux de surveillance technique — ce qui a été vérifié, quand, ce qui a été constaté
  • Documentation des risques acceptés — une décision écrite pour les risques notés et acceptés
  • Historique des réponses — comment les constatations ont été traitées, et dans quel délai

Ces documents doivent pouvoir être produits sur demande. Une documentation assemblée rétrospectivement après une demande est rarement suffisante en pratique.

Comment norppa.io aide

norppa.io est conçu pour répondre exactement à ces défis. Chaque domaine fournisseur surveillé est vérifié sur 100+ points de contrôle par jour, les événements critiques toutes les six heures — automatiquement, sans effort manuel. Les constatations sont automatiquement mappées aux articles NIS2, le rapport PDF mensuel est au format prêt pour la direction, et l'historique complet peut être exporté en CSV pour les auditeurs.

Le questionnaire d'auto-évaluation (SAQ) est envoyé aux fournisseurs directement depuis norppa.io, et les réponses se combinent avec le profil de risque technique — une vue unifiée des couches techniques et de processus.

Voulez-vous voir à quoi ressemble le rapport en pratique ?

norppa.io automatise la surveillance technique et produit des preuves d'audit NIS2. Consultez le rapport d'exemple — vrai format, données fictives.

Voir le rapport d'exemple

Guides associés

NIS2 Art. 21(2) — liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.