LuxOps Sovereign IT Operator
Accueil Infrastructure Souveraineté Sécurité Infogérance IA souveraine Applications Actualités Le groupe Indépendance Contact Espace client ·
← Toutes les actualités
Sécurité

NIS2 et chaîne d’approvisionnement : par où commencer

Mesures de gestion des risques, obligations de notification, assurance fournisseurs. Un premier trimestre pragmatique pour les organisations nouvellement concernées.

La directive UE 2022/2555, dite NIS2, devait être transposée par les États membres pour le 17 octobre 2024. Elle élargit considérablement le champ des entités concernées et relève le niveau d'exigence. Beaucoup d'organisations découvrent qu'elles sont désormais « entités essentielles » ou « importantes » sans y avoir été préparées. Si c'est votre cas, la bonne nouvelle est que les premières mesures sont concrètes et hiérarchisables.

NIS2 a une particularité qui change la façon de s'y prendre : elle regarde votre chaîne d'approvisionnement. Votre niveau de sécurité n'est plus seulement le vôtre — c'est aussi celui de vos fournisseurs de services numériques. On ne peut donc pas traiter le sujet en vase clos.

Les mesures de gestion des risques

La directive fixe un socle de mesures techniques et organisationnelles (art. 21) : analyse des risques, gestion des incidents, continuité et sauvegardes, sécurité de la chaîne d'approvisionnement, contrôle d'accès, chiffrement, hygiène de base. Aucune n'est exotique. Ce qui est nouveau, pour beaucoup, c'est l'obligation de les formaliser et de pouvoir les démontrer — et la responsabilité explicite des organes de direction.

Les obligations de notification

NIS2 impose un calendrier de notification des incidents significatifs (art. 23) qu'il faut connaître avant qu'un incident ne survienne :

  • une alerte précoce dans les 24 heures après la prise de connaissance de l'incident ;
  • une notification plus complète dans les 72 heures ;
  • un rapport final dans un délai d'un mois.

Tenir ces délais suppose que l'on sache détecter, qualifier et documenter un incident en heures, pas en jours. C'est une capacité opérationnelle, pas une clause à cocher.

L'assurance sur vos fournisseurs

Puisque votre conformité dépend de celle de vos prestataires, il faut pouvoir en obtenir l'assurance : clauses contractuelles adaptées, transparence sur leurs propres mesures, droit de regard. Un fournisseur qui refuse de documenter sa sécurité devient, sous NIS2, un risque que vous portez à sa place.

Un premier trimestre pragmatique

  • Mois 1 — déterminer si vous êtes concerné et à quel titre, cartographier vos actifs et vos dépendances numériques critiques.
  • Mois 2 — combler les manques les plus élémentaires (MFA, sauvegardes testées, gestion des accès), écrire le plan de réponse à incident et le répéter.
  • Mois 3 — passer en revue les fournisseurs critiques, formaliser les mesures, informer la direction de ses responsabilités.

La tentation à éviter. Vouloir tout documenter parfaitement avant d'avoir corrigé les failles évidentes. Une politique de sécurité de trente pages ne vaut pas une authentification à deux facteurs activée partout et une restauration testée le mois dernier. On sécurise d'abord, on rédige ensuite — et l'on rédige ce qu'on fait vraiment.

Une question que cela soulève chez vous ? Parlez à l'ingénieur qui concevra votre architecture — pas à une équipe commerciale.

Parler à un ingénieur →
Signaler un problème sur ce site