{"id":34093,"date":"2026-05-03T16:20:31","date_gmt":"2026-05-03T16:20:31","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/fr\/?p=34093"},"modified":"2026-05-03T16:22:35","modified_gmt":"2026-05-03T16:22:35","slug":"resilience-numerique-et-protection-des-entites-critiques","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/fr\/expertises\/ifcrm\/resilience-des-entites-critiques\/resilience-numerique-et-protection-des-entites-critiques\/","title":{"rendered":"R\u00e9silience num\u00e9rique et protection des entit\u00e9s critiques"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La r\u00e9silience num\u00e9rique et la protection des entit\u00e9s critiques doivent, dans le cadre normatif europ\u00e9en et national actuel, \u00eatre appr\u00e9hend\u00e9es comme une red\u00e9finition structurelle de l\u2019objet m\u00eame de la protection. Alors que les doctrines classiques de protection des infrastructures \u00e9taient auparavant principalement orient\u00e9es vers la s\u00e9curit\u00e9 physique des installations, des actifs, des r\u00e9seaux et des points d\u2019acc\u00e8s, une conception juridique et administrative beaucoup plus large s\u2019est d\u00e9velopp\u00e9e au cours des derni\u00e8res ann\u00e9es, dans laquelle ce n\u2019est plus l\u2019objet physique lui-m\u00eame, mais la fourniture ininterrompue de services essentiels qui occupe la place centrale. Ce d\u00e9placement emporte des cons\u00e9quences consid\u00e9rables quant \u00e0 la qualification juridique du risque, de la responsabilit\u00e9 et du contr\u00f4le. La directive sur la r\u00e9silience des entit\u00e9s critiques et la directive NIS2 incarnent, lorsqu\u2019elles sont lues conjointement, une logique int\u00e9gr\u00e9e de protection dans laquelle la s\u00e9curit\u00e9 physique, la continuit\u00e9 organisationnelle, la s\u00e9curit\u00e9 num\u00e9rique, la stabilit\u00e9 des cha\u00eenes de d\u00e9pendance et la pr\u00e9paration administrative ne peuvent plus \u00eatre trait\u00e9es comme des compartiments r\u00e9glementaires distincts. La pr\u00e9misse sous-jacente est que la stabilit\u00e9 des fonctions soci\u00e9tales essentielles dans une soci\u00e9t\u00e9 profond\u00e9ment num\u00e9ris\u00e9e ne peut plus \u00eatre garantie par la seule optimisation de la r\u00e9silience des b\u00e2timents, des actifs ou des syst\u00e8mes techniques isol\u00e9s, d\u00e8s lors que les infrastructures num\u00e9riques, les environnements de processus, les relations de donn\u00e9es et les structures de d\u00e9pendance sur lesquels repose effectivement la fourniture de ces fonctions demeurent insuffisamment r\u00e9sistants \u00e0 la perturbation, \u00e0 la manipulation, \u00e0 la panne ou \u00e0 l\u2019infiltration. Dans cette perspective, la protection des entit\u00e9s critiques \u00e9volue d\u2019une doctrine de d\u00e9fense p\u00e9rim\u00e9trique vers une doctrine de protection de la continuit\u00e9 fonctionnelle, dans laquelle la question centrale consiste \u00e0 d\u00e9terminer si une entit\u00e9, dans des conditions de pression accrue, de d\u00e9sorganisation num\u00e9rique ou de menace hybride, peut continuer \u00e0 fournir son service essentiel d\u2019une mani\u00e8re qui demeure gouvernable, r\u00e9cup\u00e9rable et socialement fiable.<\/p>

Ce d\u00e9placement est juridiquement et administrativement profond, parce qu\u2019il \u00e9l\u00e8ve la composante num\u00e9rique des entit\u00e9s critiques du rang de fonction de soutien \u00e0 celui de condition structurante du maintien de l\u2019ordre soci\u00e9tal vital. La mise en \u0153uvre de la directive sur la r\u00e9silience des entit\u00e9s critiques par la loi n\u00e9erlandaise sur la r\u00e9silience des entit\u00e9s critiques, conjugu\u00e9e \u00e0 la mise en \u0153uvre de NIS2 au sein de l\u2019architecture nationale de cybers\u00e9curit\u00e9, n\u2019introduit pas seulement des obligations de conformit\u00e9 suppl\u00e9mentaires ou des normes sectorielles, mais marque un point de d\u00e9part fondamentalement nouveau pour l\u2019organisation de la gouvernance, de la supervision et de la ma\u00eetrise des risques. Une entit\u00e9 critique peut \u00eatre bien prot\u00e9g\u00e9e sur le plan physique, solidement organis\u00e9e sur le plan contractuel et apparemment robuste sur le plan op\u00e9rationnel, tout en demeurant expos\u00e9e \u00e0 une vuln\u00e9rabilit\u00e9 gravement d\u00e9stabilisatrice lorsque la gestion des identit\u00e9s, l\u2019automatisation des processus, les acc\u00e8s administratifs externes, les int\u00e9grations en nuage, les plateformes de donn\u00e9es, les interfaces de maintenance, la segmentation des r\u00e9seaux ou la communication de crise ne r\u00e9sistent pas suffisamment aux perturbations num\u00e9riques. Il appara\u00eet ainsi que la fourniture de services essentiels passe de plus en plus par des syst\u00e8mes nerveux num\u00e9riques situ\u00e9s \u00e0 la fois \u00e0 l\u2019int\u00e9rieur et \u00e0 l\u2019ext\u00e9rieur du p\u00e9rim\u00e8tre organisationnel propre de l\u2019entit\u00e9. La question juridique et administrative se d\u00e9place d\u00e8s lors de la protection des actifs tangibles vers la protection des conditions permettant le maintien d\u2019une fonction essentielle. Ces conditions ne comprennent pas seulement la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 et la disponibilit\u00e9 des r\u00e9seaux et des syst\u00e8mes d\u2019information, mais \u00e9galement la capacit\u00e9 de ma\u00eetriser les d\u00e9pendances num\u00e9riques, de maintenir des voies de repli, d\u2019organiser la prise de d\u00e9cision sous pression perturbatrice, de discipliner les acteurs externes sur les plans contractuel et op\u00e9rationnel, et de pr\u00e9server la confiance du public dans la gouvernabilit\u00e9 des services vitaux sous des conditions de menace contemporaines. Dans ce cadre \u00e9largi, la r\u00e9silience num\u00e9rique n\u2019est pas une sp\u00e9cialit\u00e9 technique juxtapos\u00e9e au domaine juridique et administratif, mais un concept cardinal pour la protection normative de la continuit\u00e9, de la l\u00e9gitimit\u00e9 et de la stabilit\u00e9 syst\u00e9mique.<\/p>

<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La r\u00e9silience num\u00e9rique comme condition fondamentale de la continuit\u00e9 des fonctions critiques<\/h4>

La r\u00e9silience num\u00e9rique doit, pour les entit\u00e9s critiques, \u00eatre comprise comme une condition constitutive de continuit\u00e9 et non comme une mesure de s\u00e9curit\u00e9 d\u00e9riv\u00e9e. Cette qualification est d\u00e9cisive, parce qu\u2019elle d\u00e9termine la mani\u00e8re dont doivent \u00eatre interpr\u00e9t\u00e9es les obligations issues de NIS2, les obligations de r\u00e9silience inscrites dans le cadre de la directive sur la r\u00e9silience des entit\u00e9s critiques et les r\u00e9gimes nationaux de mise en \u0153uvre. Il ne s\u2019agit pas seulement d\u2019adopter des mesures de s\u00e9curit\u00e9 appropri\u00e9es dans l\u2019abstrait, mais d\u2019assurer, sur le plan normatif, la capacit\u00e9 effective de fournir des services essentiels dans un environnement o\u00f9 les syst\u00e8mes num\u00e9riques sont devenus les vecteurs principaux du contr\u00f4le op\u00e9rationnel, de la surveillance, de la gestion des capacit\u00e9s, du contr\u00f4le des acc\u00e8s, de la maintenance, de la coordination logistique, du traitement des incidents et de la communication avec les partenaires de cha\u00eene et les autorit\u00e9s comp\u00e9tentes. D\u00e8s lors que les syst\u00e8mes num\u00e9riques occupent cette position, la perte de ma\u00eetrise num\u00e9rique devient imm\u00e9diatement un probl\u00e8me de continuit\u00e9. La question de savoir si une fonction critique demeure intacte ne peut alors plus \u00eatre tranch\u00e9e uniquement au regard de la redondance physique ou de la pr\u00e9paration du personnel, mais aussi au regard du caract\u00e8re suffisamment r\u00e9cup\u00e9rable, segmentable, ma\u00eetrisable et r\u00e9versible de l\u2019architecture num\u00e9rique afin de maintenir cette fonction en situation de perturbation. La r\u00e9silience num\u00e9rique touche ainsi au c\u0153ur m\u00eame de la responsabilit\u00e9 des entit\u00e9s critiques en droit public comme en droit priv\u00e9 : il ne s\u2019agit pas seulement de pr\u00e9venir les incidents, mais aussi d\u2019\u00eatre capable de poursuivre, de hi\u00e9rarchiser, de r\u00e9duire ou de r\u00e9tablir, de mani\u00e8re contr\u00f4l\u00e9e, la fourniture du service essentiel sans que la perte de contr\u00f4le num\u00e9rique ne provoque un dommage soci\u00e9tal disproportionn\u00e9.<\/p>

