Les cyberattaques via les tiers ont doublé en un an, passant de 15% à 30% des brèches selon le Verizon DBIR 2025. En France, 35% des entreprises victimes d'attaques significatives en 2024 l'ont été via un prestataire. Avec l'entrée en vigueur de DORA en janvier 2025 et la transposition imminente de NIS2, les RSSI français doivent impérativement refondre leur programme de Third-Party Risk Management (TPRM). Ce guide vous fournit une checklist opérationnelle complète pour construire un programme de gestion des risques fournisseurs conforme aux nouvelles exigences réglementaires européennes et adapté au contexte français.
14 min de lecture
30%
Des brèches impliquent des tiers en 2025 (×2 vs 2024)
35%
Des attaques en France passent par un prestataire
10M€
Amende max NIS2 ou 2% du CA mondial
3 ans
Délai de mise en conformité NIS2
1. Contexte réglementaire : NIS2 et exigences supply chain
La Directive NIS2 (EU 2022/2555) représente une refonte majeure du cadre européen de cybersécurité. Contrairement à NIS1 qui se concentrait sur les opérateurs de services essentiels, NIS2 élargit considérablement son périmètre à 18 secteurs critiques et introduit des exigences explicites sur la sécurité de la chaîne d'approvisionnement.
1.1 Statut de la transposition en France
La France n'a pas respecté l'échéance de transposition du 17 octobre 2024. La Commission européenne a envoyé un avis motivé le 7 mai 2025 pour défaut de notification de transposition complète. Le véhicule législatif français est le Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (Loi Résilience), qui présente une particularité française : il transpose simultanément trois directives européennes (NIS2, REC/CER et DORA).
Calendrier législatif français
12 mars 2025 : Adoption par le Sénat en procédure accélérée. 10 septembre 2025 : Adoption par la commission spéciale de l'Assemblée nationale avec 244 amendements. Entrée en vigueur attendue : Fin 2025/début 2026. Délai de mise en conformité : 3 ans à compter de la promulgation.
1.2 Article 21 : les 10 mesures de cybersécurité obligatoires
L'Article 21(2) de NIS2 définit 10 mesures de cybersécurité minimales que toutes les entités assujetties doivent implémenter. La sécurité de la chaîne d'approvisionnement figure explicitement à l'alinéa (d), aux côtés des politiques d'analyse des risques, de la gestion des incidents, de la continuité d'activité et de la cryptographie.
L'Article 21(3) précise les obligations concernant les tiers. Les entités doivent prendre en compte les vulnérabilités spécifiques à chaque fournisseur direct, la qualité globale des produits et des pratiques de cybersécurité des fournisseurs (y compris leurs procédures de développement sécurisé), et les résultats des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques.
Facteurs non-techniques à évaluer
NIS2 impose également l'évaluation de facteurs non-techniques : influence indue d'un pays tiers sur les fournisseurs, verrouillage technologique, dépendance fournisseur et risques de portes dérobées potentielles.
1.3 Distinction entités essentielles vs entités importantes
NIS2 distingue deux catégories d'entités avec des niveaux d'exigences différenciés :
Critère
Entités Essentielles (EE)
Entités Importantes (EI)
Effectifs
≥250 salariés
50-249 salariés
Chiffre d'affaires
≥50 millions €
10-50 millions €
Supervision
✓ Ex ante (proactive)
Ex post (réactive)
Amende maximale
10M€ ou 2% CA mondial
7M€ ou 1,4% CA mondial
Coûts estimés (ANSSI)
450-880k€ initial + ~10%/an
100-200k€ initial + ~10%/an
En France, des spécificités nationales s'appliquent : les collectivités territoriales de plus de 30 000 habitants, les universités et les établissements publics de santé sont automatiquement classés comme entités essentielles. Un amendement de septembre 2025 a également ajouté les éditeurs de logiciels aux obligations supply chain.
2. DORA et secteur financier : exigences spécifiques tiers TIC
Pour les entités du secteur financier, le règlement DORA (Digital Operational Resilience Act, EU 2022/2554) s'applique en tant que "lex specialis" par rapport à NIS2. Pleinement applicable depuis le 17 janvier 2025, DORA impose des exigences particulièrement détaillées sur la gestion des risques liés aux prestataires tiers de services TIC.
