Rapport exemple — données d'entreprise fictives. Chaque abonnement norppa.io inclut 100+ vérifications automatisées sur tous les domaines surveillés — OSINT passif et contrôles de sécurité HTTP — quotidiennement automatiquement.

Rapport de renseignement NIS2 sur la chaîne d'approvisionnement

Acme Manufacturing Oy

Période de rapport: Mars 2026 · Généré le 1er avril 2026

61/100

Score de risque NIS2

Attention requise

-13 (vs 74 le mois dernier)

Résumé

Critique

Élevé

Moyen

Info

5 fournisseurs surveillés avec 100+ vérifications automatisées quotidiennement. 2 constatations critiques nécessitent une action immédiate — un fournisseur est apparu sur une liste de victimes d'un acteur de menace actif et un autre a des identifiants d'employés circulant sur les marchés du dark web. 3 problèmes d'infrastructure de haute gravité et 2 constatations moyennes nécessitent une remédiation sous 7 jours. Les articles NIS2 21(2)(d), 21(2)(e), 21(2)(h) et 21(2)(i) ont des constatations actives.

Résumé exécutif IA

La posture de risque de la chaîne d'approvisionnement NIS2 d'Acme Manufacturing s'est détériorée cette période, avec un score en baisse de 74 à 62, dû à deux constatations critiques nécessitant une attention immédiate de la direction.

La menace la plus significative est l'inscription active d'Acme Logistics Oy sur une liste de victimes de ransomware. Le groupe d'acteurs de menace à l'origine de cette campagne est connu pour maintenir un accès persistant et vendre l'accès réseau à des acteurs secondaires lorsque les négociations de rançon primaires échouent. Tous les points d'intégration — APIs, transferts de fichiers, systèmes d'authentification partagés — entre votre organisation et Acme Logistics doivent être considérés comme potentiellement compromis jusqu'à ce que le fournisseur fournisse un rapport de confinement vérifié. Simultanément, 14 identifiants d'employés de Nordic Cloud Services circulent sur les marchés infostealer du dark web, créant un risque d'exposition multi-vecteurs pour tout environnement cloud partagé ou point de terminaison VPN.

Du point de vue de la conformité NIS2, quatre articles ont des constatations actives cette période : Art. 21(2)(d) (gestion des risques de la chaîne d'approvisionnement), 21(2)(e) (obligations de notification d'incidents), 21(2)(h) (contrôles cryptographiques — expiration TLS) et 21(2)(i) (contrôle d'accès — hygiène des identifiants). Des évaluations des risques documentées immédiates sont requises en vertu des Art. 21(2)(d) et 21(2)(e). L'expiration du certificat TLS de databridge.fi dans 6 jours présente une échéance ferme — l'échec du renouvellement entraînera une interruption de service et constitue une lacune de conformité en vertu de l'Art. 21(2)(h).

Basé sur les constatations brutes ci-dessous — chaque affirmation est vérifiable.

Actions prioritaires

Acme Logistics Oy — inscription sur liste de victimes de ransomware : contacter le fournisseur immédiatement et examiner les flux de données. Engager la réponse aux incidents.

Critique

Nordic Cloud Services — 14 identifiants d'employés sur le dark web : notifier le fournisseur, exiger la rotation des mots de passe et l'application de la MFA.

Critique

DataBridge Finland — certificat TLS expire dans 6 jours : demander au fournisseur de renouveler immédiatement pour éviter une interruption de service.

Élevé

Acme Logistics Oy — infrastructure dans un pays à haut risque : demander la documentation d'infrastructure du fournisseur et examiner les obligations NIS2 Art. 21(2)(d).

Élevé

Nordic Cloud Services — DMARC manquant : demander au fournisseur de publier un enregistrement DMARC pour prévenir l'usurpation de domaine.

