La securite de la chaine d’approvisionnement est devenue un enjeu majeur de cybersecurite. Les attaques via les sous-traitants se sont multipliees ces dernieres annees : SolarWinds (2020), Kaseya (2021), MOVEit (2023) – dans chaque cas, la compromission d’un prestataire a permis d’atteindre des milliers d’organisations clientes. Le legislateur europeen a pris la mesure de ce risque : la directive NIS2 et le RGPD imposent desormais des obligations strictes et convergentes en matiere de securite des relations avec les sous-traitants et fournisseurs. Cet article analyse ces obligations, les exigences contractuelles et les mesures operationnelles a mettre en oeuvre.

I. Le cadre juridique : deux textes, une convergence

A. NIS2 : la securite de la chaine d’approvisionnement comme obligation explicite

L’article 21, paragraphe 2, point d) de NIS2 impose aux entites essentielles et importantes des mesures relatives a la “securite de la chaine d’approvisionnement, y compris les aspects lies a la securite concernant les relations entre chaque entite et ses fournisseurs directs ou ses prestataires de services”.

Cette formulation est remarquablement large. Elle couvre non seulement les prestataires informatiques (hebergeurs, editeurs, integrateurs, infogrants) mais aussi les fournisseurs non-IT dont les systemes sont interconnectes avec ceux de l’entite. La checklist de conformite NIS2 doit integrer un volet complet sur la gestion des risques lies aux tiers.

NIS2 precise que les mesures doivent inclure la prise en compte des vulnerabilites specifiques a chaque fournisseur, de la qualite globale des produits et des pratiques de cybersecurite des fournisseurs, y compris leurs procedures de developpement securise. L’entite est donc tenue d’evaluer activement la securite de ses fournisseurs, pas seulement de leur demander des declarations.

B. Le RGPD : l’article 28 et les obligations du sous-traitant

L’article 28 du RGPD encadre specifiquement les relations entre le responsable de traitement et le sous-traitant qui traite des donnees personnelles pour son compte. Le responsable de traitement ne peut faire appel qu’a des sous-traitants qui “presentent des garanties suffisantes” quant a la mise en oeuvre de mesures techniques et organisationnelles appropriees.

L’article 28 impose un contrat ecrit qui stipule l’objet et la duree du traitement, sa nature et sa finalite, le type de donnees et les categories de personnes concernees, ainsi que les obligations et droits du responsable de traitement. Les obligations de l’article 32 s’appliquent au sous-traitant comme au responsable de traitement : la securite n’est pas delegable.

C. Le Cyber Resilience Act : les produits numeriques

Le Cyber Resilience Act complete ce cadre en imposant des exigences de securite aux fabricants de produits comportant des elements numeriques. Pour les organisations utilisatrices, cela signifie que les produits acquis aupres de leurs fournisseurs devront repondre a des standards de securite certifies. Cette dimension “produits” de la chaine d’approvisionnement etait jusqu’ici peu couverte par la reglementation.

II. Les obligations d’evaluation des fournisseurs

A. Le devoir de diligence

Tant le RGPD que NIS2 imposent un devoir de diligence dans le choix et le suivi des fournisseurs. Ce devoir se traduit par trois obligations :

1. Evaluation prealable : avant de contracter avec un fournisseur, l’organisation doit evaluer ses garanties de securite. Cette evaluation peut prendre la forme d’un questionnaire de securite, d’un audit sur site, de la verification de certifications (ISO 27001, SOC 2, qualifications ANSSI) ou de l’examen de rapports d’audit independants.

2. Contractualisation : les exigences de securite doivent etre formalisees dans le contrat. Les clauses generiques du type “le prestataire s’engage a assurer un niveau de securite adequat” sont insuffisantes. Les exigences doivent etre specifiques et mesurables.

3. Suivi continu : l’evaluation n’est pas un exercice ponctuel. Le niveau de securite d’un fournisseur peut se degrader dans le temps. Un processus de suivi regulier doit etre mis en place : revue annuelle des certifications, veille sur les incidents affectant le fournisseur, audits periodiques.

B. Methode d’evaluation : l’approche par les risques

L’evaluation ne peut pas etre identique pour tous les fournisseurs. L’analyse de risques doit categoriser les fournisseurs selon leur criticite : un fournisseur qui heberge les donnees personnelles de millions de clients n’a pas le meme niveau de risque qu’un fournisseur de fournitures de bureau. La methode EBIOS RM, dans son atelier 3 (scenarios strategiques), integre nativement l’ecosysteme de l’organisation et permet d’identifier les fournisseurs qui constituent des vecteurs d’attaque potentiels.

