Les entreprises et administrations sont aujourd’hui totalement dépendantes de leur chaîne de fournisseurs pour presque toutes leurs activités. En cause, l’impossibilité d’être efficient sans avoir recours à des outils et des experts pour faire fonctionner chaque département d’une organisation : informatique, RH, logistique, alimentaire, transport, financier…
Les cyberattaquants ont très bien compris la contribution des prestataires, principalement technologiques (éditeurs SaaS, prestataires Cloud, hébergeurs…) au fonctionnement de l’activité. Il réalisent des mission impliquant l’accès à des données ou au système d’information.
En conséquence, la sécurité ne peut plus se limiter au SI interne et doit adresser l’entreprise “étendue”
Alors, comment impliquer tous vos prestataires dans la démarche de sécurité de leur clients ? ****
Conformité à votre PSSI, mesures de sécurité spécifiques à votre activité…. Ils doivent eux mêmes gérer des dizaines ou des centaines de clients… Les dispositifs industrialisables comme la notation cyber et l’ajout de clauses contractuelles de sécurité deviennent pertinents
Le contrat fournisseur constitue un levier de maîtrise du risque cyber fournisseur. Il définit le périmètre d’intervention, encadre les responsabilités et les engagement de niveau de service. Pour autant il ne peut pas porter l’ensemble des exigences techniques et fonctionnelles de cybersécurité.
Dans un contexte réglementaire marqué par NIS2 et DORA, le contrat fournisseur reste un outil très efficace contrôler les risques liés aux tiers (Third Party Cyber Risk Management). En effet, 60 % des entreprises interrogées impliquent désormais leur direction juridique dans leur stratégie cyber. Une collaboration qui permet, en plus de garantir la stabilité et la fiabilité économique des fournisseurs, de développer la transparence sur les pratiques sécurité du prestataire et de les engager dans le respect des obligations légales et d’exigences de sécurité. L’ensemble renforce la gouvernance et la conformité cybersécurité au sein de la relation commerciale.
Les clauses contractuelles doivent donner les moyens minimum d’évaluer les pratiques du fournisseur et d’imposer un cadre commun pour réduire les risques de défaillances de sécurité.
La hausse des cyberattaques ciblant les chaînes d’approvisionnement oblige les entreprises et administrations à renforcer leurs mécanismes de contrôle. Les clauses contractuelles de sécurité fixent les règles en la matière : encadrement de la sous-traitance, droits d’audit, obligations de notification d’incident, réalisation de pentests, notifications préalable en cas d’évolution : certifications, hébergement, contrôle…
Selon l’Observatoire du risque cyber 2025, 9 entreprises sur 10 considèrent les clauses contractuelles de sécurité comme le premier levier de pilotage du risque cyber fournisseur. Bien plus qu’un outil juridique, elles définissent les engagements et responsabilité en cas de cyberattaques et imposent des actions préventives pour limiter les risques cyber.
Ces clauses contractuelles de sécurité contribuent à structurer la maturité cyber du fournisseur. Elles précisent les engagement obligatoires du prestataire à maintenir un niveau de sécurité cohérent avec les risques liés à la prestation. En cas d’incident ou de défaillance, le contrat fournisseur devient un outil opposable, souvent en raison de l’indisponibilité générée, garantissant les moyens nécessaires pour comprendre, corriger et limiter l’impact sur l’entreprise, son système d’information et sa chaîne d’approvisionnement.
