FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Gestion des tiers : quelles obligations avec NIS2 ? Quels défis ?

    Gestion des tiers : quelles obligations avec NIS2 ? Quels défis ?

    Écrit par
    Yrieix Denis
    19.11.25
    Transformation numérique
    07
    MIN
    Gestion des tiers : quelles obligations avec NIS2 ? Quels défis ?
    Gestion des tiers : quelles obligations avec NIS2 ? Quels défis ?
    Gestion des tiers : quelles obligations avec NIS2 ? Quels défis ?
    Image Bitchat : une “application de survie” pour résister aux coupures d’internet
    Cyber +
    18.02.26 Cyber +
    Prochain article
    Bitchat : une “application de survie” pour résister aux coupures d’internet
    Lire
    07
    MIN
    Image Informatique éternelle : comment faire pour que le code reste fonctionnel pendant des décennies ?
    Cyber +
    13.02.26 Cyber +
    Prochain article
    Informatique éternelle : comment faire pour que le code reste fonctionnel pendant des décennies ?
    Lire
    08
    MIN
    Image Menace quantique : l’ANSSI sonne le tocsin
    Transformation numérique
    12.02.26 Transformation numérique
    Prochain article
    Menace quantique : l’ANSSI sonne le tocsin
    Lire
    05
    MIN
    Image Mistral AI fournit un agent conversationnel au CNRS
    Transformation numérique
    03.02.26 Transformation numérique
    Prochain article
    Mistral AI fournit un agent conversationnel au CNRS
    Lire
    02
    MIN
    La question de la sécurisation des tiers est centrale dans la directive NIS2. Mais pourquoi en avoir fait une telle priorité ? Comment les entreprises peuvent-elle réussir à superviser l’ensemble de leurs fournisseurs et prestataires à moindre coût ?

    « Les menaces cyber sur les fournisseurs sont de plus en plus fortes dans un contexte de guerre hybride généralisée » mettait en garde, en janvier 2025, le cabinet Kyu dans son 6e baromètre des risques supply chain. La situation est d’autant plus préoccupante que selon CyberVadis, « plus de 60 % des cyberattaques proviennent de vulnérabilités chez des tiers ». Des observations qui viennent confirmer les craintes des dirigeants du secteur privé : pour la majorité d’entre eux en effet, le risque cyber constitue l’un des 4 dangers principaux auxquels sont confrontées les entreprises aujourd’hui dans le monde. Autant de préoccupations qui n’ont pas échappé au législateur européen.  

    NIS2 et la gestion des tiers

    En effet, la question de la gestion des tiers et de la sécurisation de la chaîne d’approvisionnement est omniprésente dans la directive NIS2. On en trouve plus de vingt mentions sous la plume du législateur européen. Faisant le constat d’une augmentation exponentielle « des attaques contre la chaîne d’approvisionnement » (considérant 54), les auteurs de la directive signalent en particulier que « les petites et moyennes entreprises sont de plus en plus la cible d’attaques de la chaîne d’approvisionnement en raison de leurs mesures moins rigoureuses de la gestion des risques en matière de cybersécurité » (considérant 56). La majorité des TPE et PME n’ont-elles pas en effet moins de 2000 euros de budget à consacrer à leur cybersécurité ?

    En conséquence de cette dangereuse asymétrie entre petits et grands acteurs économiques, la directive NIS2 énonce l’obligation pour les organisations régulées de « tenir compte des vulnérabilités propres à chaque fournisseur et prestataire » et d’évaluer « la qualité globale de leurs produits et de leurs pratiques de cybersécurité » (article 21). Cette supervision doit notamment se traduire par des clauses contractuelles adaptées (considérant 85) et par « l’inclusion d’exigences liées à la cybersécurité dans les marchés publics » (article 7), mentionnant la mise en place de mesures techniques, opérationnelles et organisationnelles proportionnées aux risques identifiés. Après le CAC 40 et les ETI, c’est au tour des PME et des TPE de passer à l’échelle

    S’agissant des entreprises privées, le législateur invite les dirigeants à contractualiser des moyens de preuve et de contrôle réguliers chez leurs fournisseurs et prestataires. Ce qui explique, avant même que la directive soit transposée en droit français, que de plus en plus d’appels d’offre mentionnent aujourd’hui l’obligation de démontrer un niveau de cybersécurité minimale, notamment en matière de respect du RGPD. Et cela concerne des métiers qui se sentaient jusqu’ici très éloignés des considérations cyber. Nombre de professions jusqu’ici épargnées par ces exigences peuvent aujourd’hui en témoigner : petits cabinets de conseil ou de chasseurs de tête, entreprises de sécurité privée, ou fournisseurs du secteur maritime ne peuvent plus remplir des appels d’offres sans lister des preuves de cybersécurité. Mais peut-on réellement se fier à ces démarches déclaratoires ? 

    Le maillon faible

    Cette problématique n’est pas nouvelle. En 2010, les experts de l’ANSSI mettaient ainsi en garde leurs bénéficiaires contre une « sous-traitance en cascade », non supervisée, qui risquerait de rendre inefficaces toutes les contraintes de sécurité exigées par exemple dans le cadre d’un marché d’infogérance. Mais le problème auquel sont confrontées les entreprises dépasse largement la question de la sous-traitance informatique. Comme le rappelait Bruce Schneier au New York Times en 2019, « le problème de fond est celui de la sécurité de la chaîne d’approvisionnement, car chaque maillon de cette chaîne peut être attaqué. » Or, si la sécurité est une chaîne « elle cède par son maillon le plus faible ». Dès lors, la cybersécurité d’une grande organisation peut être dangereusement compromise par l’un de ses prestataires de service, qu’il soit négligent ou inconscient du risque cyber qui pèse sur lui. 

