NIS2 Conformité Supply Chain PME

NIS2 Sous-Traitants : Obligations en Cascade

Par Meldis

En 2023, 66 % des attaques ciblant la chaîne d’approvisionnement visaient le code des fournisseurs pour compromettre leurs clients, selon l’ENISA. La directive NIS2 en tire les conséquences : elle impose aux entités régulées de sécuriser l’ensemble de leur supply chain. Le principe est clair — l’externalisation d’un service n’emporte pas externalisation de la responsabilité. Pour les PME, l’impact est double. Les donneurs d’ordres soumis à NIS2 devront imposer des exigences de sécurité à leurs fournisseurs. Et les PME sous-traitantes, même non directement visées par la directive, devront se conformer pour conserver leurs marchés. Ce guide détaille les obligations NIS2 envers les sous-traitants, les clauses contractuelles à prévoir et la marche à suivre pour les PME des deux côtés de la relation.

En résumé

  • 66 % des attaques supply chain ciblent le code des fournisseurs (ENISA, 2023)
  • NIS2 impose aux entités régulées de sécuriser toute leur chaîne d’approvisionnement
  • Les PME sous-traitantes sont impactées par effet de cascade contractuelle
  • Clauses obligatoires : notification 24h, droit d’audit, cascade vers rang 2
  • Meldis accompagne donneurs d’ordres et sous-traitants en Occitanie

Ce que NIS2 exige sur la sécurité de la supply chain

L’article 21 de la directive NIS2 (UE 2022/2555) liste 10 mesures minimales de gestion des risques. La mesure n°4 porte sur la sécurité de la chaîne d’approvisionnement, incluant les relations entre chaque entité et ses fournisseurs ou prestataires directs.

Les obligations des entités régulées

Les entreprises soumises à NIS2 (entités essentielles et importantes) doivent :

  • Identifier leurs fournisseurs et sous-traitants critiques : ceux dont une défaillance impacterait la fourniture de leurs services.
  • Évaluer la qualité globale des produits et des pratiques de cybersécurité de ces fournisseurs (article 21, paragraphe 3).
  • Prendre en compte les vulnérabilités spécifiques à chaque fournisseur dans leur analyse des risques.
  • Intégrer des exigences de cybersécurité dans les contrats avec leurs prestataires.
  • Vérifier que les mesures de sécurité sont appliquées, via des audits ou des questionnaires réguliers.

Le considérant 85 de la directive précise que les entités régulées doivent évaluer “la qualité et la résilience globales des produits et services, les mesures de gestion des risques intégrées dans ces produits et services, et les pratiques de cybersécurité de leurs fournisseurs”.

Le principe de cascade

Le mécanisme NIS2 fonctionne en cascade. Une entité essentielle (énergie, santé, transports) impose des exigences à son fournisseur de rang 1. Ce fournisseur doit à son tour répercuter ces exigences sur ses propres sous-traitants de rang 2. Et ainsi de suite. Pour comprendre l’ensemble du dispositif, consultez notre guide NIS2 complet.

Cette cascade contractuelle crée un effet de propagation : même une PME de 20 salariés, non directement visée par NIS2, peut se retrouver contrainte de démontrer un niveau de sécurité conforme pour conserver un contrat avec un donneur d’ordres régulé.

Le recital 56 de la directive le confirme : “les petites et moyennes entreprises sont de plus en plus la cible d’attaques ciblant la chaîne d’approvisionnement, en raison de leurs mesures de gestion des risques de cybersécurité moins rigoureuses”.

Donneur d’ordres : comment sécuriser votre supply chain

Si votre entreprise est soumise à NIS2 (entité essentielle ou importante), vous devez piloter la sécurité de vos fournisseurs. Voici la marche à suivre.

Étape 1 : cartographier vos fournisseurs critiques

Identifiez les prestataires dont une défaillance de sécurité impacterait vos services ou vos données. Pensez au-delà de l’IT :

  • Fournisseurs IT : hébergeur, éditeur ERP/CRM, prestataire cloud, intégrateur, MSSP.
  • Fournisseurs non-IT : prestataire logistique avec accès au SI, sous-traitant avec accès aux données clients, maintenance industrielle connectée.
  • Fournisseurs de rang 2 : les sous-traitants de vos fournisseurs critiques qui ont accès à des données ou systèmes sensibles.

Constituez un registre des fournisseurs avec, pour chacun : le périmètre d’accès, la criticité, le type de données traitées et le niveau de dépendance.

