BRIEFING SÉCURITÉ · 15.07.2026 DEENFRES

Actualités

Le plus faible des fournisseurs ouvre l’installation critique

Par Benedikt Langer · 11 juillet 2026 · 11 min de lecture

Un technicien de maintenance avec un badge d’usine et un accès à distance n’est pas un invité pour une station de transformation électrique ou une usine de traitement des eaux. Il fait partie de la surface d’attaque. Depuis le 17 mars 2026, la loi-cadre KRITIS rend cette vision obligatoire : quiconque exploite une installation critique est responsable de la fiabilité de ses fournisseurs comme de la sienne propre.

Les points clés

  • Nouveau cadre pour l’aspect physique. La loi-cadre KRITIS met en œuvre la directive EU-CER et réglemente pour la première fois de manière uniforme au niveau national la résilience des installations critiques. Elle complète les obligations en matière de sécurité informatique issues de la NIS2, sans les remplacer.
  • Le fournisseur est dans le champ d’application. Les fournisseurs et les techniciens de service ayant un accès physique ou numérique sont soumis aux mêmes exigences d’intégrité et de fiabilité que les employés proprement dits.
  • Le délai commence en juillet. À compter du 17 juillet 2026, les exploitants s’enregistrent sur la plateforme commune de la BBK (Office fédéral de gestion des crises) et du BSI (Office fédéral de la sécurité des technologies de l’information), au plus tard trois mois après leur classification en tant qu’installation critique.
  • Contrôle plutôt que prise de vue instantanée. Un contrôle unique des fournisseurs ne ferme pas le vecteur. L’accès, l’accès, les contrats et la reprise doivent inclure en permanence la chaîne d’approvisionnement.

Liens associés : Le Cyber Resilience Act s’applique également à vos actifs  ·  Cinq indicateurs clés que le conseil de surveillance comprend vraiment

Ce que la loi-cadre Dach modifie dans la chaîne d’approvisionnement

La loi-cadre KRITIS est en vigueur depuis le 17 mars 2026. Le cabinet l’avait décidée le 29 janvier, et le Bundesrat y a donné son accord. Sur le plan juridique, elle met en œuvre la directive UE 2022/2557 relative à la résilience des infrastructures critiques, également appelée directive CER. Cela crée pour la première fois un cadre uniforme au niveau fédéral, s’appliquant à tous les secteurs, pour la protection physique et la résilience des installations critiques.

Il est important de noter que cette loi est le complément physique de la partie IT, qui est couverte par la NIS2 et le BSIG. Environ 1 300 exploitants sont concernés par la logique CER et doivent désormais remplir des obligations de déclaration, disposer d’une gestion de la continuité des activités, démontrer la sécurité physique et la fiabilité du personnel, et mettre en place une gestion de crise solide. La chaîne d’approvisionnement est incluse dans chacun de ces domaines, non pas comme un appendice, mais comme une partie intégrante de l’installation.

La directive CER conçoit la résilience de manière large et intentionnelle. Elle ne se réfère pas seulement aux cyberattaques, mais à la panne en soi : que ce soit par sabotage, par un événement naturel, par la perte d’un fournisseur ou par une combinaison de ces facteurs. À ce stade, le monde physique rencontre le monde numérique. Un accès à distance manipulé constitue un incident cybernétique avec des conséquences physiques, tandis qu’un câble sectionné représente un incident physique avec des conséquences numériques. L’exploitant doit connaître les deux chaînes. Les deux mènent tôt ou tard à un fournisseur.

17 juillet

Début de l’enregistrement sur la plateforme de BBK et BSI (2026)

1 300

Exploitants concernés par la mise en œuvre de la directive CER

3 mois

Délai d’enregistrement après la classification en tant qu’installation critique

Le fournisseur se retrouve soudainement dans le champ d’application

La phrase qui séparait l’approvisionnement de la sécurité disparaît avec la loi-cadre. Les fournisseurs et les techniciens de service ayant un accès physique ou numérique à une installation critique sont soumis aux mêmes exigences d’intégrité et de fiabilité que les employés internes. L’accès à distance d’un fabricant, le technicien dans le poste de commande, le service cloud derrière le système de contrôle de processus : les trois sont, du point de vue de l’installation, des acteurs internes proches, et non externes.

Pour les exploitants, cela déplace une responsabilité. Jusqu’à présent, le prestataire de services était une question d’achat avec un contrat-cadre. Maintenant, c’est une question de sécurité avec un contrôle d’accès, des droits d’accès, une vérification des antécédents et une image claire de qui a accédé à quel système et quand. Celui qui délègue cette responsabilité au fournisseur et la laisse entre ses mains n’a pas rempli son devoir.

Définition · Installation critique

Un établissement dont la défaillance perturberait considérablement l’approvisionnement de la population, par exemple dans les domaines de l’énergie, de l’eau, de la santé ou des transports. La loi-cadre rend sa résilience obligatoire pour les exploitants et implique également ses fournisseurs dans cette obligation. Dans le contexte DACH (Allemagne, Autriche, Suisse), il est important de noter que cette loi-cadre vise à renforcer la sécurité des installations critiques, qui sont essentielles pour le fonctionnement de la société.

Pourquoi une liste d’audit ne ferme pas le vecteur

Un fournisseur peut avoir été vérifié, approuvé et validé une fois, mais l’installation peut néanmoins rester vulnérable. Le canal de maintenance à distance reste actif, l’ordinateur portable du technicien passe d’un client à l’autre, et le sous-traitant n’apparaît même pas dans le contrat. Un instantané du processus d’approvisionnement ne prend en compte aucun de ces états. Il procure une bonne impression et une case cochée dans le tableau.

La résilience n’apparaît que lorsque l’accès est géré de manière permanente. Le principe du moindre privilège pour les externes, les accès temporisés, la maintenance à distance enregistrée et une chaîne de déclaration qui fonctionne même lorsque l’incident débute chez le prestataire de services. Il ne s’agit pas d’un projet ponctuel, mais d’un mode de fonctionnement.

Et le canal ne s’arrête pas non plus chez le fournisseur direct. Le fournisseur de services cloud de ce dernier, sa plateforme de maintenance à distance, ses sous-traitants, tous ces éléments prolongent la chaîne et ajoutent des maillons qui ne figurent souvent même pas dans le contrat. Celui qui ne vérifie que le partenaire contractuel voit le risque s’arrêter une étape trop tôt. Pour les installations critiques, c’est justement cette profondeur cachée de la chaîne d’approvisionnement qui fait que la fiabilité sur le papier et la fiabilité dans la pratique peuvent diverger.

La responsabilité reste au sommet

La loi-cadre s’adresse aux exploitants, et non à leurs prestataires de services. Cette orientation est intentionnelle. La responsabilité de la résilience d’une installation critique repose sur sa direction et ne peut pas être transférée par contrat. Un exploitant peut acheter des services, mais il n’achète pas la responsabilité de leur sécurité avec.

Pour la direction générale, cela signifie une obligation de preuve. Elle doit être en mesure de démontrer que les risques liés aux fournisseurs sont identifiés, évalués et maîtrisés. Un registre qui documente cet examen fait, dans les cas graves, la différence entre une diligence prouvée et une accusation ouverte. La surveillance ne demandera pas si un prestataire de services a échoué, mais si l’exploitant avait un contrôle sur lui.

Ce que les exploitants doivent régler dans la chaîne d’approvisionnement

La première étape est sans surprise : une carte honnête de tous ceux qui ont accès physique ou numérique à l’installation depuis l’extérieur. Cela donne lieu à cinq leviers que la loi exige.

Le délai n’est pas une formalité.

17 mars 2026
La loi-cadre KRITIS (critique pour la sécurité de l’approvisionnement) entre en vigueur. Pour les lecteurs internationaux, il est important de noter que KRITIS fait référence aux infrastructures critiques en Allemagne, qui sont essentielles pour la sécurité de l’approvisionnement et la stabilité de l’État.
17 juillet 2026
L’enregistrement sur la plateforme du BBK (Office fédéral de gestion des situations de crise, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) et du BSI commence.
+3 mois
L’obligation d’enregistrement après la classification comme installation critique.

Les trois mois peuvent sembler un délai raisonnable. Dans la pratique, le temps passe vite lorsqu’il s’agit de ce qui manque avant : une image complète de ses propres fournisseurs. Ceux qui n’ont pas cette carte aujourd’hui devraient la créer avant le délai, et non après.

Foire aux questions

Chaque question est verrouillée. Un clic déverrouille la réponse.

Qu’est-ce que la loi-cadre KRITIS régit-elle ?

Il met en œuvre la directive UE-CER et crée un cadre uniforme au niveau fédéral pour la résilience physique des installations critiques : obligations de déclaration, gestion de la continuité des activités, sécurité physique, fiabilité du personnel et gestion de crise. Les obligations informatiques issues de la NIS2 restent inchangées.

À partir de quand les exploitants doivent-ils s’enregistrer ?

L’inscription sur la plateforme commune du BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Office fédéral de protection de la population et d’aide en cas de catastrophe) et du BSI (Bundesamt für Sicherheit in der Informationstechnik, Office fédéral de la sécurité des technologies de l’information) est possible à partir du 17 juillet 2026. Elle deviendra obligatoire au plus tard trois mois après la classification en tant qu’installation critique.

Les fournisseurs sont-ils vraiment soumis aux mêmes exigences ?

Les fournisseurs et les techniciens de service ayant un accès physique ou numérique à l’installation sont soumis aux mêmes exigences d’intégrité et de fiabilité que les employés internes. L’exploitant reste responsable, même s’il a acheté la prestation.

Comment la loi allemande sur le toit (Dachgesetz) se rapporte-t-elle à la directive NIS2, qui est une réglementation européenne visant à améliorer la cybersécurité des entités essentielles dans l’Union européenne, notamment dans les pays du DACH (Allemagne, Autriche, Suisse), où ces réglementations ont un impact significatif ?

Le NIS2 et le BSIG couvrent la sécurité informatique, la loi-cadre la sécurité physique et la résilience organisationnelle. Pour de nombreux opérateurs, les deux régimes s’appliquent en parallèle. Ils devraient être considérés comme un système de gouvernance unique, et non comme deux projets distincts.

Quel est le premier pas concret ?

Un répertoire complet de tous les externes ayant accès à l’installation, y compris les sous-traitants. Sans cette carte, il est impossible de renégocier les contrats ou de contrôler de manière sécurisée l’accès et l’accès.

Les choix de la rédaction

À lireLe risque de la chaîne d’approvisionnement est un programme, pas une liste d’auditÀ lireCe que la direction générale doit documenter au titre de NIS2À lireQuels droits de décision du CISO doivent être régis par écrit

Plus du réseau MBF Media

Digital ChiefsG?opolitique et datacenters : ce que les DSI s?curisentMyBusinessFutureAI Act de l’UE à partir d’août 2026 : ce que les PME doivent étiqueter maintenantcloudmagazinXFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme

Un magazine d'Evernine Media GmbH