Cybersecurity

NIS 2 supply chain : sous-traitants et fournisseurs

NIS 2 supply chain : obligations sécurité fournisseurs (art. 21 §2d), gestion sous-traitants, clauses contractuelles, audits. Guide 2026.

TD
Dr. Thiébaut Devergranne
3 juin 20267 min read

En une phrase. L’article 21 §2(d) NIS 2 impose explicitement la « sécurité de la chaîne d’approvisionnement » : évaluation des fournisseurs et sous-traitants, intégration dans la gestion des risques, vulnérabilités issues des relations contractuelles. Les attaques SolarWinds (2020), Kaseya (2021), 3CX (2023), MOVEit (2023) ont démontré l’ampleur du risque : une compromission d’un seul fournisseur expose des milliers d’entités aval. La coordination ENISA-CSIRT publie depuis 2022 des lignes directrices ; l’ANSSI les contextualise. Les entités NIS 2 doivent auditer leurs fournisseurs critiques et insérer des clauses cyber spécifiques dans les contrats.

L’attaque MOVEit (mai 2023) via une faille du logiciel de transfert de fichiers Progress a touché 2 700+ organisations et exposé 94 millions d’individus. Coût total estimé : 15 Md$ (Cyentia 2024). Ces incidents définissent l’urgence supply chain.

Pour approfondir : PSSI ANSSI, SecNumCloud, PCA ANSSI.

Points clés

  • Art. 21 §2(d) NIS 2 : sécurité de la chaîne d’approvisionnement obligatoire.
  • Évaluation systématique des fournisseurs critiques et leur impact en cas de défaillance.
  • Clauses contractuelles cyber : sécurité, notification, audit, fin de contrat.
  • ENISA publie depuis 2022 guides supply chain ; ANSSI contextualise.
  • Cas marquants : SolarWinds (2020), Kaseya (2021), 3CX (2023), MOVEit (2023).

1. Cadre NIS 2 supply chain

Article 21 §2(d) : « la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ».

Article 22 : « évaluations coordonnées au niveau de l’Union des risques liés aux chaînes d’approvisionnement essentielles » par la Commission, l’ENISA et le groupe de coopération NIS.

2. Cartographie des fournisseurs

Pré-requis : avoir une vue complète de ses fournisseurs IT et critiques :

Catégorie Exemples
Infrastructure cloud AWS, Azure, GCP, OVHcloud
SaaS métier Salesforce, ServiceNow, Workday
Communication Microsoft 365, Google Workspace
Sécurité EDR, SIEM, MDR providers
Développement GitHub, GitLab, npm, PyPI
Sous-traitants IT ESN, MSP, hébergeurs
Logistique / OT Capteurs IoT, automates
Services métier Comptable, juridique, RH

L’inventaire doit être maintenu (idéalement dans le SIRH ou via outil GRC type Vanta, OneTrust, Drata).

3. Évaluation des risques fournisseurs

Méthode recommandée :

  1. Classifier par criticité (impact si compromission)
  2. Évaluer maturité cyber (questionnaire SIG, CAIQ)
  3. Vérifier certifications (ISO 27001, SOC 2, HDS, SecNumCloud)
  4. Auditer les fournisseurs Tier 1 (les plus critiques)
  5. Mettre à jour annuellement

Outils : Tugboat Logic, OneTrust, BitSight, SecurityScorecard, Black Kite (notation cyber externe).

4. Clauses contractuelles cyber : socle

À insérer dans les contrats fournisseurs Tier 1-2 :

Clause Contenu
Niveau de sécurité ISO 27001 / SOC 2 / SecNumCloud / engagement équivalent
Notification incident < 24h en cas d’incident affectant le service
Notification violation < 24h en cas de violation données
Droit d’audit Sur pièces ou place, 1x/an ou sur incident
Sous-traitants ultérieurs Liste + consentement écrit
Continuité d’activité PCA documenté, RTO/RPO contractuels
Fin de contrat Restitution + destruction certifiée
Résiliation cyber En cas de manquement grave sécurité
Pénalités SLA Indisponibilité, dégradation, incident

5. SBOM : Software Bill of Materials

Le Software Bill of Materials (SBOM) liste les composants logiciels :

  • Bibliothèques tierces
  • Versions
  • Origines
  • Licences

Standards : SPDX, CycloneDX, SWID. Obligation US (Executive Order 14028, 2021) et émergente UE (Cyber Resilience Act 2024).

Outils : Syft, Dependency-Track, Snyk, GitHub Dependabot.

6. Vendor questionnaires : standards

Pour évaluer les fournisseurs :

  • SIG (Standardized Information Gathering) — Shared Assessments
  • CAIQ (Consensus Assessments Initiative Questionnaire) — Cloud Security Alliance
  • VSA (Vendor Security Assessment) — propres aux clients
  • CSF mapping (NIST Cybersecurity Framework)
  • SOC 2 reports (Type I et Type II)

Plateformes : OneTrust, Whistic, Drata, Vanta.