Étape 2 : évaluer le niveau de sécurité

Plusieurs méthodes, à adapter selon la criticité du fournisseur :

Grille d'évaluation des fournisseurs

Niveau de criticité Méthode d'évaluation Fréquence
Critique (accès données sensibles ou services essentiels) Audit sur site + questionnaire détaillé Annuel
Élevé (accès SI ou données non critiques) Questionnaire de sécurité + preuves documentaires Annuel
Standard (prestation sans accès SI) Questionnaire simplifié Tous les 2 ans

Le questionnaire d’évaluation doit couvrir au minimum :

  • Politique de sécurité formalisée (PSSI)
  • Gestion des accès et authentification
  • Chiffrement des données
  • Plan de sauvegarde et de reprise d’activité
  • Procédure de notification d’incident
  • Formation des équipes
  • Certifications (ISO 27001, SOC 2, etc.)

Étape 3 : intégrer des clauses cybersécurité dans les contrats

NIS2 attend des clauses contractuelles spécifiques.

Clauses minimum NIS2 :

  • Niveau de sécurité : le fournisseur s’engage à maintenir un niveau conforme aux exigences de l’entité régulée.
  • Notification d’incident : obligation de prévenir le donneur d’ordres sous 24h en cas d’incident affectant les données ou services fournis.
  • Droit d’audit : le donneur d’ordres peut auditer ou faire auditer les mesures de sécurité du fournisseur, avec un préavis raisonnable.
  • Continuité de service : le fournisseur dispose d’un PCA/PRA pour garantir la continuité du service.
  • Clause de cascade : le fournisseur s’engage à répercuter les exigences de sécurité à ses propres sous-traitants.

Clauses recommandées :

  • Assurance cyber : couverture d’assurance minimale en cas d’incident.
  • Réversibilité : conditions de récupération des données en fin de contrat.
  • Localisation des données : hébergement dans l’UE.
  • Pénalités : sanctions financières en cas de manquement aux obligations de sécurité.

Étape 4 : surveiller dans la durée

L’évaluation initiale ne suffit pas. Prévoyez :

  • Des revues annuelles des fournisseurs critiques.
  • Un suivi des incidents signalés par vos fournisseurs.
  • Une mise à jour du registre fournisseurs à chaque changement significatif.
  • Des clauses permettant de résilier le contrat en cas de manquement grave à la sécurité.

Sous-traitant PME : comment se préparer

Votre PME fournit des services ou des produits à des entreprises soumises à NIS2 ? Vous allez recevoir des questionnaires de sécurité, des demandes de preuves de conformité, voire des audits.

Pourquoi les PME sous-traitantes sont directement impactées

Même si votre PME n’est pas elle-même une entité essentielle ou importante, NIS2 vous affecte par effet de cascade :

  • Vos clients régulés vont renforcer leurs exigences contractuelles : clauses de sécurité, droit d’audit, notification d’incident.
  • Vos concurrents qui répondent à ces exigences auront un avantage concurrentiel sur les appels d’offres.
  • La non-conformité peut entraîner la perte de contrats avec des clients soumis à NIS2, eux-mêmes exposés à des sanctions significatives.
  • Les assureurs cyber exigent de plus en plus de preuves de maturité pour couvrir les entreprises.

En Occitanie, de nombreuses PME opèrent comme sous-traitantes de groupes industriels, d’établissements de santé ou de collectivités — tous potentiellement soumis à NIS2. Le calendrier dépend de l’avancement de la transposition française de NIS2 via la Loi Résilience.

Les 7 actions prioritaires pour un sous-traitant PME

1. Évaluez votre posture de sécurité actuelle Un audit de sécurité informatique identifie vos forces et vos lacunes. C’est la première réponse concrète à apporter quand un client vous interroge sur votre niveau de sécurité.

2. Formalisez une politique de sécurité (PSSI) Document clé que vos clients régulés vont demander. Définissez vos règles de gestion des accès, de protection des données, de sauvegarde et de gestion des incidents.

3. Mettez en place la notification d’incident Si un incident de sécurité affecte les données ou services que vous fournissez à un client NIS2, vous devez le prévenir rapidement. Documentez le processus : qui alerte, dans quel délai, avec quelles informations.

4. Déployez le MFA et le chiffrement L’authentification multifacteur sur vos accès critiques et le chiffrement des données sensibles sont les mesures techniques les plus demandées dans les questionnaires fournisseurs.

5. Sécurisez vos sauvegardes Appliquez la règle 3-2-1 et testez régulièrement la restauration. Un ransomware chez un sous-traitant peut impacter l’ensemble de la chaîne.

6. Préparez un dossier de preuves Constituez un “pack sécurité fournisseur” prêt à envoyer : PSSI, preuves MFA, politique de sauvegarde, procédure de notification, certificats (si ISO 27001). Ce dossier accélérera les processus de qualification fournisseur.

7. Envisagez une certification ISO 27001 Pour les sous-traitants dont l’activité repose sur des clients régulés, la certification ISO 27001 devient un investissement stratégique. Elle simplifie les évaluations et renforce votre crédibilité. Consultez notre guide NIS2 vs ISO 27001 pour comprendre la complémentarité.

Scénarios concrets : PME d’Occitanie face à NIS2

Scénario 1 : prestataire IT d’un hôpital

Une PME de 30 salariés à Montpellier gère l’infrastructure informatique d’un centre hospitalier. Le CHU, entité essentielle au titre de NIS2, doit sécuriser sa supply chain. Il envoie à son prestataire un questionnaire de sécurité de 80 points et exige un droit d’audit annuel.

Ce que doit faire la PME : réaliser un diagnostic de sécurité, formaliser sa PSSI, mettre en place les procédures de notification sous 24h, déployer le MFA sur tous les accès au SI hospitalier.

Scénario 2 : éditeur SaaS d’un groupe industriel

Une startup de 15 personnes à Nîmes développe un logiciel de gestion utilisé par un groupe industriel chimique (entité essentielle). Le groupe intègre dans le renouvellement du contrat des clauses NIS2 : chiffrement des données, PCA, audit de code, notification d’incident.

Ce que doit faire l’éditeur : intégrer la sécurité dans son cycle de développement (SAST/DAST), chiffrer les données au repos et en transit, documenter son PCA, prévoir la notification d’incident dans ses CGV.

Scénario 3 : sous-traitant logistique avec accès au SI

Une entreprise de transport de 60 salariés à Millau accède au système de commande d’un distributeur agroalimentaire (entité importante). Le distributeur exige que ses partenaires logistiques disposent d’une politique de sécurité et d’un plan de sauvegarde documenté.

Ce que doit faire le transporteur : sécuriser les accès au portail client (MFA), formaliser une PSSI basique, mettre en place des sauvegardes chiffrées, former les utilisateurs aux bonnes pratiques.

Comment Meldis accompagne donneurs d’ordres et sous-traitants

Basé à Montpellier, Meldis intervient des deux côtés de la relation NIS2 :

Pour les donneurs d’ordres :

  • Cartographie et évaluation des fournisseurs critiques
  • Rédaction de clauses contractuelles NIS2
  • Questionnaires de sécurité fournisseurs
  • Audit de sécurité des prestataires

Pour les sous-traitants PME :

  • Diagnostic de sécurité et analyse des écarts
  • Rédaction de PSSI et procédures de notification
  • Préparation du “pack sécurité fournisseur”
  • Accompagnement vers ISO 27001

Un interlocuteur unique, une approche adaptée aux PME, une intervention rapide en Occitanie. Contactez-nous pour évaluer votre situation.

FAQ : NIS2 et sous-traitants

Les sous-traitants sont-ils directement soumis à NIS2 ?

Pas nécessairement. NIS2 vise les entités essentielles et importantes répondant aux critères de taille et de secteur. Mais les sous-traitants sont impactés indirectement : les entités régulées doivent sécuriser leur supply chain et imposent des exigences contractuelles à leurs fournisseurs. Une PME sous-traitante qui ne s'adapte pas risque de perdre des marchés.

Quelles clauses contractuelles NIS2 faut-il intégrer avec ses fournisseurs ?

Au minimum : engagement sur un niveau de sécurité, notification d'incident dans un délai défini, droit d'audit, plan de continuité de service, et clause de cascade imposant au fournisseur de répercuter les exigences à ses propres sous-traitants. Des clauses sur l'assurance cyber, la localisation des données et les pénalités sont recommandées.

Comment évaluer la sécurité de mes sous-traitants pour NIS2 ?

Trois méthodes selon la criticité : audit sur site pour les fournisseurs critiques, questionnaire de sécurité avec preuves documentaires pour les fournisseurs à risque élevé, questionnaire simplifié pour les prestataires standard. Les certifications ISO 27001 ou SOC 2 du fournisseur simplifient cette évaluation.

Une PME sous-traitante peut-elle perdre des marchés à cause de NIS2 ?

Oui. Les entités régulées sont tenues de vérifier la sécurité de leurs fournisseurs. Un sous-traitant incapable de démontrer un niveau de sécurité acceptable sera écarté au profit d'un concurrent conforme. C'est déjà le cas pour les marchés publics et les grands comptes industriels.

NIS2 s'applique-t-elle à toute la chaîne de sous-traitance ?

La directive cible les fournisseurs directs (rang 1), mais recommande d'évaluer aussi les sous-traitants de rang 2. Les clauses contractuelles doivent inclure une obligation de cascade : le fournisseur de rang 1 répercute les exigences à ses propres prestataires. L'objectif est de sécuriser toute la chaîne.

Vous êtes donneur d’ordres ou sous-traitant et vous cherchez à comprendre vos obligations NIS2 ? Consultez notre service conformité NIS2 ou contactez Meldis pour un diagnostic personnalisé.