{"id":22075,"date":"2026-07-11T10:12:00","date_gmt":"2026-07-11T10:12:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/07\/11\/le-plus-faible-des-fournisseurs-ouvre-linstallation-critique\/"},"modified":"2026-07-13T21:21:23","modified_gmt":"2026-07-13T21:21:23","slug":"le-plus-faible-des-fournisseurs-ouvre-linstallation-critique","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/07\/11\/le-plus-faible-des-fournisseurs-ouvre-linstallation-critique\/","title":{"rendered":"Le plus faible des fournisseurs ouvre l&rsquo;installation critique"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">7 min de lecture<\/p>\n<p><strong>Un technicien de maintenance avec un badge d&rsquo;usine et un acc\u00e8s \u00e0 distance n&rsquo;est pas un invit\u00e9 pour une station de transformation \u00e9lectrique ou une usine de traitement des eaux. Il fait partie de la surface d&rsquo;attaque. Depuis le 17 mars 2026, la loi-cadre KRITIS rend cette vision obligatoire : quiconque exploite une installation critique est responsable de la fiabilit\u00e9 de ses fournisseurs comme de la sienne propre.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Les points cl\u00e9s<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Nouveau cadre pour l&rsquo;aspect physique.<\/strong> La loi-cadre KRITIS met en \u0153uvre la directive EU-CER et r\u00e9glemente pour la premi\u00e8re fois de mani\u00e8re uniforme au niveau national la r\u00e9silience des installations critiques. Elle compl\u00e8te les obligations en mati\u00e8re de s\u00e9curit\u00e9 informatique issues de la NIS2, sans les remplacer.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Le fournisseur est dans le champ d&rsquo;application.<\/strong> Les fournisseurs et les techniciens de service ayant un acc\u00e8s physique ou num\u00e9rique sont soumis aux m\u00eames exigences d&rsquo;int\u00e9grit\u00e9 et de fiabilit\u00e9 que les employ\u00e9s proprement dits.<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">Le d\u00e9lai commence en juillet.<\/strong> \u00c0 compter du 17 juillet 2026, les exploitants s&rsquo;enregistrent sur la plateforme commune de la BBK (Office f\u00e9d\u00e9ral de gestion des crises) et du BSI (Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 des technologies de l&rsquo;information), au plus tard trois mois apr\u00e8s leur classification en tant qu&rsquo;installation critique.<\/li>\n<li><strong style=\"color:#69d8ed;\">Contr\u00f4le plut\u00f4t que prise de vue instantan\u00e9e.<\/strong> Un contr\u00f4le unique des fournisseurs ne ferme pas le vecteur. L&rsquo;acc\u00e8s, l&rsquo;acc\u00e8s, les contrats et la reprise doivent inclure en permanence la cha\u00eene d&rsquo;approvisionnement.<\/li>\n<\/ul>\n<\/div>\n<p style=\"border-top:1px solid rgba(230,227,218,0.14);border-bottom:1px solid rgba(230,227,218,0.14);padding:14px 0;margin:28px 0;font-size:0.92em;color:#b8c5ce;\"><strong style=\"color:#69d8ed;\">Liens associ\u00e9s :<\/strong> <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/07\/06\/le-cyber-resilience-act-affecte-egalement-votre-stock\/\">Le Cyber Resilience Act s&rsquo;applique \u00e9galement \u00e0 vos actifs<\/a> &nbsp;&middot;&nbsp; <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/27\/rapport-de-tableau-de-bord-kpi-conseil-de-surveillance\/\">Cinq indicateurs cl\u00e9s que le conseil de surveillance comprend vraiment<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce que la loi-cadre Dach modifie dans la cha\u00eene d&rsquo;approvisionnement<\/h2>\n<p>La loi-cadre KRITIS est en vigueur depuis le 17 mars 2026. Le cabinet l&rsquo;avait d\u00e9cid\u00e9e le 29 janvier, et le Bundesrat y a donn\u00e9 son accord. Sur le plan juridique, elle met en \u0153uvre la directive UE 2022\/2557 relative \u00e0 la r\u00e9silience des infrastructures critiques, \u00e9galement appel\u00e9e directive CER. Cela cr\u00e9e pour la premi\u00e8re fois un cadre uniforme au niveau f\u00e9d\u00e9ral, s&rsquo;appliquant \u00e0 tous les secteurs, pour la protection physique et la r\u00e9silience des installations critiques.