Enfin, l’article 30 du règlement DORA décrit les clauses contractuelles de sécurité à intégrer dans le cadre d’un prestataire jugé critique ou ayant un impact important sur l’activité de l’entreprise. Elles précisent ainsi les exigences en matière d’audit, de réversibilité, de sécurité, la résiliation et la protection des données. On peut citer par exemple :
une description précise des fonctions et services TIC que le fournisseur doit fournir notamment en ce qui concerne la sous-traitance,
les pratiques liés à la disponibilité, l’authenticité, l’intégrité et la confidentialité des données personnelles, ainsi que les dispositions concernant l’accès, la récupération et la restitution, des données traitées par l’entité financière,
la présentation détaillée des niveaux de services,
l’obligation du fournisseur TIC de procurer une assistance à l’entité financière lors d'un incident cyber lié au service fourni, ainsi que sa pleine coopération,
les conditions et délais de résiliation
la participation au programme de sensibilisation à la cybersécurité et à la formation à la résilience opérationnelle
La clause d’audit et de contrôle offre à l’entreprise cliente un droit de vérification de la bonne exécution des obligations prévues au contrat. Ainsi, elle permet de contrôler les engagements ou la maturité sécurité du fournisseur, qu’il s’agisse d’un usage conforme du service ou des données, de la qualité opérationnelle ou du respect des exigences de sécurité.
En matière de cybersécurité, le Cloud computing, l’usage d’API et des services externalisés et la multiplication des solutions digitales implique l’appel à de nombreux tiers technologiques. Cette galaxie de prestataires implique de maîtriser les zones de risques via des tests de sécurité réguliers. Au travers de cette clause contractuelle de sécurité, les équipes RSSI peuvent organiser des contrôles, réaliser des audits réguliers ou exiger la réalisation de pentests.
Si cette clause est utilisée, le tiers devra se soumettre à un audit, en fonction du contexte : sur pièce et site ou à un test d’intrusion. Il devra en plus s’engager sur un plan d’action correctif si des écarts important avec ses engagements (dans son plan d’assurance sécurité) ou des bonnes pratiques de sécurité.
Enfin, un délai de prévenance doit être indiqué dans la clause de sécurité ainsi que les conditions d’information. Il peut être également ajouté qu’un seul audit pourra être réalisé par an.
Exemple de clause d’audit :
“Le Client pourra faire procéder, par un cabinet d’audit tenu au secret professionnel et en respectant un délai de prévenance de 30 jours, à l’examen de tout élément permettant de s’assurer de la bonne exécution des obligations définies au Contrat et notamment des Services. Cet audit aura lieu aux heures d’ouverture des bureaux du Prestataire, au maximum 2 fois par an. Les frais d’audit seront à la charge du Client.”
L’appel à un sous-traitant impose une transparence contractuelle. Toute intervention d’un sous-traitant doit donc faire l’objet d’une déclaration préalable et d’une validation par le client. A ce titre, les exigences de sécurité doivent être répercutées au niveau du contrat fournisseur. Selon les recommandations de la CNIL, le fournisseur doit obtenir une autorisation préalable avant d’engager un sous-traitant.
Afin de limiter les vulnérabilités, la maîtrise des risques cyber des sous-traitants est tout autant essentielle. Chacun doit donc être soumis aux mêmes exigences de sécurité que le fournisseur qui fait appel à lui. C’est une exigence du règlement DORA. En effet, si un prestataire informatique fait appel à un tiers pour assurer ses engagements, il rentre alors dans la chaîne de dépendance numérique de l’entreprise. Le règlement impose alors qu’il figure dans le registre des prestataires TIC, au même titre que le fournisseur principal.
La clause contractuelle de sécurité des sous-traitants s’applique à la fois sur les garanties techniques et organisationnelles : chiffrement de données, authentification, audits… Dans la majorité des cas, cette clause protège l’usage des données à caractère personnel ou sensibles, collectées, utilisées et stockées par les sous-traitants.
Exemple de clauses : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses
La clause de responsabilité clarifie les obligations de chaque partie en cas d’incident. Elle définit les limites de responsabilité, précise les délais de notification et peut intégrer des exigences de certification ou de qualification. La clause de responsabilité peut inclure également les modalités de poursuite d’activité (PCA/PRA) et de réparations.
Cette clause de sécurité est indispensable afin de clarifier le périmètre des responsabilités en cas de défaillances ou de cyberattaques. La responsabilité civile et pénale de l’entreprise peut ainsi être engagée, d’où l’intérêt de se couvrir au travers d’une assurance cyber complémentaire. Elle doit surtout engager le fournisseur afin de l’inviter à renforcer la sécurité de ses technologies, en adéquation avec les exigences cyber de l’entreprise cliente.
