Pratique - Avril 2026

Securiser sa chaîne d'approvisionnement pour NIS2

L'article 21.2.d de NIS2 impose d'évaluer et de gerer la sécurité de la chaîne d'approvisionnement. Apres SolarWinds, Log4Shell et MOVEit, c'est devenu un enjeu majeur. Guide pratique.

Ce que NIS2 exige

L'article 21.2.d mentionne explicitement la sécurité de la chaîne d'approvisionnement, y compris les aspects lies à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs. Le ReCyF (pilier Protection) détaillé ces exigences.

Les actions concretes

  1. Inventorier les fournisseurs critiques : qui a accès à vos SI, qui traite vos donnees, qui fournit vos logiciels
  2. Évaluer leur posture cyber : questionnaire sécurité, certifications, audits
  3. Intégrér des clauses contractuelles : notification d'incidents, droit d'audit, niveau de sécurité minimum, PCA du fournisseur
  4. Surveiller en continu : veille sur les vulnérabilités des composants utilises (SBOM), alertes sur les incidents fournisseurs
  5. Plan de sortie : que faire si un fournisseur critique est compromis ou defaillant

Le cas des éditeurs SaaS et cloud

Les fournisseurs cloud et SaaS sont eux-memes des entités NIS2 (secteur infrastructures numeriques ou services TIC). Vous pouvez leur demander leur attestation de conformité NIS2, leur certification ISO 27001, et leur plan de réponse aux incidents.

Voir les obligations de l'article 21, le guide PME/ETI et le guide de mise en conformité.

Sources

  1. Directive (UE) 2022/2555, article 21.2.d
  2. ReCyF, pilier Protection, mars 2026
  3. ENISA, supply chain security guidelines
Vérifier ma conformité NIS2