NIS2 et sous-traitants : obligations supply chain et clauses contractuelles 2026
L'article 21 de la directive NIS2 impose aux entités essentielles et importantes de gérer les risques de cybersécurité liés à leur chaîne d'approvisionnement. C'est une rupture majeure avec la directive NIS1 : désormais, vous êtes responsables de la sécurité de vos fournisseurs clés. Les attaques supply chain (SolarWinds, Kaseya, MOVEit) ont démontré que compromettre un prestataire peut toucher des milliers de clients simultanément.
Ce que dit l'article 21§2d de la directive NIS2
L'entité NIS2 doit mettre en place des mesures pour gérer "la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs, notamment les fournisseurs de services ou produits de sécurité TIC".
Concrètement, cela impose :
- D'identifier les fournisseurs et prestataires qui accèdent à vos systèmes ou traitent des données critiques.
- D'évaluer leur niveau de sécurité (questionnaires, audits, certifications).
- D'inclure des clauses de sécurité dans vos contrats.
- De surveiller en continu les risques que font peser vos tiers sur votre organisation.
Classification des fournisseurs par niveau de risque
Tous les fournisseurs ne présentent pas le même niveau de risque. Une segmentation s'impose :
- Tier 1 — Critique : fournisseurs avec accès à vos systèmes sensibles ou données critiques (hébergeur, ESN, éditeur de logiciel de gestion, infogéreur SOC, prestataire cloud). Évaluation annuelle approfondie requise.
- Tier 2 — Important : fournisseurs avec accès limité ou traitant des données non critiques. Questionnaire annuel + review des incidents.
- Tier 3 — Standard : fournisseurs sans accès aux systèmes. Clause contractuelle standard + attestation annuelle.
Les clauses contractuelles NIS2 à exiger
Vos contrats avec les fournisseurs Tier 1 et Tier 2 doivent inclure a minima :
- Clause de sécurité minimale : le fournisseur s'engage à maintenir un niveau de sécurité conforme à NIS2 et/ou ISO 27001 (ou équivalent).
- Clause de notification d'incident : obligation de notifier tout incident de sécurité pouvant affecter vos systèmes ou données dans un délai défini (ex: 4 heures pour les incidents critiques, 24 heures pour les incidents significatifs).
- Droit d'audit : droit de réaliser ou de faire réaliser des audits de sécurité chez le fournisseur, avec préavis raisonnable.
- Chaîne de sous-traitance : le fournisseur doit répercuter vos exigences de sécurité à ses propres sous-traitants (clauses en cascade).
- Gestion des vulnérabilités : SLA de correction des vulnérabilités critiques dans les produits ou services fournis.
- Séparation des environnements : isolation de votre environnement de celui des autres clients de l'infogéreur.
- Plan de continuité : le fournisseur doit disposer d'un PCA/PRA testé pour les services qu'il vous fournit.
- Résiliation pour cause de sécurité : droit de résiliation en cas de manquement grave aux obligations de sécurité non corrigé sous X jours.
Questionnaire d'évaluation de la sécurité des tiers
Un questionnaire TPRM (Third-Party Risk Management) doit couvrir les domaines suivants pour les fournisseurs Tier 1 :
- Gouvernance : existe-t-il un RSSI dédié ? Une PSSI approuvée par la direction ? Une revue annuelle de la sécurité ?
- Certifications : ISO 27001, SOC 2 Type II, PCI-DSS, HDS, PASSI ? Date de la dernière certification ? Périmètre couvert ?
- Gestion des accès : MFA obligatoire sur tous les accès distants ? Gestion des comptes privilégiés (PAM) ? Politique de revue des droits ?
- Gestion des vulnérabilités : fréquence des scans ? SLA de patch ? Pentest annuel ?
- Incidents passés : avez-vous subi un incident de sécurité significatif dans les 36 derniers mois ? Si oui, description et mesures correctives ?
- Continuité d'activité : existence et test régulier d'un PCA/PRA pour les services fournis ?
- Localisation des données : où sont stockées vos données ? Des transferts hors UE ont-ils lieu ?
- Sous-traitance : liste des sous-traitants ayant accès à vos données ou systèmes ?
Programme TPRM : les 5 étapes
- Inventaire : cartographier tous les fournisseurs et les services qu'ils fournissent. Classification Tier 1/2/3.
- Évaluation initiale : questionnaire + vérification des certifications + analyse des incidents publics (OSINT sur le fournisseur).
- Contractualisation : intégrer les clauses de sécurité dans tous les contrats et avenants.
- Surveillance continue : monitoring des scores de sécurité (SecurityScorecard, BitSight), alertes sur les CVE affectant les produits du fournisseur, suivi des incidents.
- Revue périodique : réévaluation annuelle des Tier 1, tous les 2 ans pour les Tier 2, vérification des certifications à chaque renouvellement.
Si vous êtes vous-même un sous-traitant
NIS2 s'applique également aux sous-traitants qui fournissent des services essentiels à des entités NIS2. Si vos clients sont des entités essentielles ou importantes soumises à NIS2, vous devrez :
- Répondre à leurs questionnaires de sécurité et accepter des audits.
- Signer des clauses contractuelles de sécurité.
- Notifier vos clients en cas d'incident de sécurité vous affectant.
- Démontrer votre conformité avec des certifications reconnues (ISO 27001, SOC 2, PASSI).
La certification ISO 27001 devient un avantage concurrentiel décisif pour les sous-traitants d'entités NIS2 — certains donneurs d'ordre ont commencé à l'exiger contractuellement.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit