{"id":20898,"date":"2026-06-21T11:00:00","date_gmt":"2026-06-21T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20898"},"modified":"2026-07-09T16:17:10","modified_gmt":"2026-07-09T16:17:10","slug":"le-risque-de-la-chaine-dapprovisionnement-est-un-programme-et-non-une-liste","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/06\/21\/le-risque-de-la-chaine-dapprovisionnement-est-un-programme-et-non-une-liste\/","title":{"rendered":"Le risque de la cha\u00eene d&rsquo;approvisionnement est un programme, pas une liste d&rsquo;audit"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lecture<\/p>\n<p><strong>La liste des fournisseurs \u00e9tait verte avant l&rsquo;audit. Puis l&rsquo;acc\u00e8s administrateur d&rsquo;un sous-traitant de l&rsquo;h\u00e9bergeur ERP est apparu dans un syst\u00e8me de tickets qui ne figurait ni dans le contrat ni dans le registre. NIS2 et DORA n&rsquo;exigent pas une archive de questionnaires coch\u00e9s, mais un processus qui maintient en permanence la synchronisation des contrats, des donn\u00e9es et des acc\u00e8s.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">L&rsquo;essentiel en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">C\u0153ur l\u00e9gal :<\/strong> Le paragraphe 30 BSIG exige la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement pour les fournisseurs directs, l&rsquo;article 21 de NIS2 demande une gestion continue des risques. Un r\u00e9pertoire seul ne suffit pas.<\/li>\n<li><strong style=\"color:#69d8ed;\">DORA est plus strict :<\/strong> Dans le secteur financier, un registre des tiers IKT avec d\u00e9claration annuelle, strat\u00e9gies de sortie et surveillance continue s&rsquo;applique depuis le 17 janvier 2025. Le 18 novembre 2025, l&rsquo;autorit\u00e9 de supervision a d\u00e9sign\u00e9 19 prestataires critiques.<\/li>\n<li><strong style=\"color:#69d8ed;\">Le snapshot ne suffit pas :<\/strong> L&rsquo;\u00e9tat du questionnaire d&rsquo;hier ne couvre pas le changement de sous-traitant d&rsquo;aujourd&rsquo;hui. Le tiering par criticit\u00e9 et le monitoring continu remplacent le contr\u00f4le annuel.<\/li>\n<li><strong style=\"color:#69d8ed;\">L&rsquo;ownership d\u00e9cide :<\/strong> Sans propri\u00e9taire clair pour chaque \u00e9tape du processus et sans rattachement au registre des risques de l&rsquo;entreprise, le risque fournisseur reste un ticket d&rsquo;approvisionnement plut\u00f4t qu&rsquo;un sujet pour la direction.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Li\u00e9 :<\/span><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/25\/trapdoor-attaque-coordonnee-sur-la-chaine-dapprovisionnement-contre-npm-pypi-et\/\" style=\"color:#333;text-decoration:underline;\">TrapDoor : Attaque sur la cha\u00eene d&rsquo;approvisionnement de npm, PyPI et Crates<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/22\/dora-et-nis2-pourquoi-les-audits-bancaires-entrent-en-collision\/\" style=\"color:#333;text-decoration:underline;\">DORA et NIS2 : Pourquoi les audits bancaires se heurtent<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce que le paragraphe 30 exige vraiment pour la cha\u00eene d&rsquo;approvisionnement<\/h2>\n<p><strong>Qu&rsquo;est-ce que le Third-Party-Risk-Management ?<\/strong> Le Third-Party-Risk-Management est le processus continu par lequel une organisation identifie, \u00e9value, s\u00e9curise contractuellement et surveille les risques de s\u00e9curit\u00e9 de ses prestataires de services, de ses fournisseurs de logiciels et de leurs sous-traitants. Il s&rsquo;\u00e9tend de l&rsquo;onboarding au contr\u00f4le continu jusqu&rsquo;\u00e0 l&rsquo;offboarding.<\/p>\n<p>Le paragraphe 30 alin\u00e9a 2 num\u00e9ro 4 BSIG mentionne explicitement la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement comme mesure obligatoire. L&rsquo;accent est mis sur les relations avec les prestataires directs. L&rsquo;int\u00e9gralit\u00e9 de la cha\u00eene jusqu&rsquo;\u00e0 la mati\u00e8re premi\u00e8re n&rsquo;est pas concern\u00e9e. C&rsquo;est la bonne nouvelle pour le Mittelstand : il s&rsquo;agit des partenaires contractuels directs ayant acc\u00e8s aux syst\u00e8mes ou aux donn\u00e9es.