Dépendance à la chaîne d’approvisionnement, risque lié aux tiers et résilience des entités critiques

Pourquoi la résilience des entités critiques ne s’arrête pas aux frontières de l’organisation

L’affirmation selon laquelle la résilience des entités critiques ne s’arrête pas aux frontières de l’organisation ne relève pas d’une exagération rhétorique, mais d’une correction nécessaire d’un modèle organisationnel dépassé dans lequel l’entité est présentée comme un ensemble plus ou moins autosuffisant n’ayant recours aux parties externes qu’à titre purement instrumental. Dans le cadre de la Directive sur la résilience des entités critiques et de la loi néerlandaise relative à la résilience des entités critiques, il convient au contraire de partir du constat que le service essentiel est généralement produit par un ensemble de capacités internes et externes, les composantes externes n’étant ni incidentes ni marginales, mais intervenant en profondeur dans la manière dont les actifs sont entretenus, les données traitées, les systèmes gérés, les décisions opérationnelles appuyées et le rétablissement en situation de crise rendu concrètement possible. Une entité critique peut être propriétaire de son infrastructure physique et disposer d’une gouvernance formelle adéquate, tout en demeurant fortement dépendante de fournisseurs de logiciels pour le pilotage des processus, de prestataires spécialisés de maintenance pour la disponibilité opérationnelle, de gestionnaires de réseau externes pour la connectivité, de fournisseurs de cloud ou de données pour le traitement d’informations essentielles, de prestataires logistiques pour l’approvisionnement et d’intermédiaires financiers ou administratifs pour l’intégrité des processus de soutien. Dans un tel modèle, la frontière propre de l’organisation est certes juridiquement visible, mais elle est beaucoup moins pertinente sur le plan fonctionnel comme ligne de partage entre ce qui relève de la résilience et ce qui n’en relève pas. Le service essentiel ne s’arrête pas là où s’arrête l’organigramme ; les conditions réelles de la continuité s’étendent dans la chaîne, dans les relations contractuelles, dans les interfaces techniques et dans les structures de propriété situées hors de la hiérarchie de gouvernance directe.

Une telle compréhension implique que les méthodes classiques de contrôle interne peuvent comporter un angle mort structurel. Lorsque l’évaluation des risques se concentre principalement sur les sites propres, les collaborateurs propres, les mesures de sécurité propres et les processus propres, il existe un risque réel que demeurent insuffisamment visibles précisément les dépendances externes dotées de la plus forte capacité de désorganisation. Dans le contexte des entités critiques, cette situation est particulièrement problématique, car la fonction sociétale de l’entité n’est pas appréciée à l’aune de l’élégance de la documentation interne de gouvernance, mais à celle de la disponibilité réelle d’un service essentiel dans des conditions de tension. Une organisation peut être formellement très réglementée, disciplinée en interne et bien structurée sur le plan procédural, alors même que la continuité de la fonction vitale repose, en réalité, sur un petit nombre de maillons externes sur lesquels la visibilité reste limitée. Cela peut concerner un fournisseur détenant une connaissance système exclusive, un producteur étranger de pièces de rechange, un prestataire disposant d’un accès à distance à des technologies opérationnelles, un prestataire de paiement facilitant des processus de soutien ou encore un sous-traitant qui, dans les faits, est le seul acteur capable de remédier à des dysfonctionnements dans les délais de réponse requis. L’implication juridique en est considérable : la résilience doit être comprise comme une notion normative obligeant l’entité non seulement à maîtriser ses propres vulnérabilités, mais également à identifier, apprécier et atténuer de manière systématique les conditions externes dans lesquelles le service essentiel demeure assuré.

Pour la Gestion intégrée du risque de criminalité financière, cette conception transfrontière de la résilience revêt une importance directe. Les risques de criminalité financière se manifestent en effet rarement uniquement au sein du noyau formel de l’entité critique. Ils se développent fréquemment à la périphérie de l’organisation, dans les relations avec les fournisseurs, dans les chaînes de procurement, dans les structures de conseil et de maintenance, dans les modèles d’agents, dans les circuits de distribution, dans la sous-traitance, dans les montages de financement et dans des services de soutien apparemment routiniers au sein desquels peuvent être intégrés des intérêts opaques, des paiements illicites, des contreparties frappées de sanctions, des flux de facturation frauduleux ou des mécanismes d’influence manipulatrice. Lorsque la notion de résilience demeure cantonnée à la sphère interne, de tels phénomènes sont, à tort, traités comme des questions d’intégrité distinctes, sans lien direct avec la sécurité d’approvisionnement du service essentiel. Une telle lecture constituerait une erreur catégorielle. Un schéma de corruption dans des contrats de maintenance, une structure frauduleuse de fournisseur, un sous-traitant exposé à des sanctions ou une chaîne logistique contaminée par la criminalité financière peut conduire directement à une interruption, à un retard, à une perte de maîtrise managériale, à une intervention réglementaire ou à la cessation forcée de services de soutien critiques. C’est pour cette raison que la Gestion intégrée du risque de criminalité financière doit être positionnée, au sein des entités critiques, comme un élément essentiel de l’analyse plus large de la résilience de la chaîne d’approvisionnement, et non comme un domaine de conformité autonome qui ne deviendrait pertinent qu’une fois le dommage opérationnel déjà survenu.

Les tiers, fournisseurs et prestataires de services comme porteurs de vulnérabilité systémique

Dans le contexte des entités critiques, les tiers, les fournisseurs et les prestataires de services fonctionnent de moins en moins comme des acteurs de marché externes neutres fournissant des apports strictement délimités, et de plus en plus comme des porteurs de vulnérabilité systémique. Cela signifie que leur importance ne peut être correctement comprise à l’aide de la question traditionnelle consistant à savoir si un fournisseur donné exécute correctement le contrat, livre dans les délais ou propose des conditions commerciales avantageuses. La question déterminante est plutôt celle de savoir si la partie concernée est à ce point imbriquée dans le service essentiel que sa défaillance, son retard, sa manipulation, les atteintes à son intégrité ou la perte soudaine de sa disponibilité produiraient des conséquences disproportionnées pour la fonction publique de l’entité critique. La notion de vulnérabilité systémique souligne ainsi que la qualité du tiers n’est pas seule pertinente ; l’est également la position qu’il occupe dans le réseau des dépendances opérationnelles. Un contrat de valeur relativement modeste peut avoir un impact systémique extraordinairement élevé lorsque le service concerné est profondément intégré à l’architecture opérationnelle, lorsqu’aucun substitut réaliste n’est disponible, lorsque le savoir réside exclusivement chez la partie externe ou encore lorsque les points d’accès maîtrisés par le tiers concernent des processus, des données ou des actifs vitaux. À la lumière de cette réalité, la qualification juridique et de gouvernance des tiers doit évoluer : il ne s’agit plus de simples fournisseurs, mais de co-porteurs fonctionnels de la structure de résilience.

