Aller au contenu

TPRM – Gestion du risque fournisseur : enjeux, méthodes et conformité NIS 2

Introduction

La gestion du risque fournisseur — ou TPRM (Third-Party Risk Management) — est devenue l’un des sujets les plus critiques de la cybersécurité contemporaine. Pendant longtemps, les organisations ont concentré leurs efforts de protection sur leur périmètre interne, en négligeant les vulnérabilités introduites par leurs partenaires externes, sous-traitants, prestataires de services et fournisseurs technologiques. Les attaques récentes ont démontré à quel point cette approche était insuffisante.

L’attaque SolarWinds (2020), qui a compromis des milliers d’organisations mondiales via un simple logiciel de supervision, puis l’attaque Kaseya (2021) affectant 1 500 entreprises via un éditeur de solutions de gestion IT, ont imposé un changement de paradigme radical. Aujourd’hui, 47% des organisations ont subi une violation ou une cyberattaque impliquant un accès tiers au cours des douze derniers mois (source : Ponemon Institute / Imprivata, 2025). Le coût moyen d’une violation de données impliquant la chaîne d’approvisionnement atteint 4,76 millions de dollars, soit 11,8% au-dessus de la moyenne globale des incidents (source : IBM Security / Ponemon Institute, 2023).

En France et dans l’Union européenne, ce sujet a pris une dimension réglementaire inédite. La directive NIS 2, applicable depuis le 18 octobre 2024, impose explicitement la sécurité de la chaîne d’approvisionnement comme l’une des dix mesures obligatoires de cybersécurité pour les entités essentielles et importantes. Pour les entités françaises relevant de secteurs critiques, l’article 21 de NIS 2 crée une obligation légale directe de gestion du risque fournisseur, assortie de sanctions pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

Pour les industriels, les fabricants et leurs sous-traitants, la problématique est encore plus complexe. Un fournisseur ne livre pas seulement du code ou des données : il accède parfois physiquement aux systèmes de contrôle industriel (OT), aux automates programmables (PLC), aux systèmes SCADA — des environnements où une compromission peut avoir des conséquences opérationnelles immédiates sur la sécurité des personnes et la continuité de production.

Cet article propose une présentation approfondie du TPRM : ses fondements, ses méthodes, ses exigences réglementaires et ses spécificités dans le monde industriel.

Table des matières
  1. Introduction
  2. Qu'est-ce que le TPRM et pourquoi est-il devenu incontournable ?
  3. NIS 2 et sécurité de la chaîne d'approvisionnement : quelles obligations exactement ?
  4. Comment cartographier et évaluer ses fournisseurs ?
  5. Quelles clauses contractuelles intégrer pour sécuriser la relation fournisseur ?
  6. TPRM dans les environnements industriels OT/IoT : des enjeux spécifiques
  7. Comment mettre en place un programme TPRM structuré et durable ?
  8. Checklist opérationnelle
  9. FAQ
  10. Conclusion
  11. Pour aller plus loin

Qu’est-ce que le TPRM et pourquoi est-il devenu incontournable ?

Définition et périmètre du Third-Party Risk Management

Le TPRM (Third-Party Risk Management) désigne l’ensemble des processus, politiques et outils permettant à une organisation d’identifier, évaluer, surveiller et atténuer les risques découlant de ses relations avec des tiers externes. Ces tiers peuvent être des fournisseurs de logiciels, des prestataires de services managés (MSP), des intégrateurs de systèmes, des sous-traitants industriels, des fournisseurs de composants, ou encore des partenaires métier ayant accès à des systèmes ou données sensibles.

Le terme est parfois utilisé sous ses variantes : TPCRM (Third-Party Cyber Risk Management) lorsque le focus est exclusivement cyber, ou VRM (Vendor Risk Management) dans un contexte plus large intégrant des risques financiers, opérationnels et de conformité. Dans cet article, TPRM est utilisé au sens cyber du terme, conformément à l’usage dominant dans les référentiels internationaux — ISO/IEC 27001, ISA/IEC 62443, NIST Cybersecurity Framework — et dans la réglementation européenne.

Le périmètre du TPRM couvre plusieurs dimensions complémentaires :

  • Les accès logiques : fournisseurs ayant accès aux systèmes d’information, bases de données, outils cloud ou réseaux de l’organisation
  • Les accès physiques : prestataires intervenant sur site (maintenanciers, intégrateurs, constructeurs d’équipements)
  • Les échanges de données : partenaires recevant ou transmettant des informations sensibles
  • Les dépendances logicielles : composants tiers intégrés dans les produits ou systèmes (bibliothèques open source, firmware, OS embarqués)
  • Les services critiques externalisés : hébergement, cloud, réseaux, sécurité opérationnelle

La chaîne d’approvisionnement numérique, nouveau vecteur d’attaque privilégié

Les attaques via la chaîne d’approvisionnement (supply chain attacks) ont connu une progression spectaculaire. Les attaques ciblant spécifiquement la chaîne d’approvisionnement logicielle ont augmenté de 742% entre 2019 et 2022 (source : Sonatype, 2023), tandis que l’ENISA constatait une multiplication par quatre des incidents supply chain en 2021 par rapport à 2020. Cette progression s’explique par une logique simple : attaquer un fournisseur pour atteindre indirectement ses clients est souvent beaucoup plus efficace qu’une attaque frontale.