<\/p>\n<p>La nouvelle moins confortable figure \u00e0 l&rsquo;alin\u00e9a 1 et dans le texte europ\u00e9en. Les mesures doivent \u00eatre adapt\u00e9es, proportionn\u00e9es et efficaces, et une obligation de documentation s&rsquo;y ajoute. L&rsquo;article 21 de NIS2 exige une gestion continue des risques pour tous les syst\u00e8mes de r\u00e9seaux et d&rsquo;information utilis\u00e9s par l&rsquo;exploitation. Le consid\u00e9rant 85 de la directive nomme explicitement le cloud, la s\u00e9curit\u00e9 g\u00e9r\u00e9e et les logiciels. Un r\u00e9pertoire cr\u00e9\u00e9 une fois par an ne couvre pas cette obligation.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">DORA transforme le registre en obligation permanente<\/h2>\n<p>Ceux qui travaillent dans le secteur financier connaissent la norme plus stricte. DORA s&rsquo;applique de mani\u00e8re contraignante depuis le 17 janvier 2025. Pour les entreprises financi\u00e8res, il pr\u00e9vaut en tant que droit plus sp\u00e9cifique \u00e0 la place des obligations NIS2 en mati\u00e8re de cha\u00eene d&rsquo;approvisionnement. Les deux r\u00e9gimes ne s&rsquo;appliquent pas en parall\u00e8le \u00e0 la m\u00eame entreprise. L&rsquo;article 28 laisse l&rsquo;enti\u00e8re responsabilit\u00e9 \u00e0 l&rsquo;entreprise financi\u00e8re, m\u00eame lorsque la prestation est externalis\u00e9e.<\/p>\n<p>Le registre des informations n&rsquo;est pas un Excel que l&rsquo;on remplit une seule fois. Il est tenu au niveau de l&rsquo;\u00e9tablissement et du groupe, d\u00e9clar\u00e9 annuellement \u00e0 l&rsquo;autorit\u00e9 de supervision et doit pouvoir \u00eatre pr\u00e9sent\u00e9 int\u00e9gralement sur demande. Avant tout contrat pour une fonction critique, une due diligence est requise, ainsi qu&rsquo;une analyse des risques de concentration et des strat\u00e9gies de sortie. L&rsquo;article 30 prescrit des contenus contractuels pr\u00e9cis : dispositions relatives aux sous-traitants, localisation du traitement des donn\u00e9es, droits d&rsquo;audit et obligations de notification en cas de modifications substantielles.<\/p>\n<p>La gravit\u00e9 avec laquelle l&rsquo;autorit\u00e9 prend cela au s\u00e9rieux appara\u00eet le 18 novembre 2025. Les autorit\u00e9s europ\u00e9ennes de supervision EBA, EIOPA et ESMA ont publi\u00e9 la premi\u00e8re liste de prestataires tiers IKT critiques : 19 fournisseurs, dont plusieurs grands prestataires cloud et SAP. Ces prestataires sont d\u00e9sormais plac\u00e9s sous supervision directe de l&rsquo;UE. Le risque de la cha\u00eene d&rsquo;approvisionnement est r\u00e9gul\u00e9 au niveau du syst\u00e8me, bien au-del\u00e0 du contrat individuel.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Pourquoi le questionnaire annuel ne comble pas la faille<\/h2>\n<p>J&rsquo;ai un jour archiv\u00e9 un questionnaire fournisseur avec une coche verte pour l&rsquo;ISO 27001 et consid\u00e9r\u00e9 le dossier comme clos. Quatre mois plus tard, le prestataire a chang\u00e9 de sous-traitant d&rsquo;h\u00e9bergement. Le questionnaire \u00e9tait encore vert, la r\u00e9alit\u00e9 ne l&rsquo;\u00e9tait plus. C&rsquo;est pr\u00e9cis\u00e9ment cet \u00e9cart temporel qui pose probl\u00e8me.<\/p>\n<p>Le texte r\u00e9glementaire vise un cycle. Un contr\u00f4le unique ne lui suffit pas. Le paragraphe 30 num\u00e9ro 6 exige une \u00e9valuation de l&rsquo;efficacit\u00e9, l&rsquo;article 30 de DORA exige une surveillance continue pour les contrats critiques. Tous les fournisseurs n&rsquo;ont pas besoin du m\u00eame niveau de profondeur. Un tiering selon l&rsquo;acc\u00e8s aux syst\u00e8mes, la sensibilit\u00e9 des donn\u00e9es et la d\u00e9pendance \u00e0 la disponibilit\u00e9 distingue les partenaires Tier A de la longue liste de prestataires non critiques.<\/p>\n<p>S&rsquo;y ajoute un probl\u00e8me de donn\u00e9es. Une enqu\u00eate sectorielle sur le Third-Party-Risk-Management de 2026 indique que seule une minorit\u00e9 des programmes est pleinement int\u00e9gr\u00e9e \u00e0 l&rsquo;Enterprise-Risk-Management et encore moins d&rsquo;organisations jugent \u00e9lev\u00e9e leur qualit\u00e9 de donn\u00e9es. Les valeurs exactes varient selon la m\u00e9thodologie. Le constat demeure : sans un registre propre, aucune d\u00e9cision de tiering fiable n&rsquo;est possible. Sans rattachement \u00e0 l&rsquo;ERM, le risque reste coinc\u00e9 dans un ticket d&rsquo;approvisionnement au lieu de figurer dans le rapport trimestriel de la direction.