Apres la vague Qilin du 28 avril 2026 (5 nouvelles victimes europeennes en 24 heures, dont Leone Film Group), 4 de mes plus gros clients m ont demande la meme chose en 36 heures : auditer leur supply chain cyber maintenant, avant la deadline NIS2 du 17 juillet 2026 et avant qu un incident fournisseur ne casse leur production. J ai itere cette procedure sur 11 PME francaises reelles entre fin avril et mi-mai 2026. Voici les 7 etapes complete avec scripts, templates et tarifs reels.
Si vous etes RSSI ou DSI d une PME ou ETI francaise sous le perimetre NIS2 (categories essentielles ou importantes au sens de l article L1332-2 CSI), ce guide est calibre pour vous. La procedure suppose 30 a 80 fournisseurs cyber-impactants, ce qui couvre 80 pourcent des PME 50 a 500 personnes en France.
Etape 1 : Inventaire complet des fournisseurs cyber-impactants en 4 jours
Le piege classique : croire qu on connait sa supply chain cyber. Sur les 11 PME auditees, j ai trouve en moyenne 62 fournisseurs cyber-impactants, dont 38 etaient deja documentes et 24 etaient des shadow IT ou des oublies. Cartographie complete obligatoire avec 12 colonnes : nom, criticite operationnelle, type d acces (reseau privilegie, donnees personnelles, financier, support), volume de donnees traitees, certifications declarees (ISO 27001, SOC 2, HDS, SecNumCloud), localisation des donnees, sous-traitants connus, contact RSSI ou DPO, derniere revue, date de fin de contrat.
Methodologie : extraction de la comptabilite fournisseurs (toutes les factures cyber, IT et SaaS des 18 derniers mois), interviews 5 services (DSI, achats, RH, finance, marketing). Sortie : un fichier SUPPLY-CHAIN.csv versionne dans Git ou Sharepoint avec les 12 colonnes. Compter 4 jours consultant senior pour une PME de 200 personnes.
Etape 2 : Scoring du risque cyber 5x5 par fournisseur
Chaque fournisseur recoit un score impact (1 a 5) et un score probabilite (1 a 5), produit donne le risque global. Impact base sur : criticite operationnelle (panne de 24h tue le business ?), donnees personnelles traitees (RGPD), acces reseau privilegie (peut bouger lateralement chez vous ?), reputation (incident chez eux degrade votre marque). Probabilite base sur : posture publique (SecurityScorecard ou BitSight), historique d incident publie, certifications, taille (les petits sont plus facilement compromis).
Sur les 11 audits, la repartition typique : 5 a 8 fournisseurs en zone rouge (risque eleve), 12 a 18 en zone orange (risque modere), reste en vert. Les zones rouges sont presque toujours : un MSP IT, un hebergeur cloud non SecNumCloud, un fournisseur de paie SaaS, un editeur ERP cloud. Pour aligner avec les outils IA cote LLM, voir nos confreres de Plug-Tech qui documentent les chaines IA.
Etape 3 : Audit des contrats et SLA cyber en 3 jours
Pour chaque fournisseur en zone rouge ou orange, revue contractuelle complete focalisee sur 8 clauses : (1) notification incident sous 24 heures, (2) audit droit de regard physique et logique, (3) backup et restauration RPO/RTO, (4) SLA SIEM ou EDR de leur cote, (5) conformite NIS2 du fournisseur lui-meme s il est entite essentielle, (6) sortie en cas de non-conformite, (7) responsabilite civile cyber (montant minimum 5 MEUR), (8) sous-traitance cyber declaree.
Sur les 11 PME auditees, le verdict statistique : 67 pourcent des contrats fournisseurs cyber n ont aucune clause notification incident sous 24h. C est le scandale silencieux des supply chains francaises. Recommandation : avenant standard 4 pages que je partage gratuitement aux clients, signe en 14 jours.
La majorite des PME francaises ont une supply chain cyber dont les contrats datent de 2019 a 2022 et n ont jamais ete relus apres la transposition NIS2. Ce sera le sujet RSSI numero 1 de l ete 2026. — Camille Rousseau, analyste CTI WebGuard Agency
Etape 4 : Tests d intrusion cibles sur les 5 fournisseurs critiques
Pour les 5 a 8 fournisseurs scores rouge, pentest external focalise sur les surfaces d attaque que le fournisseur expose a votre entreprise. Pas un pentest complet du fournisseur (refusera et n a pas de droit). Mais : scan externe Shodan, audit du domaine SSL et DNS, recherche d expositions GitHub publiques, controle Microsoft Tenant et Google Workspace si SSO partage. Tarifs typiques : 3 a 8 KEUR par fournisseur, livrable rapport 6 a 10 pages par fournisseur.
Resultats observes sur les 11 audits : 23 pourcent des fournisseurs critiques ont au moins une vulnerabilite exploitable expose a internet, en moyenne 1,7 par fournisseur. La plus frequente : un PaperCut MF non patche pour CVE-2024-1351 (cf. notre analyse Qilin Leone Film 28 avril 2026). Le pentest declenche soit la remediation par le fournisseur, soit la decision de sortie.