<\/p>\n<p>Il est important de noter que cette loi est le compl\u00e9ment physique de la partie IT, qui est couverte par la NIS2 et le BSIG. Environ 1 300 exploitants sont concern\u00e9s par la logique CER et doivent d\u00e9sormais remplir des obligations de d\u00e9claration, disposer d&rsquo;une gestion de la continuit\u00e9 des activit\u00e9s, d\u00e9montrer la s\u00e9curit\u00e9 physique et la fiabilit\u00e9 du personnel, et mettre en place une gestion de crise solide. La cha\u00eene d&rsquo;approvisionnement est incluse dans chacun de ces domaines, non pas comme un appendice, mais comme une partie int\u00e9grante de l&rsquo;installation.<\/p>\n<p>La directive CER con\u00e7oit la r\u00e9silience de mani\u00e8re large et intentionnelle. Elle ne se r\u00e9f\u00e8re pas seulement aux cyberattaques, mais \u00e0 la panne en soi : que ce soit par sabotage, par un \u00e9v\u00e9nement naturel, par la perte d&rsquo;un fournisseur ou par une combinaison de ces facteurs. \u00c0 ce stade, le monde physique rencontre le monde num\u00e9rique. Un acc\u00e8s \u00e0 distance manipul\u00e9 constitue un incident cybern\u00e9tique avec des cons\u00e9quences physiques, tandis qu&rsquo;un c\u00e2ble sectionn\u00e9 repr\u00e9sente un incident physique avec des cons\u00e9quences num\u00e9riques. L&rsquo;exploitant doit conna\u00eetre les deux cha\u00eenes. Les deux m\u00e8nent t\u00f4t ou tard \u00e0 un fournisseur.<\/p>\n<div data-element=\"stat_row\" style=\"display:flex;flex-wrap:wrap;gap:16px;margin:32px 0;\">\n<div style=\"flex:1 1 200px;min-width:0;background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:22px 20px;box-sizing:border-box;\">\n<div style=\"font-size:2.1em;font-weight:800;color:#69d8ed;line-height:1.1;word-break:keep-all;\">17 juillet<\/div>\n<p style=\"margin:10px 0 0;font-size:0.88em;color:#e6e3da;line-height:1.5;\">D\u00e9but de l&rsquo;enregistrement sur la plateforme de BBK et BSI (2026)<\/p>\n<\/div>\n<div style=\"flex:1 1 200px;min-width:0;background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:22px 20px;box-sizing:border-box;\">\n<div style=\"font-size:2.1em;font-weight:800;color:#69d8ed;line-height:1.1;word-break:keep-all;\">1 300<\/div>\n<p style=\"margin:10px 0 0;font-size:0.88em;color:#e6e3da;line-height:1.5;\">Exploitants concern\u00e9s par la mise en \u0153uvre de la directive CER<\/p>\n<\/div>\n<div style=\"flex:1 1 200px;min-width:0;background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:22px 20px;box-sizing:border-box;\">\n<div style=\"font-size:2.1em;font-weight:800;color:#69d8ed;line-height:1.1;word-break:keep-all;\">3 mois<\/div>\n<p style=\"margin:10px 0 0;font-size:0.88em;color:#e6e3da;line-height:1.5;\">D\u00e9lai d&rsquo;enregistrement apr\u00e8s la classification en tant qu&rsquo;installation critique<\/p>\n<\/div>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Le fournisseur se retrouve soudainement dans le champ d&rsquo;application<\/h2>\n<p>La phrase qui s\u00e9parait l&rsquo;approvisionnement de la s\u00e9curit\u00e9 dispara\u00eet avec la loi-cadre. Les fournisseurs et les techniciens de service ayant un acc\u00e8s physique ou num\u00e9rique \u00e0 une installation critique sont soumis aux m\u00eames exigences d&rsquo;int\u00e9grit\u00e9 et de fiabilit\u00e9 que les employ\u00e9s internes. L&rsquo;acc\u00e8s \u00e0 distance d&rsquo;un fabricant, le technicien dans le poste de commande, le service cloud derri\u00e8re le syst\u00e8me de contr\u00f4le de processus : les trois sont, du point de vue de l&rsquo;installation, des acteurs internes proches, et non externes.