Cette approche revêt une importance particulière dans les secteurs où la spécialisation, la complexité technologique et la concentration du marché ont conduit, dans la pratique, à ce que les entités critiques dépendent d’un nombre limité de prestataires pour les logiciels, la maintenance, les données de capteurs, la surveillance à distance, les pièces de rechange, l’assistance en matière de conformité ou l’exécution logistique. Un prestataire ayant accès à des technologies opérationnelles peut simultanément constituer une source de risque cyber, d’exposition à la menace interne, de problèmes d’intégrité des données et de paralysie opérationnelle. Un fournisseur de composants critiques peut, en même temps, représenter une dépendance de production, un risque de concentration géographique et une exposition sensible aux sanctions. Une partie chargée d’une gestion externe peut, à première vue, n’accomplir que des tâches de soutien, alors que ces tâches sont, en réalité, essentielles à la réponse aux incidents, à la capacité de rétablissement ou à la reprise sûre des processus après une perturbation. Il en résulte que la vulnérabilité systémique ne peut plus être mesurée au regard de la seule valeur nominale du contrat ou de la classification formelle du service fourni, mais doit l’être à l’aune de la capacité réelle de désorganisation du tiers concerné. Cela exige un cadre analytique capable de résister à la tentation institutionnelle consistant à classer les fournisseurs selon les seules catégories d’achat, et qui s’attache au contraire à la position opérationnelle, numérique, financière et de gouvernance du tiers au sein de la chaîne de valeur du service essentiel.

Dans le cadre de la Gestion intégrée du risque de criminalité financière, la notion de vulnérabilité systémique possède en outre une dimension d’intégrité incontestable. Un tiers profondément intégré dans des processus critiques peut non seulement causer un préjudice opérationnel par sa défaillance, mais également servir de vecteur à la corruption, à la fraude, aux conflits d’intérêts, à la concussion, au favoritisme indu, à la falsification de données de performance ou encore à la dissimulation de bénéficiaires effectifs finaux présentant des antécédents problématiques. Dans de telles situations, le tiers ne constitue pas seulement un risque opérationnel, mais également un mécanisme de transmission par lequel la criminalité financière et les atteintes à l’intégrité peuvent affecter la continuité du service essentiel. Un fournisseur sélectionné sous influence corruptrice plutôt que sur la base du mérite, un partenaire de maintenance produisant de faux rapports, un consultant agissant en réalité comme intermédiaire de paiements illicites ou un partenaire logistique impliqué dans un contournement des sanctions peut exposer l’entité critique à une forme de vulnérabilité systémique qui ne saurait être réduite à un simple dommage réputationnel ou à une responsabilité juridique. Une telle situation peut affecter la gouvernabilité du service, intensifier la pression réglementaire, provoquer l’effondrement des relations contractuelles et compromettre la capacité de rétablissement opérationnel au moment précis où la rapidité et la fiabilité sont le plus indispensables. C’est pourquoi l’analyse des tiers en tant que porteurs de vulnérabilité systémique doit toujours être menée, au moins en partie, à travers le prisme de la Gestion intégrée du risque de criminalité financière, en appréciant non seulement la performance et la sécurité, mais aussi l’intégrité, la transparence de la propriété, les flux financiers et le risque d’influence.

Externalisation, numérisation et essor des dépendances indirectes

L’externalisation et la numérisation ont profondément redessiné le paysage des services critiques en provoquant une forte augmentation des dépendances indirectes. Là où les dépendances étaient autrefois souvent visibles dans des relations contractuelles directes avec des fournisseurs identifiables, l’organisation contemporaine des services essentiels a donné naissance à des chaînes stratifiées dans lesquelles l’entité critique dépend, en réalité, de multiples niveaux de sous-traitance, de dépendance à des plateformes, de couches logicielles, de maillons de données, d’environnements d’hébergement, de partenaires d’intégration et de fonctions de soutien qui ne sont pas toujours pleinement visibles dans l’image contractuelle primaire. Une entité critique peut ainsi conclure un contrat avec un fournisseur principal pour une solution numérique, alors même que cette solution repose elle-même sur une infrastructure cloud sous-jacente, sur des services externes d’identité, sur des centres de support situés dans d’autres juridictions, sur des accès spécialisés en cybersécurité, sur des équipes de développement externalisées et sur des dépendances vis-à-vis de parties de troisième ou quatrième ligne sur lesquelles l’entité elle-même ne peut exercer qu’une influence directe très limitée. Le profil de risque se déplace ainsi de chaînes directement contrôlables vers des structures de dépendance complexes et imbriquées dans lesquelles la source de la perturbation, de la manipulation ou de la contamination de l’intégrité se situe souvent à un ou plusieurs maillons du cocontractant formel. En termes juridiques et de gouvernance, il s’agit d’une complication substantielle, car l’entité critique demeure responsable, soumise à la surveillance et tenue par des obligations de résilience, alors qu’une part importante des conditions réelles de fourniture du service peut se situer hors de sa visibilité et de sa maîtrise directes.

La numérisation intensifie cette évolution dans la mesure où la continuité opérationnelle dépend de plus en plus de services immatériels et persistants qui ne peuvent être ni localisés, ni inspectés, ni remplacés aisément. Un actif physique est visible ; une dépendance numérique peut, au contraire, être enfouie au plus profond de l’architecture et ne devenir perceptible qu’au moment où une panne ou une compromission est déjà survenue. Une entité critique peut, par exemple, penser qu’elle recourt à plusieurs fournisseurs et qu’elle a ainsi réalisé une diversification, alors qu’en réalité différentes applications, interfaces et chaînes de travail reposent, sous la surface, sur le même fournisseur de cloud, la même bibliothèque logicielle, la même couche de données ou le même intégrateur spécialisé. L’illusion de diversification peut, dans de telles circonstances, masquer une concentration effective. Il en va de même pour l’externalisation de fonctions de soutien qui semblent, sur le papier, non critiques, alors qu’elles donnent dans la pratique accès à des systèmes critiques, à des processus opérationnels ou à des informations sensibles de décision. Les fonctions d’assistance, les services de surveillance, les mises à jour logicielles, la gestion des identités et des accès, la réponse externe aux incidents et la maintenance à distance peuvent chacun être présentés séparément comme un simple soutien technique, alors qu’ensemble ils créent une sphère d’influence externe considérable au sein du noyau du service vital. Les dépendances indirectes n’apparaissent donc pas comme un phénomène marginal, mais comme une conséquence structurelle de la manière dont la numérisation et l’externalisation réorganisent la production des services essentiels.

