Guide NIS2 · 7 min
Usurpation de fournisseur et fraude au président (BEC) : usurpation d'e-mail, DMARC et NIS2
L'une des attaques de chaîne d'approvisionnement les plus courantes ne nécessite aucune intrusion : un attaquant envoie un e-mail qui semble venir d'un fournisseur (ou de vous) et détourne un paiement ou vole des données. C'est la fraude au président (BEC) et l'usurpation de fournisseur, rendues possibles par une authentification e-mail faible que chacun peut vérifier de l'extérieur. Sous NIS2, vous êtes responsable de la sécurité de vos relations fournisseurs (article 21(2)(d)), et l'usurpation d'e-mail est l'un des signaux les plus clairs et les moins coûteux à corriger. Ce guide explique comment l'attaque fonctionne, les réglages SPF, DKIM et DMARC qui l'arrêtent, et comment cela s'inscrit dans NIS2.
À retenir
- • Le BEC et l'usurpation de fournisseur exploitent une authentification e-mail faible, pas une intrusion technique.
- • SPF, DKIM et une politique DMARC appliquée bloquent les e-mails usurpés, et ils sont vérifiables publiquement.
- • Sous NIS2, cela relève de la sécurité de la relation fournisseur et protège à la fois vous et vos fournisseurs.
Comment fonctionnent l'usurpation de fournisseur et le BEC
L'attaquant n'a besoin de pirater personne. Si un domaine n'applique pas l'authentification e-mail, il peut envoyer du courrier qui semble en provenir : une fausse facture avec de nouvelles coordonnées bancaires « de votre fournisseur », ou une demande urgente « de votre PDG ». Le destinataire fait confiance à l'expéditeur familier et agit. Comme fournisseurs et clients s'écrivent en permanence, un seul domaine faible dans la chaîne devient le problème de tous. L'article 21(2)(d) de NIS2 fait de la gestion de ce risque relationnel votre responsabilité.
Source officielle : Directive NIS2 sur EUR-Lex — article 21(2) (mesures de sécurité, dont communications sécurisées) et 21(2)(d) (sécurité de la chaîne d'approvisionnement).
Les contrôles qui arrêtent l'usurpation
Ce sont des standards, gratuits à déployer dans le DNS et vérifiables publiquement. Ils correspondent au socle de communications sécurisées de l'article 21(2) et au fonctionnement réel de l'attaque.
SPF (Sender Policy Framework)
Publie quels serveurs peuvent envoyer du courrier pour votre domaine. Sans lui, ou avec un enregistrement trop permissif, les expéditeurs usurpés passent sans contrôle. Publiez SPF et gardez-le exact à mesure que vous ajoutez des services de messagerie.
DKIM (DomainKeys Identified Mail)
Signe cryptographiquement votre courrier sortant afin que les destinataires puissent vérifier qu'il n'a pas été altéré et provient bien de votre domaine. Activez DKIM sur chaque service qui envoie en votre nom.
DMARC avec une politique appliquée
Relie SPF et DKIM à votre adresse d'expéditeur visible et indique aux destinataires quoi faire du courrier en échec. Une politique p=none ne fait que surveiller ; passez à p=quarantine ou p=reject pour bloquer réellement l'usurpation.
Rapports DMARC (rua) et surveillance
Les rapports agrégés montrent qui envoie en votre nom, ce qui vous permet de trouver vos expéditeurs légitimes avant d'appliquer la politique et de repérer les abus ensuite. Dirigez les rapports vers un endroit où ils sont lus.
MTA-STS et rapports TLS (durcissement supplémentaire)
Imposez une remise chiffrée vers votre domaine et soyez averti en cas d'échec, fermant une voie de rétrogradation qu'un attaquant pourrait sinon utiliser pour intercepter le courrier.
Voyez comment vos fournisseurs se situent réellement
7 jours gratuits · sans carte bancaire · annulez à tout moment
Pourquoi cela compte sous NIS2, pour vous et vos fournisseurs
Une authentification e-mail appliquée protège vos clients et partenaires d'être fraudés en votre nom, et vous protège de la fausse facture d'un fournisseur. Comme elle est visible de l'extérieur, c'est exactement le signal qu'un client vérifie en vous évaluant comme fournisseur sous NIS2, et ce qu'un attaquant sonde en premier. Une surveillance continue de votre domaine et de vos fournisseurs fait apparaître une politique DMARC faible ou qui dérive (par exemple encore en p=none) et l'associe au devoir de chaîne d'approvisionnement de l'article 21(2)(d), afin de la corriger avant qu'elle ne soit exploitée.