Plusieurs mécanismes d’attaque sont documentés :

  • Compromission de la mise à jour logicielle : injection de code malveillant dans un processus de mise à jour légitime (cas SolarWinds)
  • Exploitation d’accès distants maintenus : utilisation d’accès de maintenance laissés actifs après la fin d’un contrat
  • Attaque par rebond : compromission d’un sous-traitant pour pivoter vers sa clientèle
  • Insertion de matériel malveillant : composants piégés dans la chaîne d’approvisionnement physique
  • Vulnérabilités dans des composants open source : exploitation de failles dans des bibliothèques tierces intégrées (cf. Log4Shell, 2021)

Selon l’ENISA, dans 66% des attaques supply chain analysées, les fournisseurs ne savaient pas — ou n’ont pas rapporté — comment ils avaient été compromis (source : ENISA, Threat Landscape for Supply Chain Attacks, 2021). Les violations via la chaîne d’approvisionnement prennent en moyenne 294 jours avant d’être détectées et contenues, contre 269 jours pour les autres types d’incidents (source : IBM Security, 2023).

Ce que NIS 2 change concrètement pour les entités françaises

Avant NIS 2, la gestion du risque fournisseur était une bonne pratique recommandée, mais rarement encadrée par une obligation légale précise. La directive NIS 2 transforme fondamentalement cette situation en France et dans toute l’Union européenne.

L’article 21 de NIS 2 liste dix mesures obligatoires de cybersécurité, dont la sécurité de la chaîne d’approvisionnement figure explicitement en point (d). Ce faisant, le législateur européen reconnaît que la résilience d’une organisation ne peut s’évaluer sans prendre en compte ses dépendances externes.

Pour les entités françaises, cela se traduit par :

  1. L’obligation d’identifier les fournisseurs critiques et d’évaluer leur niveau de sécurité
  2. L’intégration de clauses de cybersécurité dans les contrats fournisseurs
  3. La mise en place d’audits et évaluations périodiques de la chaîne d’approvisionnement
  4. La prise en compte des risques géopolitiques liés à la localisation des fournisseurs

L’ANSSI supervise la conformité des entités essentielles et importantes françaises et peut procéder à des audits. Le non-respect des obligations de gestion de la chaîne d’approvisionnement est explicitement sanctionnable.

NIS 2 et sécurité de la chaîne d’approvisionnement : quelles obligations exactement ?

L’article 21 de NIS 2 : le TPRM devient une obligation légale

L’article 21 de la directive NIS 2 constitue le cœur de l’obligation légale de TPRM en Europe. Il impose aux entités essentielles et importantes de prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d’information. Parmi les dix domaines couverts, la sécurité de la chaîne d’approvisionnement inclut des aspects relatifs aux fournisseurs et prestataires de services.

Le texte exige concrètement que les organisations évaluent et tiennent compte des vulnérabilités propres à chaque fournisseur direct ainsi que de la qualité globale des produits et pratiques de cybersécurité de leurs fournisseurs, notamment des procédures relatives au développement sécurisé de logiciels.

Cette formulation est importante : elle ne se limite pas à demander un questionnaire de sécurité. Elle impose une appréciation substantielle de la maturité cyber des fournisseurs, incluant leurs pratiques de développement, leurs processus de gestion des vulnérabilités (PSIRT), et leurs délais de correction des failles.

Le Règlement d’exécution (UE) 2024/2690, adopté en octobre 2024, précise les mesures techniques et organisationnelles minimales pour certaines catégories d’entités, notamment dans les secteurs des infrastructures numériques et des fournisseurs de services TIC. Il détaille les exigences de politique de sécurité de la chaîne d’approvisionnement, les critères de classification des fournisseurs, et les modalités d’évaluation périodique.

Entités essentielles vs entités importantes : des exigences différenciées

La directive NIS 2 distingue deux catégories d’entités, avec des niveaux d’exigence différents en matière de TPRM :

CritèreEntités essentiellesEntités importantes
Seuils de taille≥ 250 salariés ou CA > 50 M€ + bilan > 43 M€≥ 50 salariés ou CA et bilan > 10 M€
Supervision ANSSIActive et proactiveRéactive (post-incident)
Évaluation fournisseursSystématique et documentéeProportionnée aux risques
Fréquence des auditsRégulièreSur incident ou signalement
Sanctions max10 M€ ou 2% CA mondial7 M€ ou 1,4% CA mondial
Délai de notification24h / 72h / 1 mois24h / 72h / 1 mois
Risques géopolitiquesÉvaluation obligatoireRecommandée

Pour les sous-traitants d’entités essentielles ou importantes — notamment les fournisseurs industriels, les intégrateurs OT ou les prestataires de maintenance — NIS 2 crée des obligations indirectes mais réelles. Ces fournisseurs ne relèvent peut-être pas directement de NIS 2, mais leurs clients leur imposeront contractuellement des exigences de conformité. C’est précisément l’un des vecteurs de diffusion de NIS 2 dans toute la chaîne de valeur industrielle française.

