{"id":15705,"date":"2026-05-23T08:39:37","date_gmt":"2026-05-23T08:39:37","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/05\/27\/nis2-trifft-cloud-act-wer-haftet-fuer-die-drittstaaten\/"},"modified":"2026-06-17T15:47:52","modified_gmt":"2026-06-17T15:47:52","slug":"nis2-rencontre-le-cloud-act-qui-est-responsable-de-la-faille-des-tiers-etats","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/05\/23\/nis2-rencontre-le-cloud-act-qui-est-responsable-de-la-faille-des-tiers-etats\/","title":{"rendered":"NIS2 rencontre le CLOUD Act : qui est responsable de la faille des tiers \u00c9tats ?"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">8 min de lecture<\/p>\n<p><strong>NIS2 oblige les exploitants allemands \u00e0 v\u00e9rifier leurs cha\u00eenes d&rsquo;approvisionnement, ce qui contrecarre le US CLOUD Act en m\u00eame temps. Quiconque exploite un hyperscaler am\u00e9ricain avec des donn\u00e9es allemandes se retrouve face \u00e0 deux autorit\u00e9s exigeant un acc\u00e8s contradictoire. La responsabilit\u00e9 ne repose plus en 2026 sur les achats, mais sur la direction g\u00e9n\u00e9rale.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Les points cl\u00e9s en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">La direction engage sa responsabilit\u00e9 personnelle.<\/strong> NIS2 fait de la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement une d\u00e9cision de gestion devant \u00eatre document\u00e9e. Le transfert au CISO n&rsquo;all\u00e8ge pas cette obligation.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Le US CLOUD Act ne contourne pas secr\u00e8tement Schrems II.<\/strong> Qui signe des clauses contractuelles types avec AWS, Azure ou GCP voit les clauses conflictuelles figurer dans ses propres documents contractuels. Elles sont document\u00e9es, elles sont ignor\u00e9es.<\/li>\n<li><strong style=\"color:#69d8ed;\">Le risque tiers n&rsquo;est pas limit\u00e9 aux \u00c9tats-Unis.<\/strong> Les services cloud avec sous-op\u00e9rateurs en Inde, en Isra\u00ebl ou aux Philippines se trouvent dans la m\u00eame situation. NIS2 exige une vision des risques int\u00e9grant les sous-fournisseurs.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#666;margin:20px 0 32px 0;border-top:1px solid #e5e5e5;border-bottom:1px solid #e5e5e5;padding:10px 0;\"><span style=\"color:#004a59;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Similaire :<\/span><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/18\/conformite-nis2-dans-les-entreprises-de-taille-moyenne-etapes-realisables\/\" style=\"color:#333;text-decoration:underline;\">Conformit\u00e9 NIS2 dans les PME : \u00e9tapes r\u00e9alisables<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/22\/dora-et-nis2-pourquoi-les-audits-bancaires-entrent-en-collision\/\" style=\"color:#333;text-decoration:underline;\">DORA et NIS2 : pourquoi les audits bancaires entrent d\u00e9sormais en collision<\/a><\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Ce que l&rsquo;obligation de cha\u00eene d&rsquo;approvisionnement NIS2 exige r\u00e9ellement<\/h2>\n<p><strong>Qu&rsquo;est-ce que la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement selon NIS2 ?<\/strong> La s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement au sens de la directive NIS2 oblige les entit\u00e9s concern\u00e9es \u00e0 \u00e9valuer syst\u00e9matiquement, documenter et s\u00e9curiser contractuellement la s\u00e9curit\u00e9 de leurs fournisseurs et prestataires. Cela inclut les fournisseurs de services cloud, les prestataires de services g\u00e9r\u00e9s et les fournisseurs de logiciels. La responsabilit\u00e9 incombe \u00e0 la direction g\u00e9n\u00e9rale et n&rsquo;est pas d\u00e9l\u00e9gable.