La cartographie des sous-traitants critiques NIS 2 est l'une des obligations les plus complexes à opérationnaliser pour les entités essentielles et importantes. L'article 21.2.d de la directive UE 2022/2555 impose la mise en place de mesures de sécurité portant sur "la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs". Cette exigence va bien au-delà de la simple liste de fournisseurs : elle impose une analyse de risque structurée, une classification par criticité, et la mise en place de mesures contractuelles et techniques adaptées au niveau de risque de chaque fournisseur. En pratique, les cyberattaques passant par la chaîne d'approvisionnement — connues sous le nom de supply chain attacks — ont été responsables de plusieurs incidents majeurs en France ces dernières années, notamment via des prestataires de maintenance informatique ou des éditeurs de logiciels compromis. Le Référentiel Cyber France (ReCyF ANSSI, mars 2026) consacre sa mesure 5 à la sécurité de la chaîne d'approvisionnement et définit les exigences précises applicables aux entités NIS 2. Ce template Excel, développé par des experts en cybersécurité certifiés ISO 27001 Lead Implementer, vous permet de réaliser cette cartographie de manière structurée, documentée, et conforme aux attentes des auditeurs ANSSI.

⚡ À retenir — Cartographie sous-traitants NIS 2

L'article 21.2.d de la directive NIS 2 impose la sécurisation de la chaîne d'approvisionnement, y compris l'évaluation des risques posés par les sous-traitants et fournisseurs. Ce template Excel permet de cartographier vos fournisseurs critiques, de les classer par niveau de risque NIS 2, et de structurer votre politique de sécurité fournisseurs conforme au ReCyF ANSSI 2026.

📥 Télécharger le template gratuit

CONFORMITÉ cartographie-sous-traitants-critiques-nis-2-art-21 ÉTAPES / CONTRÔLES 1 Le cadre réglementaire : article 21.2.d NIS… 2 Pourquoi la chaîne d'approvisionnement est… 3 Les catégories de fournisseurs à inclure… 4 Guide pas-à-pas : utiliser le template Excel… 5 Les clauses contractuelles de sécurité… EXIGENCES CLÉS cartographie des sous-traitants… ReCyF ANSSI Accès direct au SI Hébergement et cloud Éditeurs de logiciels critiques ayinedjimi-consultants.fr

Le cadre réglementaire : article 21.2.d NIS 2 et mesure 5 du ReCyF ANSSI

L'article 21 de la directive NIS 2 liste les dix catégories de mesures de gestion des risques de cybersécurité que les entités doivent mettre en œuvre. La mesure 21.2.d concerne spécifiquement la sécurité de la chaîne d'approvisionnement (supply chain security). Elle s'applique à tous les fournisseurs et prestataires de services qui ont accès aux systèmes d'information de l'entité ou qui fournissent des composants critiques utilisés dans ces systèmes.

Le ReCyF ANSSI, dans sa mesure 5, décline cette obligation en exigences concrètes :

  • Inventaire exhaustif des fournisseurs et sous-traitants ayant accès au SI ou fournissant des composants critiques
  • Classification par niveau de criticité (critique, important, standard)
  • Évaluation du niveau de sécurité de chaque fournisseur critique (questionnaire, audit, certification)
  • Clauses contractuelles de sécurité adaptées à la criticité du fournisseur
  • Suivi et revue annuelle de la cartographie
  • Plan de remédiation pour les fournisseurs présentant des risques inacceptables

Le non-respect de cette mesure est l'un des manquements les plus fréquemment identifiés par l'ANSSI lors de ses audits préliminaires. Beaucoup d'entités ont une bonne connaissance de leurs systèmes internes mais une vision très partielle de leur périmètre fournisseurs.

Pourquoi la chaîne d'approvisionnement est le maillon faible de la cybersécurité en 2026

Les statistiques ANSSI sur les incidents traités en 2025 confirment une tendance structurelle : plus de 40 % des attaques de ransomware ayant affecté des ETI et PME françaises ont utilisé un prestataire informatique comme point d'entrée initial. Ce vecteur d'attaque est particulièrement redoutable car il contourne les défenses périmètriques : un prestataire de maintenance à qui vous avez accordé un accès VPN dispose souvent de droits élevés sur votre SI, et ses propres systèmes sont parfois moins bien sécurisés que les vôtres.

