NIS2 & PME #3 : l’effet domino du risque cyber fournisseur
Dans notre premier article de la série, nous avons vu que des critères précis déterminent si une entité est directement soumise à NIS2.
Nous avons aussi identifié le cas des structures qui sont indirectement concernées, parce qu’elles sont fournisseurs ou sous-traitants d’un client assujetti. Car la directive impose aux entités assujetties de maîtriser les risques cyber liés à l’ensemble de leur chaîne d’approvisionnement. C’est le principe de l’effet domino.
En clair, l’effet domino, c’est NIS2 qui s’impose à vous par contrat, sans que vous y soyez assujetti.
Qu’est-ce que cela implique concrètement pour votre organisation ? Et surtout, comment vous y préparer ?
Notre article analyse ce mécanisme de transmission du risque cyber et détaille les bonnes pratiques de gestion à mettre en œuvre.
Que vous soyez directement soumis à la directive NIS2, fournisseur d’une entité assujettie, ou hors périmètre NIS2, cet article vous donne les clés pour comprendre et anticiper les nouvelles normes de cybersécurité dans l’Union européenne.
Cet article fait partie de notre série “NIS2 & PME“. Pour clarifier votre statut ou comprendre les exigences de la directive, vous pouvez vous référer à l’article #1 : NIS2, quoi, quand, qui, comment ?
Pourquoi NIS2 vise-t-elle la chaîne d’approvisionnement ?
Le choix de la directive NIS2 de placer la sécurité de la chaîne d’approvisionnement parmi les 10 mesures minimales de sécurité (art. 21) repose sur plusieurs constats majeurs.
Le contournement de la sécurité par les tiers
La directive constate une augmentation des attaques où les cybercriminels ne ciblent pas directement l’entité finale, mais réussissent à l’atteindre en attaquant ses fournisseurs et sous-traitants. Environ 62 % des attaques sur la chaîne d’approvisionnement exploitent la relation de confiance technique ou humaine entre un prestataire et son client (Source : ENISA, Threat Landscape for Supply Chain Attacks, 2021).
La vulnérabilité spécifique des PME
Or, les fournisseurs et sous-traitants de la chaîne d’approvisionnement sont principalement des PME. Ces dernières disposent souvent de ressources limitées et d’une gestion des risques cyber moins rigoureuse, ce qui en fait des cibles idéales pour les cybercriminels.
Le risque de paralysie globale
C’est l’effet cascade des incidents.
Etant donné l’interconnexion numérique croissante, une perturbation chez un seul prestataire peut produire des effets en cascade plus larges, entraînant des dommages durables et de grande ampleur.
Le piège du monopole
Il s’agit des situations de dépendance extrême à un fournisseur.
Beaucoup d’organisations sont totalement dépendantes d’un fournisseur unique (effet lock-in). Même si elles détectent des failles de sécurité chez ce prestataire, elles ne peuvent pas en changer facilement sans bloquer leur propre activité. NIS2 force donc à anticiper ce piège.
Pour en savoir plus sur le risque cyber de la chaîne d’approvisionnement, lire nos articles “Risque Cyber Supply-Chain #1 : comment vos fournisseurs vous exposent” et “Risque Cyber Supply-Chain #2 : quand vous exposez vos partenaires”
Qu’exige NIS2 de vos clients assujettis ?
Les structures directement soumises à la directive (que nous appellerons ici “les entités NIS2”) ont l’obligation d’intégrer le risque fournisseur dans leur propre gestion des risques cyber. Concrètement, cela consiste à :
1. Evaluer la cybersécurité des fournisseurs
L’entité NIS2 doit analyser et évaluer la qualité des pratiques de cybersécurité de ses fournisseurs directs, sous-traitants, prestataires de services. Elle doit aussi tenir compte des risques venant des sous-traitants de ses fournisseurs.
2. Contractualiser les exigences de sécurité
La directive pousse l’entité NIS2 à intégrer formellement des mesures de cybersécurité dans les accords contractuels conclus avec les fournisseurs directs.
3. Renforcer la vigilance sur les prestataires critiques
L’entité NIS2 devra aussi porter une attention maximale aux fournisseurs hautement intégrés ou disposant d’accès privilégiés, tels que cloud, centres de données ou prestataires de services de sécurité gérés.
Que vont exiger de vous vos clients soumis à NIS2 ?
La directive dit quoi faire mais ne fixe pas de méthode, si ce n’est le principe de contractualiser les exigences cyber de l’entité NIS2.
Pour répondre à la question, nous nous appuyons sur deux sources : d’une part, les pratiques de cybersécurité de la chaîne d’approvisionnement que nous observons sur le terrain chez les entités des secteurs hautement critiques, déjà régies par NIS1 (2016) ; d’autre part, les recommandations de l’agence européenne de cybersécurité ENISA (rapport Good Practices for Supply Chain Cybersecurity, juin 2023).
