NIS2 & PME #3 : l’effet domino du risque cyber fournisseur

Dans notre pre­mier arti­cle de la série, nous avons vu que des critères pré­cis déter­mi­nent si une entité est directe­ment soumise à NIS2.

Nous avons aus­si iden­ti­fié le cas des struc­tures qui sont indi­recte­ment con­cernées, parce qu’elles sont four­nisseurs ou sous-trai­tants d’un client assu­jet­ti. Car la direc­tive impose aux entités assu­jet­ties de maîtris­er les risques cyber liés à l’ensem­ble de leur chaîne d’ap­pro­vi­sion­nement. C’est le principe de l’ef­fet domi­no.

En clair, l’effet domi­no, c’est NIS2 qui s’im­pose à vous par con­trat, sans que vous y soyez assu­jet­ti.

Qu’est-ce que cela implique con­crète­ment pour votre organ­i­sa­tion ? Et surtout, com­ment vous y pré­par­er ?

Notre arti­cle analyse ce mécan­isme de trans­mis­sion du risque cyber et détaille les bonnes pra­tiques de ges­tion à met­tre en œuvre.

Que vous soyez directe­ment soumis à la direc­tive NIS2, four­nisseur d’une entité assu­jet­tie, ou hors périmètre NIS2, cet arti­cle vous donne les clés pour com­pren­dre et anticiper les nou­velles normes de cyber­sécu­rité dans l’U­nion européenne.
Cet arti­cle fait par­tie de notre série “NIS2 & PME“. Pour clar­i­fi­er votre statut ou com­pren­dre les exi­gences de la direc­tive, vous pou­vez vous référ­er à l’article #1 : NIS2, quoi, quand, qui, com­ment ?

Pourquoi NIS2 vise-t-elle la chaîne d’approvisionnement ?

Le choix de la direc­tive NIS2 de plac­er la sécu­rité de la chaîne d’ap­pro­vi­sion­nement par­mi les 10 mesures min­i­males de sécu­rité (art. 21) repose sur plusieurs con­stats majeurs.

Le contournement de la sécurité par les tiers

La direc­tive con­state une aug­men­ta­tion des attaques où les cyber­crim­inels ne ciblent pas directe­ment l’en­tité finale, mais réus­sis­sent à l’atteindre en attaquant ses four­nisseurs et sous-trai­tants. Env­i­ron 62 % des attaques sur la chaîne d’ap­pro­vi­sion­nement exploitent la rela­tion de con­fi­ance tech­nique ou humaine entre un prestataire et son client (Source : ENISA, Threat Land­scape for Sup­ply Chain Attacks, 2021).

La vulnérabilité spécifique des PME

Or, les four­nisseurs et sous-trai­tants de la chaîne d’ap­pro­vi­sion­nement sont prin­ci­pale­ment des PME. Ces dernières dis­posent sou­vent de ressources lim­itées et d’une ges­tion des risques cyber moins rigoureuse, ce qui en fait des cibles idéales pour les cyber­crim­inels.

Le risque de paralysie globale

C’est l’ef­fet cas­cade des inci­dents.

Etant don­né l’in­ter­con­nex­ion numérique crois­sante, une per­tur­ba­tion chez un seul prestataire peut pro­duire des effets en cas­cade plus larges, entraî­nant des dom­mages durables et de grande ampleur.

Le piège du monopole

Il s’ag­it des sit­u­a­tions de dépen­dance extrême à un four­nisseur.

Beau­coup d’or­gan­i­sa­tions sont totale­ment dépen­dantes d’un four­nisseur unique (effet lock-in). Même si elles détectent des failles de sécu­rité chez ce prestataire, elles ne peu­vent pas en chang­er facile­ment sans blo­quer leur pro­pre activ­ité. NIS2 force donc à anticiper ce piège.

Pour en savoir plus sur le risque cyber de la chaîne d’ap­pro­vi­sion­nement, lire nos arti­cles “Risque Cyber Sup­ply-Chain #1 : com­ment vos four­nisseurs vous exposent” et “Risque Cyber Sup­ply-Chain #2 : quand vous exposez vos parte­naires

Qu’exige NIS2 de vos clients assujettis ?

Les struc­tures directe­ment soumis­es à la direc­tive (que nous appellerons ici “les entités NIS2”) ont l’obligation d’intégrer le risque four­nisseur dans leur pro­pre ges­tion des risques cyber. Con­crète­ment, cela con­siste à :

1. Evaluer la cybersécurité des fournisseurs

L’entité NIS2 doit analyser et éval­uer la qual­ité des pra­tiques de cyber­sécu­rité de ses four­nisseurs directs, sous-trai­tants, prestataires de ser­vices. Elle doit aus­si tenir compte des risques venant des sous-trai­tants de ses four­nisseurs.