2.1 Le Chapitre V : gestion des risques tiers TIC
Le Chapitre V de DORA (Articles 28-44) structure la gestion des risques tiers TIC en deux volets. La Section I (Articles 28-30) définit les principes clés applicables à toutes les entités financières. La Section II (Articles 31-44) établit un cadre de surveillance directe des prestataires tiers TIC critiques (CTPP) par les autorités européennes.
Art. 28 (DORA)
Principes généraux
Évaluation des risques opérationnels, de concentration et systémiques liés aux prestataires TIC. Due diligence complète avant contractualisation.
Art. 29 (DORA)
Stratégie risque tiers
Adoption d'une stratégie incluant une politique sur l'utilisation des services TIC supportant des fonctions critiques ou importantes.
Art. 30 (DORA)
Exigences contractuelles
Clauses obligatoires : localisation données, SLA, droits audit sans restriction, stratégies de sortie documentées et testées.
2.2 Le Registre d'Information (RoI)
Les entités financières doivent maintenir un Registre d'Information exhaustif de tous les accords contractuels avec les prestataires TIC. En France, la date limite de soumission aux autorités était fixée au 15 avril 2025. Ce registre doit être maintenu aux niveaux entité, sous-consolidé et consolidé.
DORA impose des clauses contractuelles minimales pour tous les contrats de services TIC, avec des exigences renforcées pour les fonctions critiques ou importantes :
Description complète des fonctions et services TIC, conditions de sous-traitance
Localisation des données avec notification préalable des changements de région/pays
Protection des données : disponibilité, authenticité, intégrité, confidentialité
Niveaux de service quantitatifs et qualitatifs permettant le monitoring
Assistance incidents sans coût additionnel
Droits d'audit sans restriction (accès, inspection par l'entité, tiers désigné et autorité)
Stratégies de sortie documentées, testées et révisées périodiquement
Sanctions DORA
Les entités financières risquent des amendes jusqu'à 2% du CA mondial annuel ou 1% du CA quotidien moyen mondial. Pour les CTPP, les amendes peuvent atteindre 5 millions d'euros avec des pénalités journalières jusqu'à conformité (maximum 6 mois).
3. État des menaces : statistiques des brèches via tiers
Les données récentes confirment l'explosion des attaques via la supply chain. Les statistiques 2023-2025 démontrent une tendance alarmante qui justifie pleinement les nouvelles exigences réglementaires.
3.1 Évolution des brèches impliquant des tiers
Métrique
2023
2024
2025
Implication tiers (Verizon DBIR)
~9%
15%
✓ 30%
Coût moyen brèche mondial (IBM)
4,45M$
4,88M$
4,44M$
Coût moyen brèche US (IBM)
9,48M$
9,36M$
10,22M$
Entreprises FR attaquées (CESIN)
49%
47%
40%
3.2 Cas emblématiques 2023-2024
Plusieurs incidents majeurs illustrent l'ampleur du risque supply chain :
MOVEit Transfer (mai 2023) : La vulnérabilité CVE-2023-34362 (sévérité 9.8/10) exploitée par le gang CL0P a compromis plus de 2 700 organisations et affecté 93,3 millions d'individus. En France, France Travail a vu jusqu'à 10 millions de personnes potentiellement impactées. L'impact financier est estimé entre 9,93 et 15,8 milliards de dollars. Particularité notable : près des deux tiers des victimes étaient en aval, impactées car le fournisseur de leur fournisseur utilisait MOVEit.
Brèches Snowflake (avril-mai 2024) : L'acteur UNC5537 a exploité des identifiants volés par des infostealers pour compromettre 165 organisations. Plus de 80% des comptes compromis n'avaient pas de MFA activé. Parmi les victimes : AT&T (métadonnées de quasi tous les clients US), Ticketmaster (560 millions de clients potentiellement affectés), Santander (30 millions de clients).
3.3 Données françaises spécifiques
Le Baromètre CESIN 2026 (11ème édition) révèle que 40% des entreprises françaises ont déclaré au moins une cyberattaque significative en 2025. 35% de ces attaques étaient liées aux tiers (43% pour les grandes entreprises). Alain Bouillé, président du CESIN, souligne : "Tout au long de 2024 nous avons observé des attaques ciblées réussies et disruptives qui étaient largement liées aux tiers".
L'ANSSI, dans son Panorama de la Cybermenace 2024 (publié mars 2025), a traité 4 386 événements de sécurité (+15% vs 2023). Le ciblage de la supply chain TIC (compromission des prestataires et éditeurs de logiciels pour atteindre les clients français) est identifié comme une stratégie clé des attaquants.
