nis2-pro.fr
4Mesure n° 4 · Article 21 §2

Sécurité de la chaîne d'approvisionnement (Article 21 NIS2) — Protéger les relations fournisseurs et prestataires

Ce que dit l'article 21 §2 — texte de la mesure et intention

L'article 21, paragraphe 2, alinéa (d) de la directive NIS2 impose aux entités essentielles et importantes de mettre en œuvre des mesures de sécurité de la chaîne d'approvisionnement, en particulier les aspects liés à la sécurité dans les relations entre chaque entité et ses fournisseurs directs ou prestataires de services. Les États membres doivent s'assurer que les entités prennent en compte les vulnérabilités propres à chaque fournisseur et prestataire direct, ainsi que la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs, notamment leurs procédures de développement sécurisé.

L'intention du législateur européen est sans ambiguïté : la hausse persistante des attaques visant les chaînes d'approvisionnement impose aux organisations régulées de traiter le risque tiers comme un risque intrinsèque, non comme une externalité. La chaîne d'approvisionnement représente un risque croissant : l'attaquant vise un prestataire ou un fournisseur pour atteindre indirectement ses clients. Le fournisseur est une cible stratégique car il dispose souvent d'accès étendus (comptes d'administration, outils de télémaintenance, connecteurs) ou diffuse des mises à jour et logiciels largement déployés. En compromettant un maillon, l'attaquant peut pivoter vers plusieurs organisations sans les cibler une par une.

NIS2 impose donc une gestion active et documentée du risque fournisseur, avec des obligations contractuelles, une surveillance continue et une traçabilité de bout en bout.

Référentiels et standards qui s'articulent

ISO 27001:2022

L'annexe A 5.21 d'ISO 27001:2022 exige que les organisations définissent et mettent en œuvre des processus pour gérer les risques de sécurité de l'information associés aux produits et services ICT de la chaîne d'approvisionnement. Ce contrôle, renforcé par rapport à la version 2013, impose désormais une plus grande responsabilité du fournisseur dans la fourniture et la vérification des informations relatives aux composants au moment de la livraison.

L'annexe A 5.19 (Information Security in Supplier Relationships) et l'annexe A 5.22 (Monitoring, Review and Change Management) complètent le dispositif en couvrant respectivement la sélection, la contractualisation et la supervision continue des fournisseurs.

NIST CSF 2.0

Le NIST Cybersecurity Framework 2.0 introduit une nouvelle fonction GOVERN (GV) qui inclut une catégorie dédiée au Cybersecurity Supply Chain Risk Management (C-SCRM). La fonction GV englobe notamment la gestion du risque, la politique, la supervision et le C-SCRM.

La catégorie GV.SC décline 10 sous-catégories couvrant l'établissement d'une politique C-SCRM, l'identification et la priorisation des fournisseurs critiques, l'intégration d'exigences de sécurité dans les contrats, la diligence raisonnée pré-contractuelle et la surveillance continue des risques tiers. Le guide NIST SP 1305 propose deux axes : utiliser la catégorie GV.SC pour établir et opérer une capacité C-SCRM et définir et communiquer les exigences fournisseurs via le CSF.

NIST SP 800-161r1

Le Special Publication 800-161 Revision 1 (Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations) détaille les pratiques opérationnelles de gestion du risque fournisseur : gouvernance, diligence raisonnée, évaluation continue, réponse et partage d'informations.

IEC 62443 (OT/IACS)

Pour les entités régulées dans les secteurs eau, énergie, transport ou fabrication, la norme IEC 62443 impose des exigences spécifiques sur la sécurité des systèmes industriels tout au long du cycle de vie, incluant la sélection et l'évaluation des composants tiers et la vérification de la chaîne de développement.

