nis²insights.com

En vigueur depuis le 17 oct. 2024·Jour 565·

Chaîne d’approvisionnement9 avr. 20257 min

Sécurité de la chaîne d’approvisionnement NIS2 : 5 clauses à exiger de vos fournisseurs

L’article 21(2)(d) de la directive 2022/2555 impose explicitement la sécurité de la chaîne d’approvisionnement. Voici 5 clauses contractuelles concrètes à ajouter à chaque contrat fournisseur critique.

Sécurité de la chaîne d’approvisionnement NIS2 : 5 clauses à exiger de vos fournisseursChaîne d’approvisionnement

L'article 21 de la directive (UE) 2022/2555 liste les mesures de gestion du risque cyber que les entités essentielles et importantes doivent adopter. Sur les dix catégories listées, le paragraphe 2, point d) est celui qui a déclenché le plus de revues rétroactives de contrats dans les conseils européens en 2025 : la sécurité de la chaîne d'approvisionnement.

Le texte est court. L'article 21, paragraphe 2, point d) impose aux entités de mettre en place des mesures couvrant « la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ». Le considérant 85 en explicite l'intention : une entité ne peut pas externaliser son chemin hors des obligations NIS2, et le risque fournisseur doit être mesuré, contractualisé, supervisé.

La question au niveau du conseil n'est pas s'il faut agir — c'est que mettre dans les contrats fournisseurs pour que la « sécurité de la chaîne d'approvisionnement » soit prouvable au régulateur. Voici cinq clauses sur lesquelles les lignes directrices publiées des autorités nationales compétentes européennes et le guide Good Practices for Supply Chain Cybersecurity de l'ENISA convergent.

1. Alignement sur un socle de sécurité

La première clause exige du fournisseur qu'il mette en œuvre, au minimum, les mesures de cybersécurité listées à l'article 21, paragraphe 2 de NIS2 — adaptées à son rôle et aux données qu'il traite.

En pratique, le contrat doit faire référence à un socle défini. Trois options fonctionnent :

  • Une référence directe à ISO/IEC 27001 avec une déclaration d'applicabilité (annexe A) partagée avec l'entité.
  • Une référence à un cadre national reconnu dans la juridiction du fournisseur (l'IT-Grundschutz du BSI en Allemagne, la PSSI type ANSSI en France, l'Esquema Nacional de Seguridad du CCN-CERT en Espagne).
  • Une énumération directe des catégories pertinentes de l'article 21, paragraphe 2 (MFA sur les accès critiques, chiffrement, gestion des vulnérabilités, réponse à incident, etc.).

La clause doit aussi inclure un engagement de gestion du changement : le fournisseur notifie l'entité par écrit si le socle s'affaiblit substantiellement pendant le contrat.

2. Chaîne de notification d'incident

La deuxième clause resserre l'obligation de notification d'incident du fournisseur pour qu'elle entre dans le compteur de 72 heures de l'entité au titre de l'article 23.

Le seuil défendable tiré des lignes directrices régulatrices est :

  • Le fournisseur notifie l'entité dans les 24 heures après avoir eu connaissance de tout incident important affectant les services qu'il lui fournit.
  • La notification contient au minimum les mêmes éléments que ce que l'entité doit elle-même remonter à son CSIRT au stade de l'alerte précoce : cause illicite ou malveillante suspectée, impact transfrontalier potentiel, informations d'identification minimales.
  • Le fournisseur fournit des mises à jour au moins toutes les 24 heures pendant que l'incident est en cours, et un rapport final dans le mois suivant la résolution.

Moins de 24 heures est préférable pour les fournisseurs cloud et de services managés — l'ENISA suggère une fenêtre de 6 à 12 heures pour ceux-là — mais 24 heures est le plancher qui permet à l'entité de tenir ses propres obligations NIS2.

3. Transparence sur les sous-traitants et notification des changements de contrôle

L'article 21, paragraphe 2, point d) couvre les fournisseurs directs, mais la plupart des attaques sur la chaîne d'approvisionnement passent par un sous-traitant du fournisseur. La clause doit :

  • Imposer au fournisseur de divulguer, sur demande, la liste des sous-traitants critiques qui touchent aux systèmes ou aux données de l'entité, avec leur socle de sécurité.
  • Imposer un consentement écrit préalable avant que le fournisseur n'ajoute, ne remplace ou ne retire un sous-traitant critique.
  • Imposer une notification dans les 30 jours de tout changement de contrôle du fournisseur lui-même (acquisition, fusion, glissement de propriété), avec un droit pour l'entité de résilier sans pénalité si le nouveau propriétaire est incompatible avec son registre des risques.

C'est le terrain sur lequel l'équipe juridique et l'équipe sécurité doivent se coordonner. Les fenêtres de notification se négocient ; le principe, non.

4. Droit d'audit et preuve de certification

L'article 21 attend des entités qu'elles vérifient, pas seulement qu'elles fassent confiance. La clause doit accorder à l'entité le droit d'auditer les pratiques de sécurité du fournisseur — directement ou via des tiers accrédités — au moins une fois par an, et de manière ad hoc après tout incident important affectant les services.