<\/p>\n<p>Pour les exploitants, cela d\u00e9place une responsabilit\u00e9. Jusqu&rsquo;\u00e0 pr\u00e9sent, le prestataire de services \u00e9tait une question d&rsquo;achat avec un contrat-cadre. Maintenant, c&rsquo;est une question de s\u00e9curit\u00e9 avec un contr\u00f4le d&rsquo;acc\u00e8s, des droits d&rsquo;acc\u00e8s, une v\u00e9rification des ant\u00e9c\u00e9dents et une image claire de qui a acc\u00e9d\u00e9 \u00e0 quel syst\u00e8me et quand. Celui qui d\u00e9l\u00e8gue cette responsabilit\u00e9 au fournisseur et la laisse entre ses mains n&rsquo;a pas rempli son devoir.<\/p>\n<div data-element=\"definition_box\" style=\"background:#23261f;border:1px solid rgba(105,216,237,0.22);border-radius:10px;padding:20px 24px;margin:32px 0;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 2px 10px rgba(0,0,0,0.22);\">\n<p style=\"margin:0 0 8px;font-family:'IBM Plex Mono',ui-monospace,SFMono-Regular,monospace;font-size:0.72em;letter-spacing:0.12em;text-transform:uppercase;color:#69d8ed;\">D\u00e9finition &middot; Installation critique<\/p>\n<p style=\"margin:0;color:#e6e3da;line-height:1.6;\">Un \u00e9tablissement dont la d\u00e9faillance perturberait consid\u00e9rablement l&rsquo;approvisionnement de la population, par exemple dans les domaines de l&rsquo;\u00e9nergie, de l&rsquo;eau, de la sant\u00e9 ou des transports. La loi-cadre rend sa r\u00e9silience obligatoire pour les exploitants et implique \u00e9galement ses fournisseurs dans cette obligation. Dans le contexte DACH (Allemagne, Autriche, Suisse), il est important de noter que cette loi-cadre vise \u00e0 renforcer la s\u00e9curit\u00e9 des installations critiques, qui sont essentielles pour le fonctionnement de la soci\u00e9t\u00e9.<\/p>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Pourquoi une liste d&rsquo;audit ne ferme pas le vecteur<\/h2>\n<p>Un fournisseur peut avoir \u00e9t\u00e9 v\u00e9rifi\u00e9, approuv\u00e9 et valid\u00e9 une fois, mais l&rsquo;installation peut n\u00e9anmoins rester vuln\u00e9rable. Le canal de maintenance \u00e0 distance reste actif, l&rsquo;ordinateur portable du technicien passe d&rsquo;un client \u00e0 l&rsquo;autre, et le sous-traitant n&rsquo;appara\u00eet m\u00eame pas dans le contrat. Un instantan\u00e9 du processus d&rsquo;approvisionnement ne prend en compte aucun de ces \u00e9tats. Il procure une bonne impression et une case coch\u00e9e dans le tableau.<\/p>\n<p>La r\u00e9silience n&rsquo;appara\u00eet que lorsque l&rsquo;acc\u00e8s est g\u00e9r\u00e9 de mani\u00e8re permanente. Le principe du moindre privil\u00e8ge pour les externes, les acc\u00e8s temporis\u00e9s, la maintenance \u00e0 distance enregistr\u00e9e et une cha\u00eene de d\u00e9claration qui fonctionne m\u00eame lorsque l&rsquo;incident d\u00e9bute chez le prestataire de services. Il ne s&rsquo;agit pas d&rsquo;un projet ponctuel, mais d&rsquo;un mode de fonctionnement.<\/p>\n<p>Et le canal ne s&rsquo;arr\u00eate pas non plus chez le fournisseur direct. Le fournisseur de services cloud de ce dernier, sa plateforme de maintenance \u00e0 distance, ses sous-traitants, tous ces \u00e9l\u00e9ments prolongent la cha\u00eene et ajoutent des maillons qui ne figurent souvent m\u00eame pas dans le contrat. Celui qui ne v\u00e9rifie que le partenaire contractuel voit le risque s&rsquo;arr\u00eater une \u00e9tape trop t\u00f4t. Pour les installations critiques, c&rsquo;est justement cette profondeur cach\u00e9e de la cha\u00eene d&rsquo;approvisionnement qui fait que la fiabilit\u00e9 sur le papier et la fiabilit\u00e9 dans la pratique peuvent diverger.