Sous-traitant d'un OSE : quelles obligations NIS2 en 2026 ?

Pour des milliers de PME françaises, NIS2 arrive par la porte de derrière : non par une obligation directe, mais par un email d’un client qui s’appelle souvent « Questionnaire de sécurité fournisseur » ou « Avenant de cybersécurité — directive NIS2 ». Ces clients, ce sont en général des opérateurs de services essentiels (OSE), des opérateurs d’importance vitale (OIV), ou des grandes entreprises classées entité essentielle ou importante au sens de NIS2. Cet article décrypte ce que ces structures attendent réellement de leurs sous-traitants, et comment y répondre sans sur-investir ni se mettre en risque.

Le contexte : la chaîne d’approvisionnement, mesure phare de NIS2

L’article 21 de la directive NIS2 impose aux entités essentielles et importantes la sécurisation de leur chaîne d’approvisionnement. Concrètement, elles doivent :

• identifier les fournisseurs critiques (ceux dont la défaillance ou la compromission impacte significativement leur activité),
• évaluer le niveau de sécurité de ces fournisseurs,
• inscrire des clauses contractuelles de sécurité dans les contrats,
• vérifier périodiquement la conformité des sous-traitants.

Pour respecter cette obligation, les grands donneurs d’ordre régulés ont massivement déployé en 2025-2026 des questionnaires fournisseurs structurés autour des dix mesures de l’article 21. Ces questionnaires sont aujourd’hui le mécanisme principal de propagation de NIS2 vers les TPE/PME.

Comment se manifeste la pression NIS2 d’un OSE

Trois types de communications parviennent typiquement aux sous-traitants.

Premier type : un questionnaire de sécurité fournisseur, souvent une feuille Excel ou un formulaire en ligne, comportant entre 30 et 120 questions sur la cybersécurité de votre entreprise. Délai de réponse : généralement 15 à 30 jours. Conséquence d’une non-réponse : sortie de la liste des fournisseurs référencés, suspension du contrat, ou non-renouvellement à l’échéance.

Deuxième type : un avenant contractuel ou une annexe sécurité à signer, comportant des clauses de notification d’incident, de droit d’audit du donneur d’ordre, d’obligations de sécurité de base (MFA, sauvegardes, gestion des comptes à privilèges, formation des collaborateurs). Délai de signature : variable, parfois quelques semaines.

Troisième type : un audit fournisseur, sur place ou à distance, conduit par les équipes du donneur d’ordre ou par un prestataire mandaté. Plus rare pour les sous-traitants de second rang, mais fréquent pour les fournisseurs critiques.

Ce que le donneur d’ordre attend réellement

Les questionnaires fournisseurs sont calibrés en fonction du risque représenté par le sous-traitant pour le donneur d’ordre. Un fournisseur de papier d’imprimante n’aura pas le même niveau d’exigence qu’un éditeur de logiciel ayant accès aux systèmes de production.

Quatre niveaux d’exigence se retrouvent dans la pratique.

Niveau 1 — fournisseurs de masse, faibles enjeux cyber : 5 à 15 questions de base sur la sécurité. Pas de preuve documentaire exigée. La signature d’une clause sécurité standardisée suffit.

Niveau 2 — fournisseurs avec accès limité aux systèmes (logiciels SaaS, MSP/MSSP non critiques, prestataires comptables) : 30 à 60 questions, demande de politiques (politique de sécurité, charte informatique), preuves d’application (couverture MFA, plan de continuité). C’est le niveau le plus fréquent pour les PME.

Niveau 3 — fournisseurs critiques (infogérance, hébergement de données sensibles, sous-traitants de développement avec accès à la production) : 80 à 150 questions, audit sur place possible, certifications attendues (ISO 27001, SOC 2, ou équivalent). Pour atteindre ce niveau de maturité, il faut généralement plusieurs années de structuration interne.

Niveau 4 — fournisseurs stratégiques (intégrateurs SI, ESN sur des projets sensibles) : audit PASSI exigé, certification ANSSI souhaitée, processus de gestion des risques complet. Ce niveau dépasse largement le cadre NIS2 pour entrer dans des exigences sectorielles spécifiques.

Pour la majorité des PME sous-traitantes, l’enjeu se situe au niveau 2 : disposer d’une politique de sécurité, d’une analyse de risques, d’un plan de continuité, et d’avoir déployé les contrôles techniques de base (MFA, sauvegardes immuables, journaux d’accès, formation des collaborateurs).

Décrypter un questionnaire fournisseur type

Pour vous donner une idée concrète, voici la structure d’un questionnaire NIS2 type qu’on rencontre fréquemment.

Section 1 — Gouvernance : avez-vous une politique de sécurité approuvée par la direction ? Avez-vous désigné un responsable cyber ? Réalisez-vous une analyse de risques périodique ? Combien de temps depuis la dernière revue ?

Section 2 — Contrôle d’accès et identité : utilisez-vous la MFA pour les accès distants ? Quelle est la couverture (en %) de la MFA sur les comptes utilisateurs ? Sur les comptes à privilèges ? Comment sont gérés les départs de collaborateurs ?

Section 3 — Protection des données : les données sensibles sont-elles chiffrées au repos ? En transit ? Quels algorithmes ? Les sauvegardes sont-elles immuables ? Quelle est la rétention ?

Section 4 — Gestion des incidents : avez-vous un plan de réponse aux incidents ? À quelle fréquence est-il testé ? Combien de temps mettriez-vous à notifier un incident affectant nos systèmes ?