Élevé

Statut de conformité des articles NIS2

Art. 21(2)(d)

Chaîne d'approvisionnement

Sécurité de la chaîne d'approvisionnement et mesures vis-à-vis des tiers

1 constatation

Art. 21(2)(e)

Gestion des risques

Gestion des risques dans les réseaux et systèmes d'information

3 constatations

Art. 21(2)(h)

Cryptographie

Cryptographie, TLS et hygiène des certificats

4 constatations

Art. 21(2)(i)

Identifiants

Sécurité des ressources humaines et gestion des identifiants

1 constatation

Art. 23

Notification d'incidents

Notification d'incidents et divulgation des vulnérabilités

1 constatation

Constatations actives (9)

CritiqueInscription active sur liste de victimes de ransomware détectéeArt. 21(2)(e)

Acme Logistics Oy · acme-logistics.fi · Détecté 15 mars 2026

Le domaine fournisseur est apparu sur une liste de victimes d'un acteur de menace actif. Le groupe de menaces revendique une exfiltration de données.

Contexte de menace IA

Scénario d'exploitation: Le groupe de menaces maintient un accès actif aux systèmes du fournisseur et déploie probablement des charges utiles supplémentaires ou prépare une exfiltration accrue. Les groupes de ransomware vendent régulièrement l'accès réseau à d'autres acteurs lorsque les négociations de rançon primaires échouent.

Risque commercial: Tout système que votre organisation partage avec ce fournisseur — APIs, transferts de fichiers, VPNs — doit être traité comme potentiellement compromis jusqu'à ce que le fournisseur confirme le confinement. NIS2 Art. 21(2)(e) vous oblige à documenter immédiatement votre évaluation des risques de cette relation fournisseur.

Remédiation: Contactez immédiatement le fournisseur. Engagez une équipe de réponse aux incidents. Supposez que les services peuvent être partiellement compromis et examinez les flux de données entre votre organisation et ce fournisseur.

CritiqueDark web — identifiants d'employés divulguésArt. 21(2)(i)

Nordic Cloud Services · nordiccloud.fi · Détecté 18 mars 2026

Des identifiants d'employés pour ce domaine circulent sur les marchés du dark web, capturés par une campagne infostealer. 14 comptes uniques identifiés.

Contexte de menace IA

Scénario d'exploitation: Les identifiants récoltés par infostealer sont vendus sur les marchés du dark web dans les heures suivant leur capture et utilisés pour le credential stuffing, le détournement de session et l'infiltration de VPNs d'entreprise ou d'environnements cloud. Avec 14 comptes exposés, les attaquants disposent de multiples vecteurs d'accès à l'infrastructure du fournisseur.

Risque commercial: Si ce fournisseur utilise des identifiants compromis pour accéder à des systèmes partagés, votre environnement pourrait déjà être à risque. NIS2 Art. 21(2)(i) vous oblige à vérifier que les fournisseurs appliquent la MFA et l'hygiène des identifiants — documentez votre réponse et les mesures de remédiation prises.

Remédiation: Notifiez le fournisseur. Demandez une rotation immédiate des mots de passe et l'application de la MFA pour tous les comptes. Vérifiez qu'aucun identifiant partagé n'est utilisé dans les intégrations avec vos systèmes.

ÉlevéInfrastructure dans un pays à haut risqueArt. 21(2)(d)

Acme Logistics Oy · acme-logistics.fi · Détecté 1 mars 2026

L'IP principale du fournisseur correspond à une infrastructure enregistrée dans une juridiction figurant sur la liste des pays tiers à haut risque de l'UE. Cela peut représenter un risque pour la chaîne d'approvisionnement en vertu de NIS2 Art. 21(2)(d).

Remédiation: Demandez la documentation d'infrastructure du fournisseur. Examinez les obligations contractuelles et les accords de traitement des données à la lumière des exigences de sécurité de la chaîne d'approvisionnement NIS2 Art. 21(2)(d).

ÉlevéCertificat TLS expire dans 6 joursArt. 21(2)(h)

DataBridge Finland · databridge.fi · Détecté 24 mars 2026

Le certificat TLS de databridge.fi expire le 30 mars 2026. Les services deviendront inaccessibles ou afficheront des avertissements de sécurité du navigateur aux utilisateurs finaux après l'expiration.

Remédiation: Demandez au fournisseur de renouveler le certificat TLS immédiatement. Le renouvellement automatique via ACME/Let's Encrypt est recommandé pour éviter les futures expirations.

ÉlevéPolitique DMARC manquanteArt. 21(2)(h)

Nordic Cloud Services · nordiccloud.fi · Détecté 1 mars 2026

Aucun enregistrement DMARC n'est publié pour ce domaine. Le domaine peut être usurpé dans des campagnes de phishing ciblant votre organisation et les clients du fournisseur.

Remédiation: Demandez au fournisseur de publier un enregistrement DMARC. Commencez avec p=none pour collecter des rapports agrégés, puis renforcez vers p=quarantine ou p=reject.

ÉlevéVulnérabilités connues détectées (CVE)Art. 21(2)(e)

Acme Logistics Oy · acme-logistics.fi · Détecté 2 mars 2026

2 CVEs détectés sur l'infrastructure exposée sur internet. CVE-2023-44487 (HTTP/2 Rapid Reset, CVSS 7.5) est évalué élevé et dispose d'exploits publics connus.

Remédiation: Demandez au fournisseur d'appliquer les correctifs de sécurité disponibles pour les CVEs identifiés immédiatement, en priorisant les vulnérabilités avec des exploits publics connus.

MoyenDNSSEC non activéArt. 21(2)(h)

SupplyLink Partners · supplylink.eu · Détecté 1 mars 2026

DNSSEC n'est pas configuré. Les réponses DNS ne peuvent pas être authentifiées cryptographiquement, exposant le domaine aux attaques de spoofing DNS.

Remédiation: Demandez au fournisseur d'activer DNSSEC chez son registraire de domaine pour authentifier les réponses DNS contre la falsification.

Moyensecurity.txt manquant (NIS2 Art. 23)Art. 23

DataBridge Finland · databridge.fi · Détecté 1 mars 2026

Aucun fichier security.txt trouvé à /.well-known/security.txt. NIS2 Art. 23 exige que les organisations disposent d'un canal de divulgation de vulnérabilités accessible.

Remédiation: Demandez au fournisseur de créer un fichier security.txt à /.well-known/security.txt avec une adresse de contact sécurité et une URL de politique.

InfoEn-tête de sécurité HTTP manquant

SupplyLink Partners · supplylink.eu · Détecté 1 mars 2026

L'en-tête Content-Security-Policy est absent sur la propriété web principale. Cela augmente l'exposition aux attaques de cross-site scripting et d'injection de contenu.

Remédiation: Demandez au fournisseur de configurer les en-têtes de sécurité HTTP : Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security.

Voulez-vous ce rapport pour votre propre réseau de fournisseurs ?

Essai gratuit — sans carte bancaire

Aperçu des risques fournisseurs

Fournisseur	Domaine	Score de sécurité	Critique	Élevé
Acme Logistics Oy	acme-logistics.fi	22	2	1
Nordic Cloud Services	nordiccloud.fi	48	1	1
DataBridge Finland	databridge.fi	64	—	1
SupplyLink Partners	supplylink.eu	81	—	—
Vantage IT Oy	vantage-it.fi	97	—	—

Votre propre environnement

acme-manufacturing.fi

Dernier scan: 7 mai 2026

78/100

Score de sécurité

Moyensecurity.txt manquant (NIS2 Art. 23)Art. 23

Aucun fichier security.txt trouvé à /.well-known/security.txt. NIS2 Art. 23 exige un canal de divulgation de vulnérabilités accessible.

Remédiation: Créez un fichier security.txt à /.well-known/security.txt avec une adresse de contact sécurité et une URL de politique.

MoyenDNSSEC non activéArt. 21(2)(h)

DNSSEC n'est pas configuré pour votre domaine. Les réponses DNS ne peuvent pas être authentifiées cryptographiquement.

Remédiation: Activez DNSSEC chez votre registraire de domaine pour authentifier les réponses DNS contre la falsification.

Votre propre domaine reçoit les mêmes 100+ vérifications automatisées que vos fournisseurs — OSINT passif et contrôles de sécurité HTTP quotidiennement. Le module Full Scan (si activé) ajoute une évaluation de sécurité externe mensuelle sur ce domaine.

Auto-évaluations fournisseurs (SAQ)

Les fournisseurs complètent une auto-évaluation NIS2 de 28 questions. Les réponses sont notées automatiquement et visibles ici aux côtés des constatations automatisées — deux niveaux de preuves de conformité dans un rapport.

Fournisseur	Score SAQ	Status
Acme Logistics Oy	—	En attente de réponse
Nordic Cloud Services	61/100	Soumis · 20 mars 2026
DataBridge Finland	74/100	Soumis · 8 mars 2026
SupplyLink Partners	—	Non envoyé
Vantage IT Oy	91/100	Soumis · 5 mars 2026

Nordic Cloud Services

[email protected] · 20 mars 2026

61/100

Score SAQ

Répartition par section

Gouvernance & politiques de sécurité

Art. 21(2)(a)

Contrôle d'accès & authentification

Art. 21(2)(i)(j)

Réponse aux incidents & divulgation

Art. 21(2)(b), Art. 23

Protection des données & cryptographie

Art. 21(2)(h)

Continuité des activités

Art. 21(2)(c)

Chaîne d'approvisionnement & tiers

Art. 21(2)(d)

Gestion des vulnérabilités

Art. 21(2)(e)(g)

Note d'analyste: Le SAQ révèle que la MFA n'est pas appliquée sur tous les comptes et qu'aucun plan de réponse aux incidents testé n'existe — cohérent avec la fuite d'identifiants du dark web détectée dans le monitoring automatisé.

Méthodologie de surveillance

Plus de 100 vérifications automatisées s'exécutent quotidiennement sur tous les domaines surveillés, avec une surveillance ransomware et dark web toutes les 6 heures. Les vérifications couvrent : listes de victimes de ransomware (plusieurs flux de renseignements sur les menaces), fuites d'identifiants infostealer du dark web, santé et expiration TLS/certificats, intégrité DNS (SPF, DMARC, DKIM, DNSSEC), chaîne de validation DNSSEC, statut liste noire DNS des serveurs MX, posture de sécurité des e-mails et score d'usurpation (TLS-RPT, MTA-STS, BIMI, risque BEC composite), indicateurs de sécurité des cookies (Secure, HttpOnly, SameSite), exposition des chemins sensibles robots.txt et sitemap, géolocalisation IP et détection de pays à haut risque, exposition aux vulnérabilités connues (CVE/EPSS), détection d'infrastructure de phishing AiTM via les journaux Certificate Transparency, validation RPKI/BGP, statut registre des entreprises et LEI (PRH, GLEIF), détection CNAME et MX orphelins, détection de références SBOM/CSAF, présence de security.txt, en-têtes de sécurité, vérification de redirection HTTPS et détection de changements de site web.

Nouveau en 2026

détection de la préparation TLS post-quantique (suites hybrides NIST FIPS 203 ML-KEM), détection d'exposition des points d'accès Model Context Protocol (MCP), analyse des secrets dans les bundles JavaScript (clés API, tokens), inventaire des fournisseurs d'IA pour les obligations du déployeur selon l'Art. 26 du Règlement UE sur l'IA, contrôles d'introspection GraphQL et d'exposition OpenAPI, et export DORA Register of Information (Annexe III B_02.03 + B_05.01). Toutes les constatations sont automatiquement mappées aux articles NIS2.

Les scans s'exécutent quotidiennement. Dernier scan : 7 mai 2026 00:00 UTC.

Obtenez ce rapport pour votre réseau de fournisseurs

Les nouveaux fournisseurs sont mis en file d'attente pour le scan immédiatement. Les rapports de conformité NIS2 mensuels sont générés automatiquement après chaque cycle de scan — avec un résumé exécutif IA. Aucun agent à installer.

Voir les tarifs →