La directive NIS2 ne concerne pas uniquement les grandes entreprises et les infrastructures critiques. Elle s'étend désormais à l'ensemble de la chaîne d'approvisionnement. Pour les PME qui travaillent comme sous-traitants ou fournisseurs d'entités régulées, le changement est déjà en cours : vos clients vont vous demander des garanties cybersécurité. Et sans ces garanties, certains marchés pourraient vous échapper.

Cet article fait le point sur ce que NIS2 change pour les sous-traitants, les clauses contractuelles à anticiper et les mesures à prendre pour s'y préparer. Pour une vue d'ensemble de la directive et de ses obligations NIS2 pour les PME, consultez notre guide complet.

Pourquoi NIS2 cible désormais la chaîne de sous-traitance

Les « supply chain attacks », la menace qui a tout changé

Les cyberattaques via la chaîne de sous-traitance figurent parmi les menaces les plus critiques identifiées par l'ENISA dans son rapport NIS2 Threat Landscape 2025. Le principe est simple : plutôt que d'attaquer frontalement une grande entreprise bien protégée, les cybercriminels ciblent un fournisseur ou un prestataire moins sécurisé pour s'introduire dans le système d'information de leur véritable cible.

En France, l'année 2025 a illustré cette tendance de manière spectaculaire. La Fédération Française de Football et Cdiscount ont été compromis non pas par une attaque directe, mais via des prestataires vulnérables. Ces incidents démontrent une réalité que NIS2 vient encadrer : la sécurité d'une organisation s'aligne sur celle de son partenaire le moins protégé.

L'article 21 de NIS2 rend la sécurité des fournisseurs obligatoire

L'article 21 de la directive NIS2 définit les mesures de gestion des risques que les entités régulées doivent appliquer. Parmi ces mesures, le point D impose explicitement la sécurisation de la chaîne d'approvisionnement, y compris les relations entre chaque entité et ses fournisseurs ou prestataires de services directs.

Ce n'est pas une recommandation. C'est une obligation légale. Les entreprises régulées devront évaluer la fiabilité et la résilience de leurs sous-traitants, intégrer des clauses de cybersécurité dans les contrats et documenter l'ensemble de la démarche. En cas de contrôle, c'est leur capacité à démontrer cette supervision qui sera évaluée.

Votre PME est-elle concernée en tant que sous-traitant ?

Le mécanisme de « ruissellement » contractuel

Même si votre entreprise ne remplit pas les critères de taille (50 salariés ou 10 millions d'euros de chiffre d'affaires), vous pouvez être soumis aux exigences NIS2 par effet de cascade. Le mécanisme est contractuel : une entité régulée qui externalise des fonctions à des prestataires devra s'assurer que ces prestataires respectent les exigences de cybersécurité.

Prenons un exemple. Votre PME fournit un service informatique ou logistique à une entreprise du secteur de l'énergie, de la santé ou de l'industrie manufacturière. Cette entreprise est soumise à NIS2. Si vous avez un accès direct ou indirect à son système d'information, vous serez soumis aux mêmes exigences pour éviter de devenir une porte d'entrée pour les cybercriminels.

Pour les PME de l'Aube qui travaillent avec des donneurs d'ordres industriels ou des acteurs du secteur logistique, ce scénario n'a rien de théorique. Un prestataire d'infogérance informatique peut vous aider à cartographier votre exposition et à identifier les contrats concernés.

