NIS2 et supply chain : obligations Article 21

L'incident SolarWinds de 2020, les attaques via Kaseya en 2021, la compromission de la chaîne d'outils de développement XZ Utils en 2024 — les attaques via la chaîne d'approvisionnement logicielle sont devenues l'une des menaces les plus redoutées. NIS2 en a tiré les conséquences : la sécurité de votre supply chain n'est plus une bonne pratique optionnelle, c'est une obligation légale.

Pourquoi NIS2 Cible Spécifiquement la Supply Chain

La logique est simple : une entité conforme à NIS2 peut voir sa sécurité compromise via un fournisseur qui ne l'est pas. Si un prestataire de maintenance IT d'un hôpital est compromis par un ransomware, les systèmes hospitaliers tombent — même si l'hôpital avait mis en place toutes les mesures requises.

NIS2 étend donc la responsabilité de sécurité au-delà du périmètre de l'entité elle-même. L'article 21 paragraphe 2 point d) impose explicitement de gérer la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs.

Cette formulation est large intentionnellement. Elle couvre :

• Vos fournisseurs de solutions logicielles (éditeurs SaaS, développeurs)
• Vos prestataires d'infrastructure (hébergeurs, MSP, opérateurs réseau)
• Vos fournisseurs de matériel (fabricants d'équipements réseau, de serveurs)
• Vos prestataires de services de sécurité (SOC, MSSP, cabinets d'audit)
• Vos sous-traitants ayant un accès à vos systèmes ou à vos données

Obligations Concrètes : Article 21 en Détail

L'article 21 de la Directive 2022/2555 définit les mesures de gestion des risques en matière de cybersécurité que les entités soumises à NIS2 doivent mettre en place. Pour la supply chain, les obligations clés sont les suivantes.

Évaluation des Risques Fournisseurs

Vous devez mettre en place un processus structuré d'évaluation des risques liés aux fournisseurs. Cela signifie identifier vos fournisseurs critiques (ceux dont la compromission aurait un impact significatif sur vos services), évaluer leur niveau de maturité cybersécurité, et documenter cette évaluation.

La directive n'impose pas une méthode unique. Les approches acceptées incluent : questionnaires de sécurité, audits sur site, certification reconnue (ISO 27001, SOC 2, etc.), attestations de conformité.

Clauses Contractuelles de Sécurité

Vos contrats avec les fournisseurs critiques doivent contenir des clauses de sécurité explicites. NIS2 ne liste pas exactement quelles clauses sont requises, mais les autorités de supervision (ANSSI en France) et les recommandations de l'ENISA convergent vers un socle minimal :

• Obligation pour le fournisseur de notifier tout incident de sécurité pouvant vous affecter dans un délai défini (généralement 24 à 72 heures)
• Droit d'audit de votre côté (audit sur site ou questionnaire annuel)
• Obligation de maintenir un niveau de sécurité équivalent au vôtre pour les données ou systèmes qu'il traite
• Clauses de responsabilité en cas de compromission imputable au fournisseur
• Obligation de vous informer des sous-traitants ayant accès à vos données

Monitoring Continu des Fournisseurs

L'évaluation initiale ne suffit pas. NIS2 implique un suivi dans le temps de la posture de sécurité de vos fournisseurs critiques. En pratique, cela se traduit par :

• Revue annuelle ou biannuelle des questionnaires de sécurité
• Veille sur les CVE critiques affectant les logiciels de vos fournisseurs
• Suivi des certifications (renouvellement ISO 27001, expiration SOC 2)
• Surveillance des signalements d'incidents publics impliquant vos fournisseurs

Cartographier Votre Chaîne d'Approvisionnement : Par Où Commencer

La difficulté pour une PME n'est pas de comprendre les obligations, mais de les appliquer à une liste de fournisseurs qui peut dépasser plusieurs dizaines d'entrées. La méthode en 4 étapes :

Étape 1 : Inventaire Exhaustif

Listez tous vos fournisseurs ayant un lien avec vos systèmes d'information ou vos données :

• Fournisseurs avec accès direct (VPN, RDP, accès API en production)
• Fournisseurs traitant vos données (sous-traitants RGPD)
• Fournisseurs de logiciels installés sur vos postes ou serveurs
• Fournisseurs d'infrastructure cloud et d'hébergement

Étape 2 : Priorisation par Criticité

Tous les fournisseurs ne méritent pas le même niveau d'attention. Classifiez-les selon deux axes : niveau d'accès (accès à vos systèmes de production vs accès à des données non-sensibles) et impact potentiel (si ce fournisseur tombe, quelle partie de votre activité s'arrête ?).