Mise en œuvre opérationnelle — étapes concrètes pour une entité régulée

1. Cartographier l'écosystème fournisseurs et prestataires

Constituez un registre exhaustif des fournisseurs et prestataires avec accès logique, physique ou logiciel à vos systèmes d'information : éditeurs SaaS, cloud providers, intégrateurs, infogéreurs, fournisseurs d'équipements réseau, mainteneurs industriels. Segmentez ce registre selon la criticité : fournisseurs critiques (accès SI de production, données sensibles, service essentiel), fournisseurs importants, fournisseurs à risque limité.

2. Établir une politique et un processus C-SCRM

Formalisez une politique de sécurité de la chaîne d'approvisionnement couvrant :

  • Critères de sélection et d'évaluation initiale (due diligence pré-contractuelle)
  • Exigences de sécurité minimales par catégorie de fournisseur
  • Clauses de sécurité contractuelles obligatoires (notification d'incidents, droit d'audit, gestion fin de contrat, SLA sécurité)
  • Procédure de réévaluation périodique et de surveillance continue
  • Gestion des fournisseurs de rang 2 et sous-traitants (fourth-party risk)
  • Processus d'offboarding sécurisé (révocation accès, restitution données, destruction copies)

Désignez un propriétaire de processus (souvent RSSI ou responsable achats sécurisés).

3. Intégrer la sécurité dans la sélection et les contrats

Lors de l'appel d'offres ou de la contractualisation, exigez :

  • Réponse à un questionnaire de sécurité standardisé (aligné NIST CSF, ISO 27001)
  • Certificat ISO 27001, SecNumCloud, qualifications ANSSI (PASSI, PRIS, PDIS) selon le périmètre
  • Software Bill of Materials (SBOM) pour tout composant logiciel fourni
  • Attestations sur les pratiques de développement sécurisé (SDLC, tests, gestion vulnérabilités)
  • Engagement de notification en cas d'incident de sécurité (délais alignés avec NIS2 : early warning 24h, détails 72h)
  • Clause d'audit de sécurité (au moins annuel pour les fournisseurs critiques)
  • Exigences de segmentation réseau, chiffrement des données, gestion des accès à privilèges, surveillance logs

Refusez toute clause d'exclusion totale de responsabilité en cas de compromission fournisseur.

4. Mettre en place une surveillance continue (Third-Party Risk Management – TPRM)

Surveillez en continu l'exposition cybersécurité de vos fournisseurs critiques via :

  • Réévaluation annuelle ou bi-annuelle du questionnaire de sécurité
  • Vérification de la validité des certifications (ISO 27001, qualification ANSSI)
  • Scan externe automatisé (vendor risk rating) pour détecter vulnérabilités publiques, certificats expirés, expositions non autorisées
  • Revue trimestrielle des SLA sécurité et incidents remontés
  • Audit de sécurité on-site ou à distance pour les fournisseurs à haut risque
  • Surveillance de la supply chain de niveau 2 (fourth-party risk) pour les fournisseurs critiques

Inscrivez ces actions dans un planning annuel et tracez-les dans un registre de conformité.

5. Intégrer les fournisseurs dans la gestion des incidents

Incluez les fournisseurs et autres tiers pertinents dans la planification, la réponse et les activités de récupération d'incidents. Assurez-vous que vos procédures de gestion d'incidents prévoient :

  • Un canal de notification d'incident dédié pour chaque fournisseur critique
  • Des engagements de délai de réponse et de remédiation
  • Des exercices de gestion de crise annuels impliquant les fournisseurs critiques
  • Une clause de réversibilité rapide en cas de compromission majeure du fournisseur

6. Gérer la fin de relation et la réversibilité

Prévoyez contractuellement et opérationnellement les modalités d'extinction de la relation : révocation immédiate des comptes, restitution ou destruction des données, arrêt de tous les flux techniques, transfert de connaissance vers le nouveau fournisseur. Testez au moins une fois par an une procédure de bascule d'urgence pour un fournisseur critique.