Les incidents type "supply chain attack" les plus documentés en Europe ont exploité :

  • Des éditeurs de logiciels dont les mises à jour ont été compromises (modèle SolarWinds)
  • Des prestataires de services managés (MSP) donnant accès à des dizaines de clients via une unique infrastructure
  • Des fournisseurs de composants hardware intégrant des backdoors
  • Des prestataires de sous-traitance data center avec des accès physiques non surveillés

La cartographie de votre système d'information est le prérequis indispensable à la cartographie fournisseurs : vous ne pouvez pas identifier vos fournisseurs critiques si vous n'avez pas d'abord cartographié vos actifs critiques et leurs interdépendances.

Les catégories de fournisseurs à inclure dans la cartographie NIS 2

Le périmètre de la cartographie NIS 2 inclut tous les fournisseurs et sous-traitants qui entrent dans l'une des catégories suivantes, définies par le ReCyF ANSSI :

Catégorie de fournisseur Exemples Criticité NIS 2 présumée
Accès direct au SI Prestataires de maintenance IT, MSP, infogérance Critique
Hébergement et cloud AWS, Azure, OVHcloud, hébergeurs dédiés Critique
Éditeurs de logiciels critiques ERP, SIRH, logiciels métier sectoriels Critique
Sécurité externalisée SOC externalisé, RSSI externe, pentesters Critique
Télécommunications Opérateurs réseau, fournisseurs VPN, MPLS Important
Composants hardware Fournisseurs de serveurs, équipements réseau Important à Critique
Prestataires non-IT à accès physique Gardiennage, nettoyage salle serveurs, électricité Standard à Important

Guide pas-à-pas : utiliser le template Excel de cartographie

Le template est organisé en quatre onglets correspondant aux phases de la cartographie recommandée par le ReCyF ANSSI. Voici la méthode d'utilisation étape par étape.

  1. Onglet 1 — Inventaire fournisseurs : listez exhaustivement tous vos fournisseurs et sous-traitants ayant une interaction avec votre SI ou vos actifs critiques. Renseignez pour chaque fournisseur : raison sociale, SIREN, type de prestation, durée du contrat, montant annuel, et contact référent.
  2. Onglet 2 — Qualification de la criticité : pour chaque fournisseur, évaluez 5 critères de criticité (accès au SI, nature des données accessibles, dépendance opérationnelle, présence physique dans les locaux, capacité à substituer le fournisseur rapidement). Le template calcule automatiquement le niveau de criticité : Critique (C), Important (I), ou Standard (S).
  3. Onglet 3 — Évaluation sécurité fournisseur : pour les fournisseurs classifiés Critique, renseignez les résultats de votre évaluation sécurité (questionnaire, certification ISO 27001, rapport d'audit partagé, résultats pentest). Le template génère un score de maturité sécurité par fournisseur.
  4. Onglet 4 — Plan de remédiation : pour les fournisseurs critiques avec un niveau de sécurité insuffisant, documentez le plan d'action : clauses contractuelles à ajouter, audits à planifier, alternatives à évaluer, délais cibles.

Les clauses contractuelles de sécurité exigées par NIS 2

Le ReCyF ANSSI impose que les contrats avec les fournisseurs critiques incluent des clauses de sécurité spécifiques. Pour les fournisseurs de niveau Critique, les clauses minimales exigées sont :

  • Obligation de notification des incidents de sécurité dans un délai défini (recommandé : 24h)
  • Droit d'audit de l'entité sur les systèmes et pratiques de sécurité du fournisseur
  • Obligation de maintenir un niveau de sécurité au moins équivalent au niveau NIS 2 de l'entité
  • Interdiction de sous-traitance sans accord préalable de l'entité
  • Exigences de chiffrement des données en transit et au repos
  • Obligations de formation du personnel du fournisseur ayant accès au SI
  • Procédure de clôture et de restitution des données en fin de contrat

Notre template inclut un modèle de clauses contractuelles NIS 2 prêt à l'emploi, à intégrer dans vos nouveaux contrats ou lors du prochain renouvellement. Pour les fournisseurs disposant d'une certification ISO 27001 valide, certaines exigences peuvent être satisfaites par référence à la norme, réduisant la charge documentaire.

Gestion des incidents impliquant un fournisseur

Lorsqu'un incident NIS 2 significatif implique un fournisseur (qu'il en soit la source ou qu'il soit affecté), la gestion de la notification ANSSI comporte des spécificités importantes. L'entité NIS 2 reste seule responsable de la notification à l'ANSSI : elle ne peut pas se défausser sur le fournisseur qui serait à l'origine de l'incident. En revanche, le rapport d'incident doit documenter le rôle du fournisseur dans l'incident et les mesures prises pour remédier au risque de la chaîne d'approvisionnement.

