Une PME peut recevoir des exigences NIS2 sans être directement dans le périmètre. Les entités essentielles et importantes doivent gérer la sécurité de leur chaîne d'approvisionnement et répercutent des exigences sur les fournisseurs de logiciels, de cloud, de maintenance, de communications et de services gérés. La réponse ne peut pas se limiter à un questionnaire : elle nécessite des contrôles, des contrats, des tests et des incidents vérifiables.
Application directe et indirecte
La directive (UE) 2022/2555 couvre des secteurs critiques et impose aux entités concernées des mesures de gestion des risques et des incidents. Le fournisseur doit distinguer :
- Application directe : l'entité elle-même entre dans le périmètre selon la transposition nationale.
- Exigence contractuelle : un client relevant du périmètre impose des contrôles au titre de la chaîne d'approvisionnement.
- Pratique volontaire : des contrôles sont adoptés pour l'accès au marché et la résilience.
La qualification juridique doit être revue par entité, taille, secteur et service. En Espagne, à la date de rédaction, il convient de vérifier au BOE (Journal officiel espagnol) l'état et le texte définitif de la transposition avant d'affirmer des obligations nationales précises.
Pourquoi la chaîne d'approvisionnement est centrale
L'article 21 couvre la sécurité de la chaîne d'approvisionnement et les relations avec les fournisseurs directs. Les entités doivent tenir compte des vulnérabilités propres à chaque fournisseur, de la qualité de ses pratiques et de sa capacité de développement sécurisé.
Un petit fournisseur peut devenir une voie d'accès vers des clients critiques par :
- Identifiants d'accès à distance.
- Mises à jour.
- Logiciels intégrés.
- Sauvegardes et données.
- Accès support.
- Dépendance opérationnelle.
- Sous-traitants.
Le risque s'évalue selon la capacité, pas seulement selon la taille.
Inventaire des services et des dépendances
Chaque service nécessite une fiche comprenant :
- Client et service.
- Systèmes et données.
- Accès à distance.
- Disponibilité contractuelle.
- Localisations.
- Personnel à privilèges.
- Sous-traitants.
- Composants et logiciels.
- RTO/RPO.
- Notification des incidents.
- Plan de sortie.
Cela permet de répondre aux questionnaires avec des preuves cohérentes.
Mesures minimales pertinentes
NIS2 retient une approche tous risques avec des mesures proportionnées, notamment :
- Politiques d'analyse des risques et de sécurité.
- Gestion des incidents.
- Continuité, sauvegardes et reprise.
- Sécurité de la chaîne d'approvisionnement.
- Acquisition, développement et maintenance sécurisés.
- Évaluation de l'efficacité.
- Hygiène informatique et formation.
- Cryptographie.
- Sécurité du personnel, des accès et des actifs.
- MFA et communications sécurisées le cas échéant.
Le fournisseur doit associer chaque mesure à un contrôle, un responsable, une preuve et une fréquence.
Gouvernance et direction
Même si la PME répond par contrat, la direction doit approuver les risques, les ressources et les exceptions. Un responsable sécurité, une procédure d'escalade et une revue périodique sont définis.
Une structure minimale :
| Rôle | Responsabilité |
|---|---|
| Direction | Risque, ressources et contrats |
| Sécurité/IT | Contrôles et surveillance |
| Exploitation | Continuité et changements |
| Juridique/conformité | Périmètre, clauses et notification |
| Achats | Sous-traitants |
| DPO | Données personnelles et violations RGPD |
NIS2 et le RGPD peuvent se recouper sur un même incident, mais leurs critères et leurs destinataires diffèrent.
Contrats avec les clients
Clauses essentielles :
- Description et criticité.
- Contrôles exigés.
- Accès et ségrégation.
- Chiffrement et clés.
- Vulnérabilités et correctifs.
- Développement sécurisé.
- Sous-traitance.
- Incidents et délais opérationnels.
- Coopération et preuves.
- Audit proportionné.
- Continuité et tests.
- Restitution, portabilité et sortie.
« Se conformer à NIS2 » n'est pas acceptable sans en préciser le contenu. Les obligations doivent être mesurables.
Notification des incidents
La directive prévoit un dispositif échelonné pour les incidents importants, mais le fournisseur doit informer le client bien avant l'expiration de ses propres délais. Le contrat définit un canal d'urgence, une information initiale, des mises à jour et une clôture.
Contenu minimal :
- Ce qui s'est passé et quand.
- Services concernés.
- Impact et périmètre.
- Indicateurs et cause connue.
- Mesures de confinement.
- Données personnelles potentiellement concernées.
- Prochaines échéances.
- Contact opérationnel.
Une certitude totale n'est pas requise pour alerter. Les informations sont mises à jour au fil de l'enquête.
Vulnérabilités et correctifs
Le processus couvre :
- Réception et tri.