Tableau comparatif : NIS 2, ISO 27001, ISA/IEC 62443 et RGPD sur le risque fournisseur

RéférentielExigences sur le risque fournisseurNatureSanction en cas de manquement
NIS 2 (art. 21)Évaluation sécurité fournisseurs, clauses contractuelles, audit supply chain, risques géopolitiquesObligatoire (directive EU)7 à 10 M€ ou 1,4-2% CA
ISO/IEC 27001Annexe A.5.19 à A.5.22 : politique fournisseurs, accords de sécurité, surveillance, gestion des changementsVolontaire (norme)Perte de certification
ISA/IEC 62443IEC 62443-2-4 : exigences pour les intégrateurs de systèmes et prestataires OTVolontaire (norme)Non applicable directement
RGPD (art. 28)Sous-traitants traitant des données personnelles : contrat DPA, garanties techniques et organisationnellesObligatoire (règlement EU)Jusqu’à 4% du CA mondial
Cyber Resilience ActSBOM, gestion des composants tiers dans les produits numériques, transparence supply chainObligatoire dès 202715 M€ ou 2,5% CA mondial

Ce tableau illustre une réalité importante : le risque fournisseur est désormais encadré par plusieurs couches réglementaires simultanées. Pour un industriel français, il peut être soumis simultanément à NIS 2, au RGPD et au CRA, chacun avec ses propres exigences et sanctions.

Comment cartographier et évaluer ses fournisseurs ?

La classification des tiers selon leur niveau de criticité

Tout programme TPRM efficace commence par une cartographie exhaustive des fournisseurs et une classification par niveau de criticité. L’erreur classique est de traiter tous les fournisseurs de la même manière, ce qui conduit soit à une surcharge de travail inutile, soit à une sous-évaluation des risques réels.

La classification s’appuie sur plusieurs critères combinés :

Niveau d’accès : le fournisseur dispose-t-il d’un accès physique aux systèmes de production ? D’un accès logique aux réseaux IT ou OT ? D’un accès aux données sensibles ? Traite-t-il des données à caractère personnel ?

Criticité du service : l’interruption du service fourni aurait-elle un impact significatif sur la continuité opérationnelle ? Le fournisseur est-il substituable rapidement en cas de défaillance ?

Étendue des droits : le fournisseur a-t-il des droits administrateurs sur des systèmes critiques ? Peut-il déployer du code ou des mises à jour en production ?

Exposition géopolitique : le fournisseur est-il établi dans un pays présentant des risques spécifiques (réglementations imposant l’accès aux données par les autorités locales, instabilité politique, concentration de risques) ?

Sur cette base, une classification en trois niveaux est généralement adoptée :

  • Niveau 1 — Critique : fournisseur avec accès aux systèmes essentiels ou aux données les plus sensibles. Évaluation approfondie obligatoire, audits réguliers.
  • Niveau 2 — Important : fournisseur périphérique mais avec un risque significatif. Questionnaire détaillé, revue annuelle.
  • Niveau 3 — Standard : fournisseur sans accès aux systèmes critiques. Questionnaire simplifié, revue sur incident.

Les méthodes d’évaluation : questionnaires, audits et scoring

Une fois les fournisseurs classifiés, les méthodes d’évaluation sont adaptées à leur niveau de criticité. Trois approches se complètent.

Les questionnaires de sécurité constituent la méthode la plus répandue. Ils couvrent les domaines de gouvernance, gestion des risques, sécurité des systèmes, gestion des incidents, continuité d’activité et conformité réglementaire. Des référentiels standardisés existent comme le CAIQ (Consensus Assessments Initiative Questionnaire) de la Cloud Security Alliance ou le SIG (Standardized Information Gathering Questionnaire) de l’organisation Shared Assessments. Leur avantage est la scalabilité ; leur limite est qu’ils reposent sur la déclaration du fournisseur sans vérification indépendante.

Les audits de sécurité permettent une vérification terrain. Ils peuvent prendre plusieurs formes : revue documentaire des politiques et procédures, entretiens avec les équipes sécurité du fournisseur, visite sur site, ou audit de code. Ces audits sont réservés aux fournisseurs de niveau 1 en raison de leur coût et de leur durée. La directive NIS 2 prévoit explicitement le droit d’audit comme clause contractuelle obligatoire pour les fournisseurs des entités essentielles.

Le scoring de sécurité externe (Security Rating Services) complète les deux approches précédentes. Des plateformes comme BitSight, SecurityScorecard ou Tenacy permettent d’évaluer en continu la posture de sécurité externe d’un fournisseur, à partir de données observables publiquement : réputation des adresses IP, présence dans des listes noires, pratiques de configuration TLS, exposition de ports, fuites de données identifiées. Ces outils permettent une surveillance continue sans nécessiter l’accord ou la participation du fournisseur.

Les outils et plateformes de TPRM

Le marché des plateformes TPRM s’est considérablement structuré, proposant des solutions intégrées couvrant l’ensemble du cycle de vie de la relation fournisseur.