<\/p>\n<p>L&rsquo;article 21 paragraphe 2 point d de la directive NIS2 et sa mise en \u0153uvre dans le NIS2UmsuCG exigent explicitement que la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement soit int\u00e9gr\u00e9e \u00e0 la gestion des risques. La loi nomme quatre points pr\u00e9cis : les vuln\u00e9rabilit\u00e9s des fournisseurs directs, les pratiques de s\u00e9curit\u00e9 des fournisseurs, la r\u00e9action aux incidents de s\u00e9curit\u00e9 dans la cha\u00eene, et la fiabilit\u00e9 de cette relation fournisseur tout au long de la dur\u00e9e du contrat.<\/p>\n<p>Celui qui met cela en \u0153uvre dans la pratique ne peut \u00e9viter une question : quels fournisseurs de cloud font partie de sa propre cha\u00eene d&rsquo;approvisionnement, et quels sous-fournisseurs ont-ils eux-m\u00eames int\u00e9gr\u00e9s. Dans le cadre d&rsquo;un audit, r\u00e9pondre \u00ab\u00a0nous utilisons Azure\u00a0\u00bb est insuffisant. Une vue \u00e0 deux niveaux d&rsquo;intervalle est requise.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Comment le US CLOUD Act contourne la protection europ\u00e9enne<\/h2>\n<p>L&rsquo;US Clarifying Lawful Overseas Use of Data Act de 2018 permet aux autorit\u00e9s am\u00e9ricaines de poursuite p\u00e9nale d&rsquo;exiger des donn\u00e9es aupr\u00e8s des fournisseurs am\u00e9ricains, ind\u00e9pendamment de l&#8217;emplacement de stockage de ces donn\u00e9es. AWS, Microsoft et Google sont des fournisseurs am\u00e9ricains. Le choix d&rsquo;une r\u00e9gion allemande ne change rien \u00e0 cet \u00e9gard. Le fournisseur est tenu de coop\u00e9rer, tandis que le client allemand n&rsquo;est inform\u00e9 dans de nombreux cas.<\/p>\n<p>Ce n&rsquo;est pas un secret. Cela figure dans les contrats de traitement des donn\u00e9es des hyperscalers, g\u00e9n\u00e9ralement sous la rubrique \u00ab Government Access Requests \u00bb ou \u00ab Law Enforcement Demands \u00bb. Ceux qui ne l&rsquo;ont pas lu n&rsquo;ont pas rempli leur obligation de diligence envers leurs fournisseurs. Ceux qui l&rsquo;ont lu et ignor\u00e9 ont un autre probl\u00e8me : ils savent que leurs clauses contractuelles types conformes \u00e0 Schrems II c\u00e8dent en cas de conflit, et ont sign\u00e9 malgr\u00e9 tout.<\/p>\n<p>Dans son arr\u00eat Schrems II de 2020, la CJUE a jug\u00e9 que les clauses contractuelles types ne suffisent que si le niveau de protection du pays tiers est effectivement \u00e9quivalent. Le CLOUD Act ne rend pas ce niveau \u00e9quivalent. Le cadre UE-\u00c9tats-Unis sur la protection des donn\u00e9es (Data Privacy Framework) de 2023 att\u00e9nue cela au niveau applicatif, mais ne r\u00e9sout pas le conflit structurel. Les autorit\u00e9s de protection des donn\u00e9es et les r\u00e9gulateurs l&rsquo;\u00e9valuent diff\u00e9remment, ce qui ne facilite pas la conformit\u00e9.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;background:linear-gradient(135deg,#f0fcff 0%,#e0f7fa 100%);padding:24px 28px;margin:32px 0;font-style:italic;font-size:1.1em;color:#003340;border-radius:4px;\"><p>\nQui utilise un hyperscaler am\u00e9ricain accepte contractuellement une clause d&rsquo;acc\u00e8s par les autorit\u00e9s, qui entre en conflit avec la protection des donn\u00e9es europ\u00e9enne. Il s&rsquo;agit d&rsquo;une prise de risque consciente, non d&rsquo;une faiblesse technique r\u00e9siduelle.\n<\/p><\/blockquote>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Les pays tiers ne se limitent pas aux \u00c9tats-Unis<\/h2>\n<p>Le d\u00e9bat public se concentre sur les fournisseurs am\u00e9ricains. La r\u00e9alit\u00e9 des cha\u00eenes d&rsquo;approvisionnement est bien plus large. Un SOC g\u00e9r\u00e9 par un MSSP allemand travaille souvent avec des analystes bas\u00e9s en Inde, un fournisseur de sauvegarde cloud stocke ses donn\u00e9es en Pologne et ses copies de s\u00e9curit\u00e9 en Isra\u00ebl, et un \u00e9diteur SaaS de logiciels RH dispose de p\u00f4les de d\u00e9veloppement au Vietnam. Chacun de ces sites poss\u00e8de sa propre logique d&rsquo;acc\u00e8s des autorit\u00e9s et sa propre interpr\u00e9tation de l&rsquo;exportation de donn\u00e9es.