Vision
La chaîne d'approvisionnement, angle mort de votre sécurité : ce que NIS2 exige de vos fournisseurs
Les attaques les plus dévastatrices de la dernière décennie ont un point commun : elles ne sont pas entrées par la porte principale. Un éditeur de logiciel compromis, et des milliers de clients infectés par la mise à jour ; un prestataire d’infogérance piraté, et tous ses clients ouverts ; un accès de télémaintenance oublié, et l’usine à l’arrêt. Le législateur européen a retenu la leçon : l’article 21.d de NIS2 impose la sécurité de la chaîne d’approvisionnement.
Ce que le texte demande, côté donneur d’ordres
Si vous êtes une entité régulée, vous devez tenir compte, dans votre gestion des risques, des vulnérabilités propres à chacun de vos fournisseurs et prestataires directs : qualité de leurs produits, pratiques de cybersécurité, procédures de développement. En pratique, cela se traduit par quatre chantiers :
- Le registre des fournisseurs critiques — qui a accès à quoi ? Qui héberge quoi ? De qui dépendez-vous pour fonctionner ? La liste est toujours plus longue qu’on ne le croit : infogérant, éditeurs, hébergeur, mainteneur téléphonie, prestataire de vidéosurveillance, fournisseur d’automates…
- L’évaluation — questionnaire de sécurité proportionné à la criticité, preuves à l’appui pour les plus sensibles.
- L’encadrement contractuel — clauses de sécurité, obligation de notification d’incident, droit d’audit, conditions de réversibilité.
- Le suivi — un fournisseur évalué en 2025 n’est pas un fournisseur sûr en 2027 ; l’évaluation se renouvelle.
Notre constat de terrain : le point 1 est le plus révélateur. Dans la plupart des PME, personne ne sait lister les accès tiers au système d’information. La cartographie SKube les révèle d’ailleurs souvent d’elle-même — ces flux réguliers vers l’extérieur que personne ne sait expliquer sont fréquemment des télémaintenances oubliées.
Ce que le texte implique, côté fournisseur
Maintenant, retournez la table : si vos clients sont des entités régulées, ces quatre chantiers vont vous tomber dessus — sous forme de questionnaires de sécurité, de clauses contractuelles et de demandes de preuves. Sans que vous soyez vous-même dans le périmètre légal de NIS2.
Nous voyons deux attitudes chez les sous-traitants. Ceux qui subissent : chaque questionnaire est une crise, les réponses s’improvisent, les contrats se signent avec des clauses non tenues. Et ceux qui en font un argument : un dossier de sécurité structuré, des réponses prêtes, des preuves disponibles — et soudain, la sécurité devient un critère de sélection en leur faveur. À prestation égale, le donneur d’ordres choisit le fournisseur qui répond en deux jours plutôt que celui qui panique pendant trois semaines.
Notre conviction
La chaîne d’approvisionnement est l’endroit où NIS2 dépassera son périmètre légal : par capillarité contractuelle, les exigences de sécurité vont descendre vers des milliers d’entreprises que la directive ne nomme pas. C’est précisément pour elles que nous avons conçu la formule Essentiel de notre plateforme : un dossier structuré, des preuves organisées, de quoi répondre à n’importe quel questionnaire — pour le prix d’un abonnement téléphonique d’entreprise.
La sécurité de votre chaîne d’approvisionnement commence par une question simple : savez-vous qui a accès à votre système d’information ? Si la réponse n’est pas immédiate, commençons par là.
Par où commencer ?
En 10 questions et 3 minutes, notre auto-diagnostic vous dit si votre entreprise est concernée par NIS2 et ce que cela implique. Gratuit, sans création de compte.