Pour la Gestion intégrée du risque de criminalité financière, l’essor des dépendances indirectes revêt une importance particulière, car les risques de criminalité financière dans des chaînes numérisées et externalisées à plusieurs niveaux sont souvent plus diffus, moins visibles et plus difficiles à retracer. Des structures complexes de sous-traitance peuvent être utilisées pour dissimuler les bénéficiaires effectifs finaux, masquer des juridictions à haut risque, répartir des flux financiers irréguliers ou cacher une implication sensible au regard des sanctions derrière des modèles de prestation de services en apparence neutres. En outre, dans des environnements fortement externalisés et numérisés, il devient plus probable que des décisions de procurement, des demandes de modification, des contrats de support et des exceptions techniques soient utilisés comme vecteurs de favoritisme indu, de prestations fictives, de facturation fragmentée, de manipulation de l’intégration des fournisseurs ou de construction sélective de dépendances au profit d’un cercle restreint d’acteurs. La question de l’intégrité se déplace ainsi du seul cocontractant vers l’ensemble de la pile de services à travers laquelle le service essentiel devient possible. Un cadre efficace de Gestion intégrée du risque de criminalité financière au sein des entités critiques doit dès lors évaluer non seulement le fournisseur direct, mais aussi la chaîne opérationnelle et financière sous-jacente, y compris les sous-traitants, les structures de propriété, les circuits de paiement, l’exposition géographique et l’ampleur de la dépendance effective de l’entité à l’égard de maillons indirects dépourvus d’instruments propres de gouvernance directe. À défaut d’une telle approche élargie, il existe un risque sérieux que la vulnérabilité matérielle et l’exposition à la criminalité financière soient sous-estimées précisément là où la numérisation et l’externalisation ont rendu l’organisation la plus dépendante de tiers invisibles.

Criminalité financière dans les chaînes de fournisseurs et les services de soutien

Dans le contexte des entités critiques, la criminalité financière au sein des chaînes de fournisseurs et des services de soutien doit être comprise comme une source d’atteinte directe à la résilience, et non comme un simple risque dérivé de réputation ou de conformité. Cette qualification est d’une importance considérable, car les approches traditionnelles de la criminalité financière dans les organisations se sont souvent concentrées sur la protection des actifs propres, l’intégrité des transactions internes et le respect, au sens étroit, des règles relatives à la lutte contre le blanchiment, à la lutte contre la corruption et aux sanctions. Pour les entités critiques, ce cadre est nécessaire, mais insuffisant. Lorsque la criminalité financière s’insère dans les chaînes de fournisseurs, les structures de maintenance, les services généraux, le support informatique, l’exécution logistique ou la sous-traitance spécialisée, elle affecte non seulement l’intégrité de la relation commerciale, mais peut également endommager le service essentiel au cœur même de son fonctionnement opérationnel. La corruption peut conduire à la sélection ou au maintien de fournisseurs inadaptés, ou de fournisseurs renforçant la dépendance. La fraude peut entraîner l’absence effective de maintenance, la livraison de composants de qualité inférieure ou l’existence de capacités sur le papier qui, dans les faits, font défaut. Le contournement des sanctions ou des structures de propriété dissimulées peut conduire brutalement à des blocages juridiques, au gel des services ou à la résiliation forcée de relations contractuelles. Le blanchiment ou les flux financiers frauduleux dans les services de soutien peuvent déclencher des interventions pénales ou administratives mettant sous pression la maîtrise managériale des processus critiques. Dans chacun de ces cas, la criminalité financière n’est pas un phénomène périphérique, mais un mécanisme de perturbation susceptible d’altérer la continuité de la fonction vitale.

Les chaînes de fournisseurs sont particulièrement sensibles à ces risques, car elles se caractérisent souvent par une combinaison de pression concurrentielle, de transparence limitée, d’asymétrie technique et de responsabilité fragmentée. Dans de telles conditions, les irrégularités peuvent se dissimuler relativement aisément derrière des contrats apparemment routiniers, des avenants, des livraisons urgentes, des consultants, des agents locaux, des sous-traitants ou des dérogations justifiées par la nécessité opérationnelle. Dans l’univers des entités critiques, cette dynamique est particulièrement dangereuse, car la rapidité, la disponibilité spécialisée et les exigences de continuité peuvent pousser l’organisation à accepter des exceptions qui se révèlent ensuite avoir constitué la porte d’entrée de violations de l’intégrité ou de structures de dépendance frauduleuses. Un prestataire de maintenance bénéficiant d’une position exclusive de longue date, un fournisseur informatique présentant des coûts de sortie très élevés, un partenaire logistique disposant d’un accès régional dominant ou un fournisseur de données ou de logiciels bénéficiant d’intégrations profondément ancrées peut créer une situation dans laquelle l’entité critique ne dispose, en pratique, que de très peu d’alternatives et développe dès lors une tolérance accrue à l’égard des insuffisances, des structures opaques ou des déviations contractuelles. C’est précisément l’environnement dans lequel la criminalité financière prospère souvent : non pas par confrontation ouverte, mais par la normalisation progressive de positions exceptionnelles, par l’insuffisance du questionnement critique, par le manque de transparence et par l’idée que la nécessité opérationnelle devrait l’emporter sur la discipline d’intégrité.