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">La responsabilit\u00e9 reste au sommet<\/h2>\n<p>La loi-cadre s&rsquo;adresse aux exploitants, et non \u00e0 leurs prestataires de services. Cette orientation est intentionnelle. La responsabilit\u00e9 de la r\u00e9silience d&rsquo;une installation critique repose sur sa direction et ne peut pas \u00eatre transf\u00e9r\u00e9e par contrat. Un exploitant peut acheter des services, mais il n&rsquo;ach\u00e8te pas la responsabilit\u00e9 de leur s\u00e9curit\u00e9 avec.<\/p>\n<p>Pour la direction g\u00e9n\u00e9rale, cela signifie une obligation de preuve. Elle doit \u00eatre en mesure de d\u00e9montrer que les risques li\u00e9s aux fournisseurs sont identifi\u00e9s, \u00e9valu\u00e9s et ma\u00eetris\u00e9s. Un registre qui documente cet examen fait, dans les cas graves, la diff\u00e9rence entre une diligence prouv\u00e9e et une accusation ouverte. La surveillance ne demandera pas si un prestataire de services a \u00e9chou\u00e9, mais si l&rsquo;exploitant avait un contr\u00f4le sur lui.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce que les exploitants doivent r\u00e9gler dans la cha\u00eene d&rsquo;approvisionnement<\/h2>\n<p>La premi\u00e8re \u00e9tape est sans surprise : une carte honn\u00eate de tous ceux qui ont acc\u00e8s physique ou num\u00e9rique \u00e0 l&rsquo;installation depuis l&rsquo;ext\u00e9rieur. Cela donne lieu \u00e0 cinq leviers que la loi exige.<\/p>\n<ul style=\"margin:20px 0;padding-left:22px;line-height:1.7;\">\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">Cartographier les acc\u00e8s.<\/strong> Toute personne ext\u00e9rieure ayant acc\u00e8s ou un acc\u00e8s syst\u00e8me doit figurer dans un r\u00e9pertoire \u00e0 jour, y compris les sous-traitants.<\/li>\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">Transf\u00e9rer les obligations contractuellement.<\/strong> La fiabilit\u00e9, les voies de d\u00e9claration et les droits d&rsquo;inspection doivent \u00eatre inclus dans le contrat, et non dans une d\u00e9claration d&rsquo;intention.<\/li>\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">Contr\u00f4ler l&rsquo;acc\u00e8s et l&rsquo;acc\u00e8s.<\/strong> Droits temporis\u00e9s, v\u00e9rifications de s\u00e9curit\u00e9 pour les r\u00f4les sensibles, maintenance \u00e0 distance enregistr\u00e9e.<\/li>\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">Inclure la reprise.<\/strong> Les plans de continuit\u00e9 des activit\u00e9s et de gestion de crise doivent prendre en compte la d\u00e9faillance d&rsquo;un fournisseur, et non seulement la leur.<\/li>\n<li><strong style=\"color:#69d8ed;\">Fermer les cha\u00eenes de d\u00e9claration.<\/strong> Le d\u00e9lai de 72 heures pour d\u00e9clarer au BSI (Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 informationnelle, Bundesamt f\u00fcr Sicherheit in der Informationstechnik) s&rsquo;applique \u00e9galement en cas d&rsquo;incident impliquant un prestataire de services.<\/li>\n<\/ul>\n<p>Le d\u00e9lai n&rsquo;est pas une formalit\u00e9.<\/p>\n<div data-element=\"timeline\" style=\"margin:32px 0;\">\n<div style=\"display:flex;gap:16px;margin:0 0 14px;\">\n<div style=\"flex:0 0 auto;min-width:104px;font-family:'IBM Plex Mono',ui-monospace,SFMono-Regular,monospace;font-size:0.78em;color:#69d8ed;padding-top:2px;\">17 mars 2026<\/div>\n<div style=\"color:#e6e3da;line-height:1.55;\">La loi-cadre KRITIS (critique pour la s\u00e9curit\u00e9 de l&rsquo;approvisionnement) entre en vigueur. Pour les lecteurs internationaux, il est important de noter que KRITIS fait r\u00e9f\u00e9rence aux infrastructures critiques en Allemagne, qui sont essentielles pour la s\u00e9curit\u00e9 de l&rsquo;approvisionnement et la stabilit\u00e9 de l&rsquo;\u00c9tat.<\/div>\n<\/div>\n<div style=\"display:flex;gap:16px;margin:0 0 14px;\">\n<div style=\"flex:0 0 auto;min-width:104px;font-family:'IBM Plex Mono',ui-monospace,SFMono-Regular,monospace;font-size:0.78em;color:#69d8ed;padding-top:2px;\">17 juillet 2026<\/div>\n<div style=\"color:#e6e3da;line-height:1.55;\">L&rsquo;enregistrement sur la plateforme du BBK (Office f\u00e9d\u00e9ral de gestion des situations de crise, Bundesamt f\u00fcr Bev\u00f6lkerungsschutz und Katastrophenhilfe) et du BSI commence.