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:560px;border-collapse:collapse;font-size:0.95em;\">\n<thead>\n<tr style=\"background:#003340;color:#fff;\">\n<th style=\"padding:12px 16px;text-align:left;border:1px solid #003340;\">R\u00e9gion<\/th>\n<th style=\"padding:12px 16px;text-align:left;border:1px solid #003340;\">Acc\u00e8s des autorit\u00e9s (r\u00e9sum\u00e9)<\/th>\n<th style=\"padding:12px 16px;text-align:left;border:1px solid #003340;\">\u00c9valuation NIS2 dans l&rsquo;espace de donn\u00e9es<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>\u00c9tats-Unis<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">CLOUD Act, FISA 702<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">\u00c9lev\u00e9, avec conflit r\u00e9siduel li\u00e9 \u00e0 Schrems II<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>Royaume-Uni<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">Investigatory Powers Act, d\u00e9cision d&rsquo;ad\u00e9quation de l&rsquo;UE<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">Moyen, ad\u00e9quation sous surveillance<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>Inde<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">IT Act Section 69, DPDP Act 2023<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">\u00c9lev\u00e9, sans d\u00e9cision d&rsquo;ad\u00e9quation<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>Isra\u00ebl<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">Privacy Protection Law, d\u00e9cision d&rsquo;ad\u00e9quation de l&rsquo;UE<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">Moyen, risques r\u00e9siduels sectoriels<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\"><strong>Philippines<\/strong><\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;\">Data Privacy Act, acc\u00e8s des autorit\u00e9s via le cadre AML<\/td>\n<td style=\"padding:12px 16px;border:1px solid #ddd;color:#003340;font-weight:600;\">\u00c9lev\u00e9, souvent sous-traitant sans contrat<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p style=\"font-size:0.8em;color:#888;margin-top:8px;\">Source : Analyse propre bas\u00e9e sur le NIS2UmsuCG et les d\u00e9cisions d&rsquo;ad\u00e9quation de la Commission europ\u00e9enne, arr\u00eat\u00e9e en mai 2026.<\/p>\n<p>Un registre des risques qui ne refl\u00e8te pas cette dimension est vuln\u00e9rable lors d&rsquo;un audit NIS2. L&rsquo;autorit\u00e9 de contr\u00f4le ne s&rsquo;int\u00e9resse pas \u00e0 vos fournisseurs pr\u00e9f\u00e9r\u00e9s, mais \u00e0 votre m\u00e9thodologie d&rsquo;\u00e9valuation. Si vous comptez cinq sous-traitants dans trois pays tiers et que vous ne disposez d&rsquo;aucune \u00e9valuation \u00e9crite du risque d&rsquo;acc\u00e8s des autorit\u00e9s, vous n&rsquo;avez pas formellement respect\u00e9 les obligations de diligence requises par la directive NIS2.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">O\u00f9 les pi\u00e8ges de responsabilit\u00e9 se referment r\u00e9ellement<\/h2>\n<p>Trois situations concr\u00e8tes r\u00e9v\u00e8lent la responsabilit\u00e9 personnelle de la direction. Premi\u00e8rement, en cas d&rsquo;incident de s\u00e9curit\u00e9 avec fuite de donn\u00e9es : si l&rsquo;enqu\u00eate d\u00e9montre que la cha\u00eene d&rsquo;approvisionnement n&rsquo;a pas \u00e9t\u00e9 \u00e9valu\u00e9e, cela constitue un manquement au devoir de diligence. Deuxi\u00e8mement, lors d&rsquo;un audit sans incident : une autorit\u00e9 de contr\u00f4le peut sanctionner l&rsquo;absence de documentation m\u00eame en l&rsquo;absence de pr\u00e9judice. Troisi\u00e8mement, dans le cadre d&rsquo;une proc\u00e9dure civile : si des donn\u00e9es clients sont compromises suite \u00e0 un transfert vers un pays tiers, des actions en r\u00e9paration sont engag\u00e9es, dont le montant du litige d\u00e9pend directement du volume de donn\u00e9es concern\u00e9es.