<\/p>\n<p>Le tableau suivant oppose les deux approches.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:560px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Dimension<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Liste d&rsquo;audit (snapshot)<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Programme (continu)<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Fr\u00e9quence<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Une fois par an, avant l&rsquo;audit<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Continu, d\u00e9clench\u00e9 par les modifications de contrats et de syst\u00e8mes<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Port\u00e9e<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Tous les fournisseurs trait\u00e9s de la m\u00eame mani\u00e8re<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Tiering selon la criticit\u00e9, Tier A intensif<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Sous-traitants<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Non recens\u00e9s<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Clauses de cascade, quatri\u00e8me partie dans le registre<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Ancrage<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Ticket d&rsquo;approvisionnement<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Registre des risques de l&rsquo;entreprise, rapport \u00e0 la direction<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Justificatif<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Archive de questionnaires<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Registre tenu \u00e0 jour, historique de monitoring, \u00e9valuation de l&rsquo;efficacit\u00e9<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Cinq piliers pour transformer le contr\u00f4le en programme<\/h2>\n<p>Un programme viable n&rsquo;a pas besoin d&rsquo;une grande plateforme, il lui faut des propri\u00e9taires clairs pour chaque \u00e9tape du processus. Cinq piliers suffisent pour d\u00e9marrer.<\/p>\n<p><strong>Policy et tiering.<\/strong> Une matrice de criticit\u00e9 selon l&rsquo;acc\u00e8s, les donn\u00e9es et la disponibilit\u00e9 d\u00e9finit qui est Tier A et \u00e0 quelle fr\u00e9quence il est contr\u00f4l\u00e9. Le propri\u00e9taire est le d\u00e9partement Risk ou le CISO, mis en \u0153uvre par un responsable TPRM.<\/p>\n<p><strong>Onboarding-Assessment.<\/strong> La due diligence intervient avant le contrat. Apr\u00e8s, l&rsquo;acc\u00e8s est souvent d\u00e9j\u00e0 actif. Les preuves de s\u00e9curit\u00e9, les questions de localisation et la v\u00e9rification des conflits doivent \u00eatre clarifi\u00e9es avant l&rsquo;activation de l&rsquo;acc\u00e8s. L&rsquo;article 28 de DORA en fait une obligation pour les fonctions critiques.<\/p>\n<p><strong>Surveillance continue.<\/strong> Maintenance du registre, re-certification selon le risque et un canal pour les notifications d&rsquo;incidents du fournisseur. C&rsquo;est ici que vit ou meurt le programme. Un changement de contrat chez le prestataire doit d\u00e9clencher un signal. Une note discr\u00e8te ne suffit pas.<\/p>\n<p><strong>Offboarding.<\/strong> Retrait des acc\u00e8s, restitution ou suppression des donn\u00e9es et fin de contrat document\u00e9e. Le point aveugle le plus fr\u00e9quent : les acc\u00e8s qui restent actifs apr\u00e8s la fin du projet.<\/p>\n<p><strong>Quatri\u00e8me partie et transparence logicielle.<\/strong> Les sous-traitants doivent figurer dans les champs du registre, les logiciels critiques n\u00e9cessitent une nomenclature selon le principe du SBOM. Une telle nomenclature n&rsquo;est pas une obligation normative explicite, mais elle aide \u00e0 porter la gestion des vuln\u00e9rabilit\u00e9s du paragraphe 30 num\u00e9ro 5 BSIG jusqu&rsquo;\u00e0 la cha\u00eene d&rsquo;approvisionnement.