Cette approche montre clairement que la continuit\u00e9 des fonctions critiques ne saurait \u00eatre r\u00e9duite \u00e0 des statistiques de disponibilit\u00e9 ou \u00e0 la seule disponibilit\u00e9 technique entendue de mani\u00e8re \u00e9troite. La continuit\u00e9 d\u2019une fonction critique suppose que les processus num\u00e9riques ne restent pas seulement op\u00e9rationnels, mais qu\u2019ils soient \u00e9galement gouvern\u00e9s, valid\u00e9s et corrig\u00e9s de mani\u00e8re fiable. Un syst\u00e8me peut \u00eatre formellement disponible tout en compromettant n\u00e9anmoins la continuit\u00e9 du service essentiel lorsque l\u2019int\u00e9grit\u00e9 des donn\u00e9es a \u00e9t\u00e9 alt\u00e9r\u00e9e, lorsque les op\u00e9rateurs ne peuvent plus se fier \u00e0 l\u2019exactitude des tableaux de bord et des alertes, lorsque les identit\u00e9s ou les privil\u00e8ges administratifs ont \u00e9t\u00e9 compromis, ou lorsque les flux automatis\u00e9s pr\u00e9sentent un comportement qui n\u2019est plus ma\u00eetrisable. La r\u00e9silience num\u00e9rique devient ainsi une question de fiabilit\u00e9 fonctionnelle, d\u2019intelligibilit\u00e9 administrative et de ma\u00eetrisabilit\u00e9 op\u00e9rationnelle. Les entit\u00e9s critiques doivent donc \u00eatre en mesure d\u2019identifier leurs processus num\u00e9riques centraux au niveau de la fourniture effective du service : quels syst\u00e8mes pilotent la fonction essentielle, quelles d\u00e9pendances num\u00e9riques sont n\u00e9cessaires \u00e0 son maintien, quels maillons sont irrempla\u00e7ables, quels processus peuvent \u00eatre repris manuellement, quels flux de donn\u00e9es sont indispensables \u00e0 une exploitation s\u00fbre, et quelles perturbations conduisent directement ou indirectement \u00e0 une d\u00e9sorganisation soci\u00e9tale. \u00c0 d\u00e9faut d\u2019une telle pr\u00e9cision, la r\u00e9silience num\u00e9rique demeure prisonni\u00e8re d\u2019une terminologie informatique g\u00e9n\u00e9rique, alors m\u00eame que l\u2019exigence normative vise en r\u00e9alit\u00e9 la protection de prestations socialement indispensables.<\/p>

Pour cette raison, la gouvernance des entit\u00e9s critiques doit ancrer la r\u00e9silience num\u00e9rique au niveau de la direction, de la supervision et de la prise de d\u00e9cision strat\u00e9gique en mati\u00e8re de risque. Le fait de qualifier la r\u00e9silience num\u00e9rique de condition fondamentale de continuit\u00e9 implique que les d\u00e9cisions relatives \u00e0 l\u2019architecture, aux fournisseurs, aux mod\u00e8les d\u2019acc\u00e8s, aux fen\u00eatres de maintenance, aux investissements en redondance, aux structures de crise et \u00e0 la hi\u00e9rarchisation du r\u00e9tablissement ne sont pas de simples choix techniques ou op\u00e9rationnels, mais des choix ayant des cons\u00e9quences directes sur la fiabilit\u00e9 des services essentiels. Dans un environnement o\u00f9 la couche num\u00e9rique contribue \u00e0 d\u00e9finir la fonction vitale elle-m\u00eame, il appara\u00eet une obligation renforc\u00e9e de ne pas laisser la continuit\u00e9 se dissoudre dans un langage de politique g\u00e9n\u00e9rale, mais de la traduire en choix de conception d\u00e9montrables, en lignes de responsabilit\u00e9 et en m\u00e9canismes d\u2019escalade. L\u2019entit\u00e9 critique doit \u00eatre capable de d\u00e9montrer que les processus num\u00e9riques ne sont pas seulement con\u00e7us de mani\u00e8re efficiente, mais qu\u2019ils demeurent gouvernables sous pression ; que non seulement une capacit\u00e9 de r\u00e9ponse aux incidents existe, mais que la prise de d\u00e9cision est \u00e9galement organis\u00e9e quant \u00e0 la d\u00e9gradation fonctionnelle, au basculement, \u00e0 la priorisation du r\u00e9tablissement du service et \u00e0 la communication avec les autorit\u00e9s comp\u00e9tentes ; et que non seulement la pr\u00e9vention est en place, mais qu\u2019existe aussi la capacit\u00e9 de pr\u00e9server la fonction essentielle sous une forme socialement responsable lorsque le contr\u00f4le num\u00e9rique a \u00e9t\u00e9 alt\u00e9r\u00e9. C\u2019est l\u00e0 que r\u00e9side le v\u00e9ritable noyau de la r\u00e9silience num\u00e9rique : non dans la promesse d\u2019une invuln\u00e9rabilit\u00e9 totale, mais dans la capacit\u00e9, juridiquement, op\u00e9rationnellement et administrativement ancr\u00e9e, de soutenir la fonction vitale sous pression num\u00e9rique.<\/p>