La Gestion intégrée du risque de criminalité financière doit intégrer explicitement cette réalité en traitant la criminalité financière au sein de la chaîne comme un risque de perte de gouvernabilité opérationnelle. Cela requiert une approche dans laquelle la due diligence fournisseurs, l’analyse des bénéficiaires effectifs, le filtrage au regard des sanctions, les contrôles de paiement, la détection de la fraude, la gouvernance du procurement et la surveillance contractuelle n’opèrent pas isolément, mais sont reliés à la question de savoir quels tiers sont essentiels à la fonction vitale et quelles atteintes à l’intégrité seraient susceptibles d’avoir un impact disproportionné sur la fourniture de cette fonction. Une entité critique ne peut donc s’en tenir au constat qu’un fournisseur existe juridiquement, paraît financièrement plausible et est contractuellement disponible. Il faut un examen plus approfondi de la question de savoir qui exerce réellement le contrôle, quelles incitations et quelles dépendances structurent la relation, quelles exceptions se sont développées dans la pratique, quels signaux de fraude à la facturation, de conflits d’intérêts, de corruption ou de risque de sanctions sont visibles, et avec quelle rapidité le service essentiel serait affecté si la relation devait être interrompue brutalement en raison de préoccupations d’intégrité. Ce lien entre l’analyse de la criminalité financière et la continuité opérationnelle constitue le cœur d’une Gestion intégrée du risque de criminalité financière robuste au sein des entités critiques. En l’absence de ce lien, le contrôle de l’intégrité demeure trop abstrait, alors que la véritable vulnérabilité réside dans la possibilité que des relations de soutien entachées de criminalité financière viennent conditionner précisément les fonctions vitales que la Directive sur la résilience des entités critiques et la loi néerlandaise relative à la résilience des entités critiques entendent protéger.

Risques d’intégrité dans le procurement, la maintenance, l’informatique et le soutien logistique

Les risques d’intégrité dans le procurement, la maintenance, l’informatique et le soutien logistique méritent, dans le contexte des entités critiques, une attention distincte et particulièrement soutenue, car, dans ces domaines, la frontière formelle entre soutien et fonction centrale est souvent trompeuse. Le procurement ne détermine pas seulement quelle partie obtient un contrat, mais structure, dans de nombreux cas, l’architecture des dépendances du service essentiel pour des années. La maintenance ne détermine pas seulement si les actifs demeurent techniquement exploitables, mais aussi si les dysfonctionnements peuvent être corrigés en temps utile et si une capacité réelle de rétablissement est effectivement disponible. Le support informatique n’affecte pas uniquement la performance des systèmes, mais aussi les accès, l’intégrité des données, la visibilité sur les processus opérationnels et la réponse aux incidents. Le soutien logistique ne se limite pas au transport ou à la gestion des stocks, mais peut constituer la véritable ligne de vie pour les pièces de rechange, les carburants, les composants critiques ou l’accès physique à l’infrastructure. Dans tous ces domaines, la dégradation de l’intégrité peut causer un double préjudice : la qualité et la fiabilité du service concerné diminuent, tandis que l’entité critique construit simultanément une structure de dépendance difficile à démanteler. Dès lors, un incident d’intégrité n’est pas seulement une violation normative, mais potentiellement le commencement d’une perte structurelle de contrôle sur une partie de la fonction vitale.

Dans le procurement, ces risques peuvent se manifester sous la forme de procédures de sélection biaisées, de collusion entre fournisseurs, de manipulation des spécifications, d’exceptions opaques, de dispositifs artificiels d’urgence, de conflits d’intérêts, de concurrence fictive ou d’orientation vers une partie déjà choisie sous couvert de nécessité technique. Dans la maintenance peuvent apparaître des travaux fictifs, des inspections structurellement différées, des certifications défectueuses, des données de performance falsifiées ou une dépendance indue à l’égard d’un seul prestataire de maintenance. Dans l’informatique, des accès privilégiés insuffisamment contrôlés, une sous-traitance opaque, des composants logiciels peu transparents, des structures cachées de support à distance ou des chaînes de propriété et de développement insuffisamment claires peuvent conduire à une situation dans laquelle l’entité critique est formellement cliente, mais ne détient en substance qu’une maîtrise limitée sur les systèmes qui soutiennent son service essentiel. Dans le soutien logistique, des maillons frauduleux, des détournements, des intermédiaires non contrôlés, des courtiers peu fiables, des itinéraires sensibles aux sanctions ou des informations manipulées sur les stocks et la disponibilité peuvent porter atteinte à la fiabilité et à l’intégrité de la chaîne. Ce qui relie tous ces exemples est que le risque d’intégrité ne peut ici être dissocié de la gouvernance de résilience. Il touche directement à la question de savoir si l’entité peut continuer à assurer sa fonction vitale sous pression sans être, en pratique, prise en otage par des relations de soutien compromises ou ingouvernables.

Pour cette raison, la Gestion intégrée du risque de criminalité financière doit, dans ces domaines, aller bien au-delà d’une lutte réactive contre la fraude ou d’une due diligence standardisée à l’égard des tiers. Il faut un cadre intégré dans lequel les décisions de procurement sont examinées sous l’angle de la création de dépendances, les relations de maintenance sous celui de la substituabilité réelle et de la vérifiabilité des performances, les services informatiques sous celui de la transparence technique et de gouvernance, et le soutien logistique sous celui de l’intégrité des routes, du risque lié aux intermédiaires et de l’exposition aux sanctions ou à la fraude. Ce cadre doit également comporter une visibilité fine sur les mécanismes d’exception, car ce n’est souvent pas la règle formelle, mais la déviation apparemment temporaire qui devient le lieu où se rencontrent le favoritisme indu et la vulnérabilité structurelle. Une prolongation de contrat justifiée par l’urgence, un contournement provisoire des exigences d’intégration, une solution d’urgence impliquant un accès à distance, un intermédiaire logistique ad hoc ou un dispositif d’avenant en dehors du circuit décisionnel ordinaire peut devenir une source durable de risque d’intégrité et de continuité. Au sein des entités critiques, le procurement, la maintenance, l’informatique et la logistique doivent dès lors être compris non pas simplement comme des fonctions de soutien devant fonctionner efficacement, mais comme des domaines stratégiques de résilience dans lesquels la qualité de la gestion de l’intégrité contribue à déterminer si le service essentiel demeure gouvernable, fiable et placé sous un contrôle public et organisationnel effectif. C’est précisément à cet endroit qu’un système fortement structuré et profondément ancré de Gestion intégrée du risque de criminalité financière devient indispensable.

Risque de concentration, points uniques de défaillance et perturbation imbriquée dans la chaîne

Le risque de concentration constitue, dans le domaine des entités critiques, l’une des manifestations les plus sous-estimées et, en même temps, l’une des plus déstabilisatrices de la dépendance à la chaîne d’approvisionnement. Il ne concerne pas seulement la situation dans laquelle une entité critique repose formellement sur un seul fournisseur, une seule technologie, un seul partenaire de maintenance ou un seul corridor logistique, mais aussi la configuration plus subtile et, dans la pratique, souvent bien plus dangereuse, dans laquelle des relations qui paraissent réparties convergent en réalité vers une même infrastructure sous-jacente, une même structure financière ou de propriété, une même base d’expertise technique, ou un même espace géographique et juridique de dépendance. Le risque de concentration acquiert ainsi une portée bien plus large que ne le laisse supposer la conception classique issue du droit des achats ou de la gestion opérationnelle. Ce qui importe n’est pas seulement de savoir si plusieurs contreparties contractuelles existent numériquement, mais si ces parties fonctionnent de manière matériellement indépendante, si elles représentent réellement des capacités substituables, si elles reposent sur des fondements opérationnels distincts et si leur défaillance ou leur compromission simultanées peuvent raisonnablement être exclues. Dans le cadre de la résilience des entités critiques, le risque de concentration n’est donc pas un problème abstrait de structure de marché, mais une menace directe pour la continuité d’un service essentiel. Lorsqu’un trop grand nombre de fonctions critiques se concentrent dans un nombre limité de maillons, il se forme un système dans lequel la perturbation ne demeure plus locale ni proportionnée, mais se traduit rapidement par un désordre imbriqué dans la chaîne, avec des effets potentiellement transsectoriels.

Les points uniques de défaillance ne doivent, dans ce contexte, pas être compris dans un sens technique étroit. Cette notion ne vise pas exclusivement un seul serveur, un seul centre de données, un seul composant de réseau ou une seule installation physique, mais également des dépendances juridiques, contractuelles, humaines, géographiques et fondées sur l’expertise, qui peuvent en pratique remplir la même fonction déstabilisatrice. Une entité critique peut, par exemple, disposer formellement de plusieurs prestataires de services, tout en demeurant néanmoins, en substance, dépendante d’un seul groupe de techniciens spécialisés qui seuls ont accès à un système complexe, d’un seul fournisseur de logiciels qui seul peut exécuter des mises à jour et des opérations de rétablissement, d’un seul producteur étranger de pièces de rechange, ou d’un seul nœud logistique par lequel transitent des flux de marchandises cruciaux. Dans tous ces cas, un point unique de défaillance apparaît non parce que l’organisation aurait été négligente au sens élémentaire du terme, mais parce que la combinaison de la spécialisation technologique, de la concentration du marché, du verrouillage contractuel, de la pression temporelle et de l’accumulation historique de dépendances a conduit à une situation dans laquelle la substituabilité opérationnelle semble théoriquement présente tout en étant, dans la pratique, presque absente. Pour les entités critiques, il s’agit là d’un point de départ particulièrement précaire, car la fonction sociétale du service essentiel ne peut attendre de longs processus de substitution, des renégociations internationales ou des migrations techniques complexes. L’existence de points uniques de défaillance cachés soulève donc la question de savoir si l’entité dirige encore véritablement les conditions de sa propre continuité, ou si cette direction s’est déjà déplacée, en termes matériels, vers des maillons externes insuffisamment visibles, insuffisamment influençables ou insuffisamment susceptibles d’être remplacés rapidement.

Dans le cadre de la Gestion intégrée du risque de criminalité financière, le risque de concentration acquiert une signification supplémentaire et particulièrement aiguë, parce que les risques de criminalité financière peuvent non seulement accompagner les effets de la concentration, mais aussi les approfondir et les accélérer. Une relation concentrée avec un fournisseur qui s’accompagne d’opacité de propriété, de flux financiers inhabituels, de favoritisme envers un fournisseur privilégié, d’incitations à la corruption, de concurrence fictive ou de structures sensibles au regard des sanctions ne crée pas seulement un problème de conformité ; elle engendre une situation dans laquelle l’entité critique se trouve arrimée à un seul maillon risqué, précisément au point où la dépendance opérationnelle est déjà la plus forte. Dans de telles circonstances, la criminalité financière devient un amplificateur de vulnérabilité systémique. Elle peut conduire à l’éviction d’alternatives du marché, à la prolongation artificielle de dépendances contractuelles, à l’exploitation abusive d’un monopole technique ou logistique, et à la détection trop tardive ou trop hésitante de signaux de dysfonctionnement, par crainte d’une désorganisation opérationnelle. Un dispositif robuste de Gestion intégrée du risque de criminalité financière doit dès lors s’intéresser non seulement à la question de savoir si un fournisseur ou un prestataire agit avec intégrité, mais également à celle de savoir si la concentration de dépendance expose structurellement l’entité à une influence indue, à la poursuite frauduleuse de relations, à l’escalade du risque de sanctions ou à une perte brutale de services en cas d’intervention réglementaire. Le risque de concentration n’est donc, en ce sens, ni un simple enjeu de résilience, ni une simple question d’intégrité, mais un thème convergent dans lequel continuité, gouvernabilité et maîtrise des risques de criminalité financière coïncident.

Contrôle des tiers dans le cadre de la Directive sur la résilience des entités critiques et de la Wwke, ainsi que dans les régimes plus larges de résilience

Le contrôle des tiers dans le cadre de la Directive sur la résilience des entités critiques et de la Wwke doit être compris à la lumière d’un horizon normatif profondément déplacé. L’objet de l’attention réglementaire n’est plus exclusivement la conformité interne de l’entité critique au sens étroit, mais la question plus large de savoir si l’entité est en mesure de protéger son service essentiel, dans des conditions de perturbation, contre des vulnérabilités situées pour une large part en dehors de ses propres frontières organisationnelles. Cela ne signifie pas que les autorités de contrôle acquièrent, de ce fait, un pouvoir direct générique sur toutes les parties externes de la chaîne, mais cela signifie en revanche que l’on attend de l’entité critique qu’elle dispose d’une connaissance démontrable des tiers dont dépendent, en fait, la continuité, l’intégrité et la gouvernabilité de la fonction vitale. En ce sens, le contenu même de ce qu’il faut entendre par gouvernance adéquate et gestion suffisante des risques se transforme également. Une entité critique ne peut se contenter de produire des contrats, des dossiers généraux de due diligence ou des évaluations standard de fournisseurs lorsque la structure effective des dépendances est bien plus profonde et complexe. Ce qui devient plus pertinent, c’est de savoir si l’entité est en mesure de justifier quels tiers ont été qualifiés de critiques, sur quels fondements cette qualification a eu lieu, comment elle conserve de la visibilité sur la sous-traitance sous-jacente et sur les structures de propriété, quels scénarios de repli existent, et comment la gouvernance de l’entité garantit que les signaux de détérioration de la fiabilité ou de l’intégrité chez des tiers sont traités en temps utile.

