La gestion des risques liés à la chaîne d’approvisionnement (Supply Chain Risk Management) n’est plus une simple option de « bonne hygiène » informatique : c’est une urgence stratégique et réglementaire. Dans le domaine de la cybersécurité, face à un écosystème numérique hyper-connecté, la forteresse isolée n’existe plus !
Avec l’entrée en vigueur de directives comme NIS2 et DORA, la relation donneur d’ordre / fournisseur est en pleine mutation. De fait, votre sécurité dépend directement de celle de “vos tiers” : vos partenaires. Qui est responsable en cas de faille ? Comment évaluer la maturité réelle d’un tiers ? Hanane Lepan, consultante GRC (Gouvernance, Risque et Cybersécurité) chez DBM Partners, répond à ces questions, et bien plus encore.
Pourquoi la Supply Chain est-elle la nouvelle cible privilégiée des attaquants ?
La gestion des risques liés aux tiers est devenue un enjeu critique pour une raison simple : les fournisseurs sont souvent le maillon faible de la chaîne de sécurité. Les entreprises étant de plus en plus interconnectées, les cybercriminels ont compris qu’il est souvent plus facile de compromettre un prestataire (moins protégé) pour atteindre une cible finale (mieux protégée) via des accès légitimes.
Voici deux exemples qui ont marqué l’actualité récente :
- L’affaire SolarWinds (2020) : Les attaquants ont piégé une mise à jour logicielle d’un outil de supervision utilisé par des milliers d’entreprises et d’agences gouvernementales américaines. Résultat : une infiltration massive et silencieuse via un canal de confiance.
- Attaques en cascade via le logiciel de téléphonie 3CX (2023) : Plus récemment, des logiciels de téléphonie ont été compromis via leurs propres fournisseurs, créant des réactions en chaîne désastreuses chez les clients finaux. Les attaquants pouvaient se connecter à distance à tout ordinateur sur lequel l’application compromise avait été installée.
NIS2 et DORA : La fin des bonnes pratiques, le début des obligations
L’arrivée des réglementations NIS2 (sécurité des réseaux et systèmes d’information) et DORA (résilience opérationnelle numérique pour le secteur financier) change radicalement la donne contractuelle !
Ce qui relevait hier de la bonne pratique ou de la négociation commerciale devient aujourd’hui une obligation légale incontournable. Désormais, une entreprise ne peut plus se contenter de signer un contrat basé uniquement sur le prix ou la qualité de service (SLA) :
- Elle doit intégrer des exigences de cybersécurité formalisées au cœur même de ses contrats. Il ne s’agit plus d’une simple annexe technique : les clauses doivent définir précisément les politiques de sécurité attendues, les standards à respecter (comme l’alignement ISO 27001) et les mesures de protection des données spécifiques à l’activité.
- Elle a l’obligation d’imposer une gestion des incidents rigoureuse et transparente. Cela dépasse la simple résolution technique : le contrat doit stipuler des délais de notification extrêmement courts (souvent 24 à 72h selon la régulation) et une obligation de coopération totale pour permettre au donneur d’ordre de respecter ses propres obligations déclaratives vis-à-vis des autorités.
- Elle doit instaurer un suivi continu de la posture de sécurité sur toute la durée de la relation.L’audit « one-shot » à la signature est désormais obsolète. Le niveau de sécurité du prestataire doit être piloté en continu via des revues régulières, des questionnaires de maturité actualisés ou des droits d’audit activables à tout moment.
Le fournisseur n’est plus un simple exécutant externe : il devient contractuellement et opérationnellement un acteur de votre propre sécurité, intégré de facto à votre périmètre de risque.
En cas de cyberattaque via un tiers : qui est responsable ?
C’est souvent la question qui fâche lors des négociations, mais la réponse apportée par les textes réglementaires (NIS2 et DORA) est désormais sans aucune ambiguïté : on ne peut pas externaliser sa responsabilité légale.
L’entreprise cliente reste le seul et unique responsable de sa propre sécurité. Aux yeux de la loi et des autorités compétentes (comme l’ANSSI en France), si vous subissez une attaque via un prestataire, c’est vous qui devrez rendre des comptes. L’argument « c’est la faute de mon fournisseur » n’est plus recevable juridiquement. En cas d’incident, vous devez être en mesure de prouver votre diligence raisonnable : avez-vous audité vos tiers ? Avez-vous exigé des garanties contractuelles précises ? Avez-vous surveillé leur niveau de sécurité dans la durée ?
Il existe une distinction importante à opérer :
- La responsabilité opérationnelle peut être partagée : client et fournisseur doivent collaborer techniquement pour gérer la crise et colmater la brèche.
- La responsabilité juridique et la conformité incombent exclusivement au donneur d’ordre. C’est l’entreprise cliente qui porte le poids de la notification obligatoire aux autorités et qui s’expose aux sanctions.
Plus grave encore, avec NIS2, cette responsabilité remonte au plus haut niveau : la direction générale peut être tenue personnellement responsable en cas de manquement grave à la surveillance de sa chaîne d’approvisionnement.
