Ce que vos clients sous obligation vont exiger de vous, et comment rester éligible à leurs appels d'offres.

Le lecteur de cet article n'est probablement pas assujetti à NIS2

La plupart des analyses NIS2 disponibles en ligne s'adressent aux dirigeants d'Entités Essentielles (énergie, santé publique, transport, banques d'importance systémique) ou d'Entités Importantes (fabrication pharmaceutique, services postaux, opérateurs numériques d'une certaine taille). Cet article fait un choix différent : il s'adresse aux DSI et dirigeants de PME et ETI qui sont fournisseurs, sous-traitants ou prestataires de ces entités régulées.

En pratique, c'est la population la plus nombreuse. Une entité régulée a mécaniquement plusieurs dizaines, parfois plusieurs centaines, de fournisseurs. Chacun de ces fournisseurs va se voir demander, avec des demandes qui se généralisent depuis 2025, de prouver sa posture de sécurité. Non pas parce que NIS2 s'applique à eux directement. Mais parce que l'article 21.2.d de la directive impose à l'entité régulée de maîtriser la sécurité de sa chaîne d'approvisionnement.

Cette nuance change tout. Votre problème n'est pas d'échapper à une sanction de l'ANSSI. Votre problème est de ne pas perdre de contrats. Et de répondre, dans des délais commerciaux compressés, à des questionnaires sécurité de plus en plus précis.

L'effet cascade expliqué en trois paragraphes

La directive UE 2022/2555 (NIS2) consacre son article 21 aux mesures de gestion des risques de cybersécurité que doivent mettre en place les entités régulées. Le point 21.2.d vise explicitement la sécurité de la chaîne d'approvisionnement, y compris les aspects liés aux relations entre chaque entité et ses fournisseurs ou prestataires directs. Traduit en langage opérationnel : une entité régulée doit cartographier ses fournisseurs critiques, évaluer leur niveau de sécurité, contractualiser des exigences, et pouvoir vérifier leur respect.

Ce n'est pas une recommandation de bonne pratique. C'est une obligation légale dont l'entité régulée est comptable devant l'ANSSI en France (ou son équivalent dans les autres États membres). Si un incident majeur survient chez un fournisseur et affecte l'entité régulée, cette dernière devra démontrer qu'elle avait évalué et encadré ce fournisseur en amont. À défaut, la responsabilité de ses dirigeants, désormais personnelle sous NIS2, peut être engagée.

Conséquence logique côté fournisseur : l'entité régulée va faire descendre ses obligations dans ses contrats. C'est l'effet cascade. Il existait déjà avec le RGPD (contrats de sous-traitance article 28), avec PCI-DSS (merchants / service providers), avec l'ISO 27001 (annexe A chapitre 5.19-5.23). NIS2 l'amplifie de façon significative, en élargissant le périmètre à tout secteur économique touché par les entités régulées.

Suis-je un fournisseur « critique » aux yeux de mon client ?

Tous les fournisseurs ne seront pas traités de la même façon. Une entité régulée n'a ni le temps ni les moyens d'auditer chaque prestataire de services bureautiques ou chaque fournisseur de café. Elle va segmenter. Les critères de segmentation varient d'une organisation à l'autre, mais quatre apparaissent systématiquement dans les méthodologies publiées (ENISA, guides sectoriels).

Accès au SI ou aux données

Tout accès administrateur, tout flux entrant dans le SI, toute manipulation de données sensibles (personnelles, stratégiques, médicales, OT) fait basculer le fournisseur en « critique » presque automatiquement.

Criticité opérationnelle

Si votre indisponibilité de 24 h, 72 h ou 1 semaine dégrade le service de l'entité régulée, vous êtes sur son chemin critique. La téléphonie, la vidéoprotection, la maintenance industrielle, l'impression managée y tombent souvent.

Substituabilité

Plus votre remplacement est long ou coûteux (intégration profonde, technologie propriétaire, données captives), plus vous êtes traité comme critique. Un progiciel métier imbriqué dans les processus clients, c'est 12 à 18 mois de sortie. Un éditeur SaaS avec données captives, parfois plus.

