Retour aux actualitésRisques tiers

    Sécurité de la chaîne d'approvisionnement : risques tiers et conformité NIS2

    13 min de lecture

    L'attaque SolarWinds en 2020 a révélé au grand public une réalité que les professionnels de la cybersécurité connaissaient depuis longtemps : compromettre un fournisseur de logiciels ou de services informatiques permet d'accéder simultanément à des milliers d'organisations. En 2025, selon l'ENISA, 25 % des incidents de sécurité significatifs impliquaient un vecteur tiers. La directive NIS2 en fait une priorité absolue avec son article 21 qui impose explicitement la gestion de la "sécurité de la chaîne d'approvisionnement". Voici comment aborder ce risque de manière structurée.

    1. Comprendre le risque tiers

    1.1. Les typologies d'attaques via la chaîne d'approvisionnement

    Les attaques sur la chaîne d'approvisionnement prennent plusieurs formes. Les compromissions logicielles consistent à injecter du code malveillant dans un logiciel légitime distribué à des milliers de clients (SolarWinds, 3CX, XZ Utils). Les compromissions de prestataires IT ciblent les MSP (Managed Service Providers) pour rebondir vers leurs clients. Les vulnérabilités dans les composants tiers exploitent des failles dans des bibliothèques open source largement utilisées (Log4j, MOVEit). Enfin, les accès distants trop permissifs accordés à des prestataires de maintenance créent des portes d'entrée utilisables par des attaquants.

    1.2. Cartographier ses dépendances tiers

    La première étape est l'inventaire. Beaucoup d'organisations ignorent l'étendue de leurs dépendances tiers : combien de fournisseurs ont accès à leur réseau ? Quelles applications SaaS traitent des données sensibles ? Quels prestataires de sous-traitance accèdent à quels systèmes ? Cet inventaire doit couvrir les éditeurs logiciels critiques, les fournisseurs cloud et SaaS, les prestataires IT et MSP, les sous-traitants ayant accès aux données, et les partenaires avec des interconnexions réseau.

    2. Évaluer le risque de chaque tiers

    2.1. Classification par criticité

    Tous les tiers ne présentent pas le même risque. Classifiez-les en trois niveaux : critique (accès aux systèmes ou données les plus sensibles, impact potentiellement fatal en cas de compromission), important (accès limité mais impact significatif), standard (faible accès et impact limité). Cette classification détermine le niveau d'exigence et le mode d'évaluation.

    2.2. Le questionnaire de sécurité

    Pour les tiers critiques, un questionnaire de sécurité annuel est la pratique minimale. Les questions doivent couvrir : la politique de sécurité et sa gouvernance (RSSI dédié, comité sécurité), les certifications (ISO 27001, SOC 2 Type II), la gestion des vulnérabilités et du patching, les pratiques de développement sécurisé (pour les éditeurs logiciels), le plan de réponse aux incidents et les délais de notification, et la gestion des accès (MFA, principe de moindre privilège, PAM). Des référentiels standardisés existent : SIG (Standardized Information Gathering), CAIQ de la Cloud Security Alliance, ou votre propre questionnaire aligné sur ISO 27001.

    2.3. L'audit tiers

    Pour les fournisseurs les plus critiques, un audit de sécurité réalisé par votre équipe ou un prestataire indépendant est la garantie la plus solide. Cela peut prendre la forme d'un audit documentaire des politiques et procédures, d'une revue des configurations (accès, logs, sauvegardes), ou d'un pentest ciblé sur l'interface entre vos systèmes et ceux du prestataire. L'obtention d'une certification ISO 27001 ou SOC 2 Type II du prestataire peut parfois se substituer à cet audit individuel.

    3. Les clauses contractuelles de sécurité

    3.1. Les mentions indispensables

    Vos contrats avec les fournisseurs critiques doivent inclure des clauses de sécurité explicites : obligation de notifier tout incident de sécurité vous concernant dans un délai défini (24 à 72h), droit d'audit ou d'accès aux rapports d'audit tiers, exigences minimales de sécurité (MFA, chiffrement des données, patch management), obligation de respecter les standards définis par vos politiques internes, responsabilité en cas de violation de données imputable au prestataire, et droit de résiliation en cas de non-conformité grave.

    3.2. Les accords de niveau de service (SLA) sécurité

    Les SLA doivent couvrir non seulement la disponibilité mais aussi la sécurité : délais maximaux de réponse aux incidents, délais de mise à jour des correctifs critiques, fréquence des tests de sécurité et communication des résultats, et indicateurs de sécurité (nombre d'incidents, MTTR) partagés régulièrement.

    4. NIS2 et les obligations sur la chaîne d'approvisionnement

    L'article 21 de la directive NIS2 impose aux entités couvertes de gérer "la sécurité de la chaîne d'approvisionnement, notamment les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs". Concrètement, NIS2 exige que vous évaluiez les pratiques de cybersécurité de vos fournisseurs critiques, que vous intégriez des clauses de sécurité dans vos contrats, et que vous ayez une vision claire de vos dépendances tiers.

    Cette obligation crée un effet cascade : les entités NIS2 vont exiger de leurs fournisseurs (qui ne sont peut-être pas eux-mêmes entités NIS2) des garanties de sécurité croissantes. Si vous êtes sous-traitant d'une entité NIS2, attendez-vous à recevoir des questionnaires de sécurité plus exigeants et à devoir démontrer votre niveau de maturité.

    5. Sécuriser les accès distants des prestataires

    Les accès distants accordés aux prestataires sont l'un des vecteurs d'attaque les plus exploités. Les bonnes pratiques incluent l'utilisation d'une solution PAM (Privileged Access Management) pour tracer et contrôler tous les accès distants, l'activation du MFA sur tous les accès externes sans exception, la restriction des accès au strict nécessaire (moindre privilège), la mise en place d'une durée limitée pour chaque accès (supprimé dès la fin de la prestation), l'enregistrement des sessions pour les activités à haut risque, et la revue régulière des comptes actifs.

    Une solution comme BeyondTrust, CyberArk ou Wallix (éditeur français) permet de centraliser la gestion de ces accès, de les tracer intégralement et de les révoquer immédiatement en cas d'incident. C'est un investissement justifié pour toute organisation travaillant avec de nombreux prestataires IT.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit