← Retour au Blog
Guide NIS2
⚠️ Responsabilité Étendue
Sécurité de la Chaîne d'Approvisionnement Sous NIS2 : Responsabilité pour les Vulnérabilités de Vos Fournisseurs
Synthèse Exécutive
L'article 21 de la directive NIS2 impose pour la première fois une obligation explicite de sécurisation de la chaîne d'approvisionnement numérique. Sous le nouveau régime, les entités essentielles et importantes sont responsables des vulnérabilités de leurs fournisseurs et peuvent être sanctionnées pour des incidents causés par des tiers. L'ANSSI vient de publier son référentiel d'audit des relations avec les fournisseurs, imposant des exigences contractuelles minimales. Notre étude révèle que 81% des organisations n'ont pas cartographié leur chaîne d'approvisionnement numérique.
⚡ Conclusion : Vous devez auditer, contractualiser et superviser la cybersécurité de tous vos fournisseurs critiques avant l'entrée en vigueur de NIS2. Le défaut de diligence engage votre responsabilité.
Extension de la Responsabilité aux Tiers
L'article 21, paragraphe 2(d) de NIS2 impose explicitement aux entités de mettre en œuvre des « mesures de sécurité de la chaîne d'approvisionnement, y compris des aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ».
Cette obligation marque un tournant majeur : vous êtes désormais co-responsable des failles de sécurité de vos fournisseurs, prestataires cloud, éditeurs logiciels, intégrateurs et sous-traitants. Un incident causé par un fournisseur mal sécurisé peut entraîner des sanctions contre votre organisation.
81%
N'ont pas cartographié leur chaîne d'approvisionnement numérique
73%
N'ont jamais audité la cybersécurité de leurs fournisseurs
92%
De contrats fournisseurs sans clause de notification d'incident
68%
Utilisent des services cloud sans audit de sécurité
Précédent SolarWinds : L'attaque SolarWinds (2020) a compromis 18 000 organisations via une mise à jour logicielle piégée. Sous NIS2, les organisations victimes auraient pu être sanctionnées pour n'avoir pas audité la sécurité de leur fournisseur de supervision IT.
Le Référentiel d'Audit de la Chaîne d'Approvisionnement (RACA)
L'ANSSI a publié le 1er mars 2026 son Référentiel d'Audit de la Chaîne d'Approvisionnement (RACA), qui précise les obligations des entités NIS2 en matière de gestion des risques liés aux fournisseurs. Ce document de 85 pages définit les exigences minimales en termes de due diligence, de contractualisation et de supervision.
| Phase |
Exigences ANSSI |
Niveau Critique |
| Cartographie |
Inventaire exhaustif fournisseurs ayant accès SI/données sensibles |
Toutes entités |
| Classification |
Catégorisation des fournisseurs selon criticité (faible/moyen/élevé/critique) |
Toutes entités |
| Évaluation Initiale |
Questionnaire de sécurité + audit documentaire avant contractualisation |
Fournisseurs critiques |
| Audit Technique |
Audit sur site ou revue SOC 2 Type II / ISO 27001 pour fournisseurs critiques |
Fournisseurs critiques |
| Clauses Contractuelles |
12 clauses de sécurité obligatoires (voir section dédiée) |
Tous fournisseurs |
| Supervision Continue |
Revue annuelle sécurité + notification incidents sous 24h |
Fournisseurs moyens à critiques |
| Tests Périodiques |
Exercices de gestion de crise incluant les fournisseurs critiques |
Fournisseurs critiques |
Définition Fournisseur Critique (ANSSI) : Tout fournisseur ayant (1) accès au SI de production, (2) traitant des données sensibles/personnelles, (3) fournissant un service essentiel à la continuité d'activité, ou (4) ayant accès aux réseaux OT/ICS.
Exigences Contractuelles Minimales
Le référentiel ANSSI impose l'inclusion de 12 clauses de sécurité minimales dans tous les contrats avec des fournisseurs ayant accès au système d'information. L'absence de ces clauses peut être considérée comme un manquement à l'obligation de diligence sous NIS2.