La categorisation typique distingue trois niveaux. Les fournisseurs critiques (acces aux donnees sensibles, systemes interconnectes, impact fort en cas de compromission) font l’objet d’une evaluation approfondie incluant un audit. Les fournisseurs importants (acces limite, impact modere) font l’objet d’une evaluation standard par questionnaire et verification de certifications. Les fournisseurs non critiques (pas d’acces aux systemes ni aux donnees) font l’objet d’une evaluation simplifiee.

Des outils comme Legiscope permettent d’automatiser une partie significative de cette evaluation en centralisant les questionnaires de conformite, le suivi des garanties RGPD des sous-traitants et la documentation des mesures de securite. Cette automatisation est particulierement precieuse pour les organisations qui gerent un nombre important de sous-traitants et doivent maintenir une documentation a jour pour satisfaire aux exigences de NIS2 et du RGPD.

III. Les clauses contractuelles essentielles

A. Clauses de securite technique

Le contrat avec un fournisseur critique ou important doit inclure des clauses de securite detaillees. Les clauses minimales couvrent le chiffrement des donnees en transit et au repos, les mecanismes de controle d’acces et d’authentification forte, la politique de gestion des correctifs de securite (delais d’application), la gestion des journaux d’evenements (logs) et leur duree de conservation, la politique de sauvegarde et les engagements de RTO/RPO, la segmentation des environnements (isolation entre clients) et les procedures de suppression des donnees en fin de contrat.

B. Clauses de notification d’incidents

Le contrat doit imposer au sous-traitant l’obligation de notifier sans delai tout incident de securite affectant les systemes ou les donnees du client. Le delai de notification doit etre plus court que les delais reglementaires (24 heures ANSSI, 72 heures CNIL) pour laisser au client le temps de remplir ses propres obligations de notification. Un delai contractuel de 24 heures maximum est recommande.

La clause doit preciser le contenu minimal de la notification, les contacts destinataires, l’obligation de cooperation dans l’investigation et les mesures conservatoires a prendre immediatement. La procedure de gestion des fuites de donnees de l’organisation doit integrer les scenarios d’incident chez un sous-traitant.

C. Clauses d’audit et de controle

L’article 28 du RGPD donne au responsable de traitement le droit de realiser ou de faire realiser des audits chez le sous-traitant. NIS2 renforce ce droit en l’etendant a l’ensemble de la chaine d’approvisionnement. Les clauses doivent prevoir le droit d’audit (sur site et a distance), la frequence minimale des audits, la possibilite de mandater un tiers independant (qualifie PASSI pour les audits techniques), les delais de remediation des non-conformites identifiees et les consequences en cas de refus de cooperer.

Les audits de securite informatique des sous-traitants sont un element central de la conformite NIS2. Ils doivent etre planifies et documentes.

D. Clauses de sous-traitance ulterieure

L’article 28 du RGPD encadre strictement la sous-traitance ulterieure (le sous-traitant qui recourt lui-meme a un sous-traitant). Deux options sont possibles : l’autorisation prealable specifique (le responsable de traitement approuve chaque sous-traitant ulterieur) ou l’autorisation generale (le responsable de traitement autorise le principe mais doit etre informe de tout changement et pouvoir s’y opposer).

NIS2 renforce cette exigence en demandant que la securite soit assuree a travers toute la chaine d’approvisionnement. En pratique, cela signifie que les exigences de securite imposees au sous-traitant de rang 1 doivent etre repercutees aux sous-traitants de rang 2 et au-dela. La plateforme Legiscope facilite le suivi de ces chaines de sous-traitance en permettant de documenter les relations contractuelles et les garanties associees a chaque niveau.

IV. Mesures operationnelles de gestion des risques fournisseurs

A. Le registre des fournisseurs

L’organisation doit maintenir un registre a jour de l’ensemble de ses fournisseurs, incluant la nature des services fournis, la criticite, les donnees accessibles, les systemes interconnectes, les certifications, la date du dernier audit et le niveau de risque residuel. Ce registre est un outil de pilotage essentiel et un element de preuve en cas de controle.

B. La surveillance continue

Au-dela des audits periodiques, la surveillance continue des fournisseurs comprend la veille sur les incidents de securite publics affectant les fournisseurs (CVE, breaches), la surveillance des scores de securite (services de notation cyber comme SecurityScorecard, BitSight), le suivi des indicateurs contractuels (SLA, disponibilite, temps de reponse aux incidents) et la revue des rapports d’audit independants (SOC 2 Type II, ISO 27001). L’ENISA publie des recommandations sur la gestion des risques de la chaine d’approvisionnement qui fournissent un cadre structure.

C. La gestion des incidents impliquant un fournisseur

Lorsqu’un incident de securite survient chez un fournisseur, la gestion des incidents de l’organisation doit etre activee. Le processus inclut l’evaluation de l’impact sur les systemes et donnees de l’organisation, la mise en oeuvre de mesures de confinement (revocation des acces, isolation des interconnexions), la coordination avec le fournisseur pour l’investigation, la determination des obligations de notification et la communication aux parties prenantes.

Le role du RSSI est central dans la gestion de ces incidents : il coordonne la reponse technique, evalue l’impact reglementaire et assure le lien avec les autorites competentes. L’ANSSI doit etre notifiee si l’entite est soumise a NIS2.

D. La clause de reversibilite et de sortie

Un aspect souvent neglige est la capacite a changer de fournisseur en cas de defaillance grave. Le contrat doit prevoir des clauses de reversibilite (transfert des donnees et services vers un nouveau prestataire), de portabilite des donnees, de delais de transition et d’assistance a la migration. Sans ces clauses, la dependance a un fournisseur defaillant peut devenir un risque de securite en soi. Legiscope peut etre utilise pour structurer et suivre les obligations contractuelles RGPD, incluant les clauses de sortie et de reversibilite, dans un tableau de bord centralise.

Le cadre europeen complet, incluant NIS2 et le RGPD, est consultable sur EUR-Lex.

V. La politique de securite et les sous-traitants

La politique de securite des systemes d’information doit inclure un volet dedie a la gestion de la securite des tiers. Ce volet definit les criteres de classification des fournisseurs, le processus d’evaluation, les exigences minimales de securite par niveau de criticite, la gouvernance (qui approuve un nouveau fournisseur critique, qui revise les evaluations) et les indicateurs de suivi. L’integration de ce volet dans la PSSI est un element de la conformite NIS2 et un point systematiquement verifie lors d’un audit RGPD.

FAQ

NIS2 impose-t-elle d’auditer ses fournisseurs ?

NIS2 impose de prendre en compte la securite de la chaine d’approvisionnement, ce qui inclut l’evaluation des pratiques de securite des fournisseurs. Le texte ne prescrit pas une methode d’evaluation specifique, mais l’audit (sur site ou a distance, par l’organisation elle-meme ou un tiers) est le moyen le plus robuste de satisfaire cette exigence, en particulier pour les fournisseurs critiques. La verification de certifications (ISO 27001) ou de rapports d’audit independants (SOC 2) constitue une alternative pour les fournisseurs de moindre criticite.

Comment articuler les exigences NIS2 et RGPD pour les sous-traitants ?

Les deux textes sont convergents et complementaires. Le RGPD (article 28) impose un contrat ecrit avec des garanties de securite et un droit d’audit pour les traitements de donnees personnelles. NIS2 (article 21) impose l’evaluation de la securite de la chaine d’approvisionnement pour l’ensemble des systemes. En pratique, un contrat unique peut couvrir les deux exigences en incluant les clauses requises par l’article 28 du RGPD (objet du traitement, garanties, sous-traitance ulterieure, droit d’audit) et les exigences techniques de NIS2 (chiffrement, gestion des incidents, notification).

Que faire si un fournisseur refuse de se soumettre a un audit ?

Le refus d’audit doit etre un signal d’alerte. Si le contrat prevoit un droit d’audit (ce que le RGPD impose pour les sous-traitants traitant des donnees personnelles), le refus constitue une violation contractuelle. En l’absence de clause contractuelle, il convient de negocier l’inclusion d’un droit d’audit lors du renouvellement du contrat. Si le fournisseur refuse durablement toute transparence, l’organisation doit evaluer si elle peut maintenir la relation sans manquer a ses propres obligations de securite et de conformite.

Comment gerer les risques lies aux sous-traitants de rang 2 et au-dela ?

L’article 28 du RGPD impose que le sous-traitant de rang 1 repercute les memes obligations de protection des donnees a ses propres sous-traitants. NIS2 etend cette logique a la chaine d’approvisionnement dans son ensemble. En pratique, cela implique d’inclure des clauses de flow-down dans les contrats (obligation pour le sous-traitant de repercuter les exigences), d’exiger la transparence sur les sous-traitants ulterieurs, et de se reserver le droit d’audit a travers toute la chaine. La visibilite diminue mecaniquement avec la profondeur de la chaine, ce qui rend la gestion des fournisseurs critiques (qui controlent eux-memes leurs propres fournisseurs) d’autant plus importante.