Votre procédure de notification d'incidents doit prévoir un volet spécifique "incident fournisseur" avec : les contacts du fournisseur à alerter immédiatement, les droits contractuels d'investigation que vous pouvez exercer, et les options de substitution d'urgence en cas d'indisponibilité prolongée du fournisseur.

Articulation avec la cartographie SI et le pentest

La cartographie des sous-traitants critiques s'articule avec deux autres démarches clés de la conformité NIS 2. D'une part, la cartographie du système d'information permet d'identifier précisément quels systèmes sont exposés à chaque fournisseur, et donc d'affiner la classification de criticité. D'autre part, le pentest ou test d'intrusion peut inclure des scénarios de compromission via la chaîne d'approvisionnement (simulation d'un fournisseur compromis tentant de pivoter vers votre SI), ce qui permet de valider l'efficacité de vos segmentations et contrôles d'accès fournisseurs.

Les erreurs les plus fréquentes dans la cartographie fournisseurs NIS 2

  • Limiter la cartographie aux fournisseurs IT : les fournisseurs non-IT ayant un accès physique aux infrastructures (prestataires de maintenance des Data Centers, gardiennage, électricité) sont souvent négligés alors qu'ils peuvent constituer des vecteurs d'attaque physique significatifs.
  • Ne pas inclure les sous-traitants de vos fournisseurs : l'article 21.2.d vise explicitement "les relations entre chaque entité et ses fournisseurs ou prestataires de services directs". Les sous-traitants de rang 2 et 3 ne sont pas directement dans le périmètre obligatoire, mais votre politique fournisseurs doit exiger de vos fournisseurs critiques qu'ils appliquent des exigences équivalentes à leurs propres sous-traitants.
  • Évaluer la sécurité uniquement sur déclaration : les questionnaires auto-déclaratifs ne suffisent pas pour les fournisseurs critiques. Une certification ISO 27001 valide, un rapport d'audit récent, ou l'utilisation d'une plateforme d'évaluation de la sécurité tiers (Security Scorecard, BitSight) doit compléter la démarche.
  • Ne pas prévoir de plan de sortie : pour chaque fournisseur critique, il faut documenter la stratégie de remplacement en cas de défaillance sécurité ou d'incident, avec le délai estimé de bascule et les impacts opérationnels.

FAQ — Cartographie sous-traitants critiques NIS 2

Combien de fournisseurs une ETI typique doit-elle inclure dans sa cartographie NIS 2 ?

La cartographie NIS 2 ne vise pas l'exhaustivité totale des fournisseurs mais la couverture de tous ceux qui présentent un risque cyber significatif. En pratique, une ETI de 200 à 500 salariés identifie généralement entre 20 et 60 fournisseurs entrant dans le périmètre NIS 2 (catégories Critique et Important). Parmi ceux-ci, 5 à 15 seront classifiés critiques et nécessiteront une évaluation approfondie de leur niveau de sécurité. La cartographie se concentre sur la qualité de l'analyse plutôt que sur la quantité de fournisseurs listés.

Mon fournisseur cloud (AWS, Azure, OVH) est-il automatiquement critère Critique pour NIS 2 ?

Oui, dans la quasi-totalité des cas. Un fournisseur cloud hébergeant vos systèmes de production ou vos données sensibles est critique selon les critères NIS 2, car il a accès à vos actifs les plus sensibles et sa défaillance ou sa compromission peut entraîner une indisponibilité totale de vos services. Cependant, les grands hyperscalers (AWS, Azure, Google Cloud) disposent généralement de certifications de sécurité très étendues (ISO 27001, SOC 2 Type II, HDS pour la santé) qui peuvent satisfaire une grande partie des exigences d'évaluation du ReCyF. La gestion de la sécurité partagée (shared responsibility model) doit néanmoins être documentée : ce que le cloud provider sécurise, et ce qui reste votre responsabilité.

Puis-je exiger que mes fournisseurs soient certifiés ISO 27001 pour satisfaire les exigences NIS 2 ?

La certification ISO 27001 d'un fournisseur constitue une preuve significative de son niveau de maturité en cybersécurité et peut satisfaire une grande partie des exigences d'évaluation du ReCyF ANSSI. Cependant, elle ne dispense pas d'une analyse de la pertinence du certificat (périmètre de certification, date du dernier audit de renouvellement) ni d'une vérification que les contrôles certifiés couvrent bien les risques spécifiques de votre relation avec ce fournisseur. Pour les fournisseurs non certifiés, un questionnaire de sécurité standardisé (VSAQ, SIG Lite) ou un audit contractuel sont les alternatives recommandées.