Par exemple, elle peut obliger le fournisseur à compléter ses engagements de services, comme les Services-Level Agreement (SLA) ou sa maintenance logicielle.
Elle expose les sanctions financières en cas de manquement, d’inexécution ou de retard. Elle fixe l’indemnité forfaitaire contractuelle afin d’inciter le prestataire à respecter les exigences du contrat. Cette pénalité contractuelle est prévue par la clause pénale.
En matière de cybersécurité, la clause pénale-pénalité indique les sanctions financières en cas de non-respect des règles de sécurité (mesures de protection, mise en conformité, notification d’incidents…). La finalité est de responsabiliser les fournisseurs et de s’assurer de l’application des mesures indiquées dans le contrat en matière de gestion du risque cyber.
Exemple : “En cas d’indisponibilité du service du PRESTATAIRE pendant un délai plus long [x], le PRESTATAIRE est réputé manquer à ses engagements, ce qui entraine l’application d’une pénalité forfaitaire de 1.000 €uros par jour.”
La clause de réversibilité encadre la restitution, le transfert ou la destruction des données lors de la rupture du contrat fournisseur. Elle vise à garantir au client la capacité de récupérer ses actifs numériques et de maintenir la continuité de ses opérations. Cette clause de sécurité est essentielle pour assurer la continuité d’activité en cas de changement de prestataire technologique ou de fournisseur SaaS.
Le mécanisme de réversibilité permet donc à une organisation de récupérer ses données ou accès à des applications. En effet, la récupération de ces data est essentielle d’autant plus si elles sont critiques (impacts financiers, juridiques ou réputationnels).
Cette clause de réversibilité en fin de contrat répond également à un contexte de fragilisation des prestataires technologiques face aux nombreuses attaques cyber. Les risques de défaillances voire d’arrêts d’activité d’un tiers IT peuvent affecter directement l’activité de l’entreprise. La clause de réversibilité permet ainsi de limiter ces effets en définissant les modalités techniques de transfert des données, les formats attendus, les délais et les engagements de sécurité. Avec l’évolution des exigences européennes (NIS2, DORA…), cette clause contractuelle de sécurité devient un standard de conformité.
Exemple de clause :
Lorsque le Contrat prend fin, pour quelque cause que ce soit :
La restitution de l’ensemble des éléments précités s’effectuera gratuitement sous un délai maximum de soixante (60) jours à compter de l’issue du Contrat, au Client ou au tiers de son choix.
A cet effet, le Prestataire fournira l’ensemble des éléments sous un format facilement exploitable et portable. Dans le cas contraire, le Prestataire assistera techniquement et sans frais le Client et/ou le tiers qui serait désigné par ce dernier pour la reprise des Données.
Dans tous les cas à l’issue de l’opération de réversibilité, le Prestataire s’engage à détruire toutes les Données et Informations Confidentielles en sa possession ainsi que toutes copies et sauvegardes éventuellement réalisées, et à en justifier la destruction à première demande du Client.
Une clause de gestion des incidents impose au fournisseur d’alerter son client dès qu’un événement de sécurité survient. Selon la CNIL, le prestataire doit mettre en œuvre des procédures définies pour détecter, qualifier et reporter les incidents, y compris concernant les violations des données (confidentialité, intégrité, disponibilité). Cette clause oblige ainsi le fournisseur à communiquer des informations détaillées sur la nature de l’événement, son impact et les mesures correctives envisagées.
L’objectif est à la fois de prévenir les incidents et de garantir une intervention rapide et structurée lorsqu’une cyberattaque a lieu. La clause contractuelle de gestion des incidents doit prévoir un délai maximal de notification au client. Elle doit aussi formaliser un plan de remédiation, assurer la traçabilité des actions et organiser la coordination avec les équipes RSSI du client. Ce plan de remédiation inclut l’analyse des causes, la mise en place de mesures correctrices et la collaboration avec le client pour restaurer la sécurité.