Les risques : au-delà de l’amende, la survie de l’entreprise
Négliger la cybersécurité de ses tiers expose l’entreprise à des conséquences dévastatrices à trois niveaux :
- Sanctions financières lourdes : Sous NIS2, les amendes peuvent atteindre des montants colossaux (jusqu’à plusieurs millions d’euros ou un pourcentage significatif du chiffre d’affaires mondial), rendant la non-conformité économiquement insoutenable.
- Arrêt opérationnel : Si un fournisseur critique tombe (SaaS, infogérance, hébergement), c’est votre propre activité qui s’arrête immédiatement.
- Réputation et confiance : L’obligation de notifier les incidents signifie que vos clients et partenaires sauront que vous avez été vulnérable. La perte de confiance peut parfois être plus coûteuse que l’amende elle-même.
Faut-il réviser les contrats existants ?
La réponse est oui, absolument. Attendre l’échéance naturelle ou le renouvellement tacite de vos contrats est désormais une stratégie risquée. Les accords signés il y a seulement quelques années sont souvent muets sur les exigences critiques d’aujourd’hui, comme les délais de notification d’incident en 24h ou le droit d’audit inconditionnel. Conserver ces contrats en l’état crée des angles morts juridiques majeurs et vous place en situation de non-conformité immédiate.
Ma recommandation : ne tentez pas de tout revoir simultanément, mais priorisez vos actions selon une approche par les risques pour ne pas paralyser vos équipes juridiques et achats.
- Identifiez vos fournisseurs critiques (ceux qui ont accès à vos données sensibles ou à vos systèmes de production).
- Réaliser une analyse de risques fournisseurs (portant sur les données traitées, le niveau d’accès, la dépendance opérationnelle, la gestion des incidents et la sous traitance)
- Lancez une révision contractuelle pour y intégrer :
– Le droit d’audit.
– Les clauses de sécurité (chiffrement, accès, etc.).
– L’obligation de notification d’incident sous des délais contraints.
– Les clauses de réversibilité.
– L’obligation de fournir des preuves - Mettre en place une revue régulière des contrats (à minima annuelle pour les fournisseurs critiques, et systématiquement en cas de changement significatif : incident, évolution du périmètre, nouveaux accès ou changement de sous-traitant)
Comment évaluer la maturité cyber d’un prestataire ?
L’évaluation ne doit jamais se baser uniquement sur du déclaratif. Un prestataire qui répond « Oui » à toutes les cases d’un fichier Excel sans fournir de preuves est un Red Flag ! Voici la méthodologie préconisée par DBM Partners pour sécuriser vos relations :
- Exigez des preuves tangibles : Ne vous contentez pas de la certification ISO 27001. Demandez les rapports de tests de restauration de sauvegardes (datant de moins de 3 mois), des diagrammes d’architecture prouvant la séparation des environnements, et des extraits de logs anonymisés.
- Vérifiez l’hygiène de base : L’absence d’authentification multifacteur (MFA) sur les accès administrateurs doit être éliminatoire (par exemple).
- Analysez l’historique : Un fournisseur ayant déjà subi une cyberattaque n’est pas forcément à bannir. Au contraire, s’il a communiqué de manière transparente et renforcé sa sécurité post-incident, c’est un gage de maturité. À l’inverse, un manque de transparence sur des incidents passés est un motif de rupture.
L’accompagnement DBM Partners
La gestion des risques tiers ne se résume pas à une simple check-list informatique. C’est un chantier transversal complexe qui exige d’aligner parfaitement les contraintes juridiques de conformité, la rigueur des contrôles techniques et la fluidité des processus organisationnels. DBM Partners maîtrise ces trois dimensions pour vous accompagner sur l’ensemble de la chaîne de valeur :
- Mise en place d’une stratégie de gouvernance. (définition des rôles et responsabilités, cartographie des tiers, classification des fournisseurs, intégration dans le dispositif de gestion des risques).
- Élaboration des processus d’évaluation des tiers (questionnaire de maturité cyber, analyse des risques fournisseurs, exigences différenciées selon la criticité, dispositif de suivi continu).
- Rédaction des clauses de sécurité et révision contractuelle (Clause NIS 2 / DORA, notification d’incident, droit d’audit, SLA Cyber, réversibilité).
- Audit technique et tests d’intrusion de vos solutions tierces.
- Accompagnement dans la durée et anticipation des évolution (revue annuelle des fournisseurs critiques, mise à jour des analyses des risques, adaptation aux changement de périmètre, incidents ou évolution réglementaire).
Au-delà des risques tiers, DBM Partners accompagne également les organisations dans leurs démarches de conformité NIS 2 et Dora, avec une approche pragmatique et orientée risques, depuis le cadrage réglementaire et la gouvernance jusqu’à l’opérationnalisation des exigences, le pilotage dans la durée et l’anticipation des évolutions réglementaires.