<\/p>\n<div style=\"background:#003340;color:#fff;text-align:center;padding:40px 24px;margin:32px 0;border-radius:8px;\">\n<div style=\"font-size:3.4em;font-weight:800;color:#69d8ed;letter-spacing:-0.03em;line-height:1;\">10 Mio. \u20ac<\/div>\n<div style=\"font-size:1em;color:rgba(255,255,255,0.88);margin-top:12px;max-width:520px;margin-left:auto;margin-right:auto;line-height:1.5;\">ou 2 % du chiffre d&rsquo;affaires consolid\u00e9, tel est le plafond d&rsquo;amende pr\u00e9vu par la directive NIS2 pour les entit\u00e9s essentielles en cas de manquements syst\u00e9miques aux obligations. Les d\u00e9faillances dans la gestion de la cha\u00eene d&rsquo;approvisionnement entrent dans cette cat\u00e9gorie.<\/div>\n<div style=\"font-size:0.78em;color:rgba(255,255,255,0.5);margin-top:12px;\">Source : Projet de loi NIS2UmsuCG, publication au Journal officiel f\u00e9d\u00e9ral 2024.<\/div>\n<\/div>\n<p>Les hyperscalers ne seront pas les principaux mis en cause dans ces proc\u00e9dures. Leurs conditions g\u00e9n\u00e9rales d&rsquo;utilisation d\u00e9finissent clairement ce qu&rsquo;ils fournissent et ce qu&rsquo;ils ne fournissent pas. Les v\u00e9ritables responsables seront les donneurs d&rsquo;ordre qui ont sign\u00e9 sans pr\u00e9voir contractuellement les implications. C&rsquo;est pr\u00e9cis\u00e9ment cette construction juridique que la directive NIS2 entend d\u00e9sormais traiter explicitement.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Quatre \u00e9tapes concr\u00e8tes qui doivent maintenant figurer dans le registre des risques<\/h2>\n<p>\u00c9tape un : Inventaire des fournisseurs li\u00e9s \u00e0 des pays tiers. Quel fournisseur, quel contrat, quel lieu de traitement effectif, quel sous-traitant. Celui qui peut r\u00e9duire cela \u00e0 une feuille Excel doit \u00eatre en mesure de la pr\u00e9senter \u00e0 une autorit\u00e9 de contr\u00f4le.<\/p>\n<p>\u00c9tape deux : \u00c9valuation \u00e9crite des risques par fournisseur. Pas \u00ab nous faisons confiance \u00e0 AWS \u00bb, mais : quels sont les droits d&rsquo;acc\u00e8s des autorit\u00e9s, quelles cat\u00e9gories de donn\u00e9es sont concern\u00e9es, quelles mesures att\u00e9nuent le risque. La cryptage avec des cl\u00e9s client est une mesure, la restriction g\u00e9ographique en est une autre. Les deux doivent \u00eatre document\u00e9es.<\/p>\n<p>\u00c9tape trois : Renforcement contractuel. Les clauses contractuelles standard plus des mesures suppl\u00e9mentaires de protection sont obligatoires, pas recommand\u00e9es. Cela signifie concr\u00e8tement : contr\u00f4le du chiffrement, droit d&rsquo;audit, obligation de signaler aux autorit\u00e9s, clauses de sortie avec un chemin de transfert des donn\u00e9es.<\/p>\n<p>\u00c9tape quatre : D\u00e9cision de direction. Le choix du fournisseur et l&rsquo;\u00e9valuation du risque r\u00e9siduel doivent \u00eatre document\u00e9s dans une d\u00e9cision prise par la direction. Pas sur une diapositive de strat\u00e9gie cloud. Dans un compte-rendu que l&rsquo;autorit\u00e9 de contr\u00f4le puisse suivre.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Quand un changement vers des fournisseurs europ\u00e9ens est r\u00e9aliste<\/h2>\n<p>La r\u00e9ponse honn\u00eate est : non pour toutes les charges de travail, pas tout de suite. L&rsquo;initiative European Open Cloud ainsi que des offres souveraines comme OVHcloud, Open Telekom Cloud ou Stackit couvrent un spectre croissant, mais elles ne remplacent pas toutes les fonctions techniques d&rsquo;un hyperscaler. Celui qui a besoin d&rsquo;\u00e9quivalents tels que Bedrock-Inference, Aurora Serverless ou des fonctionnalit\u00e9s sp\u00e9cifiques Microsoft Identity n&rsquo;a aujourd&rsquo;hui aucun remplacement 1:1.