<\/div>\n<\/div>\n<div style=\"display:flex;gap:16px;margin:0;\">\n<div style=\"flex:0 0 auto;min-width:104px;font-family:'IBM Plex Mono',ui-monospace,SFMono-Regular,monospace;font-size:0.78em;color:#69d8ed;padding-top:2px;\">+3 mois<\/div>\n<div style=\"color:#e6e3da;line-height:1.55;\">L&rsquo;obligation d&rsquo;enregistrement apr\u00e8s la classification comme installation critique.<\/div>\n<\/div>\n<\/div>\n<p>Les trois mois peuvent sembler un d\u00e9lai raisonnable. Dans la pratique, le temps passe vite lorsqu&rsquo;il s&rsquo;agit de ce qui manque avant : une image compl\u00e8te de ses propres fournisseurs. Ceux qui n&rsquo;ont pas cette carte aujourd&rsquo;hui devraient la cr\u00e9er avant le d\u00e9lai, et non apr\u00e8s.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Foire aux questions<\/h2>\n<p class=\"st-faq-hint\">Chaque question est verrouill\u00e9e. Un clic d\u00e9verrouille la r\u00e9ponse.<\/p>\n<details>\n<summary><strong>Qu&rsquo;est-ce que la loi-cadre KRITIS r\u00e9git-elle ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Il met en \u0153uvre la directive UE-CER et cr\u00e9e un cadre uniforme au niveau f\u00e9d\u00e9ral pour la r\u00e9silience physique des installations critiques : obligations de d\u00e9claration, gestion de la continuit\u00e9 des activit\u00e9s, s\u00e9curit\u00e9 physique, fiabilit\u00e9 du personnel et gestion de crise. Les obligations informatiques issues de la NIS2 restent inchang\u00e9es.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00c0 partir de quand les exploitants doivent-ils s&rsquo;enregistrer ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">L&rsquo;inscription sur la plateforme commune du BBK (Bundesamt f\u00fcr Bev\u00f6lkerungsschutz und Katastrophenhilfe, Office f\u00e9d\u00e9ral de protection de la population et d&rsquo;aide en cas de catastrophe) et du BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik, Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 des technologies de l&rsquo;information) est possible \u00e0 partir du 17 juillet 2026. Elle deviendra obligatoire au plus tard trois mois apr\u00e8s la classification en tant qu&rsquo;installation critique.<\/p>\n<\/details>\n<details>\n<summary><strong>Les fournisseurs sont-ils vraiment soumis aux m\u00eames exigences ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Les fournisseurs et les techniciens de service ayant un acc\u00e8s physique ou num\u00e9rique \u00e0 l&rsquo;installation sont soumis aux m\u00eames exigences d&rsquo;int\u00e9grit\u00e9 et de fiabilit\u00e9 que les employ\u00e9s internes. L&rsquo;exploitant reste responsable, m\u00eame s&rsquo;il a achet\u00e9 la prestation.<\/p>\n<\/details>\n<details>\n<summary><strong>Comment la loi allemande sur le toit (Dachgesetz) se rapporte-t-elle \u00e0 la directive NIS2, qui est une r\u00e9glementation europ\u00e9enne visant \u00e0 am\u00e9liorer la cybers\u00e9curit\u00e9 des entit\u00e9s essentielles dans l&rsquo;Union europ\u00e9enne, notamment dans les pays du DACH (Allemagne, Autriche, Suisse), o\u00f9 ces r\u00e9glementations ont un impact significatif ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Le NIS2 et le BSIG couvrent la s\u00e9curit\u00e9 informatique, la loi-cadre la s\u00e9curit\u00e9 physique et la r\u00e9silience organisationnelle. Pour de nombreux op\u00e9rateurs, les deux r\u00e9gimes s&rsquo;appliquent en parall\u00e8le. Ils devraient \u00eatre consid\u00e9r\u00e9s comme un syst\u00e8me de gouvernance unique, et non comme deux projets distincts.