Section 5 — Continuité d’activité : avez-vous un plan de continuité ? À quelle date a-t-il été testé pour la dernière fois ? Quel est votre RTO sur les services que vous nous fournissez ?

Section 6 — Sécurité des collaborateurs : avez-vous une charte informatique signée ? Combien d’heures de sensibilisation par collaborateur par an ? Combien d’exercices phishing simulés par an ?

Section 7 — Sous-traitance et chaîne d’approvisionnement : avez-vous identifié vos propres fournisseurs critiques ? Les avez-vous évalués ? Les contrats incluent-ils des clauses cybersécurité ?

Section 8 — Pièces justificatives : politique de sécurité (PDF), dernier rapport d’audit (PDF), politique de gestion des incidents (PDF), attestation de cyber-assurance.

Comment répondre intelligemment

Trois règles d’or pour traiter un questionnaire fournisseur.

Règle 1 — Ne mentez pas. Tentation classique : cocher « oui, MFA déployée à 100% » alors que la couverture réelle est de 40%. Si le donneur d’ordre lance un audit complémentaire, la sanction commerciale est immédiate. À l’inverse, une réponse honnête « MFA déployée à 60% sur les comptes utilisateurs, plan de remédiation en cours pour atteindre 100% à fin Q2 2026 » est généralement bien acceptée.

Règle 2 — Répondez avec des preuves. Une politique référencée, datée et signée vaut mieux qu’une affirmation orale. Préparez un dossier numérique structuré (politique de sécurité, charte informatique, plan de réponse aux incidents, dernière analyse de risques, attestation cyber-assurance) que vous pourrez réutiliser pour les prochains questionnaires.

Règle 3 — Anticipez, ne réagissez pas. Si vous attendez le questionnaire d’un client pour rassembler vos politiques, il sera trop tard pour répondre dans les délais. Le bon réflexe : conduire un audit NIS2 complet dès aujourd’hui, qui produit la matrice de conformité à joindre aux questionnaires, et qui sert pour tous les clients.

L’audit NIS2 comme document opposable

Notre audit NIS2 complet à 1 500 € est conçu spécifiquement pour produire un livrable opposable au donneur d’ordre. Concrètement, le rapport couvre les dix mesures de l’article 21, est structuré pour être joint à un questionnaire fournisseur, et inclut une matrice de conformité reprenant les principales sections d’un questionnaire NIS2 type.

Plusieurs de nos clients ont remporté des appels d’offres ou sécurisé des contrats grâce à ce rapport. C’est un investissement de 1 500 € qui se rentabilise en un seul contrat conservé.

Cas particuliers selon votre secteur

Sous-traitants industriels (mécanique, agroalimentaire, chimie, équipementiers automobile…) : les donneurs d’ordre sont souvent des entités essentielles. Les questionnaires sont rigoureux, avec un focus sur la continuité opérationnelle (un arrêt de production peut paralyser une chaîne entière) et la sécurité des accès distants (téléopérations, télémaintenance).

Sous-traitants numériques (agences web, ESN, MSP, hébergeurs, SaaS B2B…) : NIS2 vous concerne souvent directement (catégorie « fournisseurs numériques »). Les questionnaires des grands comptes attendent une maturité supplémentaire : ISO 27001 ou démarche en cours, audit annuel, exercices d’incident.

Sous-traitants de services aux entreprises (cabinets comptables, avocats, BET, recouvrement, paie…) : pression croissante depuis 2025. Les obligations RGPD se croisent avec les obligations NIS2, avec un focus sur la protection des données sensibles et la gestion des accès des collaborateurs.

Sous-traitants e-commerce et logistique : pression provenant des grandes plateformes B2B et des donneurs d’ordre logistiques. L’enjeu principal porte sur la disponibilité et la gestion des incidents.

Combien ça coûte de devenir conforme

Pour une PME sous-traitante typique de 10 à 50 personnes, le budget de mise en conformité NIS2 s’établit en moyenne à :

• Pré-audit : 299 € (notre offre).
• Audit complet : 1 500 €.
• Mise en conformité opérationnelle (politiques, MFA, journaux, formation) : 2 000 à 5 000 € selon le niveau initial.
• Maintenance annuelle : 1 000 à 1 500 € (notre offre à 99 €/mois).

Soit environ 4 000 à 8 000 € sur la première année, et 1 500 €/an ensuite. À comparer avec les contrats à 50 k€-500 k€/an que peut représenter un seul donneur d’ordre régulé : le ROI est immédiat.

Le Diag Cybersécurité de BPI France subventionne jusqu’à 32% de ces prestations pour les PME éligibles.

Conclusion

Si vous êtes sous-traitant d’un OSE ou d’une grande entreprise du secteur régulé, vous êtes concerné par NIS2, même si vous n’êtes pas dans un secteur listé directement. La pression contractuelle des donneurs d’ordre est aujourd’hui le mécanisme principal de propagation de la directive vers les TPE/PME, et elle s’intensifie à l’approche de la deadline du 17 octobre 2026.

La bonne stratégie est d’anticiper : conduire un audit NIS2 complet une fois, structurer un dossier de réponses, et le réutiliser pour tous les clients. C’est un investissement de quelques milliers d’euros qui sécurise votre portefeuille de contrats pour plusieurs années.

Pour aller plus loin : le guide NIS2 PME 2026, notre article sur les 10 mesures de l’article 21, et le pré-audit NIS2 à 299 € pour démarrer concrètement votre démarche.