2. Contractualiser les exigences de sécurité

La direc­tive pousse l’entité NIS2 à inté­gr­er formelle­ment des mesures de cyber­sécu­rité dans les accords con­tractuels con­clus avec les four­nisseurs directs.

3. Renforcer la vigilance sur les prestataires critiques

L’entité NIS2 devra aus­si porter une atten­tion max­i­male aux four­nisseurs haute­ment inté­grés ou dis­posant d’ac­cès priv­ilégiés, tels que cloud, cen­tres de don­nées ou prestataires de ser­vices de sécu­rité gérés.

Que vont exiger de vous vos clients soumis à NIS2 ?

La direc­tive dit quoi faire mais ne fixe pas de méth­ode, si ce n’est le principe de con­trac­tu­alis­er les exi­gences cyber de l’entité NIS2.

Pour répon­dre à la ques­tion, nous nous appuyons sur deux sources : d’une part, les pra­tiques de cyber­sécu­rité de la chaîne d’approvisionnement que nous obser­vons sur le ter­rain chez les entités des secteurs haute­ment cri­tiques, déjà régies par NIS1 (2016) ; d’autre part, les recom­man­da­tions de l’agence européenne de cyber­sécu­rité ENISA (rap­port Good Prac­tices for Sup­ply Chain Cyber­se­cu­ri­ty, juin 2023).

Ce ne sont donc pas des oblig­a­tions issues du texte de la direc­tive, mais des bonnes pra­tiques con­ver­gentes qui, selon nous, devraient se répan­dre dans le cadre de NIS2.

Dans les faits, voici ce à quoi un four­nisseur direct peut s’attendre.

C’est le mécan­isme le plus répan­du.

Avant même de négoci­er un tarif, vous devez mon­tr­er pat­te blanche via un ques­tion­naire d’é­val­u­a­tion des risques cyber, en four­nissant des preuves à l’ap­pui.

Votre client véri­fie ain­si la qual­ité de vos pro­duits ou ser­vices et la solid­ité de vos pra­tiques de cyber­sécu­rité.

En général, la clause cyber du con­trat de vente reprend les exi­gences qui incombent à l’en­tité NIS2, laque­lle vous les réper­cute.

Elle vous demande, en général d’accepter 5 engage­ments :

  1. La noti­fi­ca­tion des inci­dents : Le four­nisseur doit s’en­gager à informer l’en­tité sans délai de tout inci­dent affec­tant la sécu­rité de ses ser­vices, sou­vent en moins de 24 heures, pour que l’entité NIS2 puisse respecter ses pro­pres délais régle­men­taires.
  2. Le droit d’au­dit : L’en­tité doit avoir le droit d’ef­fectuer des audits chez le four­nisseur.
  3. La ges­tion des vul­néra­bil­ités : Le four­nisseur a l’oblig­a­tion de gér­er les failles de sécu­rité présen­tant un risque pour le client.
  4. La maîtrise de la sous-trai­tance : Le con­trat doit pré­cis­er si le four­nisseur est autorisé à sous-traiter et quelles exi­gences de sécu­rité s’ap­pliquent alors aux sous-trai­tants.
  5. La réversibil­ité des don­nées : Le con­trat doit prévoir les modal­ités de récupéra­tion ou de destruc­tion sécurisée des don­nées au terme de la presta­tion.

Vos pra­tiques peu­vent être réex­am­inées péri­odique­ment (réé­val­u­a­tion, nou­veaux ques­tion­naires, audits), et les mêmes attentes con­tin­u­ent de se réper­cuter, en cas­cade, sur vos sous-trai­tants.

En pratique

Plus votre client est régulé (ex. secteur financier et four­nisseurs numériques), plus il inscrira dans le con­trat des exi­gences pré­cis­es.

Par où commencer ? Les 3 premiers pas LINARIS

Même si la loi française n’est pas encore pro­mul­guée, les grands don­neurs d’or­dre intè­grent déjà les exi­gences NIS2. Les ques­tion­naires cyber sont déjà annexés aux appels d’of­fres.

Sans atten­dre qu’un client vous pose la ques­tion, voici nos trois pre­miers pas à suiv­re, ne néces­si­tant pas d’ex­per­tise tech­nique.

