De NIS2 à la loi sur la cyber-résilience : l’aspect « produit » de la gouvernance

Les organisations ont consacré des années à se concentrer sur leur propre sécurité. Mais avec l'entrée en vigueur imminente de la loi sur la cyber-résilience (CRA), l'attention se porte désormais sur les produits dont elles dépendent et sur les chaînes d'approvisionnement qui les sous-tendent.

Au cours de la dernière année, la mise en œuvre de la directive NIS2 Ces questions ont dominé les conseils d'administration à travers l'Europe. Les organisations se sont empressées d'évaluer leur exposition aux risques, de renforcer leurs contrôles d'accès et de s'assurer que leur résilience opérationnelle interne était conforme aux normes.

Mais sécuriser votre organisation ne représente que la moitié du travail, car les outils tiers qui y fonctionnent peuvent introduire leurs propres vulnérabilités.

Désormais, l'attention réglementaire s'étend des acheteurs de technologies aux concepteurs de celles-ci. L'UE Cyber ​​Resilience Act (CRA) étant entrée en vigueur Entrée en vigueur fin 2024, l'ère de « l'organisation sécurisée » évolue rapidement vers l'ère du « produit sécurisé ».

Pour les responsables de la sécurité, cela signifie que la gouvernance de la chaîne d'approvisionnement va se renforcer considérablement. L'époque où l'on se fiait aveuglément aux questionnaires fournisseurs impersonnels est révolue. Voici pourquoi l'ARC modifie les règles du jeu et pourquoi l'échéance de septembre 2026 constitue le signal d'alarme dont le secteur a besoin.

L'échéance de septembre 2026 incite à un bilan de la réalité sous 24 heures

Bien que l’ensemble des exigences de l’ARC en matière de « sécurité dès la conception » et de marquage CE n’entre en vigueur que le 11 décembre 2027, le premier changement opérationnel majeur se produira bien plus tôt.

À compter du 11 septembre 2026, l'article 14 du règlement relatif à la cybersécurité (CRA) instaure l'obligation de signaler les vulnérabilités en fonction d'événements. Les fabricants de produits comportant des éléments numériques, qu'il s'agisse de matériel ou de logiciel, doivent signaler les vulnérabilités exploitées à l'Agence de l'Union européenne pour la cybersécurité (ENISA) et à leur équipe nationale de réponse aux incidents de sécurité informatique (CSIRT).

Le calendrier est serré, exigeant une notification rapide sans délai indu (souvent interprétée comme étant dans les 24 heures), suivie d'un rapport plus détaillé au fur et à mesure de l'avancement des enquêtes.

Chase Snyder d'Eclypsium note Selon une analyse récente, « la LCR contient également de nombreuses clauses exigeant une notification, une divulgation et une correction « rapides » des vulnérabilités », et son application devrait s’intensifier d’ici septembre 2026.

Point essentiel, cette obligation s'applique aux produits déjà sur le marché de l'UE qui bénéficient encore d'un support ou d'une maintenance, et non pas seulement aux nouvelles versions de logiciels.

Pour les entreprises acheteuses, cela engendre un important effet domino sur les risques liés à la chaîne d'approvisionnement. Si vos fournisseurs utilisent des composants open source en fin de vie et ne disposent pas de la gouvernance interne nécessaire pour les suivre, leur non-conformité devient rapidement une vulnérabilité opérationnelle pour vous.

Combler le fossé : la transition de NIS2 à l'ARC

Pour comprendre l'avenir de la gouvernance de la chaîne d'approvisionnement, il faut examiner comment NIS2 et le CRA s'articulent. Ce ne sont pas des cadres concurrents, mais des dimensions complémentaires d'un même modèle de résilience holistique.

NIS2 est axé sur l'organisation. Il exige que les entités essentielles et importantes gèrent les risques liés à l'ensemble de leurs opérations, y compris leurs dépendances profondes envers des tiers. Il pose la question suivante : « Vos opérations sont-elles résilientes face aux perturbations, y compris aux défaillances de fournisseurs ? »

L'Autorité canadienne de réglementation (ACR) est axée sur le produit. Elle réglemente le matériel et les logiciels qui circulent dans la chaîne d'approvisionnement. Elle impose la sécurité dès la conception, des mises à jour continues tout au long du cycle de vie et une gestion rigoureuse des vulnérabilités. Elle pose la question suivante : « Les outils que vous déployez sont-ils fondamentalement sûrs ? » Comme le souligne Meticulous Research dans son rapport… Analyse du marché OT/ICS« L’exigence SBOM de CRA… crée un moteur structurel pour les outils de gestion des vulnérabilités » dans les périmètres NIS2 et CRA.