    Les cas sont légions. Le plus éloquent est sans doute celui de NotPetya en 2017, l’une des cyberattaques les plus coûteuses de l’histoire. D’origine russe, elle est passée par la compromission d’un logiciel de comptabilité ukrainien (Medoc.ua) avant de toucher des compagnies internationales, causant entre 5 et 10 milliards de dollars de dégâts… Plus récemment, c’est le magazine Le Point qui a été compromis à cause d’un outil CRM utilisé par un de ses sous-traitants, ou bien un prestataire de l’agence France Travail qui a compromis les données de plusieurs dizaines de millions de bénéficiaires. Ou encore, c’est la compromission spectaculaire de deux opérateurs de tiers payant, sous-traitant de nombreuses assurances et mutuelles françaises, qui est venu rappeler que c’est par les tiers qu’une grande partie des attaques réussissent. 

    Une aiguille dans une botte de foin 

    Mais comment des grands groupes peuvent-ils superviser l’ensemble de leur chaîne d’approvisionnement, vu l’ampleur de leurs écosystèmes ? « Les groupes du CAC40 ont plusieurs milliers de fournisseurs de premier niveau, ce qui constitue un défi de taille pour parvenir à évaluer leur supply chain de manière robuste et pertinente, tout en évitant les déclarations sans valeur », explique Thibault Lapédagne, VP Research chez CyberVadis. « C’est pourquoi nous proposons une évaluation de la maturité cyber sur la base d’une revue de preuves exhaustive, articulée autour de 100 à 250 points de contrôle vérifiés par des experts », poursuit le spécialiste. L’avantage de ce cadre standardisé est triple : il permet d’éviter aux fournisseurs une multiplication des questionnaires et de pouvoir se comparer à leurs pairs, tout en offrant aux entreprises une réelle visibilité sur leur écosystème de tiers.

    Même promesse du côté de Scovery, qui se concentre cette fois sur la posture externe de cybersécurité des entreprises. L’agence de cyber notation propose en effet de cartographier les actifs numériques en continu (adresses IP, noms de domaine et sous-domaines) et d’évaluer ainsi la surface d’attaque en identifiant les vulnérabilités et les faiblesses des systèmes d’information. « L’interconnexion avec les tiers fait peser des risques sérieux d’intrusion, mais aussi de dépendance, qui mettent en danger la continuité de l’activité des entreprises. Dans ce cadre, le défi demeure d’identifier en priorité les tiers critiques pour atténuer les risques, plutôt que de réagir à une crise », explique de son côté Thomas Gayet, CEO de Scovery. 

    Gare aux passagers clandestins 

    Ces solutions technologiques, novatrices, s’avèrent particulièrement nécessaires pour aider les entreprises à superviser leurs écosystèmes et à renforcer la résilience du tissu économique. Certains acteurs, cruciaux, doivent d’ailleurs être particulièrement scrutés en raison de la sensibilité des données qu’ils traitent. D’autant plus lorsqu’ils bénéficient d’un préjugé favorable de maturité cyber qui n’est pas toujours justifié dans les faits. Il en est ainsi de professions pourtant règlementées, comme les offices notariaux, ou les cabinets d’avocats, qui sont particulièrement ciblées par une multitude d’acteurs malveillants. 

    L’ANSSI en faisait un constat amère en 2023 : « la surface d’attaque des cabinets d’avocats ne cesse de s’étendre, mais en dépit de ces menaces, le niveau de sécurité informatique des cabinets français demeure hétérogène. » Il y a 35 ans, Jean-Pierre Corniou et Nathan Hattab observaient dans les entreprises des « pratiques informatiques archaïques et des comportements hiérarchiques rétrogrades ». Nul doute, hélas, que ce soit encore le cas en matière de cybersécurité. La directive NIS2 et la gestion des tiers devraient, espérons-le, y remédier. 

    Yrieix Denis
    19.11.25
    Articles du même auteur :
    1
    21.01.26 Transformation numérique
    Prospective cyber : l’internet satellitaire, une arme redoutable aux mains d’acteurs non-étatiques ?
    Lire
    11
    MIN
    2
    14.10.25 Cybersécurité
    La lutte contre la cybercriminalité, un défi collectif
    Lire
    14
    MIN
    3
    22.09.25 Identité numérique
    Portefeuille numérique : où en est l’Europe ? 
    Lire
    06
    MIN
    4
    11.04.25 Cybersécurité
    NIS2, le défi du passage à l’échelle
    Lire
    05
    MIN
    Image Bitchat : une “application de survie” pour résister aux coupures d’internet
    Cyber +
    18.02.26 Cyber +
    Prochain article
    Bitchat : une “application de survie” pour résister aux coupures d’internet
    Lire
    07
    MIN
    Image Informatique éternelle : comment faire pour que le code reste fonctionnel pendant des décennies ?
    Cyber +
    13.02.26 Cyber +
    Prochain article
    Informatique éternelle : comment faire pour que le code reste fonctionnel pendant des décennies ?
    Lire
    08
    MIN
    Image Menace quantique : l’ANSSI sonne le tocsin
    Transformation numérique
    12.02.26 Transformation numérique
    Prochain article
    Menace quantique : l’ANSSI sonne le tocsin
    Lire
    05
    MIN
    Image Mistral AI fournit un agent conversationnel au CNRS
    Transformation numérique
    03.02.26 Transformation numérique
    Prochain article
    Mistral AI fournit un agent conversationnel au CNRS
    Lire
    02
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.