- Gravité et exposition.
- Mesure d'atténuation temporaire.
- Développement et test.
- Communication coordonnée.
- Déploiement.
- Confirmation et indicateurs.
Un inventaire des actifs et des versions est tenu à jour. Pour les logiciels, le SBOM et ses dépendances facilitent l'évaluation de l'impact, mais doivent être actualisés.
Accès à distance
Les accès support présentent un risque élevé. Contrôles :
- Identité individuelle.
- MFA résistant au hameçonnage si possible.
- Autorisation temporaire.
- Bastion ou accès contrôlé.
- Moindre privilège.
- Enregistrement ou journaux disponibles.
- Restriction géographique/horaire.
- Révocation immédiate.
- Revue périodique.
Aucun compte fournisseur générique ne doit rester ouvert.
Continuité
Le fournisseur définit des RTO et RPO réalistes et teste les sauvegardes, la restauration, le personnel, les communications et la dépendance aux tiers.
Un test sur table ne remplace pas une restauration réelle. Le rapport indique le temps nécessaire, les données récupérées, les échecs et les actions.
Sous-traitants
Le client doit connaître les dépendances critiques. Avant d'intégrer un sous-traitant, sa sécurité, sa localisation, sa continuité, sa gestion des incidents et ses conditions de sortie sont évaluées. Le contrat permet de notifier les changements et de répercuter les contrôles.
« Pas de sous-traitance » n'est pas une réponse valable si le cloud, le support ou des bibliothèques constituent des dépendances significatives.
Preuves pour les questionnaires
- Politique et évaluation des risques.
- Inventaire des actifs.
- Matrice des accès.
- Formation.
- Vulnérabilités et correctifs.
- Sauvegardes et restauration.
- Tests de continuité.
- Incidents et retours d'expérience.
- Évaluation des fournisseurs.
- Certifications et périmètre.
- Audits et actions.
Les preuves sont partagées de façon minimisée et sous confidentialité. Ni secrets ni rapports complets ne sont transmis quand un extrait suffit.
Certifications et référentiels
L'ISO/IEC 27001, l'ENS (référentiel espagnol de sécurité) ou d'autres référentiels peuvent apporter des preuves, mais n'équivalent pas automatiquement à NIS2. Le périmètre et les contrôles doivent être mis en correspondance.
Un certificat qui exclut le service contracté ne répond pas au risque du client.
Plan à 90 jours
Jours 1-30
- Classer l'entité et les services.
- Inventorier clients et dépendances.
- Analyser les écarts par rapport à l'article 21.
- Corriger les accès critiques.
Jours 31-60
- Mettre à jour politiques, contrats et procédures d'incidents.
- Tester sauvegardes et continuité.
- Évaluer les sous-traitants.
- Préparer les preuves.
Jours 61-90
- Réaliser un exercice avec le client.
- Clore les actions prioritaires.
- Valider les risques résiduels.
- Mettre en place une revue périodique.
Erreurs fréquentes
- Affirmer que cela ne s'applique pas car on est une PME.
- Répondre aux questionnaires sans preuves.
- Promettre des délais de notification intenables.
- Conserver des comptes partagés.
- Ignorer ses sous-traitants.
- Confondre sauvegarde et restauration.
- Présenter un certificat hors périmètre.
- Cacher les incidents en attendant la certitude.
- Accepter des audits illimités.
- Attendre la transposition pour commencer.
Checklist
- Périmètre direct et indirect analysé.
- Services et dépendances inventoriés.
- Risques et contrôles de l'article 21 mappés.
- Direction et responsables définis.
- Contrats mesurables.
- Incidents avec canal et délais.
- Accès à distance protégés.
- Vulnérabilités et correctifs à jour.
- Sauvegardes et continuité testées.
- Sous-traitants évalués.
- Preuves à jour.
Questions fréquentes
NIS2 s'applique-t-elle à toutes les PME fournisseurs ?
Pas directement dans tous les cas. Mais les clients relevant du périmètre doivent gérer leur chaîne d'approvisionnement et peuvent répercuter des exigences contractuelles.
Une certification ISO 27001 suffit-elle ?
Elle aide, mais il faut vérifier le périmètre et mettre en correspondance les exigences avec NIS2.
Quel délai le fournisseur doit-il respecter pour signaler un incident ?
Suffisamment court pour que le client respecte ses propres délais légaux. Le contrat fixe une alerte opérationnelle initiale immédiate, suivie de mises à jour ultérieures.
Faut-il attendre la loi espagnole ?
Non, pas pour améliorer les contrôles et répondre aux clients. Les obligations nationales précises doivent en revanche être vérifiées dans le texte publié.
Sources officielles consultées
Summum Consultoría peut cartographier le périmètre, les contrats et les preuves, en coordonnant NIS2 avec l'ENS, l'ISO 27001 et le RGPD.