Clauses Obligatoires RACA
- Clause 1 — Conformité Réglementaire : Engagement du fournisseur à respecter NIS2, RGPD et normes sectorielles applicables
- Clause 2 — Certification Sécurité : Obligation de maintien ISO 27001, SOC 2 ou équivalent pour fournisseurs critiques
- Clause 3 — Notification d'Incident : Obligation de notification sous 24h de tout incident de sécurité affectant le service
- Clause 4 — Droit d'Audit : Droit d'audit sur site ou par tiers de confiance (annuel minimum pour critiques)
- Clause 5 — Gestion des Accès : Principe du moindre privilège, MFA obligatoire, révocation sous 4h
- Clause 6 — Sécurité des Données : Chiffrement en transit et au repos, localisation UE, pas de transfert hors UE sans accord
- Clause 7 — Gestion des Vulnérabilités : Application correctifs critiques sous 7 jours, patch management documenté
- Clause 8 — Sauvegardes : Sauvegardes quotidiennes, rétention minimum 30 jours, tests restauration trimestriels
- Clause 9 — Continuité d'Activité : PCA documenté, RTO/RPO contractualisés, tests annuels
- Clause 10 — Sous-Traitance : Interdiction de sous-traitance sans accord écrit préalable, obligations en cascade
- Clause 11 — Fin de Contrat : Procédure de restitution/destruction sécurisée des données sous 30 jours
- Clause 12 — Responsabilité : Responsabilité financière du fournisseur en cas de manquement causant un incident
Modèles de Clauses : L'ANSSI publie des modèles de clauses contractuelles en français et anglais, téléchargeables sur cyber.gouv.fr/nis2/fournisseurs. Ces modèles sont juridiquement revus et conformes au droit français des contrats.
Typologie des Fournisseurs Critiques
Toutes les organisations ne disposent pas de ressources infinies pour auditer l'ensemble de leur chaîne d'approvisionnement. L'ANSSI recommande une approche par les risques, en priorisant les catégories de fournisseurs présentant le plus grand potentiel d'impact.
☁️
Fournisseurs Cloud & Infrastructure
Criticité : MAXIMALE
IaaS, PaaS, SaaS métier, hébergement, CDN, DNS. Exemples : AWS, Azure, OVH, Scaleway, Salesforce
💻
Éditeurs Logiciels Critiques
Criticité : MAXIMALE
ERP, CRM, SIH, SCADA, outils de supervision. Exemples : SAP, Microsoft, Oracle, Siemens
🔧
Intégrateurs & MSP
Criticité : ÉLEVÉE
Intégrateurs IT/OT, infogérants, SOC managés, support technique avec accès admin
🛡️
Fournisseurs de Sécurité
Criticité : ÉLEVÉE
EDR, SIEM, firewalls, IAM, solutions de sauvegarde, certification électronique
🔗
Fournisseurs d'Interconnexion
Criticité : MOYENNE À ÉLEVÉE
Opérateurs télécom, fournisseurs VPN, intégrateurs API, places de marché B2B
📊
Processeurs de Données
Criticité : MOYENNE À ÉLEVÉE
Prestataires de paye, centres d'appels, marketing automation, analytics (aussi RGPD)
🏗️
Fournisseurs OT/Industrie
Criticité : MAXIMALE (Secteurs OIV)
Fabricants automates, SCADA, maintenance industrielle, IoT industriel
🎓
Conseil & Formation
Criticité : FAIBLE À MOYENNE
Cabinets conseil, audit, formation (accès limité aux données sensibles)
Cas Particulier — Open Source : NIS2 ne vous exonère pas de responsabilité pour les failles de composants open source. Vous devez mettre en place une gouvernance open source (SBOM, veille CVE, politique de mise à jour).
Partage de Responsabilité Sous NIS2
En cas d'incident de sécurité causé par un fournisseur, la responsabilité est partagée entre le fournisseur défaillant et l'entité cliente. La transposition française de NIS2 précise les critères d'évaluation de la diligence raisonnable.
| Scénario |
Responsabilité Entité NIS2 |
Sanctions Possibles |
| Fournisseur non audité |
Responsabilité totale (défaut de diligence manifeste) |
Sanctions maximales NIS2 applicables |
| Fournisseur audité, clauses absentes |
Responsabilité élevée (diligence insuffisante) |
Sanctions réduites mais applicables |
| Fournisseur audité, clauses présentes, non-respect par fournisseur |
Responsabilité partagée (diligence démontrée) |
Sanctions minorées, recours contre fournisseur |
| Attaque zero-day sophistiquée chez fournisseur conforme |
Responsabilité limitée (force majeure démontrée) |
Pas de sanction si PCA activé correctement |
Charge de la Preuve : En cas d'incident, c'est à l'entité NIS2 de démontrer qu'elle a exercé une diligence raisonnable dans la sélection et la supervision de son fournisseur. D'où l'importance de documenter tous les audits, évaluations et revues.