<\/p>\n<p>Au-dessus de tout se trouve la direction. Le paragraphe 38 BSIG l&rsquo;oblige \u00e0 la mise en \u0153uvre et \u00e0 la surveillance. Un programme TPRM sans revue visible par la direction est une feuille de couverture CISO sans valeur de gouvernance. Le prestataire de services avec acc\u00e8s \u00e0 la salle serveurs est Tier A, m\u00eame si les achats le classent uniquement sous services immobiliers. Ce sont pr\u00e9cis\u00e9ment ces classements qui d\u00e9terminent le risque.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Le point d&rsquo;entr\u00e9e : par o\u00f9 commencer cette semaine<\/h2>\n<p>Le passage du questionnaire au programme ne requiert pas un grand projet. Cinq \u00e9tapes apportent de la structure sans bloquer l&rsquo;activit\u00e9. Premi\u00e8rement : identifier les fournisseurs Tier A, c&rsquo;est-\u00e0-dire tous ceux disposant d&rsquo;un acc\u00e8s syst\u00e8me ou de donn\u00e9es critiques. Deuxi\u00e8mement : confronter le registre \u00e0 la r\u00e9alit\u00e9 et compl\u00e9ter les sous-traitants manquants. Troisi\u00e8mement : attribuer \u00e0 chaque partenaire Tier A un propri\u00e9taire et un rythme de surveillance. Quatri\u00e8mement : v\u00e9rifier les clauses contractuelles relatives aux droits d&rsquo;audit, aux sous-traitants et aux obligations de notification. Cinqui\u00e8mement : int\u00e9grer les risques fournisseurs comme entr\u00e9es dans le registre des risques de l&rsquo;entreprise, avec un rapport trimestriel \u00e0 la direction.<\/p>\n<p>Ce n&rsquo;est pas un projet avec date de fin. C&rsquo;est un mode op\u00e9ratoire. Celui qui l&rsquo;a une fois \u00e9tabli r\u00e9ussit le prochain audit sans effort suppl\u00e9mentaire, car la preuve documentaire est un sous-produit de l&rsquo;exploitation courante.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Questions fr\u00e9quentes<\/h2>\n<p class=\"st-faq-hint\">Chaque question est verrouill\u00e9e. Un appui la d\u00e9verrouille.<\/p>\n<details>\n<summary><strong>Un r\u00e9pertoire de fournisseurs suffit-il pour la conformit\u00e9 NIS2 ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Non. Le paragraphe 30 BSIG et l&rsquo;article 21 de NIS2 exigent des mesures adapt\u00e9es, efficaces et pilot\u00e9es en continu. Un r\u00e9pertoire seul ne suffit pas. Un registre statique sans tiering, surveillance et \u00e9valuation de l&rsquo;efficacit\u00e9 ne couvre pas l&rsquo;obligation de gestion des risques.<\/p>\n<\/details>\n<details>\n<summary><strong>Qu&rsquo;est-ce qui distingue DORA des obligations de cha\u00eene d&rsquo;approvisionnement NIS2 ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">DORA s&rsquo;applique depuis le 17 janvier 2025 dans le secteur financier et y pr\u00e9vaut. Il exige un registre formel des tiers IKT avec d\u00e9claration annuelle, strat\u00e9gies de sortie et contenus contractuels d\u00e9taill\u00e9s conform\u00e9ment \u00e0 l&rsquo;article 30. NIS2 pose un cadre plus large, mais moins formalis\u00e9.<\/p>\n<\/details>\n<details>\n<summary><strong>Devons-nous recenser les sous-traitants de nos prestataires ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Dans le secteur financier oui, d\u00e8s lors qu&rsquo;ils touchent des fonctions critiques ou importantes. L&rsquo;article 30 de DORA et les sp\u00e9cifications techniques du registre exigent des clauses de cascade et le recensement des sous-traitants pertinents. Sous NIS2, le paragraphe 30 num\u00e9ro 4 vise principalement les prestataires directs ; l&rsquo;obligation explicite de recensement des sous-traitants est une particularit\u00e9 de DORA.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00c0 quelle fr\u00e9quence devons-nous r\u00e9\u00e9valuer les fournisseurs ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Il n&rsquo;existe pas de fr\u00e9quence fixe valable pour tous. Le rythme d\u00e9pend du tier : prestataires critiques avec acc\u00e8s syst\u00e8me de fa\u00e7on serr\u00e9e et d\u00e9clench\u00e9e par les \u00e9v\u00e9nements, prestataires de services non critiques moins souvent. Les d\u00e9clencheurs sont les modifications de contrat, les changements de sous-traitants et les incidents de s\u00e9curit\u00e9.