Les propriétaires d'actifs relevant de la norme NIS2 ne sont pas des acteurs passifs de cette évolution. Ils restent responsables de l'évaluation et de la gestion des risques liés aux fournisseurs, mais s'appuieront de plus en plus sur la conformité de leurs fournisseurs aux normes des agences d'évaluation du crédit (CRA) dans le cadre de ce modèle d'assurance.

La fin de la confiance « statique »

Historiquement, la gouvernance de la chaîne d'approvisionnement reposait sur une documentation statique. Un fournisseur remplissait un questionnaire de sécurité annuel, remettait un rapport SOC 2, et la confiance était établie, du moins sur le papier.

En vertu de la loi sur l'agence canadienne de l'épargne (ARC), la confiance statique n'est plus suffisante.

La réglementation instaure une gestion continue du cycle de vie. Lorsqu'un fournisseur est tenu de maintenir une nomenclature logicielle (SBOM) dynamique et de signaler activement les défauts dans un délai imparti, l'acheteur doit disposer des mécanismes nécessaires pour recevoir, traiter et exploiter ces données en temps réel.

« L’ARC étend sa responsabilité jusqu’au cœur des chaînes d’approvisionnement. » Explique Joe Hughes, vice-président de la gestion des risques liés à la chaîne d'approvisionnement chez Fortress Information Security, déclare : « Les contrats doivent désormais définir clairement les obligations des fournisseurs, notamment en ce qui concerne les nomenclatures de fournisseurs (SBOM). »

De plus, les enjeux commerciaux n'ont jamais été aussi importants. Si un fournisseur de logiciels critiques ne se conforme pas aux exigences de sécurité des produits de l'ARC d'ici décembre 2027, son produit se verra retirer le marquage CE. Sans marquage CE, il ne pourra être vendu ni utilisé légalement sur le marché de l'UE.

Pour les équipes d'approvisionnement, la conformité aux normes CRA passe d'une simple formalité technique à une exigence commerciale fondamentale. Si votre fournisseur n'est pas conforme, vous pourriez être légalement contraint de remplacer son logiciel, ce qui engendrerait des difficultés opérationnelles.

Élaboration d'une stratégie de chaîne d'approvisionnement active

Cette évolution réglementaire représente une opportunité majeure pour les RSSI visionnaires de passer d'une conformité purement défensive à une gouvernance active axée sur la protection des revenus. Afin de se préparer aux échéances CRA de 2026 et 2027, ainsi qu'aux obligations NIS2 en vigueur, les dirigeants doivent agir dès maintenant :

Exigez la transparence dès le débutN’attendez pas septembre 2026 pour interroger vos fournisseurs sur la manière dont ils comptent se conformer aux exigences de déclaration de l’ENISA. Intégrez dès aujourd’hui la conformité aux normes CRA dans vos contrats d’approvisionnement et vos évaluations de fournisseurs.

Cartographier les dépendances « invisibles »Profitez des incitations législatives en faveur des SBOM pour mieux appréhender les risques liés aux tiers (quatrième et cinquième parties). Identifiez les frameworks open source intégrés aux progiciels commerciaux sur étagère (COTS) que vous utilisez.

Unifiez votre vision des risquesGérer les risques fournisseurs à l'aide de feuilles de calcul fragmentées, réparties entre NIS2, DORA et le CRA, est synonyme de non-respect des délais et de zones d'ombre. Optez pour des plateformes de gouvernance dynamiques et unifiées qui relient directement les profils des fournisseurs, les journaux d'incidents et les statuts de conformité à votre registre des risques centralisé.

« Les dirigeants peuvent considérer le CRA comme un catalyseur pour bâtir des chaînes d'approvisionnement plus solides, plus transparentes et plus résilientes », selon OPSWAT. feuille de route en matière de conformité logicielle.

La résilience n'est plus un exercice isolé

Le contexte réglementaire envoie un message clair : la résilience n’est plus une simple démarche interne. L’attention se déplaçant des organisations sécurisées vers les produits sécurisés, la gouvernance de la chaîne d’approvisionnement devient le principal garant de la stabilité des entreprises.

En adoptant cette transition dès maintenant, vous ne vous contentez pas de vous préparer à une échéance réglementaire. Vous mettez en place une chaîne d'approvisionnement fiable et sécurisée qui garantit la continuité de vos opérations et accélère votre croissance dans un monde numérique de plus en plus instable.

Élargissez vos connaissances

Blog: Les chaînes d'approvisionnement sont complexes, opaques et peu sûres : les régulateurs exigent mieux

Guide: Sécuriser la chaîne d'approvisionnement

Webinaire (anglais seulement): Maîtriser la conformité de la chaîne d'approvisionnement : Mesures concrètes pour réduire les risques et garantir la résilience