Chiffre clé
Selon une enquête BlackBerry 2024, 74% des attaques supply chain provenaient de membres de la supply chain dont les entreprises n'avaient pas connaissance ou qu'elles ne monitoraient pas.
4. Cadres et méthodologies TPRM : NIST, ISO 27001, SIG
Plusieurs cadres de référence internationaux guident la mise en œuvre d'un programme TPRM efficace. L'alignement sur ces standards facilite également la démonstration de conformité aux exigences NIS2 et DORA.
4.1 NIST Cybersecurity Framework 2.0
La version 2.0 du NIST CSF (février 2024) introduit une nouvelle fonction fondamentale : GOVERN (GV). La catégorie GV.SC (Cybersecurity Supply Chain Risk Management) comprend désormais 10 sous-catégories dédiées à la gestion des risques supply chain :
Stratégie C-SCRM
GV.SC-01 à GV.SC-05 : Définir objectifs, politiques, processus, identifier fournisseurs critiques, intégrer C-SCRM dans les contrats.
Opérations C-SCRM
GV.SC-06 à GV.SC-10 : Due diligence acquisitions, monitoring continu, inclusion dans réponse incidents, provisions post-relation.
4.2 NIST SP 800-161 Rev. 1
Le guide NIST SP 800-161 ("Cybersecurity Supply Chain Risk Management Practices", mis à jour novembre 2024) propose une structure de gestion à trois niveaux : Niveau 1 (Entreprise) pour la stratégie et gouvernance, Niveau 2 (Mission/Processus métier) pour la planification d'implémentation, et Niveau 3 (Opérationnel/Système) pour les contrôles spécifiques.
4.3 ISO 27001:2022 - Contrôles fournisseurs
L'Annexe A d'ISO 27001:2022 comprend 5 contrôles dédiés aux relations fournisseurs (A.5.19 à A.5.23) couvrant la politique de gestion fournisseurs, les accords formels, la gestion supply chain TIC, le monitoring continu et la sécurité des services cloud. Cependant, selon l'ANSSI, la certification ISO 27001 seule ne couvre que 2 des 20 objectifs NIS2 ; même avec ISO 27002, la couverture n'atteint qu'environ 80%.
4.4 Questionnaires de due diligence
Deux questionnaires standardisés dominent le marché :
SIG (Standardized Information Gathering) de Shared Assessments : 1 855 questions de contrôle risque réparties en 19 domaines. La version SIG Core (855+ questions) convient aux fournisseurs à haut risque, tandis que SIG Lite (126 questions) permet une évaluation préliminaire rapide.
CAIQ (Consensus Assessments Initiative Questionnaire) de la Cloud Security Alliance : 261+ questions Oui/Non pour évaluer les contrôles sécurité des fournisseurs cloud (IaaS, PaaS, SaaS). La version CAIQ-Lite (124 questions) offre une alternative condensée.
5. Checklist TPRM opérationnelle en 6 phases
Cette checklist opérationnelle structure votre programme TPRM en 6 phases alignées sur les exigences NIS2, DORA et les bonnes pratiques NIST/ISO. Chaque phase comprend des actions concrètes à implémenter.
5.1 Phase 1 : Inventaire et classification fournisseurs
Seulement 34% des entreprises maintiennent des listes complètes de leurs fournisseurs. La première étape consiste à établir un registre exhaustif classifiant chaque fournisseur selon le type de service fourni, l'accès aux données (PII, données financières, données de santé), la criticité opérationnelle, le volume de dépense et l'impact réglementaire potentiel. N'oubliez pas d'inclure les relations fourth-party (fournisseurs de vos fournisseurs).
5.2 Phase 2 : Modèle de tiering à 4 niveaux
Tier
Niveau de risque
Caractéristiques
Fréquence évaluation
Tier 1
Critique
Processus mission-critical, données sensibles à grande échelle
✓ Annuel + continu
Tier 2
Élevé
Processus importants, données sensibles limitées
Annuel
Tier 3
Moyen
Services support, accès limité/indirect aux données
Tous les 2 ans
Tier 4
Faible
Pas d'accès systèmes critiques, services commoditisés
Tous les 3-4 ans
5.3 Phase 3 : Due diligence et évaluation des risques
L'évaluation doit combiner plusieurs approches selon le niveau de risque du fournisseur : Desktop review (certifications, informations publiques, notations sécurité), questionnaire (SIG Core pour Tier 1-2, SIG Lite pour Tier 3-4), audit sur site (inspections physiques, interviews pour Tier 1), et évaluation technique (pentests, scans de vulnérabilités pour Tier 1-2).