1. Faites un état des lieux de votre maturité

Éval­uez où vous en êtes réelle­ment par rap­port aux objec­tifs de NIS2. Lis­tez vos pra­tiques actuelles, iden­ti­fiez ce qui fonc­tionne, ce qui manque.

2. Sécurisez en priorité ce qui concerne vos clients

Con­cen­trez-vous d’abord sur ce qui pour­rait les expos­er, par exem­ple les accès dont vous dis­posez chez eux, les don­nées que vous détenez pour eux et les canaux par lesquels vous échangez. Cela vous donne un périmètre clair et jus­ti­fi­able.

3. Sachez le démontrer

For­malisez vos mesures et pré­parez-vous à répon­dre vite et bien à un ques­tion­naire de sécu­rité. Une sécu­rité que vous ne pou­vez pas prou­ver ne vous servi­ra pas com­mer­ciale­ment.

Et si vous ne cochez pas encore toutes les cas­es ?

Ce n’est pas réd­hibitoire : un client préfère sou­vent un four­nisseur lucide, capa­ble de mon­tr­er un plan d’amélio­ra­tion crédi­ble, à un four­nisseur qui promet tout sans rien prou­ver. L’essen­tiel est d’en­clencher la démarche, et d’avoir des objec­tifs de pro­gres­sion.

Ne rien faire ne vous expose pas à une amende, puisque vous n’êtes pas assu­jet­ti. Mais le risque de l’inaction pour un four­nisseur direct d’une entité NIS2 est com­mer­cial. C’est celui d’être écarté d’un appel d’of­fres, ou de pass­er après un con­cur­rent qui est mieux pré­paré et sait répon­dre au ques­tion­naire cyber.

En résumé

NIS2 ne s’ar­rête pas aux entités qu’elle régit. Par le jeu des con­trats, elle redéfinit le niveau de sécu­rité atten­du de toute la chaîne d’ap­pro­vi­sion­nement. Elle impose des mesures de cyber­sécu­rité con­traig­nantes aux entités assu­jet­ties, qui les réper­cu­tent à leurs four­nisseurs directs et leurs sous-trai­tants.

Ain­si par cet « effet domi­no », NIS2 fini­ra, selon nous, par s’ap­pli­quer bien au-delà des entités qu’elle vise directe­ment. Elle devient la norme de cyber­sécu­rité dans l’U­nion européenne, et donc la référence des dernières bonnes pra­tiques en matière de cyber­sécu­rité.

Notre con­seil est de pren­dre les devants, sans que vos clients vous l’im­posent, et en faire un argu­ment com­mer­cial.

Auteur
Stéphane Hivert
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste secteurs E‑commerce, Indus­trie

Con­tribu­teur
Lai Ly
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME
Spé­cial­iste secteurs ser­vices financiers

Prenez les devants

Mais vous ne savez pas encore ce que vos clients vont exiger, ni où vous en êtes vrai­ment ? C’est pré­cisé­ment le point de départ d’un diag­nos­tic cyber.

LINARIS aide les PME à anticiper les exi­gences cyber de leurs clients et parte­naires et à y répon­dre de façon prag­ma­tique, adap­tée, et sans ouvrir un chantier infi­ni.

Pren­dre ren­dez-vous avec un con­seiller LINARIS

Note d’édi­tion : Pour alléger la lec­ture, le mas­culin est employé dans cet arti­cle comme genre neu­tre. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique ; nous ne faisons aucune inter­pré­ta­tion juridique ou antic­i­pa­tion de la trans­po­si­tion française (voir notre men­tion com­plète ci-dessous).

Disclaimer

Cet arti­cle est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à sa date de pub­li­ca­tion. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne saurait engager la respon­s­abil­ité de l’édi­teur quant à l’ex­haus­tiv­ité des infor­ma­tions fournies. Les men­aces cyber et les niveaux de risque évolu­ant con­stam­ment dans le temps, toute déci­sion prise sur la base de cette lec­ture relève de la seule respon­s­abil­ité du lecteur.
Note spé­ci­fique à la direc­tive NIS2 : Comme indiqué en intro­duc­tion, les élé­ments partagés dans cet arti­cle découlent directe­ment du texte européen (Direc­tive (UE) 2022/2555) et restent soumis aux décrets de la trans­po­si­tion française. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique. Il ne con­stitue pas un avis juridique et ne saurait en aucun cas rem­plac­er une analyse juridique per­son­nal­isée au cas par cas pour votre entre­prise.

Publications similaires