<\/p>\n<\/details>\n<details>\n<summary><strong>Quel est le premier pas concret ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Un r\u00e9pertoire complet de tous les externes ayant acc\u00e8s \u00e0 l&rsquo;installation, y compris les sous-traitants. Sans cette carte, il est impossible de ren\u00e9gocier les contrats ou de contr\u00f4ler de mani\u00e8re s\u00e9curis\u00e9e l&rsquo;acc\u00e8s et l&rsquo;acc\u00e8s.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=fr--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Les choix de la r\u00e9daction<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/21\/le-risque-de-la-chaine-dapprovisionnement-est-un-programme-et-non-une-liste\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/tprm-lieferkettenrisiko-nis2-dora-programm-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Le risque de la cha\u00eene d\u2019approvisionnement est un programme, pas une liste d\u2019audit<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/30\/ce-que-la-direction-doit-documenter-en-vertu-de-la-nis2\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/geschaeftsfuehrung-nis2-dokumentationspflicht-bsig-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Ce que la direction g\u00e9n\u00e9rale doit documenter au titre de NIS2<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/23\/quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Quels droits de d\u00e9cision du CISO doivent \u00eatre r\u00e9gis par \u00e9crit<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Plus du r\u00e9seau MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/fr\/geopolitique-datacenters-dsi-securisent\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">G?opolitique et datacenters : ce que les DSI s?curisent<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/fr\/loi-eu-sur-lia-act-a-partir-daout-2026-ce-que-la-classe-moyenne-doit-etiqueter\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">AI Act de l\u2019UE \u00e0 partir d\u2019ao\u00fbt 2026 : ce que les PME doivent \u00e9tiqueter maintenant<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/fr\/2026\/06\/16\/xfs4iot-rencontre-le-cloud-le-distributeur-automatique-de-billets-devient-une\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT rencontre le Cloud : le distributeur automatique de billets devient une plateforme<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"La loi-cadre KRITIS rend les fournisseurs fiables \u00e0 la responsabilit\u00e9 des exploitants. Le plan de gouvernance jusqu&rsquo;\u00e0 l&rsquo;enregistrement.","protected":false},"author":50,"featured_media":22055,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"cha\u00eene d'approvisionnement KRITIS","_yoast_wpseo_title":"Le plus faible des fournisseurs ouvre l'installation critique","_yoast_wpseo_metadesc":"La loi-cadre KRITIS impose des obligations aux fournisseurs ayant acc\u00e8s \u00e0 l'installation critique. Ce que les exploitants doivent r\u00e9gler avant le 1er juillet 2026.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"fr","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[3,260],"tags":[],"class_list":["post-22075","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktuelles","category-strategie-governance-fr"],"evm_reading_time_minutes":11,"wpml_language":"fr","wpml_translation_of":22054,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/22075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=22075"}],"version-history":[{"count":1,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/22075\/revisions"}],"predecessor-version":[{"id":22078,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/22075\/revisions\/22078"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/22055"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=22075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=22075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=22075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}