La certification AEOS (Opérateur Économique Agréé pour la sécurité) ne se limite pas aux frontières de votre entreprise. Chaque maillon de la chaîne d’approvisionnement internationale peut devenir un point de vulnérabilité : un fournisseur informatique avec des systèmes obsolètes, un partenaire logistique sans contrôles adéquats, un sous-traitant inconnu. Le Code des douanes de l’Union vous rend responsable de la sécurité de l’ensemble de la chaîne, même lorsque les opérations sont externalisées.

Responsabilité partagée : pourquoi vos partenaires comptent

En tant qu’Opérateur Économique Agréé, vous êtes responsable de votre segment dans la chaîne d’approvisionnement. Mais la sécurité des marchandises dépend également des normes appliquées par ceux qui travaillent avec vous. L’article 28, paragraphe 1, point d) du Règlement d’exécution établit que vous devez démontrer comment vous identifiez vos partenaires commerciaux et comment vous garantissez la sécurité par le biais d’accords contractuels appropriés.

Il n’est pas obligatoire que tous vos fournisseurs soient certifiés OEA, mais vous devez vous assurer qu’ils respectent des normes de sécurité acceptables. Cela vaut surtout pour ceux qui gèrent des services critiques : fournisseurs informatiques, opérateurs logistiques, transporteurs internationaux. Une évaluation des risques périodique vous aide à identifier quels partenaires représentent un risque élevé et nécessitent des contrôles plus stricts.

Clauses contractuelles : sécuriser les accords avec les fournisseurs

Les accords écrits sont le premier niveau de protection. Pour les fournisseurs de services informatiques ou logistiques, insérez des clauses prévoyant :

• L’obligation de protéger les systèmes informatiques contre les manipulations non autorisées
• L’interdiction de sous-traiter des services à des tiers inconnus sans garanties de sécurité
• La protection des données d’entreprise et douanières contenues dans les contrats
• L’engagement à signaler rapidement tout incident de sécurité

Si votre organisation doit également respecter la directive NIS2, gardez à l’esprit que les exigences de gestion des fournisseurs se chevauchent : les deux réglementations exigent des contrôles sur la chaîne d’approvisionnement numérique et physique.

Audits et vérifications : du papier à la réalité

Les clauses contractuelles ne suffisent pas. Vous devez vérifier que les partenaires respectent concrètement les engagements pris. Mettez en œuvre des procédures de suivi via :

• Des audits de sécurité menés directement ou par des experts tiers dans les locaux des partenaires
• Des visites régulières pour vérifier le respect des normes physiques et informatiques
• La demande de déclarations de sécurité ou de certifications internationales telles que ISO 27001

Un fournisseur informatique qui gère vos systèmes douaniers devrait démontrer des processus de protection des données, des sauvegardes sécurisées et une gestion des accès. Un opérateur logistique devrait garantir des contrôles physiques sur les entrepôts, une vidéosurveillance et des procédures d’accès contrôlé. Pour évaluer la sécurité des systèmes applicatifs utilisés par les partenaires, envisagez de demander des tests de sécurité des applications qui vérifient l’absence de vulnérabilités critiques.

Questions fréquentes sur la sécurité des partenaires commerciaux

• Est-il obligatoire que les fournisseurs soient certifiés OEA ?
• Non. Vous n’êtes pas tenu d’exiger que vos partenaires soient certifiés OEA. Cependant, vous devez garantir qu’ils respectent des normes de sécurité adéquates pour protéger la chaîne d’approvisionnement. Vous pouvez accepter des fournisseurs non certifiés si vous démontrez qu’ils appliquent des contrôles équivalents.
• Comment vérifier la sécurité d’un fournisseur informatique ?
• La vérification s’effectue par l’analyse des processus de protection des données, la demande de certifications ISO 27001, l’envoi de questionnaires d’auto-évaluation ou la réalisation d’audits techniques et d’inspections sur site. Vous pouvez également demander des rapports de tests d’intrusion (penetration tests) ou d’évaluations de vulnérabilité réalisés par des tiers.
• Quelles clauses contractuelles sont recommandées ?
• Il est recommandé d’inclure des clauses sur la protection du système informatique, des obligations de notification en cas d’incident, le droit d’effectuer des audits périodiques et des restrictions sur la sous-traitance à des tiers non identifiés. Incluez également des pénalités en cas de violation des normes de sécurité convenues.
• L’opérateur OEA reste-t-il responsable en cas d’incident chez un fournisseur ?
• Oui. Vous pouvez externaliser les activités techniques, mais vous ne pouvez pas externaliser la responsabilité du respect des critères OEA vis-à-vis des autorités douanières. Si un fournisseur provoque un incident de sécurité, les conséquences retombent également sur vous.
• L’évaluation des risques doit-elle inclure la chaîne d’approvisionnement numérique ?
• Oui. L’analyse des risques et des menaces doit couvrir tous les aspects pertinents pour les activités douanières, y compris les systèmes informatiques, les fournisseurs de services externes et la sécurité des informations échangées avec les partenaires. Considérez également les risques liés aux fournisseurs de cloud, aux éditeurs de logiciels et aux intégrateurs de systèmes.

Le statut AEOS exige un suivi constant des partenaires commerciaux. La sécurité de la chaîne d’approvisionnement n’est pas un document à signer, mais un processus continu de vérification, d’audit et d’amélioration. Ce n’est qu’ainsi que vous pourrez garantir que chaque maillon de la chaîne respecte les normes exigées par la réglementation européenne. Pour maintenir un contrôle efficace sur les vulnérabilités de l’ensemble de la chaîne, mettez en œuvre un système de gestion continue des vulnérabilités qui couvre également les systèmes des partenaires critiques.

Approfondissements connexes

• Certification OEA et cybersécurité : exigences et normes
• Test d’intrusion réseau pour AEOS : vérification de la sécurité périmétrique
• Audit OEA et test de vulnérabilité : préparation et conformité
• Gouvernance de la sécurité AEOS : politiques et procédures
• Surveillance SOC et réponse aux incidents pour les opérateurs OEA
• Formation cyber pour les opérateurs OEA : sensibilisation et compétences