Prestataires ANSSI à mobiliser pour cette mesure

PASSI / PASSI-LPM

L'ANSSI recommande de clarifier les responsabilités en matière de supervision et de maintien en condition de sécurité des équipements, particulièrement lorsqu'ils sont gérés par des tiers. Un audit PASSI peut vérifier la sécurité des interfaces exposées par vos fournisseurs critiques (API, portails d'administration) et l'étanchéité des accès tiers. Pour les Opérateurs d'Importance Vitale, un audit PASSI-LPM peut porter sur les accès des sous-traitants sensibles.

Quand ? Annuellement pour les fournisseurs critiques avec accès SI ; avant mise en production d'une nouvelle interface fournisseur.

PRIS (Prestataire de Réponse aux Incidents de Sécurité)

En cas d'incident impliquant un fournisseur (compromission de son infrastructure avec impact potentiel chez vous, exfiltration de données via un tiers), un PRIS peut mener l'investigation forensique côté client et coordonner la remédiation avec le fournisseur. Un PRIS peut également accompagner les exercices de crise impliquant les fournisseurs.

Quand ? En phase de réponse à incident, ou pour exercice de crise annuel supply-chain.

PDIS (Prestataire de Détection des Incidents de Sécurité)

Un PDIS (SOC externe qualifié) peut intégrer la supervision des flux émanant des fournisseurs critiques dans le SOC de l'entité régulée : logs d'accès VPN fournisseur, logs API, logs applicatifs SaaS. Il détecte ainsi tout comportement anormal ou tentative de mouvement latéral depuis un point d'accès tiers.

Quand ? Supervision 24/7 pour les fournisseurs avec accès permanent (cloud, infogérance).

PACS (Prestataire d'Accompagnement et de Conseil en Sécurité)

Un PACS peut accompagner la définition de la politique C-SCRM, la rédaction des clauses contractuelles, l'élaboration du questionnaire de sécurité fournisseurs et la conception du processus de surveillance continue.

Quand ? En phase de structuration du programme (T1-T2 2026 pour les entités en mise en conformité NIS2).

SecNumCloud (pour les fournisseurs cloud critiques)

Pour tout fournisseur cloud hébergeant des données sensibles ou supportant des services essentiels, exigez la qualification SecNumCloud. Cette qualification apporte un niveau d'assurance élevé sur la souveraineté, la résilience et la sécurité du cloud provider.

Quand ? Dès la phase de sélection d'un fournisseur cloud critique.

Outils techniques recommandés

Third-Party Risk Management (TPRM) Platforms

Les solutions TPRM automatisent la collecte de questionnaires, la notation de risque fournisseurs, le suivi des certifications, la planification des audits et la surveillance continue. Catégories : OneTrust Vendorpedia, ServiceNow TPRM, BitSight, SecurityScorecard, UpGuard, RiskRecon (Mastercard).

Vendor Risk Rating / External Attack Surface Monitoring

Ces outils scannent en continu l'exposition Internet des fournisseurs : ports ouverts, certificats SSL expirés, DNS mal configurés, présence de vulnérabilités connues, fuites de credentials dans le darkweb. Cela permet d'objectiver le niveau de maturité sécurité d'un fournisseur sans questionnaire.

Software Composition Analysis (SCA) et SBOM Management

Pour les fournisseurs de logiciels, exigez un Software Bill of Materials (SBOM). Vous ne pouvez pas gérer le risque d'un fournisseur si vous ne connaissez pas les bibliothèques open source ou sous-composants qu'il utilise. Un SBOM non examiné est juste une liste ; un SBOM examiné pour vulnérabilités (CVE) constitue une preuve d'audit. Outils SCA : Sonatype Nexus, Snyk, Black Duck, Checkmarx SCA, Dependency-Track.

Contract Lifecycle Management (CLM) avec module sécurité

Pour gérer les clauses de sécurité dans les centaines de contrats fournisseurs, un outil CLM avec module sécurité permet de standardiser les clauses, suivre les dates de renouvellement, déclencher les réévaluations et auditer la conformité contractuelle.