Les fonctionnalités clés d’une plateforme TPRM mature incluent : un registre centralisé des tiers avec leur classification et leur statut de conformité, un moteur de questionnaires automatisant l’envoi, le relance et la consolidation des réponses, des workflows d’approbation et d’escalade, la connexion aux scoring externes, un tableau de bord de risque agrégé permettant à la direction de visualiser l’exposition globale, et des alertes automatiques en cas de dégradation du score d’un fournisseur.

Pour les organisations industrielles françaises, le choix de la plateforme doit également tenir compte de la souveraineté des données (hébergement en France ou en Europe), des capacités de gestion des fournisseurs OT (intégrateurs, maintenanciers, fabricants d’équipements), et de l’intégration avec les outils de gestion des accès distants industriels.

Quelles clauses contractuelles intégrer pour sécuriser la relation fournisseur ?

Les exigences contractuelles imposées par NIS 2

La directive NIS 2 impose que les entités essentielles et importantes intègrent des clauses de cybersécurité dans leurs contrats fournisseurs. Ce n’est plus une recommandation : c’est une obligation légale dont le respect conditionne la conformité de l’entité elle-même.

Selon l’ENISA, les contrats conclus avec des fournisseurs d’accès aux systèmes d’information critiques doivent notamment couvrir :

  • Les exigences minimales de sécurité que le fournisseur doit respecter (politiques, mesures techniques, formations)
  • L’obligation de notification des incidents de sécurité dans un délai contractuel (idéalement aligné avec les 24h imposées à l’entité par NIS 2)
  • Le droit d’audit permettant à l’organisation de vérifier le respect des obligations
  • Les exigences de continuité et les engagements de niveau de service (SLA) en cas d’incident
  • Les conditions de réversibilité facilitant la transition vers un autre fournisseur
  • Les obligations de confidentialité renforcées sur les données et architectures sensibles

Les clauses de cybersécurité essentielles à intégrer

Au-delà des exigences minimales de NIS 2, une politique contractuelle TPRM robuste intègre les clauses suivantes, adaptées au niveau de criticité du fournisseur.

Clause de conformité réglementaire : le fournisseur déclare respecter les réglementations applicables (RGPD, NIS 2 s’il y est soumis, CRA pour les fabricants de produits numériques). Il s’engage à notifier toute évolution de sa situation réglementaire susceptible d’affecter la relation contractuelle.

Clause de gestion des incidents et de notification : le fournisseur s’engage à notifier tout incident de sécurité susceptible d’affecter les systèmes ou données de l’organisation dans un délai défini (généralement 24 à 72 heures). Cette clause doit préciser le canal de notification, le contenu minimal du rapport et les obligations de suivi.

Clause de sous-traitance en cascade : le fournisseur s’engage à imposer des obligations de sécurité équivalentes à ses propres sous-traitants (fournisseurs de rang N+1). Cette clause est particulièrement importante pour éviter que la chaîne de conformité ne s’arrête au premier niveau. La gestion des fournisseurs de rang N+1 et N+2 est l’un des angles morts les plus fréquents des programmes TPRM.

Clause de gestion des accès : le fournisseur n’accède aux systèmes de l’organisation qu’avec les droits strictement nécessaires à sa mission (principe du moindre privilège), via des moyens d’accès agréés (VPN dédié, jump server, solution PAM), avec traçabilité complète des sessions.

Clause de fin de contrat et de réversibilité : à l’expiration du contrat, le fournisseur restitue ou détruit toutes les données de l’organisation selon des modalités documentées, révoque tous les accès, et fournit une attestation de conformité.

TPRM dans les environnements industriels OT/IoT : des enjeux spécifiques

Pourquoi les environnements OT complexifient la gestion des tiers

Dans les environnements industriels, la gestion du risque fournisseur présente des caractéristiques radicalement différentes du monde IT. Les fournisseurs tiers ne sont pas seulement des éditeurs de logiciels ou des prestataires de cloud : ce sont des intégrateurs de systèmes de contrôle, des constructeurs d’automates, des maintenanciers d’équipements de production, des prestataires de services de supervision à distance.

Leurs accès touchent des systèmes dont la compromission peut avoir des conséquences physiques immédiates : arrêt d’une ligne de production, déclenchement intempestif d’un système de sécurité, modification de paramètres process mettant en danger des personnes. 70% des incidents affectant des systèmes OT ont débuté par une compromission introduite via les réseaux IT, souvent via un tiers ou un accès distant (source : Dragos, 2023).

Plusieurs facteurs aggravent le risque en environnement industriel :

L’hétérogénéité technologique : un site de production peut compter des dizaines de fournisseurs d’équipements différents (Siemens, Schneider Electric, Rockwell, ABB…), chacun avec ses propres protocoles, outils de maintenance à distance et cycles de mise à jour. La coordination d’un programme TPRM sur cet écosystème est structurellement complexe.

Les contraintes de disponibilité : les opérations de vérification ou d’audit ne peuvent perturber la production. Un scan de vulnérabilités actif sur un réseau OT peut provoquer des dysfonctionnements d’automates. Les évaluations doivent utiliser des techniques passives.