Quel est le délai réglementaire pour constituer la cartographie fournisseurs NIS 2 ?

La directive NIS 2 et son transposition française par la Loi Résilience ne fixent pas de délai spécifique pour la seule cartographie fournisseurs. Cependant, les obligations globales de mise en conformité entrent en vigueur à la date fixée par décret, et l'ANSSI peut contrôler la conformité à partir de cette date. Le ReCyF ANSSI recommande de traiter la cartographie fournisseurs dans les 6 premiers mois suivant l'inscription sur MonEspaceNIS2, dans le cadre d'un plan de mise en conformité global sur 12 à 18 mois. Notre plan de conformité NIS 2 sur 12 mois intègre ce jalonnement.

Dois-je informer mes fournisseurs que je les inclus dans ma cartographie NIS 2 ?

Il n'existe pas d'obligation légale d'informer un fournisseur de son inclusion dans votre cartographie NIS 2. En revanche, si vous menez une évaluation de leur niveau de sécurité (questionnaire, audit), cette démarche doit évidemment être conduite en coordination avec eux. Par ailleurs, si vous souhaitez ajouter des clauses contractuelles NIS 2 à vos contrats existants, cela nécessite un avenant contractuel négocié avec le fournisseur. Il est recommandé d'informer vos fournisseurs critiques de votre démarche NIS 2 et de les sensibiliser à leurs propres obligations potentielles : de nombreux prestataires IT et MSP sont eux-mêmes soumis à NIS 2 en tant qu'entités de "gestion des services TIC".

Conclusion — La cartographie fournisseurs, pilier de la résilience cyber

La cartographie des sous-traitants critiques NIS 2 est à la fois une obligation réglementaire et un levier de résilience opérationnelle. En identifiant vos dépendances fournisseurs les plus critiques, vous renforcez votre capacité à anticiper les incidents d'origine supply chain, à les détecter plus rapidement, et à y répondre avec efficacité. Ce template Excel constitue votre premier outil pour structurer cette démarche. Complétez-le avec l'auto-diagnostic d'applicabilité NIS 2, la politique de gouvernance, et le plan de conformité 12 mois pour une vision complète de votre démarche NIS 2.

les équipements de contrôle d'accès biométrique comme Anviz entrent dans la cartographie des sous-traitants critiques NIS 2.

L'évaluation de la sécurité des fournisseurs critiques : méthodes et outils

La cartographie des sous-traitants critiques NIS 2 ne se limite pas à un inventaire : elle implique une évaluation de la maturité sécurité de chaque fournisseur classifié Critique. Cette évaluation peut être conduite selon différentes méthodes, à choisir selon la taille du fournisseur, votre relation contractuelle, et les enjeux associés.

Méthode 1 — Questionnaire d'auto-évaluation sécurité : adapté aux fournisseurs de taille moyenne avec lesquels vous avez une relation contractuelle établie. Vous leur envoyez un questionnaire standardisé (SIG Lite, CAIQ, ou votre questionnaire NIS 2 personnalisé) et analysez les réponses. Les limites : les réponses sont auto-déclaratives et peuvent être surestimées. La fiabilité dépend de la qualité du questionnaire et de la rigueur du processus de vérification des réponses.

Méthode 2 — Audit contractuel sur site : réservé aux fournisseurs les plus critiques pour lesquels les enjeux justifient un investissement significatif. Vous mandatez un auditeur (interne ou externe) pour réaliser un audit de sécurité chez le fournisseur. Cette méthode requiert une clause contractuelle de droit d'audit. C'est la méthode la plus fiable mais aussi la plus coûteuse (2 à 5 jours d'audit par fournisseur).

Méthode 3 — Vérification de certification : pour les fournisseurs disposant d'une certification ISO 27001, SOC 2 Type II, HDS, ou SecNumCloud, la vérification de la validité et du périmètre de la certification constitue une preuve partielle de maturité sécurité. À compléter par une analyse de l'adéquation entre le périmètre certifié et votre contexte d'utilisation du fournisseur.

Méthode 4 — Plateformes d'évaluation continue : des services comme Security Scorecard, BitSight, ou UpGuard permettent une évaluation automatisée et continue de la sécurité des fournisseurs sur la base de données publiques (configurations DNS/TLS exposées, fuites de credentials, vulnérabilités connues). Ces plateformes ne remplacent pas un audit mais permettent un monitoring continu à coût réduit.

