NIS2 et sous-traitants : Quand la cybersécurité devient l’affaire de toute la chaîne de valeur
Un périmètre élargi pour une cybersécurité renforcée : avec la directive NIS2, l’Europe franchit une nouvelle étape dans sa quête d’une cybersécurité renforcée et harmonisée. Et parmi les grandes nouveautés de ce texte, il en est une qui change radicalement la donne : l’inclusion des entreprises sous-traitantes dans le périmètre d’application. Un élargissement qui répond à un constat simple : à l’heure des écosystèmes interconnectés, on ne peut plus penser la cybersécurité en vase clos. C’est toute la chaîne de valeur qui doit être protégée, sans maillon faible. Explications.
Supply Chain Attacks : le cauchemar des entreprises interconnectées
Les attaques de la chaîne d’approvisionnement, ou Supply Chain Attacks, sont la hantise des entreprises d’aujourd’hui. Le principe est rodé, simple et redoutable : les hackers ciblent un acteur de la Supply Chain (fournisseur, prestataire, partenaire…) pour atteindre, par rebond, leurs proies finales. Et les exemples ne manquent pas, comme l’attaque Kaseya en 2021 qui a paralysé plus de 1 500 entreprises dans le monde via une faille chez leur fournisseur de solutions IT. Ou le tristement célèbre piratage de SolarWinds fin 2020, où une backdoor injectée chez cet éditeur a infecté toute sa chaîne de clients, dont de nombreuses agences gouvernementales américaines. Des attaques d’autant plus dévastatrices qu’elles se propagent à grande échelle, de proche en proche, profitant des interconnexions entre les systèmes.
Les sous-traitants, maillons sensibles de la cybersécurité
Il faut dire que les sous-traitants sont devenus des proies idéales et des cibles de choix pour les cybercriminels. Et pour cause : ils ont souvent un accès privilégié aux données et aux systèmes critiques de leurs clients, sans toujours bénéficier du même niveau de protection. Imaginez qu’un prestataire de maintenance informatique se fasse pirater : c’est une porte d’entrée royale sur le SI de toutes les entreprises qu’il sert. Pourtant, ces acteurs de l’ombre restent trop souvent les oubliés des politiques de sécurité. Une faille béante à l’heure où la cybersécurité est plus que jamais un enjeu de résilience collective. C’est tout l’objet de NIS2 que de corriger ce point aveugle.
NIS2 et sous-traitants : une responsabilisation nécessaire
Avec NIS2, l’Europe envoie un signal fort : la cybersécurité n’est plus seulement l’affaire des grands groupes, mais de tout un écosystème. Concrètement, les sous-traitants des secteurs essentiels (énergie, transport, santé, digital…) seront soumis aux mêmes exigences de sécurité et de signalement que les autres entités critiques. Au programme : gestion des risques, protection des systèmes, notifications des incidents… Le tout assorti de contrôles et sanctions en cas de manquement. Une petite révolution qui va pousser chaque acteur à prendre sa part de responsabilité dans la cybersécurité commune. Et au-delà des aspects réglementaires, c’est bien une nouvelle culture de la sécurité qui se dessine, basée sur la coopération et la confiance.
Pour une Supply Chain cyber-résiliente : l'union fait la force
Car c’est bien d’une approche globale et partagée dont nos Supply Chains ont besoin pour gagner en résilience cyber. Cela implique d’abord une vision exhaustive des risques, qui embrasse l’ensemble de la chaîne de valeur étendue. Un défi qui appelle de nouveaux outils, comme la cartographie des risques de la Supply Chain ou les audits cyber des tiers. Mais au-delà des aspects techniques, c’est un véritable travail main dans la main qui doit s’opérer entre donneurs d’ordre et sous-traitants. Co-construction des politiques de sécurité, partage d’informations, entraide en cas d’attaque… Autant de leviers pour créer une Supply Chain où la cybersécurité est l’affaire de tous. Avec à la clé, une résilience et une compétitivité accrues pour tous les maillons de la chaîne.
En considérant par construction les sous-traitants comme des acteurs à part entière de la cybersécurité, NIS2 impulse un changement de paradigme salutaire. Plus qu’une contrainte, c’est une formidable opportunité de repenser nos chaînes de valeur dans une logique de résilience partagée. Un défi complexe, mais à notre portée si nous savons unir nos forces.
Chez EGGERS, nous avons fait de cette approche holistique notre ADN. Audit des écosystèmes, sécurisation des tiers, conformité NIS2… Nos experts vous accompagnent sur tous ces enjeux, pour bâtir pas à pas une Supply Chain cyber-résiliente. Alors, prêts à faire de la cybersécurité la grande affaire de votre chaîne de valeur ?