Ce ne sont donc pas des obligations issues du texte de la directive, mais des bonnes pratiques convergentes qui, selon nous, devraient se répandre dans le cadre de NIS2.
Dans les faits, voici ce à quoi un fournisseur direct peut s’attendre.
En pratique
Plus votre client est régulé (ex. secteur financier et fournisseurs numériques), plus il inscrira dans le contrat des exigences précises.
Par où commencer ? Les 3 premiers pas LINARIS
Même si la loi française n’est pas encore promulguée, les grands donneurs d’ordre intègrent déjà les exigences NIS2. Les questionnaires cyber sont déjà annexés aux appels d’offres.
Sans attendre qu’un client vous pose la question, voici nos trois premiers pas à suivre, ne nécessitant pas d’expertise technique.
1. Faites un état des lieux de votre maturité
Évaluez où vous en êtes réellement par rapport aux objectifs de NIS2. Listez vos pratiques actuelles, identifiez ce qui fonctionne, ce qui manque.
2. Sécurisez en priorité ce qui concerne vos clients
Concentrez-vous d’abord sur ce qui pourrait les exposer, par exemple les accès dont vous disposez chez eux, les données que vous détenez pour eux et les canaux par lesquels vous échangez. Cela vous donne un périmètre clair et justifiable.
3. Sachez le démontrer
Formalisez vos mesures et préparez-vous à répondre vite et bien à un questionnaire de sécurité. Une sécurité que vous ne pouvez pas prouver ne vous servira pas commercialement.
Et si vous ne cochez pas encore toutes les cases ?
Ce n’est pas rédhibitoire : un client préfère souvent un fournisseur lucide, capable de montrer un plan d’amélioration crédible, à un fournisseur qui promet tout sans rien prouver. L’essentiel est d’enclencher la démarche, et d’avoir des objectifs de progression.
Ne rien faire ne vous expose pas à une amende, puisque vous n’êtes pas assujetti. Mais le risque de l’inaction pour un fournisseur direct d’une entité NIS2 est commercial. C’est celui d’être écarté d’un appel d’offres, ou de passer après un concurrent qui est mieux préparé et sait répondre au questionnaire cyber.
En résumé
NIS2 ne s’arrête pas aux entités qu’elle régit. Par le jeu des contrats, elle redéfinit le niveau de sécurité attendu de toute la chaîne d’approvisionnement. Elle impose des mesures de cybersécurité contraignantes aux entités assujetties, qui les répercutent à leurs fournisseurs directs et leurs sous-traitants.
Ainsi par cet « effet domino », NIS2 finira, selon nous, par s’appliquer bien au-delà des entités qu’elle vise directement. Elle devient la norme de cybersécurité dans l’Union européenne, et donc la référence des dernières bonnes pratiques en matière de cybersécurité.
Notre conseil est de prendre les devants, sans que vos clients vous l’imposent, et en faire un argument commercial.
Auteur
Stéphane Hivert
Spécialiste Cybersécurité PME
Spécialiste secteurs E‑commerce, Industrie
Contributeur
Lai Ly
Spécialiste Gouvernance Cybersécurité PME
Spécialiste secteurs services financiers
Prenez les devants
Mais vous ne savez pas encore ce que vos clients vont exiger, ni où vous en êtes vraiment ? C’est précisément le point de départ d’un diagnostic cyber.
LINARIS aide les PME à anticiper les exigences cyber de leurs clients et partenaires et à y répondre de façon pragmatique, adaptée, et sans ouvrir un chantier infini.
Prendre rendez-vous avec un conseiller LINARIS
Note d’édition : Pour alléger la lecture, le masculin est employé dans cet article comme genre neutre. Ce contenu a une vocation purement pédagogique et pragmatique ; nous ne faisons aucune interprétation juridique ou anticipation de la transposition française (voir notre mention complète ci-dessous).
Disclaimer
Cet article est fourni à titre informatif uniquement et reflète l’opinion de son auteur à sa date de publication. Il ne constitue pas un avis juridique ou réglementaire et ne saurait engager la responsabilité de l’éditeur quant à l’exhaustivité des informations fournies. Les menaces cyber et les niveaux de risque évoluant constamment dans le temps, toute décision prise sur la base de cette lecture relève de la seule responsabilité du lecteur.
Note spécifique à la directive NIS2 : Comme indiqué en introduction, les éléments partagés dans cet article découlent directement du texte européen (Directive (UE) 2022/2555) et restent soumis aux décrets de la transposition française. Ce contenu a une vocation purement pédagogique et pragmatique. Il ne constitue pas un avis juridique et ne saurait en aucun cas remplacer une analyse juridique personnalisée au cas par cas pour votre entreprise.