7. Risques typiques supply chain

Top 10 vecteurs supply chain :

  1. Composants open source vulnérables (Log4Shell décembre 2021)
  2. Pipeline CI/CD compromis (SolarWinds 2020)
  3. Logiciel de gestion à distance (Kaseya 2021)
  4. Bibliothèques npm/PyPI/Maven malicieuses (event-stream, ua-parser)
  5. Mise à jour signée mais compromise (3CX 2023)
  6. Service de transfert de fichiers (MOVEit 2023, Goanywhere 2023)
  7. MSP / fournisseurs IT (Solarwinds, Kaseya)
  8. Open source unmaintained (xz-utils backdoor 2024)
  9. Sous-traitant infogérance (Almerys/Viamedis 2024)
  10. Fournisseurs hardware (Supermicro 2018, faux ou allégué)

8. Cas marquants 2020-2024

Date Vecteur Victimes Impact
Déc. 2020 SolarWinds Orion 18 000 entités Espionnage massif US
Juil. 2021 Kaseya VSA 1 500 entreprises Ransomware REvil
Avr. 2023 3CX Desktop App Milliers d’entreprises Backdoor APT NK
Mai 2023 MOVEit Transfer 2 700+ orgs, 94M individus Vol massif données
Févr. 2024 Almerys/Viamedis 33M Français Tiers payant santé
Mars 2024 xz-utils Très limité (détecté avant) Backdoor SSH manqué
Avr. 2024 France Travail (via ST) 43M Français Sous-traitant compromis

9. Coopération européenne

L’ENISA coordonne les évaluations supply chain :

  • EU Coordinated Risk Assessment sur 5G (2019)
  • Threat Landscape Supply Chain Attacks (2021, mises à jour annuelles)
  • Guidelines for Securing the Internet of Things (2020)
  • Best practices for cyber crisis management (2024)

Le NIS Cooperation Group publie depuis 2022 des évaluations sectorielles coordonnées (énergie, télécoms).

10. Audit fournisseur : process

Étapes :

  1. Notification au fournisseur (préavis 30-60 jours)
  2. Périmètre : services, périmètre géo, sous-traitants
  3. Questionnaire pré-audit (SIG/CAIQ)
  4. Audit sur pièces : politiques, procédures, certifications
  5. Audit sur place (Tier 1 critique) : data center, équipe
  6. Rapport + plan d’actions
  7. Suivi trimestriel ou semestriel

Coût audit Tier 1 : 15 000-50 000 € par fournisseur (cabinet externe).

11. Open source : gérer le risque

Bonnes pratiques :

  • Inventaire SCA (Software Composition Analysis) : Snyk, Sonatype, Black Duck
  • Versions à jour (pas de dépendances obsolètes)
  • CVE monitoring automatique
  • Politique d’usage (whitelist vs blacklist)
  • Mirror interne pour les dépendances critiques
  • Audit code pour bibliothèques sensibles (cryptographie, parsing)
  • Contribution ou sponsoring aux projets dont vous dépendez

12. Checklist supply chain NIS 2

À vérifier :

  1. Inventaire complet fournisseurs IT
  2. Classification par criticité Tier 1-3
  3. Politique supply chain documentée
  4. Questionnaire fournisseur (SIG/CAIQ) standardisé
  5. Clauses cyber dans tous contrats Tier 1-2
  6. Audit annuel Tier 1
  7. SBOM pour logiciels développés en interne
  8. Politique open source documentée
  9. Procédure notification incident fournisseur
  10. Plan B (réversibilité) pour chaque fournisseur Tier 1
  11. Cyber-assurance avec couverture supply chain
  12. Revue annuelle de la politique

FAQ

Quels fournisseurs auditer en priorité ?

Les Tier 1 : ceux dont la défaillance impacterait gravement votre activité (cloud principal, ERP, identité). Critères : volume données, criticité du service, intégration profonde (admin), nombre d’utilisateurs impactés. Audit annuel obligatoire pour Tier 1, biennal pour Tier 2.

Le DPA RGPD suffit-il pour la conformité NIS 2 ?

Non. Le DPA art. 28 RGPD couvre la protection des données personnelles. NIS 2 supply chain (art. 21 §2d) couvre la sécurité globale : disponibilité, intégrité, authenticité des services. Les deux sont complémentaires. Un addendum cyber spécifique est souvent nécessaire.

Que faire si un fournisseur Tier 1 refuse un audit ?

Trois options : (1) Négocier un audit allégé (questionnaire, rapport SOC 2), (2) Accepter des certifications tierces (ISO 27001, SOC 2 Type II) comme preuve, (3) Résilier et chercher un fournisseur alternatif. Pour NIS 2, l’absence d’évaluation est sanctionnable.

Comment gérer les sous-traitants de mes sous-traitants ?

Exiger la liste des sous-traitants ultérieurs (Tier 2) et le consentement écrit avant tout changement. Auditer les Tier 2 critiques directement ou par questionnaire. Coordonner les SLA en cascade : Tier 1 doit garantir engagement Tier 2.

Qu’est-ce qu’un SBOM et pourquoi ?

Software Bill of Materials : inventaire détaillé des composants d’un logiciel (libs, versions, licences). Obligatoire pour les fournisseurs US au gouvernement (EO 14028), de plus en plus exigé en UE (CRA 2024). Permet de détecter rapidement les composants vulnérables (Log4j) dans votre stack.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →