Le contrat est le premier outil de sécurité face à un tiers : il transforme des attentes en obligations opposables. Cette famille (S1, domaine Fournisseurs) fixe les clauses de sécurité (périmètre, responsabilités), le droit d'audit, l'obligation de notification d'incident avec délais alignés CRA/NIS2, et l'engagement de conformité CRA/NIS2.
Tant que rien n'est écrit, une exigence de sécurité reste un vœu : on ne réclame ni correctif, ni audit, ni alerte qu'on n'a jamais stipulés. Un fournisseur compromis n'a alors aucune obligation de vous prévenir, et vous l'apprenez par la presse, des mois trop tard. Le droit d'audit sort ses pratiques de la boîte noire ; le délai de notification chiffré, aligné CRA/NIS2, vous rend le temps de réaction qui sépare un incident contenu d'une fuite généralisée ; l'engagement de conformité reporte la charge réglementaire là où elle doit être portée, au lieu de la subir par ricochet.
Concrètement, ces exigences parent : l'exigence de sécurité non opposable faute d'écrit, le fournisseur compromis qui tait l'incident, l'absence de droit d'audit qui laisse ses pratiques invérifiables, et la non-conformité réglementaire qui se propage jusqu'à vous. Quatre exigences, des fondamentales (R1) aux renforcées (R2).
Sans cadre contractuel, aucun levier en cas d'incident ou de non-conformité fournisseur.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »clauses de sécurité dans le contrat : exigences, responsabilités, périmètre.#
Un contrat muet sur la sécurité rend toute exigence non opposable : impossible de réclamer un correctif ou un audit qu'on n'a jamais stipulé. Inscrire exigences, responsabilités et périmètre dans le contrat donne une base juridique pour exiger, et clarifie qui répond de quoi le jour d'un incident.
- Preuve attendue
- Contrat fournisseur comportant des clauses de sécurité explicites.
Correspondances & menaces parées 4 standards · 1 menace
Une personne disposant légitimement du droit de publier (mainteneur, éditeur) introduit volontairement une modification nuisible dans le code ou l'artefact. L'attaque vient de l'intérieur de la chaîne de confiance : ni la revue ni la signature ne la détectent, puisque l'auteur est autorisé. Cas typiques : rachat de paquet, compte de mainteneur revendu, contributeur de longue date devenu hostile SLSA (A) CNCF Malicious Maintainer.
droit d'audit et obligation de transparence du fournisseur.#
Sans droit d'audit, vous croyez le fournisseur sur parole et ses pratiques réelles restent une boîte noire. Une clause de droit d'audit et d'obligation de transparence vous autorise à vérifier (rapports, preuves, audit sur site) au lieu de subir des déclarations invérifiables, surtout sur un fournisseur critique.
- Preuve attendue
- Clause de droit d'audit ; preuves de transparence obtenues.
Correspondances & menaces parées 3 standards · 1 menace
Une personne disposant légitimement du droit de publier (mainteneur, éditeur) introduit volontairement une modification nuisible dans le code ou l'artefact. L'attaque vient de l'intérieur de la chaîne de confiance : ni la revue ni la signature ne la détectent, puisque l'auteur est autorisé. Cas typiques : rachat de paquet, compte de mainteneur revendu, contributeur de longue date devenu hostile SLSA (A) CNCF Malicious Maintainer.
obligation de notification d'incident et délais, alignés CRA/NIS2.#
Apprendre trois mois après qu'un fournisseur a été compromis, c'est trois mois d'exposition silencieuse. Fixer un délai de notification chiffré, le déclencheur et le canal, alignés sur CRA et NIS2, vous rend le temps de réaction qui sépare un incident contenu d'une fuite généralisée.
- Preuve attendue
- Clause de notification d'incident avec délais contractuels.
Correspondances & menaces parées 3 standards · 1 menace
Le canal par lequel le logiciel est distribué (site de téléchargement, CDN, miroir, mise à jour) est compromis pour livrer une version trojanisée aux utilisateurs finaux. La compromission frappe en aval de la production, au plus près des victimes SLSA (G).
engagement de conformité CRA / NIS2 du fournisseur.#
Le CRA et NIS2 imposent des obligations qui se propagent dans la chaîne : si votre fournisseur n'est pas conforme, votre propre conformité s'effondre par ricochet. Un engagement contractuel de conformité reporte la charge réglementaire là où elle doit être portée et vous évite d'hériter de son retard.
- Preuve attendue
- Engagement contractuel de conformité CRA/NIS2.
Correspondances & menaces parées 3 standards · 1 menace
Une personne disposant légitimement du droit de publier (mainteneur, éditeur) introduit volontairement une modification nuisible dans le code ou l'artefact. L'attaque vient de l'intérieur de la chaîne de confiance : ni la revue ni la signature ne la détectent, puisque l'auteur est autorisé. Cas typiques : rachat de paquet, compte de mainteneur revendu, contributeur de longue date devenu hostile SLSA (A) CNCF Malicious Maintainer.