Résultats typiques :

• Critiques (10-15 % des fournisseurs) : accès production + impact fort. Audit approfondi requis.
• Importants (30-40 %) : accès limité ou impact modéré. Questionnaire annuel.
• Faible risque (50-60 %) : accès inexistant ou données non-sensibles. Veille passive.

Étape 3 : Questionnaire de Sécurité Fournisseur

Pour vos fournisseurs critiques et importants, un questionnaire de sécurité structuré couvre au minimum :

• Politique de sécurité de l'information et certifications détenues
• Gestion des accès et authentification multi-facteurs
• Procédure de notification d'incident
• Politique de sauvegarde et de continuité d'activité
• Gestion des vulnérabilités et des correctifs
• Contrôle des sous-traitants ayant accès à vos données

Étape 4 : Mise à Jour des Contrats

Sur la base des questionnaires et de l'évaluation des risques, mettre à jour les contrats existants ou conditionner les nouveaux contrats à l'inclusion des clauses de sécurité minimales. Pour les fournisseurs critiques refusant ces clauses, documenter le risque résiduel et décider d'un traitement (acceptation avec justification, migration vers un autre fournisseur).

Clauses Contractuelles : Modèle de Base

Voici les clauses essentielles à intégrer dans vos contrats avec les fournisseurs critiques :

Clause de notification d'incident : "Le prestataire s'engage à notifier [votre société] de tout incident de sécurité susceptible d'affecter les systèmes, données ou services fournis, dans un délai maximum de [24/48] heures suivant sa prise de conscience de l'incident."

Clause d'audit : "[Votre société] se réserve le droit de conduire ou de faire conduire un audit de sécurité annuel des systèmes et processus du prestataire ayant trait aux services fournis. Le prestataire s'engage à y coopérer pleinement."

Clause de niveau de sécurité : "Le prestataire s'engage à maintenir un niveau de sécurité de l'information conforme à [la norme ISO 27001 / au cadre NIST CSF / aux exigences NIS2 applicables à son secteur] pour l'ensemble des activités réalisées dans le cadre du présent contrat."

Clause sous-traitants : "Le prestataire s'engage à informer [votre société] de tout sous-traitant ayant accès aux données ou systèmes couverts par ce contrat, et à obtenir l'accord préalable de [votre société] avant toute modification de cette liste."

Le Cas Particulier des Logiciels Open Source

NIS2 et les lignes directrices ENISA précisent que la dépendance aux composants open source entre dans le périmètre de la sécurité de la chaîne d'approvisionnement. Cela implique de :

• Maintenir un Software Bill of Materials (SBOM) — liste des composants logiciels utilisés
• Surveiller les CVE critiques affectant ces composants
• Appliquer les correctifs dans des délais raisonnables (généralement 30 jours pour les vulnérabilités critiques)

Des outils comme OWASP Dependency-Check ou GitHub Dependabot permettent d'automatiser cette surveillance.

WarDek : Auditez Vos Fournisseurs avec WarDek

WarDek intègre un module de gestion de la chaîne d'approvisionnement conçu pour les exigences NIS2. La plateforme permet de centraliser l'inventaire de vos fournisseurs, d'envoyer et de suivre les questionnaires de sécurité, de calculer automatiquement un score de risque par fournisseur, et de générer les rapports documentaires requis pour un audit ANSSI.

Le module inclut des modèles de questionnaires alignés sur les recommandations ENISA et les exigences de l'article 21 de NIS2, adaptés à différentes catégories de fournisseurs (SaaS, MSP, hébergeur, prestataire de développement).

Pour identifier si vos fournisseurs sont eux-mêmes soumis à NIS2, consultez notre guide sur les secteurs critiques NIS2.