Enfin, dans le cadre de la clause de gestion des incidents, le fournisseur doit tenir un registre d’incidents de sécurité. Il permet de consigner chaque événement de cybersécurité, sa qualification, sa résolution et les corrections appliquées.
Le dysfonctionnement de l’hébergeur Cloudflare le 18 novembre dernier a empêché l’accès à un certain nombre de sites et services web. Un cas d’école où la présence d’une clause de gestion des incidents s’avère indispensable.
Exemple de clause : “Lorsque le Prestataire a connaissance d’un incident de sécurité (notamment l’accès réalisé par des tiers non autorisés, la perte de Données, l’atteinte à leur intégrité, l’introduction de programme malveillant et/ou l’utilisation non conforme de la Solution), il doit le notifier au RSSI du Client, au plus tard dans les quarante-huit (48) heures suivant la détection de l’incident.
Le Prestataire prendra les mesures appropriées pour contenir l’incident de sécurité, en limiter les impacts et rétablir le fonctionnement normal des Services dans les meilleurs délais.
Le Prestataire fournira notamment au Client l’ensemble des informations nécessaires à la notification aux autorités compétentes et aux personnes concernées, le cas échéant.”
La dépendance technologique, la pression réglementaire et l’augmentation des risques de cyberattaques de la supply chain contraint les entreprises à renforcer les exigences cyber de leurs fournisseurs. Les clauses contractuelles de sécurité sont un outil simple et efficace pour encadrer les responsabilités de chaque partie.
Ces clauses – audit, sous-traitance, responsabilité, réversibilité, gestion des incidents – créent un cadre opérationnel clair. Elles constituent ainsi un prérequis pour tout programme de gestion des risques tiers (TPCRM). Elles complètent d’autres leviers comme l’obtention de certifications, l’évaluation périodique ou la notation cyber.
En complément, le Plan d’Assurance Sécurité (PAS) apporte une vision opérationnelle et opposable des engagements cyber du fournisseur. Ce document juridique et technique formalise les mesures pour protéger les systèmes d’information et les données traitées dans le cadre de la prestation réalisées. Le PAS précise les contrôles de sécurité appliqués, les procédures de gestion des incidents ainsi que les garanties de confidentialité, d’intégrité et de disponibilité. Intégré au contrat fournisseur, il apporte un cadre partagé pour évaluer la maturité cyber du tiers, piloter son risque IT et renforcer sa responsabilité tout au long de la relation contractuelle.
Cependant, la mise en place de ces clauses peuvent ralentir le processus de signature et légèrement crisper les équipes métiers. Le pragmatisme est de mise pour accepter certains allègements (temps de réponse, gestion de incidents…) et faire démarrer la prestation.
Pour assurer leur efficacité, les clauses contractuelles de sécurité doivent être définies avec le service juridique ou un expert externe.
Les clauses de sécurité couvrent l’audit et le contrôle, la sous-traitance, la responsabilité et les pénalités, la réversibilité et la gestion des incidents de sécurité. Elles définissent un cadre partagé pour piloter les obligations du fournisseur, assurer la transparence et maintenir un niveau de cybersécurité.
Elles permettent d’encadrer les pratiques du fournisseur, de vérifier son niveau de maturité cyber et d’imposer des engagements mesurables. En cas d’incident, elles servent aussi de base contractuelle pour exiger la remédiation et l’amélioration de leur résilience cyber.
Les clauses contractuelles de sécurité sont des dispositions intégrées dans un contrat fournisseur pour encadrer la protection des systèmes d’information, des données et la gestion des risques cyber.
Elles définissent les exigences que le prestataire doit respecter pour garantir un niveau de sécurité conforme aux attentes de l’entreprise.
Les clauses contractuelles de sécurité sont un pilier du TPCRM. Elles doivent être enrichies par d’autres outils : questionnaires de sécurité, audits, veille CTI, suivi périodique et solutions de notation cyber. Ces leviers permettent d’évaluer le niveau réel de risque fournisseur, de renforcer la résilience de la supply chain et d’assurer une conformité cyber face aux réglementations comme NIS2 ou DORA.