5.4 Phase 4 : Clauses contractuelles de sécurité
Selon le Baromètre CESIN, 85% des entreprises françaises ont des clauses sécurité dans leurs contrats, mais seulement une minorité monitore activement ses prestataires. Les clauses essentielles à inclure :
Exigences contrôles sécurité alignées ISO 27001 ou NIST
Exigences flow-down vers sous-traitants et fourth-party
Métriques performance SLA et pénalités
Provisions résiliation et stratégies de sortie
5.5 Phase 5 : Monitoring continu
Le monitoring continu constitue la différence majeure entre une approche TPRM mature et une gestion ponctuelle des risques. Il inclut la surveillance des notations de sécurité (services comme SecurityScorecard, BitSight), les réévaluations questionnaires périodiques, le suivi des certificats de conformité et leur renouvellement, le traitement des notifications d'incidents et brèches, le monitoring de la stabilité financière du fournisseur, et la mesure de la performance vs SLAs contractuels.
5.6 Phase 6 : Réponse incidents et stratégies de sortie
Cette phase couvre deux aspects critiques. D'une part, les procédures de réponse incidents conjointes avec protocoles de communication, chemins d'escalade, exigences de préservation des preuves et coordination de la récupération. D'autre part, la planification des stratégies de sortie incluant les procédures de retour/suppression des données, les protocoles de révocation d'accès, les exigences de transfert de connaissances et les droits d'audit post-résiliation.
Bonne pratique DORA
L'Article 28(8) de DORA exige que les stratégies de sortie prennent en compte les risques de défaillance du prestataire, la détérioration de qualité, et permettent une sortie sans disruption des activités, sans limitation de conformité réglementaire, et sans préjudice pour les clients.
6. Spécificités françaises : SecNumCloud, OIV et qualifications
Le contexte français impose des exigences supplémentaires liées aux qualifications ANSSI, au cadre OIV/LPM et à la doctrine "Cloud au Centre" pour les données sensibles.
6.1 Qualification SecNumCloud
La qualification SecNumCloud (référentiel v3.2) est un visa de sécurité ANSSI reconnaissant les services cloud répondant aux plus hautes exigences de sécurité. Elle évalue environ 1 200 points de contrôle et garantit la protection contre les lois extraterritoriales (CLOUD Act, FISA) et les scénarios "kill switch".
Vincent Strubel, directeur de l'ANSSI, a clarifié en janvier 2026 que SecNumCloud n'est pas un label de souveraineté politique mais une qualification cybersécurité avec une évaluation neutre et standardisée appliquée identiquement à tous les candidats.
Prestataires SecNumCloud qualifiés (2025-2026) : S3NS/Thales (PREMI3NS, obtenu décembre 2025), OVHcloud, Outscale (3DS), Cloud Temple, Oodrive, Whaller (DONJON), Orange Business (Cloud Avenue SecNum). En cours de qualification : Bleu SAS (Orange/Capgemini + Microsoft), Scaleway, NumSpot, Free Pro.
6.2 Exigences OIV et LPM
Les ~300 Opérateurs d'Importance Vitale (OIV) désignés dans 12 secteurs sont soumis à des exigences renforcées. La LPM 2024-2030 (budget cyber multiplié par 3, soit 4 milliards €) impose 20 règles de sécurité ANSSI pour les Systèmes d'Information d'Importance Vitale (SIIV).
Critique pour les tiers OIV
"Si un OIV déclare un SIIV dont tout ou partie de la production ou de l'administration est réalisée par un prestataire de service, ce dernier est un opérateur tiers soumis aux contrôles prévus par la LPM au même titre que l'OIV." Une annexe de sécurité est obligatoire dans tous les contrats touchant aux SIIV.
6.3 Qualifications PASSI et PDIS
Deux qualifications ANSSI sont essentielles pour les prestataires intervenant dans le cadre réglementaire français :
PASSI (Prestataires d'Audit de la Sécurité des SI) : Obligatoire pour les audits OIV (PASSI LPM) et OSE. Environ 78 prestataires qualifiés en France (2024). Couvre 5 activités : audit architecture, audit configuration, audit code source, tests d'intrusion, audit organisationnel et physique.
PDIS (Prestataires de Détection des Incidents de Sécurité) : Obligatoire pour les OIV concernant leurs SIIV.