Pour l'efficacité opérationnelle, la clause doit accepter les rapports d'audit standard comme substituts aux audits directs sur site :

  • Un certificat ISO/IEC 27001 en cours de validité, avec la déclaration d'applicabilité (annexe A).
  • Un rapport SOC 2 Type II couvrant au minimum les critères Sécurité et Disponibilité.
  • Une évaluation TISAX pour les chaînes d'approvisionnement automobiles.
  • Pour les fournisseurs cloud, une attestation CSA STAR niveau 2.

Les droits d'audit direct ne sont alors exercés que lorsque les rapports standard ne couvrent pas le périmètre pertinent, ou en cas d'incident matériel. Cela protège les coûts du fournisseur sans affaiblir la supervision de l'entité.

5. Assistance en réversibilité, restitution et suppression sécurisée des données

La dernière clause est ce qui ferme la boucle quand la relation se termine — par accord ou non. Elle doit imposer :

  • Une assistance à la continuité sur une période convenue (typiquement 30 à 90 jours après résiliation) pour que l'entité migre sans interruption de service.
  • La restitution des données dans un format documenté, exploitable par machine, à un calendrier défini.
  • La suppression sécurisée de toutes les données de l'entité dans les systèmes du fournisseur et ceux de ses sous-traitants, certifiée par écrit dans les 30 jours suivant l'achèvement.
  • Une exclusion claire pour les sauvegardes que le fournisseur est légalement tenu de conserver, avec des limites explicites d'accès et un calendrier de fin de vie.

Sans cette clause, l'entité porte un risque résiduel sur des données qu'elle ne voit plus, hébergées par une contrepartie qui n'est plus sous contrat — précisément le scénario que les régulateurs citent quand ils demandent si la sécurité de la chaîne d'approvisionnement a été réellement mise en œuvre ou simplement déclarée.

Un contrat fournisseur conforme à NIS2 n'est pas un contrat plus long. C'est un contrat plus précis — cinq clauses précises battent à chaque fois cinquante pages molles de conditions générales.

Qui est un fournisseur « critique » ?

Les clauses ci-dessus s'appliquent aux fournisseurs critiques. NIS2 elle-même ne définit pas le terme. Le test défendable, tiré des lignes directrices publiées des autorités nationales compétentes européennes, comporte trois composantes :

  1. Le fournisseur traite, héberge ou transmet des données personnelles, des données métier confidentielles ou des données opérationnelles dont la compromission franchirait le seuil d'incident important de l'entité elle-même.
  2. Le fournisseur livre un service dont l'interruption au-delà de l'objectif de temps de reprise de l'entité provoquerait une perturbation opérationnelle grave.
  3. Le fournisseur a un accès privilégié (administrateur, root, clés de signature) aux systèmes du périmètre NIS2 de l'entité.

Tout fournisseur correspondant à l'un de ces tests est critique. Le conseil n'a pas besoin de débattre du cadre — il a besoin de confirmer que la liste existe, qu'elle est portée au niveau exécutif et qu'elle est revue au moins une fois par an.

Ce à quoi ça ressemble quand c'est bien fait

Trois signaux reviennent systématiquement dans les notes post-inspection des régulateurs :

  1. Un registre fournisseurs daté qui classe critique vs. non critique et qui enregistre la référence de version de contrat pour chacun.
  2. La preuve d'inclusion des clauses — les mêmes cinq clauses, en substance, dans chaque contrat fournisseur critique exécuté depuis la transposition.
  3. La preuve d'exercice des clauses — au moins un rapport d'audit, une notification d'incident relayée correctement en moins de 24 heures, ou un fournisseur résilié avec restitution de données documentée par cycle d'audit.

Rien de tout ça n'est exotique. C'est ce que des équipes achats matures font déjà sur les contrats IT critiques. L'article 21, paragraphe 2, point d) en fait une exigence réglementaire et plus seulement une bonne pratique.

Sources

  1. Directive (UE) 2022/2555, article 21, paragraphe 2, point d) (sécurité de la chaîne d'approvisionnement).
  2. Directive (UE) 2022/2555, considérant 85 (intention et portée des mesures sur la chaîne d'approvisionnement).
  3. Directive (UE) 2022/2555, article 23 (obligations de déclaration d'incident) — le compteur de 72 heures dans lequel la clause de notification fournisseur doit s'insérer.
  4. ENISA, Good Practices for Supply Chain Cybersecurity.
  5. Groupe de coopération NIS, lignes directrices publiées sur la gestion du risque chaîne d'approvisionnement.
  6. Cadres d'autorités nationales compétentes cités comme socles : BSI IT-Grundschutz (DE), PSSI ANSSI (FR), Esquema Nacional de Seguridad CCN-CERT (ES), guidance ACN (IT), guidance NCSC-IE (IE).

Autres articles

Article 20 NIS2 : 5 responsabilités du conseil que les administrateurs ne peuvent déléguerGouvernance

Article 20 NIS2 : 5 responsabilités du conseil que les administrateurs ne peuvent déléguer

18 avr. 2025·Lire · 10 min
Notification d’incident NIS2 : le guide pratique des 72 heuresGestion des incidents

Notification d’incident NIS2 : le guide pratique des 72 heures

11 avr. 2025·Lire · 9 min
Modèle pragmatique de registre des risques pour l’article 21 NIS2Gestion des risques

Modèle pragmatique de registre des risques pour l’article 21 NIS2

2 avr. 2025·Lire · 6 min