Le cadre plus large de résilience renforce cette évolution parce que différents domaines réglementaires se recoupent de plus en plus intensément dans la pratique. La résilience des entités critiques n’est en effet pas dissociable de la cybersécurité, du respect des sanctions, des régimes anticorruption, de la discipline en matière de marchés et d’achats, de la gestion du risque opérationnel, de la gouvernance de l’externalisation et des exigences sectorielles de supervision. Il en résulte un paysage normatif stratifié dans lequel un même tiers peut être pertinent sous plusieurs angles : comme point d’accès cyber, comme partenaire de maintenance, comme acteur logistique clé, comme sous-traitant de traitement de données, comme intermédiaire financier ou comme risque potentiel d’intégrité. Pour l’entité critique, cela signifie que le contrôle ne peut plus être abordé comme une série de lignes de reddition de comptes séparées, chacune exigeant son propre ensemble limité de documents. Ce qu’il faut, au contraire, c’est une architecture de gouvernance cohérente, capable de satisfaire à diverses attentes de contrôle sans perdre de vue la question matérielle centrale : où se trouvent les maillons de la chaîne qui maintiennent le service essentiel ou qui peuvent le désorganiser, et comment une maîtrise effective y est-elle exercée sur les plans de la gouvernance et des opérations ? Dans cette perspective, les obligations de notification, la réponse aux incidents et les évaluations périodiques des risques prennent elles aussi un poids accru. Ce ne sont pas seulement les incidents internes, mais aussi les perturbations, les atteintes à l’intégrité ou les obstacles juridiques affectant des tiers qui peuvent devenir pertinents du point de vue du contrôle lorsqu’ils touchent, ou sont susceptibles de toucher, la fonction vitale.

La Gestion intégrée du risque de criminalité financière doit, dans cette réalité de supervision, être explicitement positionnée comme un élément intégral d’une gestion de la résilience démontrable. Le contrôle des tiers est en effet matériellement vidé de sa substance si les risques de criminalité financière dans la chaîne ne sont portés à la connaissance qu’en ordre dispersé ou de manière purement réactive. Une autorité de contrôle qui évalue la résilience d’une entité critique ne pourra guère se satisfaire, sur le fond, d’un modèle dans lequel la criticité opérationnelle a été cartographiée, tandis que la transparence de la propriété, la sensibilité aux sanctions, le risque de corruption, les schémas de fraude et les flux financiers inhabituels demeurent en dehors de l’analyse centrale. Un tiers peut, en effet, être opérationnellement indispensable tout en étant, simultanément, instable du point de vue de l’intégrité, juridiquement précaire ou financièrement opaque. Dans de telles circonstances, la vulnérabilité du service essentiel ne peut être sérieusement appréciée sans intégrer la dimension d’intégrité. Un modèle crédible, prêt pour le contrôle, doit donc démontrer que l’entité critique sait non seulement quel tiers est important, mais aussi comment l’intégrité de ce tiers est évaluée, comment les changements de propriété ou de contrôle sont surveillés, comment les transactions inhabituelles ou les risques croissants de sanctions sont traités, et de quelle manière une intervention de gouvernance est possible lorsqu’un tiers ne peut plus être considéré comme fiable. Le contrôle des tiers dans le cadre de la Directive sur la résilience des entités critiques, de la Wwke et des cadres connexes présuppose ainsi une organisation qui ne considère pas ses dépendances externes comme de simples relations commerciales, mais comme des objets de gouvernance de résilience permanente et démontrablement intégrée.

Cartographie de la chaîne, due diligence et surveillance continue des dépendances critiques

Au sein des entités critiques, la cartographie de la chaîne n’est pas un simple exercice documentaire de soutien, mais un élément constitutif de la question de savoir si l’entité comprend réellement l’architecture de sa propre vulnérabilité. Sans une image profonde et dynamique de la chaîne, toute affirmation relative à la résilience demeure, dans une large mesure, spéculative, dès lors qu’il reste incertain quels maillons externes soutiennent effectivement le service essentiel, où se situent les concentrations de dépendance, quelles couches de sous-traitance sont opérationnellement pertinentes, et où des structures juridiques, géographiques ou de propriété peuvent affaiblir l’emprise de gouvernance sur les processus critiques. La cartographie de la chaîne doit dès lors aller bien au-delà de l’établissement d’une liste de fournisseurs ou de la classification de contrats selon le niveau de dépenses ou la catégorie formelle de services. Ce qu’il faut, c’est une image bien plus fine, permettant de rendre visibles les parties qui ont accès à des systèmes critiques, les tiers qui assurent la maintenance d’actifs vitaux, les prestataires qui traitent ou hébergent des données opérationnelles, les nœuds logistiques essentiels à la continuité, les sous-traitants spécialisés indispensables au rétablissement, ainsi que les infrastructures sous-jacentes utilisées simultanément par plusieurs prestataires de services qui paraissent extérieurement indépendants les uns des autres. Ce n’est qu’à partir du moment où ces relations sont mises au jour de manière systématique qu’il devient possible de déterminer où l’entité est matériellement vulnérable et où des interventions préventives, contractuelles, techniques ou de gouvernance s’imposent.

Dans ce cadre, la due diligence revêt un caractère sensiblement plus exigeant que celui généralement observé dans les programmes conventionnels de gestion des fournisseurs. Il ne s’agit pas seulement de savoir si un tiers existe légalement, peut produire une documentation de base et semble jouir d’une réputation convenable au sens général. Plus important encore est le point de savoir s’il existe une visibilité sur l’identité des bénéficiaires effectifs ultimes, sur les relations effectives de contrôle, sur la solidité financière, sur la dépendance à l’égard de juridictions à haut risque, sur la sensibilité aux sanctions, sur le comportement historique en matière d’intégrité, sur les pratiques de sous-traitance, sur les personnes-clés, sur la posture de cybersécurité et sur la question de savoir si le fournisseur ou le prestataire occupe une position si singulière que l’entité critique dispose, en pratique, de très peu d’alternatives réalistes. La due diligence doit en outre être différenciée en fonction de la nature de la dépendance. Un fournisseur de fournitures de bureau génériques n’exige pas le même degré de profondeur qu’un prestataire bénéficiant d’un accès privilégié à la technologie opérationnelle, qu’un partenaire de maintenance pour des installations vitales ou qu’un acteur logistique contrôlant un corridor exclusif vers des actifs critiques. Le centre de gravité normatif ne réside donc pas dans une uniformité administrative universelle, mais dans une profondeur ciblée aux endroits où l’impact potentiel sur le service essentiel est le plus élevé. En ce sens, la due diligence au sein des entités critiques n’est pas un simple exercice de cases à cocher, mais un instrument permettant de répondre à la question matérielle de savoir si la continuité de la fonction publique peut, de manière responsable, être confiée au tiers concerné.

La surveillance continue est ensuite indispensable, car les dépendances critiques demeurent rarement statiques. La propriété peut changer, la sous-traitance peut s’étendre, les performances peuvent se dégrader progressivement, les conditions géopolitiques peuvent se modifier, les régimes de sanctions peuvent se durcir, la santé financière peut se détériorer, et ce qui apparaissait initialement comme une relation fournisseur maîtrisable peut évoluer silencieusement vers un maillon de fait indispensable. Une simple photographie prise au moment de l’intégration initiale est donc insuffisante. Ce qu’il faut, c’est une forme continue de surveillance au sein de l’organisation, dans laquelle les signaux issus de la gestion contractuelle, des incidents opérationnels, des événements cyber, du comportement de paiement, des changements dans les structures de gouvernance, des évolutions du marché et du contexte juridique ou géopolitique sont réunis au sein d’un processus d’évaluation intégré. Dans le cadre de la Gestion intégrée du risque de criminalité financière, cette surveillance continue revêt une importance particulière. Les risques de criminalité financière ne se révèlent souvent qu’avec le temps : par des évolutions dans les schémas de facturation, par des intermédiaires inhabituels, par des transferts rapides de propriété, par une dépendance croissante à des contrats dérogatoires, par des demandes de paiement anormales, par des signaux de conflits d’intérêts ou par une exposition accrue à des régions sanctionnées ou à haut risque. Une architecture de surveillance efficace doit donc viser non seulement la disponibilité et la performance, mais aussi l’évolution de l’intégrité de la relation et la question de savoir si l’entité critique demeure capable de maîtriser le service essentiel lorsque la fiabilité d’un tiers est mise sous pression. La cartographie de la chaîne, la due diligence et la surveillance continue ne constituent ainsi pas trois techniques de contrôle distinctes, mais une seule structure cohérente par laquelle la résilience matérielle du service essentiel est rendue visible et gouvernable.

Coopération public-privé en cas de perturbations affectant les chaînes d’approvisionnement vitales

Dans la pensée contemporaine de la résilience, la coopération public-privé face aux perturbations affectant les chaînes d’approvisionnement vitales ne constitue pas un simple complément facultatif à la préparation individuelle des entreprises, mais une condition structurelle de l’efficacité de la réponse lorsque la désorganisation dépasse les limites d’une seule organisation. Les entités critiques opèrent, en effet, dans des environnements où les perturbations restent rarement confinées à la relation directe entre l’entité et un seul fournisseur. Des pénuries, des défaillances de prestataires spécialisés, des obstacles au transport, des blocages géopolitiques, des incidents cyber, des actes de sabotage, des désordres financiers ou des atteintes à l’intégrité dans la chaîne peuvent affecter simultanément plusieurs acteurs et se propager rapidement à travers les secteurs, les régions et les couches de dépendance. Dans de telles circonstances, une logique de réponse exclusivement privée s’avère insuffisante, car l’entité individuelle ne dispose souvent ni d’informations suffisantes, ni de capacités de contrainte, ni d’un mandat de coordination, ni d’une vue d’ensemble sectorielle lui permettant d’atténuer efficacement la perturbation. La coopération public-privé acquiert, dès lors, une signification stratégique qui va bien au-delà du simple partage d’informations au sens général. Elle concerne l’établissement d’un ordre de réponse dans lequel les pouvoirs publics, les autorités de contrôle, les alliances sectorielles et les entités critiques échangent des informations de manière maîtrisée, définissent des priorités, allouent des capacités rares, identifient les obstacles juridiques et coordonnent des mesures d’urgence destinées à protéger les services essentiels.

La nécessité d’une telle approche apparaît avec une acuité particulière lorsque la perturbation concerne des chaînes dans lesquelles les mécanismes de marché fonctionnent mal, voire de façon contre-productive, sous la pression de la crise. Une pénurie de pièces de rechange, de personnel de maintenance spécialisé, de capacité de rétablissement numérique, d’accès logistique ou de prestataires alternatifs fiables peut conduire des entités individuelles à se concurrencer pour les mêmes ressources limitées, alors que l’intérêt collectif exige au contraire une allocation fondée sur la priorité vitale et l’impact systémique. De la même manière, un problème d’intégrité ou de sanctions touchant un fournisseur dominant peut affecter simultanément plusieurs entités critiques, de sorte qu’une approche purement contractuelle devient insuffisante et qu’émerge le besoin d’une interprétation coordonnée, d’un alignement juridique et de voies de secours temporaires. Dans de telles situations, la coopération public-privé ne doit pas être conçue comme une forme de concertation ad hoc inventée au moment de la crise, mais comme une structure préparée à l’avance, dans laquelle des points de contact, des lignes d’escalade, des protocoles d’information, des accords de confidentialité, des mécanismes sectoriels de priorisation et des scénarios communs ont déjà été développés. Ce n’est qu’à cette condition qu’il devient possible d’éviter qu’une perturbation dans la chaîne d’approvisionnement vitale ne conduise à une prise de décision fragmentée, à des asymétries d’information et à une situation dans laquelle chaque acteur agit séparément alors que la vulnérabilité est, en substance, collective.

