Votre sécurité n’est pas plus forte que votre maillon faible
La majorité des organisations ont des dizaines ou des centaines de fournisseurs ayant une forme d’accès aux systèmes ou aux données. Chaque connexion est une voie d’attaque potentielle. NIS2 reconnaît cela et établit donc des exigences explicites pour la sécurité de la chaîne d’approvisionnement.
Il ne s’agit pas de se méfier de ses partenaires — il s’agit de gérer systématiquement un risque qui peut facilement être négligé.
La réalité : Selon le Ponemon Institute, 62% des cyberattaques proviennent de la chaîne d’approvisionnement. Les attaquants savent qu’il est souvent plus facile de s’introduire via un fournisseur plus petit que directement via l’organisation cible.
Que exige NIS2 ?
NIS2 Article 21 — Sécurité des fournisseurs :
Les organisations doivent prendre des mesures appropriées pour gérer les risques de sécurité dans la chaîne d’approvisionnement, notamment :
- Les aspects liés à la sécurité des relations avec les fournisseurs
- La qualité sécuritaire des produits et services des fournisseurs
- Les pratiques de cybersécurité des fournisseurs, y compris leurs processus de développement
- La gestion des vulnérabilités et le signalement
Modèle en 5 étapes pour l’évaluation des fournisseurs
- Inventorier et catégoriser Commencez par lister tous les fournisseurs qui ont accès aux systèmes, données ou locaux. Catégorisez-les selon leur criticité : Critique (impact métier en cas d'indisponibilité), Élevé (impact significatif), Moyen, Faible. Concentrez-vous d'abord sur les critiques et élevés.
- Définir les exigences par catégorie Différents fournisseurs requièrent différents niveaux d'exigences de sécurité. Un fournisseur cloud critique nécessite des exigences étendues, tandis qu'un fournisseur de bureau en nécessite moins. Créez des niveaux d'exigences proportionnels au risque.
- Réaliser l'évaluation Utilisez des questionnaires, demandez la documentation, et si nécessaire réalisez des audits. Concentrez-vous sur : les politiques de sécurité, la gestion des incidents, le contrôle d'accès, le chiffrement, la sauvegarde et la continuité d'activité.
- Mettre à jour les contrats Assurez-vous que les contrats contiennent des exigences de sécurité, le signalement d'incidents (le fournisseur doit vous notifier en cas d'incident), le droit d'audit, les exigences sur les sous-traitants, et la responsabilité en cas de faille de sécurité.
- Assurer un suivi continu L'évaluation des fournisseurs n'est pas une action ponctuelle. Établissez un suivi régulier, surveillez le statut sécuritaire des fournisseurs et réagissez aux changements dans le profil de risque.
Que faut-il évaluer ?
Capacités de sécurité
| Domaine | Questions à poser |
|---|---|
| Politiques | Existe-t-il des politiques de sécurité documentées ? À quelle fréquence sont-elles mises à jour ? |
| Certifications | Le fournisseur a-t-il ISO 27001 ou équivalent ? Le certificat est-il valide ? |
| Gestion d’incidents | Dans quels délais peuvent-ils vous signaler des incidents ? Ont-ils testé leur plan ? |
| Contrôle d’accès | Comment l’accès à vos systèmes/données est-il géré ? L’accès est-il journalisé ? |
| Chiffrement | Les données sont-elles chiffrées en transit et au repos ? Quels standards sont utilisés ? |
| Sauvegarde | Comment vos données sont-elles sauvegardées ? La restauration est-elle testée ? |
| Sous-traitants | Quels sous-traitants sont utilisés ? Comment sont-ils contrôlés ? |
Signaux d’alarme
Un fournisseur qui ne peut présenter de documentation de sécurité de base n'a probablement pas de gouvernance sécuritaire mature.
Si un fournisseur refuse catégoriquement de donner accès ou de répondre aux questions, c'est un signal d'alarme. Les fournisseurs légitimes comprennent le besoin.
Si le fournisseur ne peut décrire comment il vous notifierait en cas d'incident, vous ne pourrez respecter vos propres obligations de signalement.
Si le fournisseur utilise de nombreux sous-traitants sans contrôle, la chaîne de risque s'étend de manière incontrôlée.
Check-list pour les contrats fournisseurs
Exigences de sécurité :
- Référence à la politique de sécurité de l’organisation
- Exigences techniques spécifiques (chiffrement, contrôle d’accès, etc.)