Ce que vos clients régulés vont vous demander

Les clauses cybersécurité dans les contrats fournisseurs

La directive NIS2 impose aux entités régulées d'intégrer des clauses de sécurité dans les contrats avec leurs fournisseurs et d'effectuer des audits réguliers. Voici les exigences contractuelles à anticiper :

  • Notification d'incidents dans un délai court (24 à 72 heures) si un événement de sécurité affecte les données ou les systèmes de votre client
  • Authentification multifacteur (MFA) sur tous les accès aux environnements partagés
  • Chiffrement des données sensibles en transit et au repos
  • Documentation d'une PSSI (politique de sécurité des systèmes d'information)
  • Plan de continuité (PCA) et plan de reprise d'activité (PRA)
  • Droit d'audit accordé au donneur d'ordres sur vos pratiques de sécurité

Les preuves de conformité à préparer dès maintenant

Vos clients régulés vous demanderont aussi des preuves. Pas forcément une certification ISO 27001 (disproportionnée pour la plupart des PME), mais une documentation structurée qui démontre une démarche sérieuse. Les éléments à préparer :

  • Politique de sécurité formalisée (PSSI)
  • Registre des incidents de sécurité
  • Preuve de sauvegardes régulières et testées
  • Documentation de vos procédures d'accès

Des solutions de sauvegarde et de sécurité adaptées aux PME couvrent une large partie de ces exigences. Un gestionnaire de mots de passe professionnel est aussi une mesure simple à déployer et facile à documenter.

4 actions concrètes pour anticiper NIS2 sans exploser votre budget

Sécuriser les fondamentaux techniques

⚠️ Le baromètre 2025 de Cybermalveillance.gouv.fr révèle que 80 % des TPE-PME ne sont toujours pas préparées aux cyberattaques ou l'ignorent.

La bonne nouvelle : les mesures à plus fort impact sont aussi les plus accessibles. Activez l'authentification multifacteur sur tous les accès critiques. Déployez une sauvegarde externalisée selon la règle 3-2-1 (trois copies, deux supports différents, une copie hors site). Vérifiez la configuration de votre pare-feu. Appliquez systématiquement les correctifs de sécurité. Ces fondamentaux couvrent la majorité des exigences que vos clients régulés vous imposeront.

Documenter votre gouvernance

La documentation est souvent le point faible des PME. Formalisez une politique de sécurité (PSSI), même succincte. Rédigez un plan de continuité d'activité (PCA) et un plan de reprise (PRA). Définissez une procédure de gestion des incidents avec les rôles et les contacts identifiés. Ces documents n'ont pas besoin d'être volumineux pour être efficaces. L'essentiel est qu'ils existent, qu'ils soient à jour et qu'ils soient testés.

Auditer vos contrats existants

Passez en revue vos contrats avec vos clients et identifiez ceux qui opèrent dans les 18 secteurs régulés par NIS2. Anticipez les clauses cybersécurité qui vont apparaître dans les renouvellements. Préparez les réponses aux questionnaires de sécurité que vos donneurs d'ordres vont vous soumettre.

Former vos équipes

Le phishing reste la première porte d'entrée des cyberattaques. Sensibilisez vos collaborateurs aux bonnes pratiques : identification des emails frauduleux, politique de mots de passe, signalement des incidents. Pour approfondir le vocabulaire technique, le glossaire de la cybersécurité pour dirigeants de PME est une ressource utile.

Transformer la contrainte en avantage concurrentiel

La conformité NIS2 n'est pas qu'une charge supplémentaire. Pour les PME sous-traitantes, c'est un avantage concurrentiel. Les donneurs d'ordres régulés vont devoir sélectionner leurs fournisseurs sur des critères de sécurité. Une PME qui anticipe et documente sa démarche cybersécurité se positionne comme un partenaire fiable, là où ses concurrents subiront la contrainte.

💡 La transposition française de NIS2 est attendue début 2026, avec un délai de trois ans pour atteindre la conformité complète. Mais les donneurs d'ordres n'attendront pas la loi pour intégrer des exigences de sécurité dans leurs appels d'offres.

Commencer maintenant, c'est sécuriser vos marchés.

Chez NEOXO, nous accompagnons les PME de l'Aube dans leur préparation à NIS2, de l'audit de maturité au déploiement des mesures techniques et documentaires. Contactez notre équipe pour un premier échange sur votre situation.