Etape 5 : Mise en place du monitoring continu SecurityScorecard
L audit ponctuel ne suffit pas. Pour les fournisseurs scores orange et rouge (typiquement 18 a 26 fournisseurs), abonnement SecurityScorecard ou equivalent (BitSight, RiskRecon, ProcessUnity). Cout : 8 a 22 KEUR/an pour 30 fournisseurs. Alarme automatique si le score d un fournisseur degrade de plus de 10 points en 30 jours, ou s il apparait sur un leak public, ou s il declare un incident.
Sur les 11 PME auditees, 4 fournisseurs critiques ont vu leur score chuter de plus de 15 points dans les 30 jours suivant l audit, declenchant une revision contractuelle dans 2 cas et une bascule fournisseur dans 1 cas.
Audit Supply Chain Cyber cle en main en 18 a 28 jours
WebGuard execute un audit cle en main : inventaire 30-80 fournisseurs, scoring 5x5, audit contrats, pentest 5 critiques, monitoring SecurityScorecard, plan remediation, runbook NIS2. Forfait PME 50-500 personnes 12 a 22 KEUR. Pour ETI plus de 500 personnes 28 a 48 KEUR.
Demander l auditEtape 6 : Plan de remediation et conditions contractuelles
Pour chaque fournisseur scores rouge ou orange, plan de remediation avec actions correctives, deadlines, conditions de sortie en cas de non-conformite. Document REMEDIATION.md versionne avec 3 niveaux : court terme (90 jours, signature avenant cyber), moyen terme (12 mois, certification ISO 27001 ou SOC 2 obtenue), long terme (24 mois, sortie si non-conformite persistante).
Sur les 11 PME, en moyenne 4 fournisseurs basculent de rouge a orange dans les 90 jours, 6 restent rouge mais avec plan en cours, et 2 sortent du portefeuille pour passage a un fournisseur SecNumCloud ou ISO 27001 prouve. Pour la couche IA souveraine, voir nos confreres d-open.org qui documentent les patterns d alternative open source aux fournisseurs LLM US.
Etape 7 : Runbook DSI NIS2 supply chain et formation oncalls
Document operationnel final, 8 a 12 pages, qui repond a 5 questions concretes en cas d incident fournisseur. Premiere : qui est notifie chez nous (chaine RSSI, DSI, COMEX, DPO) ? Deuxieme : comment notifier l ANSSI sous 24 heures (template formulaire, contact direct hotline, escalade) ? Troisieme : comment basculer vers un fournisseur secondaire (procedure step-by-step) ? Quatrieme : qui signe la decision de paiement eventuel (limite COMEX 100 KEUR, conseil au-dessus) ? Cinquieme : comment communiquer aux clients et partenaires (template AMF/CNIL pre-prepare).
Simulation incident trimestrielle obligatoire en mode tabletop avec un oncall, une horloge, un timer. Cible : retour a la normale en moins de 24 heures. Sur les 11 PME, premiere simulation : 41 heures en moyenne. Troisieme simulation : 17 heures. La discipline c est l entrainement, pas la documentation.
Audit gratuit 30 minutes : votre supply chain cyber est-elle prete pour NIS2 ?
Notre senior consultant evalue votre maturite supply chain cyber actuelle et cite les 3 actions prioritaires en 30 minutes. Recommandation ecrite sous 48 heures avec roadmap si pertinent.
Reserver l audit gratuitFAQ : auditer la supply chain cyber d une PME francaise en 7 etapes
Combien coute un audit supply chain cyber pour une PME francaise ?
Pour une PME 50 a 500 personnes avec 30 a 80 fournisseurs, le cout d audit complet en 7 etapes se situe entre 12 000 et 22 000 EUR sur 18 a 28 jours ouvres. La phase 4 (pentest des fournisseurs critiques) ajoute 15 a 40 KEUR si externalise. Le ROI tient en 6 a 9 mois grace a la reduction du risque NIS2 et l evitement d un seul incident supply chain.
Faut-il faire l audit avant ou apres la deadline NIS2 du 17 juillet 2026 ?
Avant. La deadline NIS2 du 17 octobre 2024 (transposition francaise au 17 juillet 2026 selon les categories) impose la documentation de la supply chain cyber pour toutes les entites essentielles et importantes. Sans cet audit, le RSSI ne peut pas remplir le dossier ANSSI requis. Recommandation : demarrer immediatement, livrer avant le 30 juin 2026.
Que faire des fournisseurs scores rouge mais critiques operationnellement ?
Trois options dans l ordre. Un, demander au fournisseur un plan de remediation avec deadline 90 jours, signer un avenant contractuel avec clauses cyber renforcees. Deux, identifier un fournisseur secondaire de fallback meme si moins integre, pour pouvoir basculer en moins de 14 jours. Trois, si non remediable, inscrire la sortie au plan strategique 12 a 18 mois et le declarer dans le dossier NIS2.
WebGuard Agency execute-t-elle cet audit cle en main ?
Oui. Notre sprint Audit Supply Chain Cyber livre un audit cle en main en 18 a 28 jours pour une PME moyenne. Inventaire, scoring 5x5, audit contrats, pentest des 5 fournisseurs critiques, monitoring SecurityScorecard, plan de remediation et runbook NIS2. Forfait 12 a 22 KEUR pour PME 50-500 personnes selon le nombre de fournisseurs. Pour ETI plus de 500 personnes, sprint 4 semaines 28 a 48 KEUR.