Audit fournisseurs ICT pour la conformité NIS2 (article 30 §4 loi belge) — par Matthieu Roland —
La sécurité de la chaîne d'approvisionnement est l'une des 11 mesures obligatoires de l'article 30 de la loi belge NIS2 (transposition de l'article 21 §4 de la directive (UE) 2022/2555). Cette page propose une checklist actionnable de 50 points pour auditer vos fournisseurs ICT selon NIS2.
English readers: this checklist also addresses « NIS2 supply chain audit », « ICT third-party risk management NIS2 » and « supply chain security checklist Belgium ». The 50 control points apply regardless of language.
Cette checklist est téléchargeable au format CSV (compatible Excel) avec colonnes pré-formatées pour le suivi (statut, preuves, gap, plan d'action, échéance, responsable).
📥 Télécharger la checklist (CSV, CC BY 4.0)
Avant d'auditer, il faut savoir qui auditer. Cette phase pose les fondations : inventaire, classification par criticité, identification des dépendances.
Avant de signer, valider la posture sécurité du fournisseur via questionnaire, certifications, audits externes, références.
Le contrat est l'outil principal d'imposition de vos exigences sécurité. Les 10 clauses essentielles à intégrer.
L'audit ne s'arrête pas à la signature. Suivi KPI, veille CVE/breaches, audits annuels, tests de continuité.
Préparation et exécution d'une réponse coordonnée en cas d'incident chez un fournisseur — y compris cascade vers le CCB si l'incident impacte vos services essentiels.
| N° | Point de contrôle | ✓ |
|---|---|---|
| 1.1 | Inventaire exhaustif de tous les fournisseurs ayant accès au SI (CMDB des tiers) | |
| 1.2 | Classification par criticité (Critical / High / Medium / Low) sur 3 axes : impact business, accès données, accès réseau | |
| 1.3 | Identification des fournisseurs ICT critiques au sens NIS2 (impact direct sur les services essentiels) | |
| 1.4 | Cartographie des sous-traitants (4ème, 5ème niveau) pour les fournisseurs critiques | |
| 1.5 | Identification des données traitées par chaque fournisseur (PII, PCI, secrets industriels) | |
| 1.6 | Identification des dépendances techniques (single points of failure, lock-in) | |
| 1.7 | Localisation géographique des données (EEE / pays tiers / pays adéquat RGPD) | |
| 1.8 | Identification des fournisseurs hors EEE et des transferts internationaux (clauses SCC, BCR) | |
| 1.9 | Mise à jour annuelle minimum de la cartographie | |
| 1.10 | Approbation de la cartographie par le RSSI et le comité de direction | |
| 2.1 | Questionnaire sécurité standardisé (50+ questions : ISO 27001, SOC 2, RGPD, NIS2, BCP, IR) | |
| 2.2 | Vérification des certifications (ISO/IEC 27001, ISO 22301, SOC 2 Type II, CyFun, ISAE 3402) | |
| 2.3 | Demande des derniers rapports d'audit externe et pentest (synthèse exécutive) | |
| 2.4 | Vérification des références clients et incidents publics (databreaches.net, Have I Been Pwned) | |
| 2.5 | Évaluation de la santé financière (risque de défaillance = risque de continuité) | |
| 2.6 | Vérification de l'assurance cyber et de son montant de couverture | |
| 2.7 | Validation du plan de continuité et de reprise (RTO/RPO du fournisseur compatibles avec les vôtres) | |
| 2.8 | Visite on-site pour les fournisseurs ICT critiques (data center, locaux sensibles) | |
| 2.9 | Score de risque global (matrice 5×5 probabilité × impact) et seuil d'acceptation | |
| 2.10 | Approbation formelle par le RSSI ou comité de risque pour fournisseurs critiques | |
| 3.1 | Clause de certification minimum (ISO 27001 ou CyFun équivalent maintenue pendant la durée du contrat) | |
| 3.2 | Clause de notification d'incident sous 24h vers vous (alignée NIS2) | |
| 3.3 | Clause de droit d'audit annuel par tiers indépendant (sur site et documentaire) | |
| 3.4 | Clause de cascade : les sous-traitants doivent respecter les mêmes clauses | |
| 3.5 | Clause de localisation des données (EEE par défaut, pays adéquat à défaut) | |
| 3.6 | Clause d'exit strategy : restitution des données dans format ouvert + délai max | |
| 3.7 | Clause de responsabilité (limitation raisonnable mais montant minimum garanti) | |
| 3.8 | Clause assurance cyber (montant minimum, période garantie, sinistres couverts) | |
| 3.9 | Clause RGPD complète (DPA conforme art. 28 RGPD) | |
| 3.10 | Clause de destruction certifiée des données en fin de contrat (avec attestation) | |
| 4.1 | KPI sécurité contractuels suivis trimestriellement (disponibilité, RTO, incidents) | |
| 4.2 | Monitoring des CVE / vulnérabilités affectant le fournisseur (alertes automatiques) | |
| 4.3 | Veille sur les breaches publics impliquant le fournisseur (Google Alerts, presse spécialisée) | |
| 4.4 | Revue annuelle des certifications (renouvellement, suspension, surveillance) | |
| 4.5 | Demande annuelle de la lettre d'audit / rapport de conformité | |
| 4.6 | Audit on-site bi-annuel pour les fournisseurs critiques | |
| 4.7 | Test annuel du plan de continuité du fournisseur (exercice tabletop ou full) | |
| 4.8 | Revue trimestrielle du registre des sous-traitants du fournisseur (changements, nouveaux acteurs) | |
| 4.9 | Évaluation annuelle des risques (mise à jour matrice + plan de remédiation) | |
| 4.10 | Reporting annuel au comité de direction sur la posture supply chain | |
| 5.1 | Procédure documentée de gestion des incidents impliquant un fournisseur | |
| 5.2 | Canal dédié de notification incident côté fournisseur (email, hotline 24/7) | |
| 5.3 | Tests trimestriels du canal de notification (exercice de notification de test) | |
| 5.4 | Critères clairs de qualification d'un incident comme « significatif » au sens NIS2 (cascade vers CCB) | |
| 5.5 | Procédure d'isolation rapide d'un fournisseur compromis (révocation accès, switch fournisseur secondaire) | |
| 5.6 | Audit ad-hoc dans les 30 jours suivant un incident chez le fournisseur | |
| 5.7 | Évaluation des sanctions contractuelles (avoirs, pénalités, résiliation) | |
| 5.8 | Documentation post-incident (timeline, IoC, mesures correctives, leçons apprises) | |
| 5.9 | Mise à jour de la matrice de risque après chaque incident significatif | |
| 5.10 | Réévaluation de la classification du fournisseur (déclassement, escalade) |
Cette checklist couvre les exigences suivantes :
Voir le contrôle ISO 5.21 → Voir le domaine CyFun Suppliers →
Les fournisseurs ICT critiques au sens NIS2 : ceux dont une défaillance impacterait directement la disponibilité ou la sécurité de vos services essentiels. Cloud providers, MSP/MSSP, hébergeurs, éditeurs de logiciels critiques, identité fédérée, fournisseurs réseau.
Vérifier : (1) localisation des données (pays adéquat RGPD ou clauses SCC), (2) accessibilité physique pour audit on-site, (3) cohérence du framework de sécurité (équivalences ISO 27001 reconnu), (4) plan de sortie réaliste. Privilégier les fournisseurs EEE ou pays adéquats pour les fournisseurs critiques.
Le refus d'audit est un signal d'alerte fort. Options : (1) renégocier la clause (souvent l'audit doit être documenté à l'avance), (2) accepter un audit réalisé par un tiers indépendant choisi par le fournisseur, (3) demander à la place le rapport SOC 2 Type II ou ISO 27001 récent, (4) si refus catégorique : envisager le remplacement du fournisseur, particulièrement s'il est critique.
Cryptaguard réalise des audits supply chain NIS2 clé en main : cartographie, due diligence des fournisseurs critiques (questionnaires + audit on-site), revue contractuelle, plan de remédiation et accompagnement à la mise en place du dispositif de surveillance continue.