Les cycles de vie étendus : un fournisseur d’équipements industriels peut être lié par un contrat de maintenance de 10 à 20 ans. La relation contractuelle doit donc anticiper des évolutions réglementaires à long terme, ce qui n’est pas le cas des contrats IT standard.

L’absence de visibilité : de nombreux industriels français n’ont pas d’inventaire complet de leurs actifs OT. Ils ont encore moins de visibilité sur les accès distants actifs de leurs fournisseurs. Seulement 40% des organisations industrielles européennes disposaient d’un inventaire complet de leurs actifs OT en 2023 (source : ENISA, 2023).

Les vecteurs d’attaque propres aux accès distants industriels

Les accès distants fournisseurs sont le principal vecteur d’attaque OT documenté. Historiquement mis en place pour la télémaintenance et la supervision à distance, ces accès ont rarement été conçus avec la sécurité comme priorité.

65% des sites industriels évalués présentaient des conditions d’accès distant non sécurisées, incluant des identifiants par défaut, des VPN non patchés et des sessions RDP exposées. Par ailleurs, 20% des incidents ransomware OT impliquaient l’exploitation d’accès distants (source : Dragos, 2025). Les vecteurs les plus fréquents incluent :

  • Modems RTC/GSM : encore présents sur certains sites industriels anciens, sans authentification forte ni chiffrement
  • VPN génériques non durcis : souvent partagés entre plusieurs prestataires, sans ségrégation des accès
  • Outils grand public (TeamViewer, AnyDesk) : déployés à la demande par les maintenanciers, sans contrôle centralisé ni traçabilité
  • Accès permanents non révoqués : accès laissés actifs après la fin d’un contrat de maintenance, créant des portes d’entrée latentes
  • Comptes partagés : identifiant unique partagé entre plusieurs techniciens du même prestataire, rendant toute traçabilité impossible

La gestion de ces accès distants est l’un des chantiers prioritaires d’un programme TPRM industriel. Elle implique le déploiement d’une solution d’accès distant sécurisé (jump server, PAM — Privileged Access Management) permettant : authentification multifacteur obligatoire, création d’accès temporaires à durée limitée, enregistrement complet des sessions, ségrégation des accès par fournisseur et par zone OT, révocation automatique en fin de mission.

L’articulation TPRM avec ISA/IEC 62443 et ISO/IEC 27001

Les organisations industrielles disposent de deux référentiels normatifs majeurs qui structurent la gestion du risque fournisseur : l’ISA/IEC 62443 et l’ISO/IEC 27001.

L’ISA/IEC 62443-2-4 est le document de référence pour la gestion des fournisseurs en environnement OT. Il définit les exigences de sécurité que les exploitants industriels peuvent imposer contractuellement à leurs intégrateurs de systèmes et prestataires de services. Cette norme couvre : les exigences de configuration et de durcissement des équipements livrés, les pratiques d’accès distant sécurisé lors des interventions, la documentation des vulnérabilités connues des composants livrés, les processus de gestion des correctifs et de fin de support.

L’IEC 62443-4-1 s’adresse aux fabricants de composants et systèmes industriels. Elle impose un cycle de développement sécurisé (Secure Development Lifecycle — SDL) incluant une gestion formelle des composants tiers et des vulnérabilités introduites par la supply chain. Pour les exploitants industriels, cette norme devient un critère de sélection fournisseur : préférer les fabricants dont les produits sont développés selon IEC 62443-4-1.

L’ISO/IEC 27001 adresse le risque fournisseur à travers son Annexe A, mesures 5.19 à 5.22 :

  • 5.19 : Politique de sécurité de l’information pour les relations fournisseurs
  • 5.20 : Traitement de la sécurité dans les accords avec les fournisseurs
  • 5.21 : Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC
  • 5.22 : Surveillance, revue et gestion des changements de services des fournisseurs

La combinaison ISO 27001 + IEC 62443-2-4 offre la couverture la plus complète pour un industriel : le premier couvre la gouvernance globale de la relation fournisseur (IT et OT), le second apporte les exigences techniques spécifiques aux prestataires intervenant sur les systèmes de contrôle industriel.

Comment mettre en place un programme TPRM structuré et durable ?

Les 5 piliers d’un programme TPRM efficace

Un programme TPRM mature repose sur cinq piliers interdépendants. Leur déploiement séquentiel permet de structurer progressivement la capacité de gestion du risque fournisseur.

Pilier 1 — Inventaire et classification : disposer à tout moment d’un registre complet et à jour de l’ensemble des tiers, avec leur classification de criticité, leur statut de conformité et les accès qui leur sont conférés. Cet inventaire est la fondation de tout le programme ; sans lui, impossible de prioriser les évaluations ni de gérer les accès.

Pilier 2 — Évaluation initiale : avant tout nouvel engagement avec un fournisseur critique, conduire une due diligence de sécurité adaptée à son niveau de criticité. Cette évaluation doit être un prérequis contractuel et non une démarche a posteriori.

Pilier 3 — Contractualisation : intégrer dans chaque contrat les clauses de cybersécurité appropriées, en fonction du niveau de criticité du fournisseur. Ces clauses constituent le levier de droit permettant d’exiger des mesures correctives en cas de défaillance.