<\/p>\n<p>Ce n&rsquo;est pas une raison pour rester dans la situation actuelle. C&rsquo;est une raison d&rsquo;adopter une architecture diff\u00e9renci\u00e9e. Les cat\u00e9gories de donn\u00e9es sensibles migrent vers des fournisseurs europ\u00e9ens ou restent sur site. Les charges de travail g\u00e9n\u00e9riques restent sur l&rsquo;hyperscaler, accompagn\u00e9es de mesures de protection document\u00e9es. L&rsquo;architecture plateforme 2026 sera polyglotte, pas soit-disant-soit.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Foire aux questions<\/h2>\n<h3>Le cadre de protection des donn\u00e9es UE-\u00c9tats-Unis est-il une base suffisante pour l&rsquo;utilisation des clouds am\u00e9ricains ?<\/h3>\n<p>Le cadre de 2023 a r\u00e9tabli le jugement sur l&rsquo;ad\u00e9quation et constitue la base juridique actuelle. Plusieurs autorit\u00e9s de protection des donn\u00e9es et des avis juridiques s&rsquo;attendent cependant \u00e0 un nouveau proc\u00e8s devant la Cour de justice de l&rsquo;Union europ\u00e9enne (CJUE), qui v\u00e9rifiera \u00e0 nouveau la solidit\u00e9 de ce cadre. Celui qui s&rsquo;appuie uniquement sur ce cadre accepte le risque d&rsquo;une d\u00e9cision Schrems III. Un cadre combin\u00e9 \u00e0 des mesures techniques suppl\u00e9mentaires, notamment le chiffrement avec des cl\u00e9s client, est fiable.<\/p>\n<h3>Une cryptage sur l&rsquo;hyperscaler suffit-il \u00e0 se prot\u00e9ger contre le CLOUD Act ?<\/h3>\n<p>Une cryptage c\u00f4t\u00e9 serveur du fournisseur ne suffit pas, car le fournisseur g\u00e8re les cl\u00e9s et peut \u00eatre contraint de les transmettre dans le cadre d&rsquo;une proc\u00e9dure administrative. Les solutions Bring-Your-Own-Key ou Hold-Your-Own-Key avec gestion externe des cl\u00e9s combinent techniquement cette lacune, \u00e0 condition que le gestionnaire de cl\u00e9s lui-m\u00eame ne soit pas accessible selon le droit am\u00e9ricain. Il convient \u00e9galement de noter que tous les fournisseurs ne proposent pas HYOK pour tous les services.<\/p>\n<h3>Que se passe-t-il si un hyperscaler re\u00e7oit un ordre CLOUD Act ?<\/h3>\n<p>Le fournisseur est tenu de fournir les donn\u00e9es demand\u00e9es. Il peut d\u00e9poser un recours, ce qui r\u00e9ussit rarement en pratique. Une notification au client n\u2019a souvent pas lieu, car l\u2019ordre peut comporter une obligation de silence. Le commanditaire apprend g\u00e9n\u00e9ralement seulement ult\u00e9rieurement, lors d\u2019un proc\u00e8s, que des donn\u00e9es ont \u00e9t\u00e9 transmises.<\/p>\n<h3>Les petites entreprises doivent-elles effectuer des v\u00e9rifications de cha\u00eene d&rsquo;approvisionnement NIS2 ?<\/h3>\n<p>Les obligations NIS2 s&rsquo;appliquent \u00e0 partir d&rsquo;une certaine taille ou si l&rsquo;activit\u00e9 rel\u00e8ve d&rsquo;un secteur r\u00e9glement\u00e9. Les petites entreprises ne sont g\u00e9n\u00e9ralement pas directement tenues de le faire, mais sont incluses contractuellement dans l\u2019examen par leurs clients soumis \u00e0 NIS2. Cela d\u00e9place effectivement l&rsquo;obligation vers la cha\u00eene d&rsquo;approvisionnement. Si une PME a un client soumis \u00e0 NIS2, elle doit pouvoir fournir des informations.<\/p>\n<div style=\"margin:40px 0;padding:0;border-top:2px solid #004a59;\">\n<h3 style=\"margin:0;padding:16px 0 8px 0;font-size:0.78em;font-weight:700;text-transform:uppercase;letter-spacing:0.18em;color:#004a59;\">Conseils de lecture de la r\u00e9daction<\/h3>\n<ul style=\"list-style:none;margin:0;padding:0;\">\n<li style=\"padding:10px 0;border-bottom:1px solid #eee;\"><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/18\/conformite-nis2-dans-les-entreprises-de-taille-moyenne-etapes-realisables\/\" style=\"color:#1a1a1a;text-decoration:none;\">NIS2-Compliance dans le milieu des PME : des \u00e9tapes r\u00e9alisables<\/a><\/li>\n<li style=\"padding:10px 0;border-bottom:1px solid #eee;\"><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/22\/dora-et-nis2-pourquoi-les-audits-bancaires-entrent-en-collision\/\" style=\"color:#1a1a1a;text-decoration:none;\">DORA et NIS2 : pourquoi les audits bancaires s&rsquo;opposent maintenant<\/a><\/li>\n<li style=\"padding:10px 0;\"><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/17\/72-pour-cent-de-la-defense-contre-la-cybercriminalite-proviennent-de-letranger\/\" style=\"color:#1a1a1a;text-decoration:none;\">72 % des forces de d\u00e9fense cyber viennent d&rsquo;ailleurs<\/a><\/li>\n<\/ul>\n<\/div>\n<div style=\"margin:40px 0 24px 0;\">\n<p style=\"margin:0 0 12px 0;font-size:0.78em;font-weight:700;text-transform:uppercase;letter-spacing:0.18em;color:#666;\">Plus dans le r\u00e9seau MBF Media<\/p>\n<div style=\"padding:14px 18px;border-left:3px solid #0bb7fd;background:#fafafa;margin-bottom:6px;\">\n<div style=\"font-size:0.7em;font-weight:700;color:#0bb7fd;text-transform:uppercase;letter-spacing:0.12em;margin-bottom:4px;\">cloudmagazin<\/div>\n<p><a href=\"https:\/\/www.cloudmagazin.com\/2026\/05\/23\/eks-1-36-wird-teuer-wenn-die-finops-disziplin-fehlt\/\" style=\"font-weight:600;line-height:1.4;color:#1a1a1a;text-decoration:none;\">EKS 1.36 devient co\u00fbteux si la discipline FinOps manque<\/a>\n<\/div>\n<div style=\"padding:14px 18px;border-left:3px solid #F21F05;background:#fafafa;margin-bottom:6px;\">\n<div style=\"font-size:0.7em;font-weight:700;color:#F21F05;text-transform:uppercase;letter-spacing:0.12em;margin-bottom:4px;\">mybusinessfuture<\/div>\n<p><a href=\"https:\/\/mybusinessfuture.com\/wer-drei-tage-braucht-hat-den-lead-schon-verloren\/\" style=\"font-weight:600;line-height:1.4;color:#1a1a1a;text-decoration:none;\">Qui met trois jours \u00e0 agir a d\u00e9j\u00e0 perdu le lead<\/a>\n<\/div>\n<div style=\"padding:14px 18px;border-left:3px solid #d65663;background:#fafafa;\">\n<div style=\"font-size:0.7em;font-weight:700;color:#d65663;text-transform:uppercase;letter-spacing:0.12em;margin-bottom:4px;\">digital-chiefs<\/div>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/dax-konzerne-verlieren-tech-talent-an-den-mittelstand\/\" style=\"font-weight:600;line-height:1.4;color:#1a1a1a;text-decoration:none;\">Les grands groupes DAX perdent du talent technique vers les PME<\/a>\n<\/div>\n<\/div>\n<p style=\"text-align:right;color:#868e96;font-size:0.85em;margin-top:48px;\"><em>Source d&rsquo;image : g\u00e9n\u00e9r\u00e9e par l&rsquo;IA (mai 2026), certificat C2PA inclus dans l&rsquo;image<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"La directive NIS2 impose la s\u00e9curisation des cha\u00eenes d&rsquo;approvisionnement, tandis que le CLOUD Act am\u00e9ricain contrecarre la protection europ\u00e9enne.","protected":false},"author":10,"featured_media":15398,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"","_yoast_wpseo_title":"NIS2 rencontre le CLOUD Act : qui est responsable de la faille des tiers \u00c9tats ?","_yoast_wpseo_metadesc":"NIS2 exige la s\u00e9curit\u00e9 des cha\u00eenes logistiques, mais le **Cloud Act** am\u00e9ricain la contourne.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["nis2-trifft-cloud-act-wer-haftet-fuer-die-drittstaaten"],"footnotes":""},"categories":[252,260],"tags":[],"class_list":["post-15705","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites","category-strategie-governance-fr"],"evm_reading_time_minutes":11,"wpml_language":"fr","wpml_translation_of":15393,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/15705","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=15705"}],"version-history":[{"count":1,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/15705\/revisions"}],"predecessor-version":[{"id":15709,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/15705\/revisions\/15709"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/15398"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=15705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=15705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=15705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}