6.4 Ressources ANSSI et MonEspaceNIS2
L'ANSSI met à disposition la plateforme MonEspaceNIS2 (monespacenis2.cyber.gouv.fr) comprenant un outil d'auto-évaluation pour déterminer l'assujettissement, un service d'enregistrement des entités, et une FAQ avec documents de guidance. L'approche française traduit les Articles 20 et 21 de NIS2 en 20 objectifs de sécurité obligatoires avec des "moyens acceptables de mise en œuvre" non obligatoires préservant la flexibilité d'implémentation.
Les attaques via tiers ont doublé en un an (30% des brèches en 2025)
NIS2 impose explicitement la sécurité de la chaîne d'approvisionnement (Article 21-2-d)
En France, la Loi Résilience transpose NIS2, DORA et REC avec un délai de 3 ans pour la conformité
Les sanctions peuvent atteindre 10M€ ou 2% du CA mondial pour les entités essentielles
Un programme TPRM efficace comprend 6 phases : inventaire, tiering, due diligence, contrats, monitoring, sortie
Les prestataires SecNumCloud sont obligatoires pour les données sensibles de l'État
Seulement 34% des entreprises ont un inventaire fournisseurs complet : c'est la priorité n°1
FAQ
Questions fréquentes
Le TPRM (Third-Party Risk Management) est la gestion des risques liés aux fournisseurs et prestataires tiers. NIS2 le rend obligatoire via l'Article 21(2)(d) qui impose la "sécurité de la chaîne d'approvisionnement" pour toutes les entités essentielles et importantes. Concrètement, les organisations doivent évaluer les vulnérabilités spécifiques de chaque fournisseur, la qualité de leurs pratiques de cybersécurité et leurs procédures de développement sécurisé.
La France n'a pas respecté l'échéance initiale du 17 octobre 2024. La Loi Résilience a été adoptée par le Sénat le 12 mars 2025 et par la commission spéciale de l'Assemblée nationale le 10 septembre 2025. L'entrée en vigueur est attendue fin 2025/début 2026, avec un délai de mise en conformité de 3 ans à compter de la promulgation. Les entreprises disposent donc jusqu'à environ 2028-2029 pour être pleinement conformes.
DORA est un règlement sectoriel (secteur financier) directement applicable depuis janvier 2025, tandis que NIS2 est une directive transversale (18 secteurs) nécessitant une transposition nationale. DORA est "lex specialis" : pour les entités financières, ses dispositions prévalent sur NIS2 pour la gestion des risques TIC. DORA est plus prescriptif avec des exigences contractuelles détaillées, un registre d'information obligatoire, et une surveillance directe des prestataires critiques (CTPP) par les autorités européennes.
Un modèle de tiering à 4 niveaux est recommandé. Les critères de classification incluent la sensibilité des données traitées (PII, PHI, données financières), la criticité business et dépendance opérationnelle, le niveau d'accès réseau/système, les exigences de conformité réglementaire, le statut de single point of failure et les considérations géographiques/juridictionnelles. Les fournisseurs Tier 1 (critiques) nécessitent une évaluation annuelle plus un monitoring continu, tandis que les Tier 4 peuvent être évalués tous les 3-4 ans.
Les clauses essentielles incluent les exigences de contrôles sécurité alignés ISO 27001 ou NIST, les obligations de protection des données et conformité RGPD, les délais de notification d'incidents (typiquement 24-72h), les droits d'audit et provisions d'évaluation, les exigences de flow-down vers les sous-traitants, les métriques de performance SLA avec pénalités, et les provisions de résiliation avec stratégies de sortie. DORA impose en plus des droits d'audit sans restriction et des stratégies de sortie testées périodiquement pour les fonctions critiques.
SecNumCloud n'est obligatoire que pour les données sensibles de l'État selon la doctrine "Cloud au Centre" de 2021. Pour le secteur privé, c'est une qualification de confiance recommandée mais non obligatoire. Elle garantit la protection contre les lois extraterritoriales (CLOUD Act, FISA) et évalue environ 1 200 points de contrôle. Les entreprises traitant des données dont la brèche pourrait affecter l'ordre public, la santé, la vie des personnes ou la propriété intellectuelle devraient privilégier des prestataires SecNumCloud qualifiés.
Passez à l'action
Sécurisez votre chaîne d'approvisionnement
Découvrez comment Beareye vous aide à cartographier votre surface d'attaque externe, identifier vos fournisseurs exposés et monitorer en continu les risques tiers pour une conformité NIS2 et DORA simplifiée.