Secteur et régulation

Données de santé (HDS), données financières (DORA), données de défense, infrastructure critique OT : ces secteurs appliquent des exigences supplémentaires à leurs fournisseurs, qui s'additionnent à NIS2.

Concrètement, vous serez presque systématiquement classé « fournisseur critique » par vos clients régulés si vous entrez dans l'un des profils suivants :

éditeur SaaS hébergeant des données métier de vos clients ;
cabinet d'expertise technique (bureau d'études, ingénierie, audit, conseil) ;
sous-traitant industriel avec accès à l'OT ou à des procédés sensibles ;
transporteur ou opérateur logistique sur flux critiques ;
prestataire spécialisé (laboratoire, radiologie, pharmacie, génie biomédical) ;
intégrateur manipulant données et configurations du SI client.

À l'inverse, un fournisseur de matériel générique, un bailleur immobilier, un prestataire de nettoyage passent en classification standard.

Les 8 formes concrètes que prend la demande client

Dans les DSI des entités régulées, la mise en conformité supply chain se traduit par un arsenal contractuel et opérationnel. Voici les huit formes que vous verrez arriver dans vos boîtes mail commerciales depuis 2025.

#	Forme de la demande	Ce qui est attendu	Effort type
1	Questionnaire sécurité standardisé	SIG Lite, VSA, ou référentiel interne du client : 50 à 200 questions sur la gouvernance, l'identité, la continuité, la réponse incident.	2-5 j.h
2	Clause de sécurité au contrat	Annexe sécurité dans le nouveau contrat ou au renouvellement : engagements sur MFA, chiffrement, notification, tests PCA, audit.	1-3 j.h négo
3	Exigence de certification externe	ISO 27001, TISAX (automobile), HDS (santé), SecNumCloud (secteur public), SOC 2 Type II (SaaS international).	12-18 mois
4	Droit d'audit sur site	Audit annuel ou déclenché sur incident : revue de configuration, entretien des équipes, vérification des preuves documentaires.	2-3 j.h/audit
5	SLA notification incident	Engagement contractuel à notifier le client en 4 h, 24 h ou 72 h de tout incident le touchant. Alignement sur ses propres obligations ANSSI.	Astreinte 24/7
6	MFA obligatoire sur accès	MFA fort sur tout compte accédant au SI client : VPN, SaaS administré, bastion. Exclut SMS et questions secrètes.	Projet 1-3 mois
7	Preuve de tests PCA/PRA	Fréquence (annuelle minimum), périmètre, PV signé, actions correctives. Plus un test réel qu'un document théorique.	2-5 j.h/an
8	Attestation assurance cyber	Police RC pro couvrant le cyber avec plafond suffisant (souvent 1 à 5 M€), extension responsabilité pour défaut de sécurité.	3-8 k€/an

Le point à anticiper : ces huit formes ne sont pas alternatives. Elles se cumulent. Un grand compte régulé peut exiger simultanément une certification ISO 27001 (forme 3), un questionnaire annuel (forme 1), une clause contractuelle détaillée (forme 2), un SLA notification 24 h (forme 5), et une attestation d'assurance (forme 8). Multipliez par le nombre de grands comptes dans votre portefeuille, et vous obtenez votre backlog conformité 2026.

Arbre de décision : quelle posture adopter ?

Tous les fournisseurs ne doivent pas investir dans une certification externe. Tous ne doivent pas non plus se contenter d'une attestation Word mal ficelée. L'arbitrage se fait sur six questions successives.

Combien de mes clients actuels sont Entités Essentielles ou Importantes ?

Si <20 % du CA → posture défensive minimaliste. Entre 20 et 50 % → socle documentaire robuste. >50 % → trajectoire certification à initier.

Mon intervention est-elle sur le chemin critique du client ?

Administration SI, hébergement, données sensibles, OT industriel → oui. Dans ce cas, vous serez classé critique même avec peu de clients régulés.

Quel niveau de preuve mes clients commencent-ils à exiger ?

Si les questionnaires acceptent encore une attestation maison étayée, un socle documentaire structuré et maintenu suffit. Si un ou plusieurs clients majeurs réclament déjà ISO 27001 ou un référentiel sectoriel équivalent, amorcer un chantier documentaire aligné sur l'Annexe A avec cible de certification à 12-18 mois.