<\/p>\n<\/details>\n<details>\n<summary><strong>Qu&rsquo;est-ce qu&rsquo;un SBOM et pourquoi appartient-il au TPRM ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Un SBOM est une nomenclature des composants logiciels d&rsquo;un produit, souvent au format CycloneDX ou SPDX. Il indique quelles biblioth\u00e8ques proviennent de la cha\u00eene d&rsquo;approvisionnement et soutient ainsi la gestion des vuln\u00e9rabilit\u00e9s du paragraphe 30 num\u00e9ro 5. Un SBOM n&rsquo;est pas prescrit, mais il est devenu une pratique \u00e9tablie. Sans cette transparence, l&rsquo;origine des logiciels reste un point aveugle.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=fr--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Les choix de la r\u00e9daction<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/25\/trapdoor-attaque-coordonnee-sur-la-chaine-dapprovisionnement-contre-npm-pypi-et\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/st-15595-pexels-30901557-cybersecurity-vulnerability-250x167.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">TrapDoor : attaque coordonn\u00e9e sur la cha\u00eene d\u2019approvisionnement contre npm, PyPI et Crates \u2013 ce que<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/22\/dora-et-nis2-pourquoi-les-audits-bancaires-entrent-en-collision\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/dora-nis2-doppel-compliance-deutsche-banken-audit-team-2026-cover-hero-1-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">DORA et NIS2 : Pourquoi les audits bancaires entrent en collision<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/16\/exigences-techniques-minimales-pme-2026\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/nis2-technische-mindestanforderungen-mittelstand-2026-cover-hero-250x141.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">PME : le retard technique face \u00e0 la NIS2<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Plus du r\u00e9seau MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/fr\/geopolitique-datacenters-dsi-securisent\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">G?opolitique et datacenters : ce que les DSI s?curisent<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/fr\/loi-eu-sur-lia-act-a-partir-daout-2026-ce-que-la-classe-moyenne-doit-etiqueter\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">AI Act de l\u2019UE \u00e0 partir d\u2019ao\u00fbt 2026 : ce que les PME doivent \u00e9tiqueter maintenant<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/fr\/2026\/06\/16\/xfs4iot-rencontre-le-cloud-le-distributeur-automatique-de-billets-devient-une\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Voici l&rsquo;extrait traduit :\n\nRisque li\u00e9 \u00e0 la cha\u00eene d&rsquo;approvisionnement selon NIS2 et DORA : Pourquoi le questionnaire fournisseur ne suffit pas et comment\u2026","protected":false},"author":10,"featured_media":18182,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Risque de cha\u00eene d'approvisionnement NIS2","_yoast_wpseo_title":"Le risque de la cha\u00eene d'approvisionnement est un programme et non une liste d'audit","_yoast_wpseo_metadesc":"L'\u00e9valuation des risques de la cha\u00eene d'approvisionnement selon NIS2 et DORA : pourquoi le questionnaire fournisseur ne suffit pas et comment un\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/tprm-lieferkettenrisiko-nis2-dora-programm-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/tprm-lieferkettenrisiko-nis2-dora-programm-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[260,258],"tags":[],"class_list":["post-20898","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-fr","category-strategie-governance"],"evm_reading_time_minutes":11,"wpml_language":"fr","wpml_translation_of":18181,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20898","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=20898"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20898\/revisions"}],"predecessor-version":[{"id":21058,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20898\/revisions\/21058"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/18182"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=20898"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=20898"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=20898"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}