Pilier 4 — Surveillance continue : la sécurité d’un fournisseur est une variable dynamique qui évolue dans le temps. Un score excellent lors de la sélection peut se dégrader suite à une acquisition, un incident ou une évolution organisationnelle. La surveillance continue — via des outils de security rating, des revues annuelles et des alertes sur les incidents publics — permet de détecter ces dégradations.

Pilier 5 — Offboarding sécurisé : la fin d’une relation fournisseur est aussi critique que son début. Elle implique la révocation de tous les accès, la restitution ou destruction des données, et la vérification qu’aucun composant livré ne contient de portes dérobées.

Gouvernance et rôles : qui pilote le risque fournisseur ?

L’un des échecs les plus fréquents des programmes TPRM est l’absence de gouvernance claire. La gestion du risque fournisseur touche simultanément les directions achats, juridique, informatique, sécurité et opérationnelle. Sans pilotage centralisé, les évaluations sont fragmentées, les clauses contractuelles incohérentes et les accès mal gérés.

La gouvernance TPRM doit désigner :

  • Un pilote TPRM (souvent le RSSI ou un Risk Manager dédié) responsable de la politique, des méthodes et du reporting
  • Des correspondants achats intégrant les critères de sécurité dans les appels d’offres
  • Des correspondants juridiques rédigeant et vérifiant les clauses contractuelles
  • Des référents opérationnels validant les accès accordés aux fournisseurs de leur périmètre
  • Un Comité TPRM se réunissant au moins trimestriellement pour revoir les fournisseurs à risque et arbitrer les situations complexes

Pour les industriels, cette gouvernance doit impérativement inclure les équipes OT (production, maintenance, automatisme) qui sont souvent les premiers concernés par les accès fournisseurs mais rarement intégrés dans les démarches de cybersécurité.

Sous la directive NIS 2, la gouvernance TPRM remonte jusqu’aux organes de direction, qui doivent approuver la politique de sécurité de la chaîne d’approvisionnement et en superviser la mise en œuvre. En cas d’incident lié à un fournisseur mal évalué, la responsabilité personnelle des dirigeants peut être engagée.

Surveillance continue et gestion des incidents fournisseurs

La surveillance continue des fournisseurs est rendue nécessaire par deux réalités : la dynamique du risque (un fournisseur peut être compromis à tout moment) et les obligations NIS 2 (l’organisation doit être en mesure de détecter les incidents affectant ses fournisseurs et d’en évaluer l’impact potentiel sur ses propres systèmes).

La surveillance continue combine plusieurs niveaux :

  • Veille sur les incidents publics : monitoring des alertes CERT, des CVE affectant les produits utilisés, des annonces de violation de données impliquant des fournisseurs
  • Scoring externe automatisé : outils de security rating envoyant des alertes en cas de dégradation du score d’un fournisseur clé
  • Revues périodiques contractuelles : revue annuelle pour les fournisseurs de niveau 2, semestrielle pour les fournisseurs de niveau 1
  • Gestion des changements : procédure obligatoire de réévaluation en cas de changement significatif chez le fournisseur (acquisition, changement de dirigeant, incident public, évolution des accès accordés)

Lorsqu’un incident impliquant un fournisseur est détecté, la procédure de gestion d’incident TPRM doit s’activer rapidement : qualification de l’impact potentiel sur l’organisation, décision de maintien ou suspension des accès du fournisseur, activation du plan de continuité si le service est critique, notification à l’ANSSI si l’incident est significatif au sens de NIS 2, et communication auprès des parties prenantes internes.

Checklist opérationnelle

Chaque action présentée ci-dessous doit faire l’objet d’une analyse de risque préalable spécifique à votre contexte organisationnel, technique et opérationnel. Les mesures de sécurité doivent être proportionnées aux risques identifiés et adaptées aux contraintes de votre environnement industriel.

1. Constituer un inventaire exhaustif de tous vos fournisseurs tiers

Recensez l’ensemble des tiers ayant accès à vos systèmes, données ou infrastructures (IT et OT). Incluez les sous-traitants, prestataires, éditeurs, intégrateurs et maintenanciers. Pour les sites industriels, incluez les fournisseurs d’équipements ayant des accès distants de maintenance. Cet inventaire est la fondation du programme ; sans lui, aucun pilotage n’est possible.

2. Classifier vos fournisseurs par niveau de criticité

Appliquez une grille de criticité basée sur : type d’accès (logique/physique/données), criticité du service fourni, exposition géopolitique, substituabilité. Aboutissez à une classification en trois niveaux (critique, important, standard) déterminant l’intensité des évaluations à conduire.

3. Conduire des évaluations de sécurité proportionnées avant tout engagement

Pour chaque nouveau fournisseur critique (niveau 1), conduire une due diligence complète avant signature du contrat : questionnaire détaillé, revue documentaire, entretien avec les équipes sécurité. Intégrez cette évaluation comme prérequis dans le processus achats. Pour les fournisseurs OT, vérifiez leur conformité à l’IEC 62443-2-4.