Puis-je répondre aux 80 % de questions génériques avec l'existant ?

Lister les 12 preuves documentaires (section suivante). Si 8 ou plus sont déjà en place → effort d'écriture modéré. Si moins de 5 → chantier structurel.

Ai-je les moyens humains et financiers d'une certification externe ?

ISO 27001 : 20 à 40 k€ la première année, 10 à 15 k€/an en maintenance, 1 ETP dédié à la démarche pendant 12-18 mois. À ne lancer qu'avec ROI commercial démontré.

Quel est mon plan si un client majeur durcit ses exigences au-delà de mes capacités ?

Négociation de clauses, refus motivé, sortie volontaire du contrat, ou investissement structurant. Anticiper le scénario plutôt que le subir en milieu de RFP.

Le socle minimum viable, 12 preuves documentaires

La majorité des questionnaires sécurité, quelle que soit leur forme, gravitent autour des mêmes douze familles de preuves. Les grands comptes régulés piochent dans ces catégories avec des formulations différentes, mais le fond est remarquablement stable. Avoir ces douze documents tenus à jour permet de répondre efficacement à la plupart des sollicitations, sans improvisation.

Politique de sécurité du SI (PSSI)

Document cadre, 10-20 pages, validé direction. Principes, responsabilités, exigences de base. Revue annuelle tracée.

Registre des incidents

Journal sur 12 à 24 mois glissants. Date, typologie, impact, actions, leçons. Preuve que vous voyez et traitez.

Cartographie du SI et des actifs

Inventaire serveurs, postes, applications, flux, données. Classification par criticité. Pas d'Excel oublié depuis 3 ans.

Politique et preuve MFA

MFA fort (TOTP, FIDO2, certificat) obligatoire sur comptes privilégiés, VPN, SaaS d'administration. Rapport d'activation exportable.

Stratégie de sauvegarde 3-2-1-0

Schéma, fréquences, rétentions, immuabilité, air gap. PV de tests de restauration documentés, pas seulement théoriques.

PCA et PRA

Plan de continuité et plan de reprise. RTO/RPO définis par service. Procédures dégradées. Au moins un exercice par an.

Analyse de risques formalisée

EBIOS Risk Manager, ISO 27005 ou méthode interne tracée. Liste des risques, probabilité, impact, mesures, propriétaires.

Programme de sensibilisation

Formation à l'embauche + rafraîchissement annuel. Campagnes phishing simulées. Taux de participation et de complétion documentés.

Politique de gestion des accès

Processus onboarding/offboarding formalisé. Revue annuelle des droits. Comptes à privilèges tracés séparément.

Processus de gestion des changements

Change management écrit. Évaluation d'impact sécurité pour les changements majeurs. Journalisation des déploiements.

Cartographie de vos sous-traitants

L'effet cascade ne s'arrête pas à vous. Listez vos propres prestataires critiques avec leur niveau de maîtrise sécurité.

Plan de réponse à incident

Rôles, arbre d'escalade, contacts 24/7, procédures de notification client, kit communication de crise. Testé au moins une fois.

Un point souvent sous-estimé : ces documents ne doivent pas être parfaits au premier jour. Ils doivent être cohérents entre eux, datés, signés, et vivants. Un auditeur ou un RSSI expérimenté repère en quelques minutes les politiques copiées-collées d'un modèle générique et jamais adaptées. Mieux vaut dix pages honnêtes sur votre réalité que quarante pages de langue de bois standardisée.

ISO 27001 vs attestation maison : l'arbitrage économique

Dans les 12 à 24 mois qui viennent, la pression à la certification externe va augmenter mécaniquement. La tentation du « prenons l'ISO 27001 » est compréhensible, mais l'arbitrage doit être économique avant d'être émotionnel.

Option	Coût initial	Récurrent	Délai	Acceptation client
Attestation maison + socle 12 preuves	2-5 k€	0,5-1 k€/an	2-4 mois	Acceptée par 60-75 % des clients. Refusée par grands comptes stricts.
ISO 27001 Annexe A complète	20-40 k€	10-15 k€/an	12-18 mois	Référence universelle. Accepté partout. Ouvre les RFP EE/EI.
HDS (santé)	15-30 k€	8-12 k€/an	9-15 mois	Obligatoire pour hébergement données de santé. Pas substituable.
TISAX (automobile)	10-25 k€	5-10 k€/an	6-12 mois	Obligatoire VDA pour supply chain OEM et équipementiers.
SecNumCloud	80-200 k€	30-60 k€/an	18-24 mois	Niveau exigence maximal. Pertinent secteur public et OIV uniquement.
SOC 2 Type II	25-50 k€	15-25 k€/an	12-18 mois	Standard US. Pertinent pour SaaS avec clientèle internationale.

La règle empirique observée dans les retours terrain : tant que moins de 30 % du chiffre d'affaires provient d'EE/EI, un socle documentaire bien tenu, complété par une attestation interne, couvre la majorité des demandes. Entre 30 et 60 %, une certification devient rentable au premier contrat gagné grâce à elle. Au-delà, elle devient une condition d'existence sur le marché cible.

Attention toutefois à ne pas confondre certification et maîtrise. Une PME peut parfaitement obtenir son ISO 27001 sur un périmètre restreint (un seul service, une seule entité juridique) et l'afficher dans sa communication commerciale en laissant croire qu'elle couvre l'ensemble de l'organisation. Les RSSI clients expérimentés lisent la déclaration d'applicabilité (SoA) et le périmètre. Si votre certification ne couvre pas le service qui les intéresse, elle ne leur sert à rien.

Les clauses sécurité dans les contrats : ce que la DSI doit identifier

Les clauses sécurité qui arrivent dans les contrats en 2025-2026 sont souvent rédigées par des juristes prudents, parfois aidés de modèles de grands cabinets. Elles tendent à être maximalistes, non parce que le client est hostile, mais parce qu'il se couvre. Cet article ne prétend pas apporter de conseil juridique : les plafonds, responsabilités, délais de préavis et formulations contractuelles relèvent d'un avocat spécialisé en informatique et données, qui doit être associé systématiquement à l'analyse. En revanche, la DSI a un rôle propre : identifier, en amont de l'examen juridique, les engagements qui supposent une capacité opérationnelle IT que l'organisation ne possède peut-être pas aujourd'hui. Cinq points de vigilance typiques.

Audits clients : quelle capacité d'accueil interne ?

Un audit mobilise 2 à 5 jours cumulés de direction et d'équipe technique. Question IT à remonter avant signature : combien d'audits annuels l'organisation peut-elle absorber sans dégrader les opérations ? Quelles périodes métier critiques exclure ? Le cadrage contractuel (fréquence, préavis, heures, frais, périmètre) relève ensuite du conseil juridique.

Définition de l'incident : sur quel périmètre je m'engage ?

Un SLA notification dépend entièrement de la définition contractuelle d'un « incident ». Question IT : la détection repose-t-elle sur vos moyens, ceux du client, ou est-elle partagée ? Un MDR, un SIEM ou une supervision renforcée sont-ils nécessaires pour tenir les seuils ? Les seuils eux-mêmes sont à cadrer juridiquement.

Notification sous 4 h, 24 h ou 72 h : suis-je réellement en capacité ?

Notifier en quelques heures suppose une astreinte dimensionnée, un processus formalisé et testé, une traçabilité horodatée, et parfois une astreinte juridique ou communication. Question IT : l'organisation actuelle tient-elle ces délais ? Quel est le coût et le délai d'une mise à niveau ? Le délai contractuel sera discuté par l'avocat à la lumière de cette capacité réelle.

Flow-down vers mes propres sous-traitants : techniquement faisable ?

Si le client impose la répercussion des clauses vers vos prestataires (éditeurs SaaS, hébergeur, opérateur télécom, sauvegarde externalisée), question IT : ces partenaires acceptent-ils de s'engager sur les mêmes niveaux ? Certains y opposent leurs CGU standards non négociables. À cartographier avant l'engagement, pour éviter de promettre ce qu'on ne peut pas garantir.

Cohérence avec la police d'assurance cyber

Les engagements de sécurité et de notification doivent être portés à la connaissance de l'assureur cyber. Question IT et gestion des risques : les mesures effectivement déployées correspondent-elles à ce que l'assurance et le contrat supposent ? Le travail d'arbitrage entre clause contractuelle, couverture d'assurance et capacité technique est à mener conjointement avec l'avocat et l'assureur.

Précision importante. Cet article aborde les clauses sécurité sous l'angle de la capacité opérationnelle IT. Le cadrage contractuel (plafonds, responsabilités, délais, formulations juridiques) relève du conseil juridique. Nous recommandons de faire relire systématiquement les clauses sécurité par un avocat spécialisé en informatique et données, en coordination avec votre assureur cyber. Le rôle de la DSI se limite à identifier, en amont, les exigences techniques sous-jacentes et les capacités qu'elles supposent.

Un exemple anonymisé issu de retours terrain, 2025. Une PME de 40 salariés, éditeur SaaS métier dans le secteur de la santé, reçoit dans la même semaine trois contrats de renouvellement avec trois grands comptes hospitaliers. Clauses communes : notification rapide d'incident, audits clients annuels, certification HDS exigée sous 18 mois. L'entreprise signe les trois contrats sans associer ni avocat ni DSI à la lecture. Six mois plus tard, incident de sécurité sans conséquence réelle : 11 heures pour notifier (équipe réduite le week-end), demande inopinée d'audit d'un client en 72 h, mobilisation d'urgence pour préparer la documentation. La leçon n'est pas « il fallait mieux négocier », c'est « il fallait associer le bon périmètre d'expertise (DSI + juridique + assurance) avant signature ».

Les 7 questions à se poser avant un renouvellement de contrat

La période de renouvellement est celle où les nouvelles clauses arrivent. C'est aussi celle où le rapport de force est le moins favorable si vous n'avez pas préparé la discussion.

Ce client est-il EE, EI, ou hors périmètre NIS2 ? Vérifier sa classification réelle, pas son auto-déclaration dans le questionnaire. L'ANSSI publie des listes sectorielles de référence.
Le périmètre de mon intervention a-t-il évolué depuis le contrat initial ? Un glissement de périmètre technique (nouveau SaaS administré, accès élargis, données plus sensibles) peut me faire basculer en fournisseur critique sans que ce soit formalisé.
Les nouvelles clauses sont-elles cohérentes avec ma posture actuelle ? Comparer article par article aux 12 preuves documentaires. Identifier les écarts réels avant de négocier.
Quel est le coût de la conformité exigée vs la valeur annuelle du contrat ? Un contrat à 40 k€ qui exige 25 k€ d'efforts de conformité la première année n'est plus rentable à court terme.
Puis-je répondre avec une attestation ou faut-il viser une certification externe ? Position défensive tant que le client accepte l'attestation, basculement vers certification si elle devient une barrière concurrentielle.
Ai-je les moyens d'absorber un audit client ? Un audit exigeant mobilise 2-3 j.h direction + équipe technique. Combien d'audits annuels mon organisation peut-elle soutenir sans dégrader les opérations ?
Quel est mon plan B si je refuse les clauses ? Renégociation frontale, proposition alternative, plan de sortie progressif, ou acceptation stratégique avec investissement de mise à niveau. Jamais arriver en négociation sans ce plan B formalisé.

À retenir pour la prochaine revue de service

Pour un fournisseur non assujetti à NIS2, la conformité n'est pas une fin en soi. C'est un positionnement concurrentiel. Les fournisseurs qui documentent mieux leur posture gagneront les appels d'offres des EE et EI. Ceux qui n'investissent pas dans leurs preuves seront progressivement remplacés par des concurrents plus lisibles.

Ce n'est pas une urgence ANSSI avec sanction à la clé. C'est une urgence commerciale qui s'installe sur 24 à 36 mois. Les organisations qui l'abordent comme un chantier de structuration, socle documentaire, contractualisation propre, trajectoire certifiante calibrée, prennent une longueur d'avance. Celles qui attendent d'être mises en demeure par un grand compte subiront le calendrier de ce grand compte, pas le leur.

NIS2 par ricochet