L'article 21(2)(d) du NIS2 exige explicitement que les organisations abordent la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs ou prestataires de services directs. À l’approche de l’échéance de transposition d’octobre 2027, la plupart des organisations manquent encore d’une visibilité systématique sur leur exposition aux risques tiers. KENSAI propose désormais une analyse automatisée de la sécurité de la chaîne d'approvisionnement, en surveillant en permanence les surfaces d'attaque externes de vos fournisseurs et en mappant les résultats aux exigences de conformité NIS2.
⚡ 73% des violations en 2025 impliquaient un vecteur tiers. NIS2 fait de la sécurité de la chaîne d'approvisionnement une obligation légale – KENSAI la rend automatisée.
La directive NIS2 (UE 2022/2555) introduit des mesures obligatoires de sécurité de la chaîne d'approvisionnement pour toutes les entités essentielles et importantes. L'article 21(2)(d) exige que les organisations mettent en œuvre « la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ». Il ne s’agit pas d’une obligation consultative – c’est d’une obligation légale avec des pouvoirs d’application.
Les entités essentielles s'exposent à des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les entités importantes font face à jusqu'à 7 millions d'euros, soit 1,4% du chiffre d'affaires. Mais le véritable coût est opérationnel : l’article 32 du NIS2 permet aux autorités de contrôle de suspendre les certifications, d’interdire à des individus d’accéder à des fonctions de direction et d’imposer des instructions contraignantes assorties de délais.
NIS2 s'applique à plus de 160 000 entités dans toute l'UE, couvrant 18 secteurs allant de l'énergie et des transports à l'infrastructure numérique et à la gestion des services TIC. Chacune de ces entités compte des dizaines, voire des centaines de fournisseurs, ce qui crée une cascade d'obligations de sécurité impossible à gérer manuellement.
L'équipe de recherche de KENSAI a analysé les surfaces d'attaque externes de 2 400 organisations européennes et de leurs 10 principaux fournisseurs chacune, révélant des lacunes alarmantes dans la posture de sécurité de la chaîne d'approvisionnement :
Les deux tiers des fournisseurs tiers de notre ensemble de données présentaient au moins une vulnérabilité critique (CVSS 9.0+) dans leur infrastructure externe, notamment des VPN non corrigés, des panneaux d'administration exposés et un stockage cloud mal configuré.
Seules 18 % des organisations interrogées disposaient d’un programme structuré d’évaluation de la sécurité par un tiers. La plupart s'appuient sur des questionnaires annuels, un instantané ponctuel qui devient obsolète en quelques semaines.
Les organisations mettent près de 10 mois pour détecter les violations provenant de vecteurs tiers, soit 2,3 fois plus longtemps que les attaques directes. Une surveillance continue réduit ce délai à moins de 48 heures.
Le coût moyen d'une violation de la chaîne d'approvisionnement s'élève à 4,2 millions d'euros, soit près de trois fois le coût d'une violation directe, en raison de la réponse multipartite aux incidents, de la complexité juridique et des impacts en cascade en aval.
Le nouveau module Sécurité de la chaîne d’approvisionnement de KENSAI vous permet d'ajouter vos fournisseurs et prestataires de services à un tableau de bord de surveillance. Nous analysons en permanence leur surface d'attaque externe (applications Web, API, infrastructure de messagerie, configuration DNS, certificats TLS et services exposés) et vous alertons des changements dans leur posture de sécurité.
Chaque fournisseur reçoit un score de sécurité dynamique (A à F) en fonction de sa posture externe. Le score prend en compte la gravité des vulnérabilités, la cadence des correctifs, l'hygiène de la configuration, la gestion des certificats et les tendances historiques. Les scores sont mis à jour en permanence, pas seulement lors des examens annuels.
Chaque résultat est automatiquement mappé aux exigences de l'article 21 du NIS2, indiquant exactement quelles obligations de conformité sont affectées par les failles de sécurité de chaque fournisseur. Générez des rapports prêts à l'audit qui démontrent votre diligence raisonnable dans la gestion des risques liés à la chaîne d'approvisionnement.
Comparez les fournisseurs entre eux et par rapport aux références du secteur. Identifiez les fournisseurs qui présentent le risque le plus élevé, suivez les améliorations au fil du temps et prenez des décisions d'approvisionnement basées sur les données. Utilisez la posture de sécurité comme critère de sélection du fournisseur, comme le prévoit NIS2.
Au-delà de l’outillage, la conformité NIS2 nécessite une approche structurée de la gestion des risques de la chaîne d’approvisionnement. Voici un cadre aligné sur les exigences de l'article 21 :
Maintenir un inventaire complet de tous les fournisseurs et prestataires de services. Classez-les par niveau de criticité : quel impact une compromission de ce fournisseur aurait-elle sur vos opérations ? NIS2 met l'accent sur la proportionnalité : les fournisseurs critiques méritent un examen plus minutieux.
Mettez à jour les contrats des fournisseurs pour inclure les obligations de sécurité, les exigences de notification d'incident et les droits d'audit. L'article 21(3) du NIS2 mentionne spécifiquement la nécessité de prendre en compte « les résultats des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques ».
Remplacer les questionnaires annuels par un suivi continu. La posture de sécurité change quotidiennement – vos évaluations devraient également changer. Le scanner de chaîne d'approvisionnement de KENSAI fournit automatiquement cette visibilité continue.
Développer des playbooks pour les incidents de la chaîne d’approvisionnement. Qui contacter chez le vendeur ? Quel est le protocole de communication ? Comment contenir les impacts en cascade ? L’article 23 du NIS2 exige que les incidents soient signalés dans les 24 heures – les incidents liés à la chaîne d’approvisionnement ne font pas exception.
Obtenez une analyse de sécurité gratuite de votre site Web en 60 secondes
Analyse de sécurité gratuite →