NIS2.it.com
Retour au blog
Supply Chain
NIS2 et la chaîne d'approvisionnement : 5 clauses à exiger de vos fournisseurs

NIS2 et la chaîne d'approvisionnement : 5 clauses à exiger de vos fournisseurs

7 min de lecture
SM

Sophie Martin

Analyste juridique — Droit européen du numérique

En mars 2024, une entreprise industrielle française a subi une intrusion majeure. L'attaquant n'a pas compromis ses systèmes directement — il est passé par un sous-traitant de maintenance informatique qui disposait d'un accès VPN permanent. L'entreprise était conforme NIS2 sur ses propres systèmes. Son fournisseur ne l'était pas. Résultat : trois semaines d'arrêt de production, un préjudice estimé à 4 millions d'euros, et une mise en demeure de l'ANSSI.

Ce scénario illustre exactement ce que l'article 21(2)(d) de la directive 2022/2555 cherche à prévenir.

Ce que NIS2 exige pour la chaîne d'approvisionnement

L'article 21 de la directive 2022/2555 impose aux entités essentielles et importantes de mettre en place des mesures de gestion des risques qui couvrent explicitement la sécurité de la chaîne d'approvisionnement. Cela comprend les relations avec les fournisseurs directs et les prestataires de services.

Concrètement, quatre obligations découlent de cet article. Premièrement, évaluer les risques provenant des fournisseurs directs et des prestataires de services, notamment les fournisseurs de services ICT (MSP, cloud, SaaS). Deuxièmement, intégrer des clauses de cybersécurité dans les contrats fournisseurs. Troisièmement, surveiller en continu la posture de sécurité des fournisseurs critiques. Quatrièmement, accorder une attention particulière aux prestataires de services ICT qui ont accès à vos systèmes d'information.

L'ANSSI précise dans ses guides que les entités doivent constituer un registre des risques tiers et être en mesure de le présenter lors d'un contrôle.

Pourquoi vos fournisseurs sont votre plus grand risque

Selon l'ENISA, 62 % des incidents de sécurité significatifs en 2023 impliquaient un accès tiers. Les fournisseurs de services managés (MSP), les éditeurs de logiciels SaaS et les prestataires cloud représentent la majorité de ces vecteurs d'attaque.

Un fournisseur qui n'applique pas l'authentification multifacteur (MFA) sur ses accès à vos systèmes crée une porte d'entrée directe. Un sous-traitant qui stocke vos données dans un pays hors UE sans garanties contractuelles expose votre organisation à une double infraction — NIS2 et RGPD simultanément.

5 clauses contractuelles concrètes à exiger

Clause 1 : Droit d'audit de sécurité

Votre contrat doit prévoir le droit pour votre organisation (ou un auditeur tiers mandaté) de réaliser des audits de sécurité chez le fournisseur, avec un préavis maximal de 30 jours. Le fournisseur doit s'engager à coopérer et à fournir l'accès aux systèmes, documentations et journaux d'événements pertinents. Sans cette clause, vous ne pouvez pas vérifier que votre fournisseur maintient le niveau de sécurité qu'il vous a promis.

Clause 2 : Obligation de notification des incidents en 24 heures

Le fournisseur doit vous notifier tout incident de sécurité susceptible d'affecter vos systèmes ou vos données dans un délai de 24 heures. Cette obligation reflète directement l'article 23 de la directive 2022/2555. Vous avez vous-même 24 heures pour alerter l'ANSSI — vous ne pouvez pas respecter ce délai si votre fournisseur vous prévient trois jours après l'incident.

Clause 3 : Standards de sécurité minimaux

Le contrat doit définir des exigences techniques précises : authentification multifacteur (MFA) obligatoire pour tout accès à vos systèmes, chiffrement des données en transit (TLS 1.2 minimum) et au repos (AES-256), délai maximal de 72 heures pour appliquer les correctifs de sécurité critiques, et politique de gestion des accès à privilèges documentée. Ces standards doivent être vérifiables — le fournisseur doit pouvoir fournir une preuve (rapport de scan, certificat ISO 27001, attestation SOC 2).

Clause 4 : Localisation des données et souveraineté

Précisez contractuellement où vos données sont stockées et traitées. Pour les entités soumises à NIS2, le transfert de données hors UE doit respecter les mécanismes du RGPD (clauses contractuelles types, décision d'adéquation). Interdisez explicitement la sous-traitance de vos données à des entités tierces sans accord préalable écrit.

Clause 5 : Responsabilité et pénalités

Définissez des pénalités contractuelles en cas de non-respect des obligations de sécurité : amende forfaitaire par incident non notifié dans les délais, indemnisation des dommages directs résultant d'une défaillance de sécurité du fournisseur, droit de résiliation sans pénalité en cas de violation grave des obligations de sécurité. Ces pénalités doivent être proportionnées — suffisantes pour inciter à la conformité, mais pas au point de rendre le contrat non signable.

Comment l'ANSSI vérifiera votre gestion des fournisseurs

Lors d'un contrôle, les auditeurs de l'ANSSI peuvent demander à consulter vos contrats fournisseurs, votre registre des risques tiers, et les preuves d'évaluation régulière de vos prestataires critiques.

L'ANSSI attend des entités essentielles qu'elles disposent d'un processus formalisé d'évaluation des fournisseurs, réalisé au minimum annuellement pour les prestataires critiques. Pour les entités importantes, la supervision est moins proactive, mais un incident révélant l'absence de ces processus peut déclencher des sanctions.

Le registre des risques tiers doit identifier chaque fournisseur ayant accès à vos systèmes d'information, le niveau de risque associé, les mesures de mitigation en place, et la date de la dernière évaluation.

Par où commencer

Identifiez vos 10 fournisseurs les plus critiques — ceux qui ont accès à vos systèmes d'information, qui traitent vos données sensibles, ou dont l'indisponibilité bloquerait votre activité. Pour chacun, évaluez si votre contrat actuel contient les 5 clauses décrites ci-dessus.

Intégrez ces clauses à l'occasion du prochain renouvellement contractuel. Pour les fournisseurs dont le contrat court encore 12 mois ou plus, envisagez un avenant. Pour les nouveaux appels d'offres, incluez ces exigences dès le cahier des charges.

La directive NIS2 (article 21, directive 2022/2555) ne vous demande pas de certifier tous vos fournisseurs du jour au lendemain. Elle vous demande de démontrer que vous gérez activement ces risques — avec des contrats, des évaluations, et un registre documenté.

*Cet article est informatif et ne constitue pas un conseil juridique. Pour toute question spécifique à votre situation, consultez un conseiller juridique spécialisé.*

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique.