Introduction
L’entrée en application de la directive NISv2 marque un tournant majeur dans la manière dont les organisations doivent aborder la cybersécurité et la conformité réglementaire. La protection des systèmes d’information ne se limite plus au périmètre interne : elle s’étend désormais à l’ensemble de la chaîne de sous-traitance.
L’évaluation du niveau de sécurité des sous-traitants devient ainsi un pilier central de la conformité NIS2, au même titre que l’audit de sécurité informatique, la gouvernance cybersécurité ou l’homologation des systèmes d’information. Pour les entités essentielles et importantes, il ne s’agit plus seulement de faire confiance à leurs fournisseurs, mais d’être capables de démontrer, preuves à l’appui, que les prestataires critiques respectent un niveau de sécurité cohérent avec les exigences de la directive NISv2, en France comme en Europe.
Directive NISv2 et responsabilité sur la chaîne de sous-traitance
La directive NISv2 repose sur un principe structurant : l’externalisation d’un service n’emporte jamais externalisation de la responsabilité. Lorsqu’une organisation confie une activité ou un système à un sous-traitant, elle demeure pleinement responsable de la sécurité des services fournis et des systèmes d’information réglementés. Cette responsabilité étendue s’inscrit dans une logique de maîtrise du risque systémique, face à la multiplication des attaques ciblant la chaîne d’approvisionnement numérique. La gestion des fournisseurs devient ainsi un sujet de gouvernance cybersécurité à part entière, directement exposé aux contrôles des autorités compétentes.
Pourquoi il est impossible de tout contrôler et comment prioriser
La directive NISv2 n’impose pas un contrôle exhaustif et uniforme de l’ensemble des fournisseurs. Une telle approche serait irréaliste et inefficace. La conformité repose au contraire sur une priorisation fondée sur le risque. La première étape consiste donc à identifier les fournisseurs critiques, c’est-à-dire ceux dont la compromission pourrait avoir un impact significatif sur la disponibilité, l’intégrité, la confidentialité ou l’authenticité des services fournis par l’entité. Cette analyse prend en compte les accès aux systèmes d’information réglementés, la nature des données traitées, les interconnexions techniques, le niveau de dépendance opérationnelle et les exigences réglementaires associées.
ORNISEC accompagne ses clients dans cette phase clé d’identification des fournisseurs critiques, en apportant une expertise reconnue en analyse de risques, gouvernance cybersécurité et conformité NIS2.
Identifier les obligations de sécurité à imposer à chaque fournisseur
Une fois les fournisseurs critiques identifiés, l’enjeu consiste à définir précisément les obligations de sécurité à leur imposer. Deux approches complémentaires doivent être combinées. La première consiste à transposer vers le fournisseur les exigences directement issues de la directive NISv2, notamment celles relatives à la gestion des sous-traitants, mais également les exigences que l’entité elle-même doit respecter et qui deviennent applicables au prestataire dès lors qu’il intervient sur un système d’information réglementé. La seconde approche repose sur une analyse de risques spécifique à l’externalisation du service, permettant d’identifier les mesures de sécurité réellement adaptées au contexte opérationnel, technique et métier. Cette démarche approfondie doit être prioritairement menée pour les fournisseurs critiques, car elle représente un investissement significatif en temps et en ressources.
Fournisseurs existants : le préalable contractuel indispensable
Pour les fournisseurs déjà en place, la conformité NISv2 impose un préalable incontournable : la mise à jour du cadre contractuel. Sans engagement contractuel formalisé, le RSSI ne dispose d’aucun levier réel pour imposer des exigences de sécurité ou mener des contrôles. Il est donc indispensable de formaliser un avenant contractuel NISv2, intégrant les obligations de sécurité, les responsabilités, les droits d’audit et les mécanismes de suivi. Ce n’est qu’une fois ce socle juridique établi que l’évaluation et le contrôle du niveau de sécurité peuvent être engagés de manière efficace et opposable.
Le Plan d’Assurance Sécurité comme outil central d’évaluation
Le Plan d’Assurance Sécurité constitue un pilier opérationnel de l’évaluation du niveau de sécurité des sous-traitants. Il ne s’agit pas d’un document purement déclaratif, mais d’un outil structurant permettant au fournisseur d’expliquer concrètement comment il répond à chaque exigence de sécurité imposée. Le PAS doit couvrir à la fois la manière dont le fournisseur sécurise son propre système d’information et la façon dont il protège spécifiquement le système ou l’activité réalisée pour le compte du client. Cette double approche est essentielle pour répondre aux exigences de la directive NISv2 et assurer une vision complète du niveau de maturité sécurité du prestataire.
Clauses de sécurité et exigences contractuelles
En complément du PAS, la formalisation d’un clausier de sécurité annexé au contrat permet de rendre les exigences juridiquement opposables. Ces clauses couvrent notamment la confidentialité, la protection des données à caractère personnel et le RGPD, les conditions de sous-traitance en cascade, les obligations de notification des incidents, les droits d’audit, les exigences de continuité d’activité et les modalités de réversibilité. ORNISEC accompagne ses clients dans la rédaction de clausiers SSI adaptés aux exigences NISv2 et aux réalités opérationnelles des organisations.
Mettre en place un programme d’audit des fournisseurs
Une fois le cadre contractuel et documentaire en place, l’évaluation du niveau de sécurité des sous-traitants passe par la mise en œuvre d’un programme d’audit structuré. Ce programme doit être priorisé, en commençant par les fournisseurs les plus critiques. Il repose sur l’élaboration de grilles d’audit permettant d’industrialiser les contrôles, d’assurer leur homogénéité et de faciliter le suivi dans le temps. Le recours à des prestataires d’audit qualifiés, notamment disposant de la qualification PASSI, permet de garantir un niveau d’exigence et de crédibilité conforme aux attentes des autorités.
Vérifier l’application et l’efficacité réelle des mesures
L’évaluation du niveau de sécurité ne se limite pas à vérifier la présence formelle des mesures. La directive NISv2 impose une approche fondée sur l’efficacité. Il s’agit de vérifier que ce qui est déclaré est effectivement mis en œuvre, et que ce qui est mis en œuvre permet réellement de réduire les risques identifiés. Cette distinction est essentielle dans une démarche de gouvernance cybersécurité orientée résultats et non conformité de façade.
Pourquoi faire appel à un prestataire qualifié PASSI pour évaluer la sécurité des sous-traitants
Dans un contexte de conformité à la directive NISv2, l’évaluation du niveau de sécurité des sous-traitants ne peut pas se limiter à un exercice déclaratif ou documentaire. La directive impose une approche fondée sur l’efficacité réelle des mesures de sécurité, et non sur leur simple existence formelle. Il ne s’agit pas uniquement de vérifier que des politiques, procédures ou contrôles sont définis, mais de s’assurer que ces mesures sont effectivement mises en œuvre, opérationnelles et adaptées aux risques identifiés dans le cadre de la sous-traitance.
C’est précisément sur ce point que l’intervention d’un prestataire qualifié PASSI prend tout son sens. Un audit réalisé par un acteur qualifié permet d’apporter un regard indépendant, méthodologique et aligné avec les exigences de l’ANSSI. Il permet de distinguer la conformité de façade d’un niveau de sécurité réellement maîtrisé. Cette approche est essentielle pour les entités soumises à NISv2, dont les contrôles porteront de plus en plus sur la capacité à démontrer l’efficacité des dispositifs de sécurité, et non uniquement leur formalisation.
ORNISEC, cabinet de conseil en cybersécurité qualifié PASSI, intervient régulièrement sur des missions d’audit de fournisseurs et d’évaluation de la sécurité de la chaîne de sous-traitance dans des contextes réglementaires exigeants. Ces missions montrent systématiquement le même constat : des mesures existent souvent sur le papier, mais leur application, leur périmètre réel ou leur efficacité opérationnelle sont inégales. L’audit permet alors d’identifier les écarts, d’évaluer leur impact réel sur les risques, et de formuler des recommandations pragmatiques et proportionnées.
Faire appel à un prestataire PASSI comme ORNISEC permet ainsi de sécuriser la démarche d’évaluation des sous-traitants, de fiabiliser les conclusions d’audit et de renforcer la crédibilité de la gouvernance cybersécurité auprès des autorités compétentes. Cette approche orientée résultats constitue un levier clé pour sortir d’une logique de conformité purement documentaire et inscrire durablement la gestion des fournisseurs dans une démarche de réduction effective des risques, conforme à l’esprit et aux exigences de la directive NISv2.
Gestion des non-conformités et suivi dans le temps
Les audits de fournisseurs conduisent inévitablement à l’identification de non-conformités et de points d’amélioration. Ces écarts doivent être formalisés, priorisés et faire l’objet d’un engagement formel du fournisseur sur leur correction. Un suivi trimestriel des actions correctives permet de piloter la réduction du risque dans la durée, tandis qu’un contre-audit annuel permet de vérifier la pérennité des mesures mises en œuvre et d’ajuster les exigences si nécessaire.
ISO 27001 : vérifier les périmètres de certification
La présence d’une certification ISO 27001 chez un fournisseur constitue un élément positif, mais elle ne suffit pas à garantir la conformité NISv2. Il est indispensable de vérifier que le périmètre du SMSI certifié couvre effectivement les activités concernées par la sous-traitance. Une certification partielle ou mal alignée peut créer un faux sentiment de sécurité. ORNISEC accompagne ses clients dans l’analyse critique des périmètres ISO 27001 et dans l’évaluation de la pertinence des mesures sélectionnées dans la Déclaration d’Applicabilité.
NISv2, intelligence artificielle et sous-traitance
L’intégration croissante de solutions d’intelligence artificielle dans les services numériques renforce les enjeux liés à la sous-traitance. Les fournisseurs exploitant des technologies d’IA doivent être évalués au regard des risques spécifiques liés aux données, aux modèles et aux dépendances technologiques. La cybersécurité de l’intelligence artificielle devient ainsi un nouveau champ d’analyse dans les démarches de conformité NIS2.
ORNISEC, acteur rennais de référence pour l’audit des fournisseurs NISv2
Basé à Rennes, ORNISEC est un acteur reconnu de la cybersécurité en France et en Europe. Cabinet de conseil en cybersécurité disposant des qualifications PASSI et PACS, ORNISEC accompagne les organisations dans l’évaluation du niveau de sécurité de leurs sous-traitants, la mise en conformité NISv2, la gouvernance cybersécurité et l’audit des fournisseurs. Nos prestations couvrent l’ensemble du cycle de conformité, de l’identification des fournisseurs critiques à la réalisation d’audits de sécurité informatique et au suivi des plans d’actions.
Vous êtes concerné par la directive NISv2 et souhaitez évaluer le niveau de sécurité de vos sous-traitants de manière structurée, pragmatique et conforme aux exigences réglementaires ? ORNISEC vous accompagne avec des prestations d’audit des fournisseurs, de conseil cybersécurité et de gouvernance adaptées à vos enjeux métiers et réglementaires.