SIEM / SOC avec intégration logs fournisseurs

Configurez votre SIEM (Splunk, Elastic, Microsoft Sentinel, QRadar) pour ingérer les logs critiques des fournisseurs : logs VPN, logs accès API, logs applicatifs SaaS (via API). Créez des use cases dédiés : connexion fournisseur en dehors des plages autorisées, tentative d'élévation de privilèges, exfiltration de volume anormal.

Automated Vulnerability Scanners (Internet-facing assets)

Pour les fournisseurs exposant des services en ligne (portails, API), un scan trimestriel automatisé (Qualys, Tenable, Rapid7, Acunetix) permet de détecter CVE non patchées, configurations TLS faibles, vulnérabilités applicatives.

Cas d'incidents documentés — où l'absence/défaillance de cette mesure a aggravé l'impact

Attaque 3CX (mars 2023)

En mars 2023, Mandiant a répondu à une compromission de la chaîne d'approvisionnement affectant le logiciel 3CX Desktop App. Le vecteur de compromission initial du réseau 3CX provenait d'un logiciel malveillant téléchargé depuis le site de Trading Technologies. C'est la première fois que Mandiant a observé une attaque de chaîne d'approvisionnement logicielle conduisant à une autre attaque de chaîne d'approvisionnement logicielle. 3CX compte plus de 600 000 clients et 12 millions d'utilisateurs dans des secteurs variés, incluant aérospatiale, santé et hôtellerie. La compromission initiale a commencé lorsqu'un employé de 3CX a téléchargé et exécuté une version trojanisée du logiciel de trading X_Trader. Cela a donné accès à UNC4736 à l'environnement 3CX, permettant la compromission des environnements de build Windows et macOS utilisés pour distribuer l'application 3CX à leurs clients. Ce cas illustre le risque en cascade : une négligence dans la sélection/validation d'un fournisseur de second rang (Trading Technologies, fournisseur d'outil de trading utilisé par un employé 3CX) a permis de compromettre 3CX, qui a ensuite distribué du code malveillant à des centaines de milliers de clients finaux.

Leçon : même un fournisseur de rang 2 ou un logiciel end-of-life téléchargé par un collaborateur peut devenir un vecteur d'attaque. Il faut donc surveiller non seulement les fournisseurs contractuels directs, mais aussi les logiciels tiers utilisés en interne.

Attaque Jaguar Land Rover via prestataire IT (2025)

L'attaque ayant touché Jaguar Land Rover, déclenchée par la compromission d'un prestataire IT avec accès aux environnements SAP, a entraîné l'arrêt ou le ralentissement de plusieurs sites de production pendant près de six semaines. L'impact s'est propagé à l'ensemble de l'écosystème industriel, affectant plus de 5 000 fournisseurs au Royaume-Uni et mettant en péril jusqu'à 200 000 emplois directs et indirects. Le Cyber Monitoring Centre estimait à fin 2025 le coût global pour l'économie britannique à environ 1,9 milliard de livres sterling. Ce cas montre qu'une attaque supply-chain peut devenir un choc économique systémique, transformant la gouvernance TPRM en enjeu de continuité nationale.

Leçon : l'absence de segmentation réseau stricte et de surveillance continue des accès des prestataires IT critiques (SAP, ERP) peut conduire à un arrêt de production de plusieurs semaines avec impact macro-économique.

Attaque Ascension Health via fournisseur IT tiers (printemps 2025)

Au printemps 2025, Ascension a confirmé une cyberattaque initiée via un fournisseur IT tiers, détectée fin mars. L'incident a entraîné l'indisponibilité partielle de systèmes cliniques et administratifs dans plusieurs dizaines d'hôpitaux et centres de soins parmi les 140 établissements exploités par le groupe aux États-Unis. L'attaque a perturbé l'accès aux dossiers médicaux électroniques, aux outils de prescription et à certains systèmes de planification, obligeant les équipes à fonctionner en mode dégradé pendant plusieurs jours.