Erreurs fréquentes
- ✕Publier DMARC en p=none et ne jamais passer à l'application, si bien que rien n'est réellement bloqué.
- ✕SPF ou DKIM sur le domaine principal mais pas sur les sous-domaines ni les services d'envoi tiers.
- ✕Supposer que l'e-mail de facture d'un fournisseur est authentique parce que le nom d'expéditeur paraît correct.
- ✕Aucun processus pour vérifier un paiement ou un changement de coordonnées bancaires par un second canal.
Vous n'avez pas à lire les rapports vous-même
Les rapports agrégés DMARC sont des fichiers XML quotidiens, et personne ne veut les lire à la main. norppa.io les reçoit pour vous à une adresse de rapport unique, les transforme en analyses de taux de réussite et en inventaire des expéditeurs, et remonte les sources d'usurpation actives comme constats priorisés. Les rapports TLS-RPT sont traités de la même façon. Hébergé dans l'UE, données agrégées uniquement, inclus dans chaque offre.
Voyez comment votre posture e-mail s'associe à NIS2
Un exemple de rapport fournisseur (constats, correspondance NIS2 et preuves) en deux minutes.
7 jours gratuits · sans carte bancaire · annulez à tout moment
Guides associés
Comment se conformer à NIS2 : une feuille de route étape par étape
Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.
Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille
Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.
NIS2 pour les fournisseurs : vous n'êtes pas désigné, mais vos clients le sont
La plupart des entreprises ne sont jamais désignées au titre de NIS2, mais beaucoup doivent s'y conformer malgré tout. Comment l'obligation de chaîne d'approvisionnement d'un client concerné (article 21, paragraphe 2, point d) descend jusqu'à vous, ce qu'il demande et comment répondre de façon crédible.
NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique
NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.
Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie
Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.
NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs
Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.
Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit
Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.
Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués
Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.
NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir
Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.
ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent
Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.
Amendes et sanctions NIS2 : combien, qui est responsable et comment les éviter
Ce que sont les sanctions NIS2 : les plafonds de l'article 34 (10 M€ / 2 % pour les entités essentielles, 7 M€ / 1,4 % pour les importantes), la responsabilité personnelle de la direction (art. 20, art. 32), les mesures non pécuniaires et comment les éviter.
NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous
En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.
RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux
En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.
Le règlement européen sur la cyberrésilience (CRA) : champ, calendrier et ce qu'il signifie pour votre chaîne d'approvisionnement
Ce qu'exige le CRA, ses dates échelonnées (en vigueur 2024, signalement sept. 2026, conformité totale déc. 2027), qui est concerné et pourquoi le pur SaaS souvent non, comment il complète NIS2, et ce qu'il signifie pour les achats et la diligence fournisseurs.
Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)
Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.
Statut de transposition de NIS2 : dans quels pays de l'UE est-elle en vigueur
Lesquels des 27 États membres de l'UE ont transposé NIS2 en droit national et lesquels finalisent encore, et pourquoi les écarts atteignent votre chaîne d'approvisionnement malgré tout.
Clauses contractuelles fournisseurs NIS2 : que exiger de vos fournisseurs
Les clauses qui rendent l'obligation de chaîne d'approvisionnement de NIS2 exécutoire : socle de sécurité, fenêtre de notification, droits de preuve et d'audit, répercussion aux sous-traitants, et vérification continue.
Votre posture de sécurité externe sous NIS2 : ce que voient fournisseurs et clients
Les signaux publiquement visibles que les clients évaluent au titre de l'art. 21(2)(d) de NIS2 : usurpation d'e-mail (SPF/DMARC), hygiène des certificats, systèmes exposés à Internet et identifiants fuités, pourquoi chacun compte et comment les vérifier et corriger.
Vos fournisseurs utilisent-ils l'IA ? Le risque fournisseur NIS2 rencontre le règlement IA de l'UE
Les fournisseurs intègrent de plus en plus l'IA dans les services dont vous dépendez, et leurs fournisseurs aussi. Où l'IA des fournisseurs et de la n-ième partie crée un risque au titre de l'art. 21(2)(d) de NIS2 et du règlement IA, quoi évaluer et comment garder la visibilité.
Dernière révision: 19 juin 2026
Ce guide fournit des informations générales sur le droit de l'UE, et non des conseils juridiques. NIS2 prend effet via la loi de transposition nationale de chaque État membre de l'UE, qui peut différer dans le détail. Vérifiez les obligations qui s'appliquent à vous auprès de votre autorité compétente ou de votre conseil juridique.