Intégration de la cartographie fournisseurs dans les processus d'achat

L'une des améliorations les plus impactantes pour pérenniser la cartographie fournisseurs NIS 2 est son intégration dans le processus d'achat de l'organisation. Plutôt que de traiter la sécurité des fournisseurs comme un contrôle ex-post (après la signature du contrat), le ReCyF ANSSI encourage une approche proactive : l'évaluation sécurité fait partie intégrante des critères de sélection des fournisseurs, au même titre que le prix et la qualité technique de l'offre.

Concrètement, cela signifie :

  • Intégration d'un questionnaire sécurité NIS 2 dans le cahier des charges ou le dossier de consultation des entreprises (DCE) pour tout appel d'offres impliquant un accès au SI ou des données sensibles.
  • Définition d'un score sécurité minimum requis pour être retenu (ex : certification ISO 27001 valide, ou score questionnaire > 70/100).
  • Revue annuelle systématique de tous les contrats fournisseurs existants pour identifier ceux nécessitant un avenant de clauses NIS 2.
  • Procédure de due diligence sécurité pour toute nouvelle prestation au-dessus d'un seuil de criticité défini (ex : tout accès au SI ou traitement de données > 10 000 personnes).

Cette intégration dans les achats transforme la cartographie fournisseurs NIS 2 d'un projet ponctuel en un processus permanent, alimenté automatiquement par les nouvelles relations fournisseurs et les renouvellements de contrats existants. Elle implique une collaboration étroite entre le RSSI, le service juridique, et la direction des achats, à formaliser dans la politique de gouvernance NIS 2.

La dimension internationale : fournisseurs hors Union Européenne

Dans un contexte de mondialisation des chaînes d'approvisionnement, de nombreuses entités NIS 2 font appel à des fournisseurs établis hors de l'Union Européenne — en particulier aux États-Unis, en Inde, ou en Asie du Sud-Est pour les services IT. La cartographie NIS 2 doit couvrir ces fournisseurs extra-UE qui ont accès au SI, sans limitation géographique. L'article 21.2.d de la directive ne prévoit pas d'exception pour les fournisseurs non-européens. En revanche, l'évaluation de la sécurité et les clauses contractuelles peuvent nécessiter des adaptations selon le droit applicable au contrat. Pour les fournisseurs cloud établis aux États-Unis (AWS, Microsoft Azure, Google Cloud), le Cloud Act américain peut créer des conflits entre vos obligations NIS 2 (confidentialité des données) et les obligations légales du fournisseur envers les autorités américaines. Ces tensions doivent être documentées et gérées dans votre analyse de risque fournisseurs, avec des mesures techniques (chiffrement des données, architecture de souveraineté) adaptées. Consultez les ressources de l'ANSSI sur la sécurité cloud pour les recommandations françaises sur ce sujet complexe.

La veille réglementaire sur la chaîne d'approvisionnement : nouvelles obligations européennes

La sécurité de la chaîne d'approvisionnement fait l'objet d'une attention réglementaire croissante au niveau européen, qui va au-delà de NIS 2. Le règlement européen sur la cyber-résilience (Cyber Resilience Act — CRA), adopté fin 2024, impose aux fabricants de produits numériques (logiciels, hardware avec composant numérique) de nouvelles obligations de sécurité tout au long du cycle de vie de leurs produits. Cela signifie que certains de vos fournisseurs de logiciels ou d'équipements seront soumis au CRA dès 2027, ce qui améliorera structurellement leur niveau de sécurité mais imposera également de nouvelles obligations contractuelles de votre côté (notification des vulnérabilités, procédures de mise à jour, documentation de sécurité). Le Cyber Resilience Act est complémentaire de NIS 2 : là où NIS 2 cible les opérateurs de services, le CRA cible les fabricants de produits. Pour les entités NIS 2 qui développent également des produits numériques (intégrateurs, éditeurs de logiciels), les deux réglementations s'appliquent simultanément. Notre cartographie fournisseurs NIS 2 prévoit une colonne "Applicabilité CRA" permettant d'identifier dès maintenant les fournisseurs qui seront soumis au CRA et d'anticiper les implications contractuelles. Consultez les ressources officielles sur EUR-Lex pour suivre les textes d'application du CRA.

🎯 Besoin d'un accompagnement NIS 2 ?

Ayi NEDJIMI Consultants vous accompagne dans votre mise en conformité NIS 2 : diagnostic d'applicabilité, mise en œuvre des 10 mesures, préparation à l'audit ANSSI. Nos consultants certifiés ISO 27001 Lead Implementer interviennent sur toute la France.