4. Intégrer des clauses de cybersécurité dans tous les contrats fournisseurs

Adaptez les clauses au niveau de criticité : notification obligatoire des incidents dans les 24-72h, droit d’audit, obligation de sous-traitance sécurisée en cascade, conditions de réversibilité, gestion des accès et des accréditations. Vérifiez que vos contrats existants sont conformes aux exigences NIS 2 et actualisez-les si nécessaire.

5. Sécuriser et centraliser la gestion des accès distants fournisseurs (priorité OT)

Éliminez les accès directs non contrôlés (modems, VPN personnels, outils grand public). Déployez une solution PAM (Privileged Access Management) ou un jump server pour tous les accès distants aux systèmes critiques, IT et OT. Imposez l’authentification multifacteur, la traçabilité des sessions et la création d’accès temporaires à durée limitée.

6. Déployer une surveillance continue de la posture de sécurité des fournisseurs critiques

Abonnez-vous à un service de security rating pour vos fournisseurs de niveau 1. Configurez des alertes automatiques en cas de dégradation de score ou d’incident public. Intégrez cette surveillance dans votre veille CERT, notamment pour les CVE affectant les produits et équipements de vos fournisseurs OT.

7. Évaluer les risques géopolitiques liés à vos fournisseurs stratégiques

Pour chaque fournisseur critique, analysez : pays d’établissement et de traitement des données, législation locale applicable (lois pouvant imposer l’accès aux données par les autorités), risques de concentration géographique. Cette évaluation est une exigence explicite de NIS 2 pour les entités essentielles.

8. Documenter et tester votre plan de continuité en cas de défaillance fournisseur

Pour chaque fournisseur de niveau 1, définissez un plan de continuité : fournisseur de substitution identifié, procédures de bascule, délai de transition estimé. Testez ce plan au moins annuellement. Pour les fournisseurs OT, vérifiez la disponibilité de la documentation technique et des configurations permettant la reprise en main en cas de défaillance.

9. Mettre en place un processus formalisé d’offboarding sécurisé des fournisseurs

À la fin de toute relation contractuelle, déclenchez systématiquement : révocation de tous les accès dans les 24h, restitution ou destruction certifiée des données, récupération des équipements et accréditations physiques, audit de clôture de sécurité pour les fournisseurs critiques.

10. Déployer une gouvernance TPRM impliquant les directions opérationnelles

Nommez un pilote TPRM, constituez un Comité de risque fournisseur incluant les directions achats, juridique, DSI, RSSI et, pour les industriels, les directions de production et de maintenance. Produisez un reporting trimestriel sur l’exposition au risque fournisseur à destination de la direction générale. Sous NIS 2, cette gouvernance doit remonter jusqu’aux organes de direction.

FAQ

Quelle est la différence entre TPRM, VRM et TPCRM ?

Ces trois acronymes désignent des approches voisines mais avec des périmètres légèrement différents. Le VRM (Vendor Risk Management) est le terme historique le plus large : il englobe tous les risques liés aux fournisseurs, y compris les risques financiers, opérationnels, légaux et réputationnels, en plus du risque cyber.

Le TPRM (Third-Party Risk Management) est la terminologie dominante dans les référentiels de cybersécurité actuels (ISO 27001, NIST CSF, NIS 2) : il désigne la gestion structurée du risque lié à tous les tiers, avec un focus sur les dimensions cyber, conformité et continuité. Le TPCRM (Third-Party Cyber Risk Management) est une variante plus restrictive centrée exclusivement sur le risque cyber, moins utilisée dans les référentiels internationaux. Dans le contexte de la directive NIS 2, le terme TPRM est le plus approprié car il recouvre la notion de sécurité de la chaîne d’approvisionnement telle que définie par l’article 21.

NIS 2 impose-t-elle concrètement un programme TPRM formalisé ?

Oui, de manière indirecte mais explicite. L’article 21 de NIS 2 impose la sécurité de la chaîne d’approvisionnement comme l’une des dix mesures obligatoires. Cela inclut l’évaluation de la sécurité des fournisseurs directs, la qualité de leurs pratiques cyber, et l’intégration de clauses contractuelles. En pratique, il est impossible de respecter ces obligations sans un programme TPRM formalisé couvrant l’inventaire des fournisseurs, leur classification, les processus d’évaluation et la surveillance continue. L’ANSSI peut auditer ces pratiques dans le cadre de la supervision des entités essentielles françaises.

Un sous-traitant d’une entité NIS 2 est-il lui-même soumis à NIS 2 ?

Pas nécessairement directement — cela dépend de sa taille et de son secteur d’activité. Mais via l’obligation de sécurité de la chaîne d’approvisionnement, les entités NIS 2 doivent imposer contractuellement des exigences de sécurité à leurs fournisseurs. En pratique, les sous-traitants industriels fournissant des services critiques ou des équipements connectés aux entités essentielles doivent s’attendre à recevoir des questionnaires de sécurité détaillés, des exigences contractuelles renforcées, et potentiellement des demandes d’audit de la part de leurs clients grands comptes. Par ailleurs, certains fournisseurs de services numériques (cloud, DNS) sont directement dans le périmètre de NIS 2.

Comment gérer les accès distants des prestataires industriels aux systèmes OT ?

C’est l’un des enjeux les plus critiques du TPRM industriel. La bonne pratique recommandée par l’ISA/IEC 62443 repose sur plusieurs principes :

(1) aucun accès permanent — tous les accès distants OT doivent être temporaires, créés pour une intervention spécifique et révoqués automatiquement à son issue ; (2) authentification multifacteur obligatoire pour tous les accès distants aux systèmes de contrôle ; (3) traçabilité complète — enregistrement des sessions, journalisation de toutes les actions, conservation des logs au moins 12 mois ; (4) ségrégation par zone OT — un maintenancier d’automates de la zone 2 ne doit pas avoir accès à la zone de supervision ; (5) supervision en temps réel — possibilité d’observer et d’interrompre à tout moment une session distante. La solution technique recommandée est une combinaison PAM + jump server dédiés à l’OT, distincts de la solution IT.

Quelles sont les sanctions pour non-conformité aux obligations TPRM de NIS 2 ?

Les sanctions pour manquement aux obligations de NIS 2, dont la sécurité de la chaîne d’approvisionnement, sont définies à l’article 34 de la directive. Pour les entités essentielles : amendes administratives pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes : jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial. Au-delà des amendes, les dirigeants peuvent être personnellement sanctionnés en cas de manquement à leurs obligations de supervision. En France, l’ANSSI est l’autorité compétente.

Comment traiter le risque des fournisseurs de rang N+1 et N+2 ?

C’est l’angle mort le plus fréquent des programmes TPRM. La clause de sous-traitance en cascade dans les contrats fournisseurs impose à vos prestataires directs d’appliquer des exigences de sécurité équivalentes à leurs propres sous-traitants. Mais cela ne suffit pas : vous devez également exiger de vos fournisseurs critiques qu’ils vous notifient tout recours à un sous-traitant ayant accès à vos systèmes ou données, et vous réserver le droit d’approuver ou refuser ces sous-traitants. Pour les fournisseurs OT, demandez une liste des composants logiciels (SBOM — Software Bill of Materials) afin d’identifier les dépendances tierces incorporées dans les équipements livrés. La norme IEC 62443-4-2 exige des fabricants qu’ils documentent leurs composants tiers et les vulnérabilités connues les affectant.

La certification ISO 27001 d’un fournisseur suffit-elle à valider sa sécurité ?

La certification ISO 27001 d’un fournisseur est un signal positif fort : elle atteste qu’une organisation tierce a vérifié l’existence d’un système de management de la sécurité de l’information structuré. Elle simplifie considérablement la phase d’évaluation et peut permettre d’alléger le questionnaire de sécurité. Mais elle ne suffit pas à elle seule pour plusieurs raisons. Le périmètre de la certification peut ne pas couvrir les activités concernant votre organisation. ISO 27001 ne couvre pas les spécificités OT : pour les fournisseurs industriels, la conformité à l’IEC 62443-2-4 est complémentaire et souvent plus pertinente. Enfin, la certification témoigne d’une situation à un instant T : la surveillance continue reste nécessaire.

Conclusion

La gestion du risque fournisseur (TPRM) est passée en quelques années de la bonne pratique recommandée à l’obligation légale structurante. La directive NIS 2, avec son article 21 imposant la sécurité de la chaîne d’approvisionnement, a transformé le TPRM en prérequis de conformité pour des milliers d’entités françaises dans les secteurs critiques.

Pour les industriels français et leurs fournisseurs, l’enjeu dépasse la conformité réglementaire. Un programme TPRM structuré — appuyé sur les référentiels ISO/IEC 27001 et ISA/IEC 62443-2-4, et aligné sur les exigences de NIS 2 — est avant tout une démarche de maîtrise du risque opérationnel. Dans des environnements où une compromission via un prestataire peut paralyser une ligne de production ou mettre en danger la sécurité des personnes, le TPRM est un levier de résilience industrielle.

La mise en place d’un programme TPRM efficace suppose une démarche progressive : inventaire des fournisseurs, classification par criticité, évaluation proportionnée, contractualisation renforcée, surveillance continue. Elle suppose également une gouvernance transversale associant les directions achats, juridique, informatique, sécurité et production.

L’enjeu des prochaines années sera la montée en maturité collective de la chaîne de valeur industrielle française. Les entités essentielles NIS 2 ont la responsabilité d’élever le niveau de sécurité de leurs fournisseurs, en les accompagnant dans leur conformité plutôt qu’en se contentant d’exigences contractuelles sans appui. C’est à cette condition que la résilience numérique européenne deviendra une réalité tangible.

Pour aller plus loin

Directive (UE) 2022/2555 – NIS 2 – Texte officiel EUR-Lex

ENISA – Threat Landscape for Supply Chain Attacks

ANSSI – La directive NIS 2

NIST SP 800-161 – Cybersecurity Supply Chain Risk Management

ISA/IEC 62443-2-4 – Exigences pour les prestataires de services IACS

ISO/IEC 27001 – Annexe A, mesures 5.19 à 5.22 sur les fournisseurs

Règlement d’exécution (UE) 2024/2690 – Mesures techniques NIS 2

Consentement à l'utilisation de Cookies selon le RGPD avec Real Cookie Banner