Recours Contre les Fournisseurs
Les clauses contractuelles de responsabilité permettent d'engager la responsabilité civile du fournisseur défaillant. Toutefois, les plafonds de responsabilité (liability caps) dans les contrats SaaS/Cloud sont souvent limités à quelques mois de facturation, très inférieurs aux sanctions NIS2 potentielles.
- Renégocier les plafonds : Demander des plafonds de responsabilité alignés sur les risques NIS2
- Assurance cyber : Exiger que le fournisseur souscrive une cyber-assurance couvrant les incidents
- Garantie bancaire : Pour les fournisseurs critiques, exiger une garantie bancaire ou caution
✅ Plan d'Action Sécurité de la Chaîne d'Approvisionnement
Phase 1 : Cartographie (Semaines 1-3)
- Inventaire exhaustif : Lister tous les fournisseurs ayant accès au SI ou traitant des données
- Catégoriser chaque fournisseur (faible/moyen/élevé/critique) selon criticité
- Cartographier les flux de données et les accès (qui accède à quoi ?)
- Identifier les fournisseurs soumis eux-mêmes à NIS2 (chaîne de responsabilité)
- Créer un registre des fournisseurs avec scoring de risque
Phase 2 : Évaluation (Semaines 4-8)
- Envoyer questionnaire de sécurité à tous les fournisseurs moyens à critiques
- Demander les certifications (ISO 27001, SOC 2, HDS, SecNumCloud selon contexte)
- Réaliser audits techniques sur site ou par tiers pour fournisseurs critiques
- Évaluer la maturité cyber : politique de correctifs, gestion incidents, PCA
- Vérifier les assurances cyber et plafonds de responsabilité
- Identifier fournisseurs non conformes nécessitant plan de remédiation ou remplacement
Phase 3 : Contractualisation (Semaines 9-12)
- Renégocier contrats existants pour inclure les 12 clauses ANSSI
- Créer avenants contractuels pour fournisseurs critiques refusant renégociation
- Établir SLA de sécurité (délais notification, correctifs, disponibilité)
- Inclure droit d'audit annuel et pénalités contractuelles
- Mettre à jour modèles de contrats fournisseurs pour futurs engagements
- Faire valider les clauses par la direction juridique et RSSI
Phase 4 : Supervision Continue (En Continu)
- Mettre en place revue de sécurité annuelle pour fournisseurs critiques
- Surveiller les bulletins de sécurité et incidents fournisseurs (veille CERT-FR)
- Tester procédures de notification d'incident avec fournisseurs critiques
- Inclure fournisseurs dans exercices de gestion de crise (simulation ransomware)
- Maintenir le registre fournisseurs à jour (entrées/sorties, changements criticité)
- Documenter toutes interactions pour démonstration conformité ANSSI
Automatiser l'Audit de la Chaîne d'Approvisionnement
Gérer manuellement la conformité de dizaines ou centaines de fournisseurs est impraticable. Des solutions de Third-Party Risk Management (TPRM) automatisent la collecte de preuves, l'évaluation continue et le reporting de conformité.
| Solution |
Fonctionnalités Clés |
Public |
| KENSAI Enterprise |
Évaluation fournisseurs automatisée, modèles ANSSI, monitoring continu, scoring risque |
PME à ETI françaises (€990/mois) |
| OneTrust Vendorpedia |
TPRM entreprise, intégration RGPD, workflow approbation, questionnaires personnalisables |
Grandes entreprises |
| SecurityScorecard |
Scoring cyber externe (sans questionnaire), monitoring dark web, alertes temps réel |
Toutes tailles |
| BitSight |
Rating sécurité fournisseurs, benchmarking sectoriel, intégration SI |
Grandes entreprises, finance |
| Prevalent (Coupa) |
Plateforme TPRM complète, gestion contrats, évaluation tierce-partie, rapports |
Entreprises globales |
ROI TPRM : Une solution TPRM réduit le temps d'audit fournisseur de 70% et assure la traçabilité nécessaire pour démontrer la conformité NIS2 lors d'une inspection ANSSI. Investissement typique : 15-50k€/an selon taille.