NIS2 : pourquoi votre client européen va vous demander votre PRA (même si vous êtes à Maurice)

La directive européenne NIS2 ne s'applique pas directement à une entreprise mauricienne. Mais elle oblige ses clients européens à sécuriser l'ensemble de leur chaîne d'approvisionnement, et cette obligation redescend contractuellement sur les fournisseurs, où qu'ils se trouvent. Si vous servez des clients en Europe, leurs questionnaires de résilience finiront sur votre bureau — autant vous y préparer avant qu'ils n'arrivent.
NIS2 en bref : de la cybersécurité à la résilience obligatoire
NIS2 est la directive européenne sur la sécurité des réseaux et des systèmes d'information. Elle élargit considérablement le champ de la première directive NIS : davantage de secteurs couverts (énergie, transport, santé, services numériques, finance, administration, mais aussi de nombreuses entreprises « importantes » de taille intermédiaire) et des exigences beaucoup plus concrètes.
Les entités concernées doivent notamment démontrer :
- une gestion des risques documentée, validée par la direction ;
- une gestion des incidents avec des délais de notification courts aux autorités ;
- la continuité d'activité : sauvegardes, plan de reprise, gestion de crise ;
- la sécurité de la chaîne d'approvisionnement, c'est-à-dire celle de leurs fournisseurs.
Le non-respect expose à des sanctions financières significatives et engage personnellement la responsabilité des dirigeants. C'est ce dernier point qui change les comportements : un dirigeant personnellement responsable ne signe plus un contrat fournisseur sans garanties.
L'effet cascade : pourquoi un fournisseur hors UE est concerné
Le levier qui vous concerne s'appelle la sécurité de la chaîne d'approvisionnement. Une entité régulée par NIS2 doit évaluer les risques que ses prestataires font peser sur sa propre résilience, et les traiter contractuellement. La directive ne s'arrête donc pas aux frontières de l'Union : elle se propage par les contrats.
Concrètement, un éditeur de logiciels, un centre de services, un prestataire BPO ou un infogérant basé à Maurice qui travaille pour un client français, allemand ou belge entrant dans le champ de NIS2 recevra tôt ou tard :
- un questionnaire de due diligence sécurité, souvent long et détaillé ;
- des clauses contractuelles : notification d'incident, continuité, droit d'audit ;
- des demandes de preuves : rapports de tests, certificats, politiques écrites.
Et même quand l'obligation juridique est discutable, la réalité commerciale ne l'est pas : entre deux fournisseurs équivalents, le client régulé choisira celui qui sait prouver sa résilience. Ne pas répondre à un questionnaire NIS2, ou y répondre mal, devient un motif d'exclusion des appels d'offres.
Ce que vos clients vont concrètement vous demander
Les questionnaires varient d'un client à l'autre, mais les mêmes exigences reviennent systématiquement :
- Notification d'incident : vous engager à alerter votre client dans un délai court (souvent 24 à 72 heures) quand un incident affecte son service ou ses données, pour qu'il puisse tenir ses propres obligations réglementaires.
- PRA documenté et testé : pas seulement un document, mais des exercices datés, avec des RTO et RPO mesurés. Un PRA réellement testé, restauration comprise, vaut plus que n'importe quelle déclaration d'intention.
- Sauvegardes protégées : copies isolées ou immuables, car les sauvegardes sont devenues la cible privilégiée des ransomwares.
- Contrôle des accès : MFA généralisée, gestion des comptes à privilèges, journalisation des actions d'administration.
- Vos propres sous-traitants : la cascade continue — vous devrez montrer comment vous encadrez votre hébergeur, vos prestataires et vos outils SaaS.
- Un interlocuteur sécurité : un contact nommé, joignable, avec un processus d'escalade défini.
Transformer la contrainte en avantage commercial
La plupart des fournisseurs subissent ces questionnaires dans l'urgence, au moment d'un renouvellement de contrat. Les plus habiles inversent la logique : ils constituent un dossier de preuve permanent — politiques, rapports d'exercice PRA, registre des incidents, cartographie des sous-traitants — et le tiennent à jour toute l'année.
Les bénéfices sont immédiats : réponse aux questionnaires en quelques jours plutôt qu'en plusieurs semaines, position de force dans la négociation des clauses, et un argument de vente réel face aux concurrents qui n'ont rien à montrer. C'est le type de dossier qu'un partenaire d'infogérance comme SOVALYX construit avec ses clients : PRA testé sous SLA, supervision continue et rapports d'exercice qui répondent point par point aux exigences de continuité de NIS2.
Un point d'attention : ne promettez jamais contractuellement un RTO ou un délai de notification que votre infrastructure ne tient pas. Une clause intenable est pire qu'une absence de clause, car elle engage votre responsabilité.
Checklist fournisseur : prêt pour le questionnaire NIS2 ?
- Nous savons quels clients (directs ou indirects) entrent dans le champ de NIS2.
- Nous avons une politique de sécurité écrite, revue et approuvée par la direction.
- Notre PRA est documenté, avec RTO et RPO définis par application.
- Le dernier test de restauration date de moins de six mois et son rapport est disponible.
- Nos sauvegardes comportent au moins une copie isolée ou immuable.
- Un processus de notification d'incident client est défini, avec un délai et un canal précis.
- Le MFA est activé partout, y compris pour les accès administrateurs et distants.
- Nos propres sous-traitants critiques sont recensés et évalués.
- Un contact sécurité est désigné, avec un remplaçant prévu.
- Nos engagements contractuels (RTO, notification) correspondent à nos capacités mesurées.
Si plusieurs cases restent vides, mieux vaut les traiter avant le premier questionnaire : un diagnostic de résilience se mène en quelques jours, une relation commerciale abîmée se répare beaucoup plus lentement.
Comment SOVALYX peut vous aider
SOVALYX aide les fournisseurs mauriciens à constituer ce dossier de preuve avant l'arrivée du premier questionnaire. Un diagnostic d'infrastructure identifie vos écarts face aux exigences de type NIS2, puis un PRA automatisé et testé régulièrement produit les rapports d'exercice datés que vos clients attendent. La supervision 24/7 sous SLA vous permet de signer des délais de notification d'incident et des RTO que votre infrastructure tient réellement, plutôt que des clauses intenables.
Parler conformité avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.