- Exigences de formation du personnel
- Obligations de signalement d’incidents de sécurité
Gestion d’incidents :
- Obligation de signaler les incidents dans les [X] heures
- Voies de contact et processus d’escalade
- Obligation d’assistance lors d’enquêtes
- Responsabilité des coûts en cas d’incident
Audit et transparence :
- Droit de réaliser des audits de sécurité
- Accès aux journaux et rapports pertinents
- Obligation d’informer des changements
- Exigence de fournir certificats et attestations
Sous-traitants :
- Exigence d’approbation des sous-traitants
- Mêmes exigences de sécurité applicables en cascade
- Liste des sous-traitants approuvés
Fin de contrat :
- Modalités de restitution ou destruction des données
- Délai de transition
- Maintien de la confidentialité après fin de contrat
Questions à poser aux fournisseurs
Évaluation initiale
- Avez-vous une politique de sécurité de l’information documentée ?
- Avez-vous une certification de sécurité (ISO 27001, SOC 2, etc.) ?
- Comment gérez-vous les incidents de sécurité ?
- Comment protégez-vous les données que vous traitez pour le compte des clients ?
- Quels sous-traitants utilisez-vous ?
Évaluation approfondie (fournisseurs critiques)
- Pouvons-nous obtenir des copies des politiques et procédures pertinentes ?
- Quand a eu lieu le dernier test de pénétration ? Pouvons-nous voir le rapport ?
- Comment gérez-vous l’application de correctifs de vulnérabilités ? Quels sont vos SLA ?
- Comment l’accès à nos systèmes/données est-il journalisé et surveillé ?
- Quels sont vos RTO et RPO pour les services qui nous concernent ?
- Avez-vous réalisé des exercices d’incident cette dernière année ?
Défis courants et solutions
Solution : Priorisez selon la criticité et le risque. Commencez par les 10-20 plus importants. Utilisez des auto-déclarations pour les niveaux de risque inférieurs.
Solution : Évaluez des fournisseurs alternatifs. Si le changement n'est pas possible, implémentez des contrôles compensatoires et documentez l'acceptation du risque.
Solution : Automatisez quand c'est possible. Utilisez des questionnaires standardisés et des outils de gestion des fournisseurs.
Solution : Exigez la transparence sur les sous-traitants et imposez que les mêmes standards s'appliquent en cascade dans la chaîne.
Comment Securapilot peut vous aider
Le module de gestion des fournisseurs de Securapilot optimise tout le processus :
- Registre des fournisseurs — Vue centralisée de tous les fournisseurs
- Classification des risques — Catégorisation automatique basée sur la criticité
- Questionnaires — Formulaires d’évaluation standardisés
- Traçabilité — Historique complet des évaluations et décisions
- Rappels — Rappels automatiques pour le suivi
- Rapports — Export du statut pour la direction et l’audit
Réservez une démo et découvrez comment nous pouvons vous aider à maîtriser les risques fournisseurs.
Questions fréquentes
Quels fournisseurs devons-nous évaluer selon NIS2 ?
Concentrez-vous sur les fournisseurs qui ont accès à vos systèmes, traitent vos données, ou fournissent des services critiques pour vos activités. Cela inclut les fournisseurs informatiques, les services cloud, les partenaires d'exploitation et tous ceux ayant un accès privilégié.
Que doivent contenir les contrats fournisseurs selon NIS2 ?
Les contrats doivent inclure des exigences de sécurité adaptées au niveau de risque, des obligations de signalement d'incidents, le droit d'audit, le contrôle des sous-traitants, et une répartition claire des responsabilités en cas d'incident de sécurité.
À quelle fréquence faut-il évaluer les fournisseurs ?
La fréquence dépend de la criticité et du risque. Les fournisseurs critiques doivent être évalués annuellement, les autres avec des intervalles plus longs. Tous les fournisseurs doivent faire l'objet d'une évaluation initiale avant signature du contrat.
Que faire si un fournisseur ne respecte pas les exigences ?
Commencez par le dialogue et un plan d'actions correctives. Si le fournisseur ne peut ou ne veut pas s'améliorer, envisagez de changer de fournisseur ou d'implémenter des contrôles compensatoires. Documentez vos décisions et l'acceptation des risques.