Leçon : dans le secteur santé, un fournisseur IT compromis peut conduire à un retour à des processus manuels, avec risque direct pour la continuité des soins. L'exigence NIS2 d'intégrer les fournisseurs dans la gestion de crise prend tout son sens.

United Natural Foods Inc. (UNFI) — juin 2025

En juin 2025, UNFI, l'un des plus grands distributeurs alimentaires en Amérique du Nord, a subi une cyberattaque paralysante. Les systèmes de fulfillment de l'entreprise ont été arrêtés pendant près de 10 jours, entraînant des ruptures dans plusieurs magasins à travers les États-Unis, notamment des rayons vides dans de nombreux magasins Whole Foods, l'un des principaux clients d'UNFI. La perte financière estimée était d'au moins 350 millions de dollars en ventes pour UNFI, plus les coûts supplémentaires liés à la transition vers des opérations manuelles et les millions dépensés en experts externes en cybersécurité et avocats.

Leçon : dans les chaînes logistiques critiques (alimentation), un arrêt de 10 jours d'un distributeur central peut provoquer des pénuries à grande échelle. Les entités régulées du secteur doivent cartographier leurs fournisseurs logistiques critiques et s'assurer de leur niveau de maturité cyber.

MOVEit (juin 2023)

La vulnérabilité MOVEit exploitée par le groupe de ransomware Cl0p a affecté plus de 1 000 clients MOVEit, et les données personnelles d'environ 60 millions d'individus ont été volées. Il a été estimé que Cl0p a gagné plus de 100 millions de dollars, le tout à partir d'une seule faille zero-day initiale chez un fournisseur. MOVEit Transfer est un outil de transfert sécurisé de fichiers largement utilisé dans les secteurs finance, santé, administration.

Leçon : un fournisseur SaaS de transfert de fichiers non surveillé et non patché peut devenir le point d'entrée pour des centaines d'organisations clientes. L'obligation NIS2 de vérifier les pratiques de gestion de vulnérabilités des fournisseurs (via questionnaire ou audit) aurait pu réduire l'exposition.

Sanctions et risques en cas de non-conformité

En application de la directive NIS2, le non-respect des obligations de gestion du risque tiers est passible de sanctions financières pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles (entités importantes : jusqu'à 7 millions d'euros ou 1,4 % CA). Les autorités de supervision (en France, ANSSI via le MonEspaceNIS2) disposent de pouvoirs d'inspection, d'audit et d'injonction.

Au-delà des amendes, les risques incluent :

  • Responsabilité personnelle des dirigeants : NIS2 impose une responsabilité directe du management sur la supervision cybersécurité ; un incident résultant d'une carence manifeste dans la gestion fournisseurs peut entraîner une mise en cause personnelle.
  • Suspension d'activité : en cas de défaillance grave et répétée (par exemple, non-mise en place de mesures correctives après incident supply-chain), l'autorité peut imposer une suspension temporaire de certaines activités.
  • Perte de certification et marchés : pour les entités soumises à des exigences sectorielles (ISO 27001, HDS santé, qualifications ANSSI), un incident supply-chain documenté peut entraîner la suspension de certifications, bloquant l'accès à des marchés publics ou privés.
  • Dommages réputationnels et litiges clients : une compromission par fournisseur révélant une absence de diligence raisonnable expose à des class actions et perte de confiance durable.
  • Impact opérationnel direct : comme documenté dans les cas UNFI, Jaguar Land Rover, Ascension, un fournisseur compromis peut arrêter la production, la logistique ou les services essentiels pendant plusieurs semaines, avec pertes économiques se chiffrant en centaines de millions.

Ressources officielles

Liens internes nis2-pro.fr

3. Continuité des activitésToutes les mesures5. Sécurité de l'acquisition, du développement et de la maintenance