Dans le cadre de la Gestion intégrée du risque de criminalité financière, la coopération public-privé dans ce domaine revêt également une importance fondamentale, parce que les perturbations dans les chaînes vitales s’accompagnent fréquemment d’une exposition accrue à la fraude, à la corruption, à la manipulation des prix, à l’évasion des sanctions, à la falsification de documents, à des intermédiaires opportunistes et à d’autres formes d’abus économico-financiers. Les situations de crise augmentent la pression pour conclure rapidement des contrats, s’écarter des contrôles ordinaires, admettre des fournisseurs d’urgence et accepter temporairement une documentation incomplète. C’est précisément le contexte dans lequel la criminalité financière trouve souvent l’espace nécessaire pour se développer. Une entité opérant dans l’isolement court alors le risque de recourir aux mêmes intermédiaires risqués que d’autres acteurs, de manquer des signaux d’alerte déjà apparus ailleurs, ou d’adopter, sous pression opérationnelle, des mesures qui sapent ensuite l’intégrité et la solidité juridique de la réponse. La coopération public-privé peut ici jouer un rôle de contrepoids en agrégeant les signaux, en construisant des visions partagées du risque, en identifiant plus rapidement les schémas de fraude et en organisant une vigilance collective à l’égard de prestataires risqués, de structures de paiement inhabituelles ou de fournisseurs d’urgence apparaissant soudainement. Il devient ainsi clair que la coopération public-privé en cas de perturbations affectant les chaînes d’approvisionnement vitales ne concerne pas seulement la continuité opérationnelle, mais également la prévention du risque que la réponse à la crise elle-même devienne le véhicule de nouvelles dépendances, de contamination de l’intégrité et d’un affaiblissement de la maîtrise de gouvernance.

La résilience des tiers comme composante indispensable de la Gestion intégrée du risque de criminalité financière au sein des entités critiques

Au sein des entités critiques, la résilience des tiers doit être considérée comme une composante indispensable de la Gestion intégrée du risque de criminalité financière, parce que la séparation classique entre continuité opérationnelle et maîtrise de la criminalité financière n’est plus, dans ce contexte, soutenable ni sur le plan analytique ni du point de vue de la gouvernance. Les parties externes dont dépend une entité critique ne constituent pas seulement des sources d’incertitude en matière d’approvisionnement ou de performance, mais également des vecteurs potentiels d’opacité de propriété, de risque de corruption, de sensibilité aux sanctions, de schémas de fraude, d’influence indue et d’autres formes d’atteinte à l’intégrité susceptibles d’affecter directement la disponibilité, la fiabilité et la gouvernabilité du service essentiel. Un tiers peut être simultanément partenaire de maintenance, détenteur d’un accès aux données, maillon logistique, bénéficiaire de paiements et mécanisme de rétablissement opérationnel. Dans une telle relation, il serait artificiel de placer, d’un côté, les évaluations du risque opérationnel et, de l’autre, l’analyse de la criminalité financière, comme si les deux n’étaient que marginalement liées. Pour les entités critiques, la question centrale est plutôt de savoir si les dépendances externes sont gouvernées de telle manière qu’elles n’exposent pas la fonction vitale à une convergence de perturbation de la continuité, de dégradation de l’intégrité et de perte de maîtrise de gouvernance. La résilience des tiers n’est donc pas un chapitre additionnel venant s’ajouter à la Gestion intégrée du risque de criminalité financière ; elle est l’un des lieux où ce système de gestion démontre sa pertinence matérielle.

Cette conclusion emporte des conséquences profondes pour la structuration de la gouvernance, des lignes de reporting et des processus de décision. Lorsque la résilience des tiers est sérieusement traitée comme faisant partie de la Gestion intégrée du risque de criminalité financière, l’évaluation des fournisseurs et des prestataires ne peut plus demeurer fragmentée entre différentes fonctions sans cadre analytique unificateur. Les achats ne peuvent plus poursuivre de manière autonome une optimisation purement commerciale pendant que l’intégrité et la formation des dépendances sont évaluées ailleurs. Les fonctions cyber ne peuvent se limiter à des contrôles techniques sans visibilité sur la propriété, la sous-traitance et l’exposition aux sanctions. La conformité ne peut se satisfaire de contrôles à l’entrée sans implication dans la criticité opérationnelle de la relation. Les opérations, de leur côté, ne peuvent supposer que la performance historique constitue une preuve suffisante de fiabilité lorsque la structure sous-jacente est fragile du point de vue de l’intégrité ou opaque financièrement. Ce qu’il faut, c’est un modèle dans lequel criticité, substituabilité, concentration, transparence de la propriété, comportement de paiement, incidents d’intégrité, exposition juridique et pertinence en situation de crise des tiers sont réunis dans un même langage de gouvernance. Ce n’est qu’au sein d’un tel modèle intégré qu’il devient visible quels tiers portent la valeur de risque composite la plus élevée et où une intervention, une restructuration, un renforcement contractuel, une surveillance accrue ou une réduction stratégique de la dépendance sont nécessaires.

Au sens le plus fondamental, cette approche confirme que la Gestion intégrée du risque de criminalité financière au sein des entités critiques ne possède de véritable force de conviction que lorsqu’elle se concentre sur les lieux où la protection des fonctions publiques et la réalité de la chaîne se rencontrent. La criminalité financière n’est pas ici simplement une question d’infraction financière ; elle constitue un mécanisme capable de déformer l’architecture de la dépendance, de placer des tiers inadaptés ou risqués dans des positions clés, de paralyser la détection, d’exclure des alternatives et d’ancrer une vulnérabilité réglementaire ou géopolitique au cœur opérationnel du service essentiel. La résilience des tiers fonctionne donc comme le test décisif de la profondeur de l’ensemble du système. Si une entité critique dispose de règles générales d’intégrité mais n’a pas une visibilité précise sur les parties externes qui conditionnent la fonction vitale, le lien matériel entre la norme et le risque fait défaut. Si, en revanche, la transparence de la propriété, la cartographie de la chaîne, la sensibilité aux sanctions, la détection de la fraude, l’effet de levier contractuel, l’analyse de la substituabilité et la surveillance continue sont conjointement intégrés dans la gouvernance des dépendances critiques, il émerge une forme de Gestion intégrée du risque de criminalité financière qui n’est pas seulement formellement solide, mais qui contribue effectivement à la protection des services essentiels contre les menaces imbriquées de l’économie contemporaine. À cet égard, la résilience des tiers n’est pas simplement une composante pertinente du système, mais l’une des conditions centrales de sa crédibilité et de son fonctionnement effectif.