"Une organisation qui ne maîtrise pas sa détection des menaces dépend d'un tiers pour savoir si elle est compromise. C'est la forme la plus grave de perte de souveraineté — celle sur sa propre sécurité."
SOC interne vs externalisé, NIS2 opérationnel, DORA TLPT, gestion des vulnérabilités, dépendance aux éditeurs de sécurité, supply chain cyber.
CISO, CDO, CIO, responsables continuité, équipes SOC, risk managers, auditeurs internes, responsables conformité DORA/NIS2.
DORA Art. 25-28 (tests de résilience, TLPT), NIS2 Art. 21 (mesures techniques), RGPD Art. 32 (sécurité), EU AI Act Art. 15 (robustesse).
½ journée (3h30) — 2 séquences + 1 atelier diagnostic SOC & dépendances éditeurs.
La cybersécurité génère des dépendances spécifiques, souvent invisibles, qui peuvent compromettre simultanément la capacité de détection, de réponse et de conformité réglementaire.
Confier la détection et la réponse aux incidents à un tiers crée une asymétrie d'information : le SOC externe connaît vos systèmes mieux que vous. En cas de rupture contractuelle ou de conflit d'intérêts, vous êtes aveugle.
Si un seul éditeur fournit votre SIEM, EDR et threat intelligence, une défaillance, une acquisition ou une décision réglementaire (ex : interdiction d'un éditeur russe ou chinois) paralyse votre capacité de détection.
Les flux de Threat Intelligence proviennent majoritairement d'acteurs non-européens. Si ces flux sont suspendus, biaisés ou manipulés, votre capacité d'anticipation des menaces s'effondre — sans que vous le sachiez.
Chaque composant tiers intégré dans vos systèmes (bibliothèques open-source, SDK, plugins) est un vecteur d'attaque potentiel. Sans SBOM (Software Bill of Materials), vous ne pouvez pas évaluer votre surface d'exposition.
Si vous ne pouvez pas détecter, analyser et répondre à une menace sans dépendre d'un tiers, vous n'avez pas de souveraineté cyber — vous avez une sous-traitance de votre sécurité. DORA Art. 5.2 impose aux organes de direction une responsabilité directe sur la résilience numérique : cette responsabilité ne peut pas être déléguée.
Il n'existe pas de modèle universellement souverain — il existe un niveau minimal de compétences internes en dessous duquel la souveraineté cyber n'est plus possible, quel que soit le modèle choisi.
Quel que soit le modèle choisi, ces 5 capacités doivent rester en interne pour maintenir la souveraineté cyber minimale :
DORA Art. 26 impose aux entités financières significatives des tests de pénétration basés sur les menaces réelles (TLPT) au minimum tous les 3 ans. Ces tests doivent couvrir les systèmes critiques et être conduits par des prestataires certifiés TIBER-EU.
Condition souveraineté : l'organisation doit être capable d'interpréter les résultats TLPT et de piloter le plan de remédiation sans déléguer cette responsabilité au testeur.
NIS2 (transposée en droit français fin 2024) étend le périmètre des entités soumises aux obligations cyber et renforce les exigences de gestion des vulnérabilités et de la supply chain. C'est un texte de souveraineté cyber autant que de conformité.
| Obligation NIS2 | Contenu | Délai de déclaration | Lien souveraineté |
|---|---|---|---|
| Art. 21 — Mesures de sécurité | 10 catégories obligatoires : gestion des risques, continuité, sécurité des chaînes d'approvisionnement, chiffrement, contrôle d'accès, MFA... | Mise en œuvre continue | Supply chain cyber |
| Art. 23 — Notification incidents | Alerte précoce dans les 24h, notification dans les 72h, rapport final dans le mois | 24h / 72h / 1 mois | SOC interne requis |
| Art. 21.2.d — Supply chain | Sécurité des relations avec les fournisseurs directs et prestataires de services TIC. Évaluation des risques des tiers. | Continue | Module MK — chaîne de valeur |
| Art. 32 — Responsabilité dirigeants | Les dirigeants peuvent être tenus personnellement responsables du non-respect des obligations NIS2. Ils doivent approuver et superviser les mesures. | Permanente | Gouvernance cyber COMEX |
Un SBOM est l'inventaire complet de tous les composants logiciels utilisés (bibliothèques, dépendances, versions). Sans SBOM, il est impossible de savoir si une vulnérabilité critique (ex : Log4Shell) affecte vos systèmes. EU Cyber Resilience Act (2025) rend le SBOM obligatoire pour les produits numériques mis sur le marché UE.
Appliquer un correctif de sécurité d'un éditeur non-UE, c'est accepter une modification de son système par un tiers sous juridiction étrangère. Les organisations à haute sensibilité doivent maintenir une capacité interne de validation des correctifs avant déploiement — notamment pour les systèmes critiques DORA.
| Dimension | Question d'audit | ✓ | ✗ | ~ |
|---|---|---|---|---|
| SOC | Avez-vous une capacité interne de qualification des alertes critiques (niveau 3) ? | |||
| SOC | Pouvez-vous exercer un audit technique annuel de votre SOC externalisé ? | |||
| Éditeurs | Avez-vous identifié tous vos éditeurs de sécurité et leur juridiction ? | |||
| Éditeurs | Disposez-vous d'un fournisseur alternatif qualifié pour chaque outil critique ? | |||
| SBOM | Disposez-vous d'un SBOM à jour couvrant vos systèmes critiques ? | |||
| NIS2 | Êtes-vous capable de notifier un incident majeur dans les 24h à l'ANSSI ? | |||
| DORA TLPT | Un TLPT a-t-il été conduit sur vos systèmes critiques dans les 3 dernières années ? | |||
| Supply chain | Évaluez-vous la posture cyber de vos fournisseurs TIC critiques annuellement ? | |||
| Continuité | Votre plan de continuité cyber est-il testé et maîtrisé en interne sans dépendance au SOC externe ? | |||
| Gouvernance | Le COMEX approuve-t-il annuellement la politique de sécurité (obligation NIS2 Art. 32) ? |
Risque cyber et réglementaire immédiat. Priorité absolue : noyau souverain SOC + SBOM + plan de notification NIS2.
Base existante. Axer sur DORA TLPT, supply chain cyber et gouvernance dirigeants (NIS2 Art. 32).
Niveau solide. Travailler sur la Threat Intelligence souveraine et l'intégration cyber dans la gouvernance IA.
Art. 5.2 : la résilience numérique est une responsabilité non-délégable des organes de direction. Externaliser son SOC ne décharge pas le COMEX de sa responsabilité de supervision.
Qualification des alertes critiques, réponse aux incidents de niveau 3, audit du SOC externe et plan de continuité cyber : ces 5 capacités ne peuvent pas être entièrement externalisées.
EU Cyber Resilience Act impose le SBOM pour les produits numériques. Sans inventaire des composants logiciels, la gestion des vulnérabilités est aveugle — et la conformité NIS2 sur la supply chain est fictive.
① Grille de diagnostic souveraineté cyber (10 dimensions) ② Template de définition du noyau SOC souverain minimal ③ Checklist contrats SOC externalisé conforme DORA Art. 28 (droit d'audit, notification, continuité).
"Sous-traiter sa détection, c'est accepter de ne voir que ce que son prestataire veut bien montrer."