Évaluer les risques cyber de vos fournisseurs NIS2 : questionnaire et méthode
L'article 21 de NIS2 impose aux entités essentielles et importantes de sécuriser leur chaîne d'approvisionnement. Concrètement, cela signifie évaluer les risques de sécurité posés par vos fournisseurs, prestataires IT, éditeurs de logiciels et hébergeurs cloud. Cette obligation découle d'un constat : une grande partie des cyberattaques réussies passent par des tiers de confiance mal sécurisés (attaques supply chain comme SolarWinds, Kaseya, 3CX).
Pourquoi NIS2 cible la chaîne d'approvisionnement
NIS2 s'attaque spécifiquement aux risques de la supply chain pour plusieurs raisons :
- Les attaques via fournisseurs ont explosé : +633% entre 2021 et 2024 selon Gartner, avec des incidents comme SolarWinds (18 000 organisations compromises via une mise à jour logicielle)
- Les PME sont des portes d'entrée : un sous-traitant d'un opérateur critique avec des mesures de sécurité insuffisantes peut ouvrir la voie à une attaque sur l'infrastructure principale
- La dépendance au SaaS : une entreprise utilise en moyenne 130 applications SaaS ; chacune représente un vecteur d'attaque potentiel
- Les accès distants fournisseurs : les prestataires de maintenance, les infogérants et les éditeurs avec accès remote sont des cibles privilégiées
Cartographie de vos fournisseurs critiques
Avant d'évaluer, il faut identifier. La première étape est de dresser une liste exhaustive de tous les tiers ayant accès à votre SI ou traitant vos données :
Catégorie 1 : accès direct au SI
- Prestataires d'infogérance et maintenance IT
- MSSP (Managed Security Service Providers)
- Éditeurs de logiciels avec accès de maintenance à distance
- Intégrateurs ERP/CRM avec accès à la production
Catégorie 2 : hébergeurs et cloud
- Hébergeurs de vos applications critiques (AWS, Azure, OVH, etc.)
- Fournisseurs SaaS traitant vos données métier sensibles
- CDN, providers DNS, fournisseurs de messagerie (Microsoft 365, Google Workspace)
Catégorie 3 : sous-traitants de données
- Sous-traitants RGPD (article 28) : traitent des données personnelles pour votre compte
- Prestataires RH, cabinets de paie, assureurs avec accès aux données employés
- Partenaires commerciaux avec interconnexion de données
Le questionnaire d'évaluation cyber fournisseur
Un questionnaire structuré permet d'évaluer la maturité cyber de vos fournisseurs. Les questions essentielles à poser :
Gouvernance et certification
- Disposez-vous d'une certification ISO 27001, SOC 2 Type II ou équivalente ? (Date et périmètre)
- Avez-vous un RSSI ou responsable sécurité dédié ?
- Réalisez-vous des audits de sécurité annuels ? Pouvez-vous partager le rapport d'exécutif ?
- Êtes-vous soumis à NIS2 ? Comment gérez-vous votre conformité ?
Gestion des incidents
- Disposez-vous d'un plan de réponse aux incidents documenté ?
- Dans quel délai notifiez-vous vos clients en cas d'incident affectant leurs données ou services ?
- Avez-vous subi des incidents de sécurité ces 3 dernières années ? Comment ont-ils été gérés ?
Sécurité technique
- Utilisez-vous le MFA pour tous les accès à vos systèmes, y compris ceux vers nos environnements ?
- Comment gérez-vous les mises à jour et patches de sécurité ? Délai moyen pour les patches critiques ?
- Chiffrez-vous les données de nos clients au repos et en transit ?
- Réalisez-vous des tests de pénétration annuels ? Par qui ?
Continuité et sous-traitance
- Disposez-vous d'un PCA/PRA testé ? Quel est le RTO/RPO garanti pour vos services critiques ?
- Avez-vous des sous-traitants qui ont accès à nos données ou systèmes ? Lesquels ?
- Comment évaluez-vous vous-mêmes la sécurité de vos propres fournisseurs ?
Clauses contractuelles de sécurité à inclure
Le contrat avec vos fournisseurs critiques doit inclure des clauses de sécurité explicites :
- Obligation de notification d'incident : délai maximum (ex. 24-48h) pour vous notifier de tout incident affectant vos données ou services
- Droit d'audit : possibilité de demander un audit de sécurité ou un questionnaire annuel, avec accès aux rapports de certification
- Niveau de sécurité minimum : exigences techniques (MFA, chiffrement, patch management) comme conditions contractuelles
- Sous-traitance encadrée : obligation d'informer et d'obtenir accord avant de sous-traiter à un tiers l'accès à vos données
- Effacement des données : procédure certifiée d'effacement des données en fin de contrat
- Pénalités : mécanismes de sanction contractuelle en cas de violation des obligations de sécurité
Gestion des accès fournisseurs
Au-delà de l'évaluation, la gestion opérationnelle des accès fournisseurs est un enjeu majeur :
- Comptes dédiés : un compte unique par prestataire avec les droits minimum nécessaires (principe du moindre privilège)
- Accès temporaires : désactiver automatiquement les accès après la fin d'une intervention ou d'un contrat
- MFA imposé : exiger le MFA pour tous les accès distants des prestataires à vos systèmes
- Journalisation : tracer tous les accès fournisseurs avec capacité de rejeu en cas d'incident
- Bastion SSH / PAM : centraliser les accès distants via une solution PAM (Privileged Access Management) comme CyberArk ou BeyondTrust
- Revue semestrielle : auditer régulièrement la liste des accès fournisseurs actifs et supprimer les comptes obsolètes
Outils TPRM (Third-Party Risk Management)
Pour les organisations avec de nombreux fournisseurs, les outils TPRM automatisent l'évaluation et le suivi :
- OneTrust / ProcessUnity : plateformes TPRM avec questionnaires automatisés, scoring et suivi des remontées
- SecurityScorecard / BitSight : évaluation automatique de la posture cyber des fournisseurs via des données externes (scan de leur exposition internet)
- Prevalent : TPRM avec intégration des questionnaires standard (SIG Lite, CAIQ) et suivi contractuel
Conclusion
La sécurité de la chaîne d'approvisionnement n'est plus une option sous NIS2. Les attaques via tiers se multiplient, et les régulateurs tiennent les entités responsables même quand l'incident provient d'un fournisseur. CyberConform accompagne les PME et ETI dans la mise en place d'un programme TPRM adapté à leur taille et à leur secteur : cartographie des fournisseurs, questionnaires personnalisés, revue des contrats et outil de suivi des évaluations annuelles.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit