La s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement est l’un des domaines les plus scrut\u00e9s sous la directive NIS2. Les auditeurs et les autorit\u00e9s de supervision ne cherchent pas des d\u00e9clarations de risques th\u00e9oriques \u2014 ils attendent des preuves concr\u00e8tes, g\u00e9n\u00e9r\u00e9es par les syst\u00e8mes, montrant comment les risques de cybers\u00e9curit\u00e9 li\u00e9s aux fournisseurs sont identifi\u00e9s, contr\u00f4l\u00e9s, surveill\u00e9s et trait\u00e9s.<\/p>\n\n\n\n
Cet article fournit un pack de preuves pratique pour la cha\u00eene d’approvisionnement NIS2, d\u00e9crivant ce que les auditeurs demandent g\u00e9n\u00e9ralement et ce que les organisations doivent \u00eatre en mesure de d\u00e9montrer en pratique, particuli\u00e8rement dans les environnements reposant sur des pipelines CI\/CD et des services tiers.<\/p>\n\n\n\n
Il couvre \u00e0 la fois les attentes transversales et les consid\u00e9rations sp\u00e9cifiques au secteur pour les institutions financi\u00e8res<\/strong> et les entit\u00e9s du secteur public<\/strong>.<\/p>\n\n\n\n L’objectif de ce pack de preuves est de :<\/p>\n\n\n\n Ce pack se concentre sur les preuves<\/strong>, pas sur les outils ou les politiques isol\u00e9ment.<\/p>\n\n\n\n Sous NIS2, la cha\u00eene d’approvisionnement inclut g\u00e9n\u00e9ralement :<\/p>\n\n\n\n Les auditeurs attendent que ce p\u00e9rim\u00e8tre soit explicitement document\u00e9 et align\u00e9 sur les cadres de gestion des risques ICT.<\/p>\n\n\n\n Les institutions financi\u00e8res<\/strong> doivent \u00e9galement prendre en compte : les d\u00e9pendances inter-institutionnelles, le risque de concentration entre fournisseurs partag\u00e9s, et l’alignement avec les attentes r\u00e9glementaires du secteur financier (ex : chevauchement avec DORA).<\/p>\n\n\n\n Les entit\u00e9s du secteur public<\/strong> doivent \u00e9galement prendre en compte : les prestataires inter-agences ou partag\u00e9s, les cadres nationaux de march\u00e9s publics, et les exigences de souverainet\u00e9 des donn\u00e9es.<\/p>\n\n\n\n Comment identifiez-vous les fournisseurs et \u00e9valuez-vous les risques de cybers\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement ?<\/p>\n\n\n\n Finance :<\/strong> L’absence de classification de criticit\u00e9 claire est un constat de haute s\u00e9v\u00e9rit\u00e9<\/strong> fr\u00e9quent dans les audits financiers. Le risque de concentration doit \u00e9galement \u00eatre \u00e9valu\u00e9.<\/p>\n\n\n\n Secteur public :<\/strong> L’absence de responsabilit\u00e9 et de propri\u00e9t\u00e9<\/strong> claire des fournisseurs est un constat d’audit fr\u00e9quent. Les processus de gouvernance fournisseur doivent \u00eatre document\u00e9s m\u00eame lorsque les services sont partag\u00e9s entre plusieurs entit\u00e9s.<\/p>\n\n\n\n Comment les exigences de cybers\u00e9curit\u00e9 sont-elles appliqu\u00e9es aux fournisseurs ?<\/p>\n\n\n\n Les auditeurs n’exigent g\u00e9n\u00e9ralement pas les contrats complets \u2014 des extraits cibl\u00e9s suffisent. Ils se concentrent sur la coh\u00e9rence et l’applicabilit\u00e9<\/strong>, pas sur le d\u00e9tail juridique.<\/p>\n\n\n\n Finance :<\/strong> L’alignement contractuel avec les attentes r\u00e9glementaires du secteur financier est attendu le cas \u00e9ch\u00e9ant.<\/p>\n\n\n\n Secteur public :<\/strong> Les auditeurs comprennent les contraintes d’achat mais attendent de la coh\u00e9rence et de la tra\u00e7abilit\u00e9. L’alignement avec les cadres nationaux d’achat et r\u00e9glementaires est \u00e9valu\u00e9.<\/p>\n\n\n\n Comment les pipelines CI\/CD r\u00e9duisent-ils le risque de la cha\u00eene d’approvisionnement ?<\/p>\n\n\n\n Finance :<\/strong> Les pipelines CI\/CD sont trait\u00e9s comme des syst\u00e8mes ICT r\u00e9glement\u00e9s<\/strong>, pas comme des outils de d\u00e9veloppement. Les auditeurs demandent souvent des d\u00e9monstrations de tra\u00e7abilit\u00e9 de bout en bout lors des revues.<\/p>\n\n\n\n Secteur public :<\/strong> Les pipelines CI\/CD sont \u00e9valu\u00e9s principalement comme des m\u00e9canismes de gestion des changements et de tra\u00e7abilit\u00e9<\/strong>. Les auditeurs se concentrent g\u00e9n\u00e9ralement moins sur la sophistication des outils que sur l’application. Les changements d’urgence doivent rester tra\u00e7ables.<\/p>\n\n\n\n Comment savez-vous que le logiciel d\u00e9ploy\u00e9 n’a pas \u00e9t\u00e9 alt\u00e9r\u00e9 ?<\/p>\n\n\n\n Finance :<\/strong> L’incapacit\u00e9 \u00e0 d\u00e9montrer la tra\u00e7abilit\u00e9 est souvent escalad\u00e9e comme un risque mat\u00e9riel<\/strong>.<\/p>\n\n\n\n Secteur public :<\/strong> Les SBOMs sont de plus en plus attendus pour les services publics critiques mais peuvent \u00eatre appliqu\u00e9s de mani\u00e8re proportionn\u00e9e<\/strong> selon la maturit\u00e9 technique.<\/p>\n\n\n\n Les fournisseurs ou les outils tiers ont-ils un acc\u00e8s privil\u00e9gi\u00e9 ?<\/p>\n\n\n\n Finance :<\/strong> Les comptes de service CI\/CD avec des privil\u00e8ges excessifs sont un constat d’audit courant<\/strong>.<\/p>\n\n\n\n Secteur public :<\/strong> Les comptes fournisseurs de longue dur\u00e9e sans revue sont un probl\u00e8me d’audit courant<\/strong>.<\/p>\n\n\n\n Comment d\u00e9tectez-vous les \u00e9v\u00e9nements de s\u00e9curit\u00e9 li\u00e9s \u00e0 la cha\u00eene d’approvisionnement ?<\/p>\n\n\n\n Finance :<\/strong> L’int\u00e9gration avec le SOC et les fonctions de surveillance de s\u00e9curit\u00e9 est attendue.<\/p>\n\n\n\n Secteur public :<\/strong> Les auditeurs se concentrent sur la sensibilisation et la capacit\u00e9 de r\u00e9ponse<\/strong>, pas n\u00e9cessairement sur l’analytique avanc\u00e9e.<\/p>\n\n\n\n Que se passe-t-il si un fournisseur est compromis ?<\/p>\n\n\n\n Finance :<\/strong> Les superviseurs \u00e9valuent \u00e0 la fois la pr\u00e9paration et la capacit\u00e9 d’ex\u00e9cution<\/strong>.<\/p>\n\n\n\n Secteur public :<\/strong> Les m\u00e9canismes de coordination avec les parties prenantes internes, les autres entit\u00e9s publiques et les autorit\u00e9s nationales (le cas \u00e9ch\u00e9ant) sont \u00e9valu\u00e9s. La pr\u00e9paration et la clart\u00e9 des r\u00f4les<\/strong> sont des crit\u00e8res cl\u00e9s.<\/p>\n\n\n\n Pouvez-vous retrouver des preuves historiques de la cha\u00eene d’approvisionnement ?<\/p>\n\n\n\n Secteur public :<\/strong> La tra\u00e7abilit\u00e9 \u00e0 long terme est particuli\u00e8rement importante<\/strong> en raison des exigences de march\u00e9s publics et de responsabilit\u00e9.<\/p>\n\n\n\n Les auditeurs identifient fr\u00e9quemment des probl\u00e8mes tels que :<\/p>\n\n\n\n Traiter ces lacunes de mani\u00e8re proactive r\u00e9duit significativement le risque de conformit\u00e9 NIS2.<\/p>\n\n\n\n La conformit\u00e9 NIS2 de la cha\u00eene d’approvisionnement ne s’obtient pas par la seule documentation. Elle n\u00e9cessite une application op\u00e9rationnelle, des contr\u00f4les techniques et une g\u00e9n\u00e9ration continue de preuves \u00e0 travers les fournisseurs, les pipelines CI\/CD et les syst\u00e8mes de production.<\/p>\n\n\n\n Les organisations qui traitent les pipelines CI\/CD comme des points d’application pour la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement \u2014 et maintiennent des preuves structur\u00e9es et r\u00e9cup\u00e9rables \u2014 sont les mieux positionn\u00e9es pour r\u00e9pondre aux attentes de supervision NIS2 avec confiance.<\/p>\n\n\n\n Cela s’applique \u00e0 tous les secteurs : les institutions financi\u00e8res<\/strong> doivent d\u00e9montrer un contr\u00f4le syst\u00e9mique des risques et un alignement r\u00e9glementaire, tandis que les entit\u00e9s du secteur public<\/strong> doivent d\u00e9montrer une gouvernance, une responsabilit\u00e9 et des contr\u00f4les proportionn\u00e9s adapt\u00e9s \u00e0 leurs contraintes op\u00e9rationnelles.<\/p>\n\n\n\nObjectif de ce pack de preuves<\/h3>\n\n\n\n
\n
P\u00e9rim\u00e8tre de la cha\u00eene d’approvisionnement sous NIS2<\/h2>\n\n\n\n
\n
Consid\u00e9rations de p\u00e9rim\u00e8tre sp\u00e9cifiques au secteur<\/h3>\n\n\n\n
1. Identification des fournisseurs et classification de criticit\u00e9<\/h2>\n\n\n\n
Ce que les auditeurs demandent g\u00e9n\u00e9ralement<\/h3>\n\n\n\n
Preuves \u00e0 fournir<\/h3>\n\n\n\n
\n
Exemples de preuves attendues<\/h3>\n\n\n\n
\n
Notes sectorielles<\/h3>\n\n\n\n
2. Exigences de s\u00e9curit\u00e9 fournisseur et contr\u00f4les contractuels<\/h2>\n\n\n\n
Ce que les auditeurs demandent g\u00e9n\u00e9ralement<\/h3>\n\n\n\n
Preuves \u00e0 fournir<\/h3>\n\n\n\n
\n
Exemples de preuves attendues<\/h3>\n\n\n\n
\n
Notes sectorielles<\/h3>\n\n\n\n
3. Contr\u00f4les CI\/CD soutenant la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/h2>\n\n\n\n
Ce que les auditeurs demandent g\u00e9n\u00e9ralement<\/h3>\n\n\n\n
Preuves \u00e0 fournir<\/h3>\n\n\n\n
\n
Exemples de preuves attendues<\/h3>\n\n\n\n
\n
Notes sectorielles<\/h3>\n\n\n\n
4. Int\u00e9grit\u00e9 des d\u00e9pendances et des artefacts<\/h2>\n\n\n\n
Ce que les auditeurs demandent g\u00e9n\u00e9ralement<\/h3>\n\n\n\n
Preuves \u00e0 fournir<\/h3>\n\n\n\n
\n
Exemples de preuves attendues<\/h3>\n\n\n\n
\n
Notes sectorielles<\/h3>\n\n\n\n
5. Acc\u00e8s tiers et gestion des privil\u00e8ges<\/h2>\n\n\n\n
Ce que les auditeurs demandent g\u00e9n\u00e9ralement<\/h3>\n\n\n\n
Preuves \u00e0 fournir<\/h3>\n\n\n\n
\n
Exemples de preuves attendues<\/h3>\n\n\n\n
\n
Notes sectorielles<\/h3>\n\n\n\n
6. Surveillance et d\u00e9tection des \u00e9v\u00e9nements de la cha\u00eene d’approvisionnement<\/h2>\n\n\n\n
Ce que les auditeurs demandent g\u00e9n\u00e9ralement<\/h3>\n\n\n\n
Preuves \u00e0 fournir<\/h3>\n\n\n\n
\n
Exemples de preuves attendues<\/h3>\n\n\n\n
\n
Notes sectorielles<\/h3>\n\n\n\n
7. R\u00e9ponse aux incidents et coordination fournisseur<\/h2>\n\n\n\n
Ce que les auditeurs demandent g\u00e9n\u00e9ralement<\/h3>\n\n\n\n
Preuves \u00e0 fournir<\/h3>\n\n\n\n
\n
Exemples de preuves attendues<\/h3>\n\n\n\n
\n
Notes sectorielles<\/h3>\n\n\n\n
8. Conservation des preuves et auditabilit\u00e9<\/h2>\n\n\n\n
Ce que les auditeurs demandent g\u00e9n\u00e9ralement<\/h3>\n\n\n\n
Preuves \u00e0 fournir<\/h3>\n\n\n\n
\n
Exemples de preuves attendues<\/h3>\n\n\n\n
\n
Notes sectorielles<\/h3>\n\n\n\n
Constats d’audit courants<\/h2>\n\n\n\n
\n
Constats sp\u00e9cifiques au secteur financier<\/h3>\n\n\n\n
\n
Constats sp\u00e9cifiques au secteur public<\/h3>\n\n\n\n
\n
Conclusion<\/h2>\n\n\n\n
Contenu associ\u00e9<\/strong><\/h2>\n\n\n\n