L\u2019imbrication des cybermenaces, des perturbations op\u00e9rationnelles et du risque d\u2019int\u00e9grit\u00e9 financi\u00e8re<\/h4>

La protection des entit\u00e9s critiques contre les perturbations num\u00e9riques ne peut \u00eatre comprise de mani\u00e8re ad\u00e9quate sans reconna\u00eetre l\u2019imbrication \u00e9troite entre cybermenaces, d\u00e9sorganisation op\u00e9rationnelle et risque d\u2019int\u00e9grit\u00e9 financi\u00e8re. Dans un contexte critique, cette imbrication rev\u00eat un poids sup\u00e9rieur \u00e0 celui qu\u2019elle pr\u00e9sente dans le domaine ordinaire des risques d\u2019entreprise, parce qu\u2019un cyberincident se limite rarement \u00e0 des dommages techniques ou \u00e0 une interruption temporaire des processus. Dans les environnements vitaux, une atteinte num\u00e9rique affecte souvent directement la fiabilit\u00e9 des transactions, l\u2019int\u00e9grit\u00e9 des enregistrements, la tra\u00e7abilit\u00e9 de la prise de d\u00e9cision, la contr\u00f4labilit\u00e9 des flux financiers, l\u2019authenticit\u00e9 des instructions, la continuit\u00e9 des obligations contractuelles et la capacit\u00e9 \u00e0 d\u00e9tecter en temps utile les irr\u00e9gularit\u00e9s. D\u00e8s lors que l\u2019infrastructure num\u00e9rique sur laquelle reposent la validation financi\u00e8re, administrative ou op\u00e9rationnelle est perturb\u00e9e, il se cr\u00e9e un environnement dans lequel se produisent non seulement des pertes de disponibilit\u00e9, mais aussi des possibilit\u00e9s accrues de tromperie, de manipulation et de d\u00e9tournement. Le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re se manifeste alors non pas simplement comme un effet secondaire d\u2019un cyberincident, mais comme une composante inh\u00e9rente \u00e0 la logique m\u00eame de la perturbation. En ce sens, la r\u00e9silience num\u00e9rique au sein des entit\u00e9s critiques doit \u00eatre \u00e9troitement reli\u00e9e \u00e0 la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re, car les conditions qui rendent une cyberattaque efficace sont souvent les m\u00eames que celles qui permettent l\u2019affaiblissement des contr\u00f4les, la perte d\u2019authenticit\u00e9, les instructions frauduleuses, l\u2019abus des droits d\u2019acc\u00e8s et les anomalies financi\u00e8res non d\u00e9tect\u00e9es.<\/p>

Cette interd\u00e9pendance devient particuli\u00e8rement visible dans les sc\u00e9narios o\u00f9 des attaquants ou des initi\u00e9s malveillants ne recherchent pas principalement une simple d\u00e9sorganisation technique, mais exploitent les faiblesses num\u00e9riques afin d\u2019extraire de la valeur \u00e9conomique, de manipuler la prise de d\u00e9cision ou de neutraliser la supervision et la d\u00e9tection. Un domaine d\u2019identit\u00e9 compromis peut conduire \u00e0 des instructions de paiement frauduleuses, \u00e0 la modification non autoris\u00e9e de donn\u00e9es fournisseurs, \u00e0 la falsification de journaux, \u00e0 la lib\u00e9ration irr\u00e9guli\u00e8re de fonds ou \u00e0 la dissimulation d\u2019irr\u00e9gularit\u00e9s dans les cha\u00eenes de maintenance ou d\u2019approvisionnement. Une attaque dirig\u00e9e contre l\u2019automatisation des processus ou l\u2019int\u00e9grit\u00e9 des donn\u00e9es peut \u00e9galement engendrer des dommages financiers collat\u00e9raux, parce que la facturation, le r\u00e8glement, l\u2019approvisionnement, la planification capacitaire ou le contr\u00f4le de l\u2019ex\u00e9cution contractuelle ne fonctionnent plus de mani\u00e8re fiable. Dans les secteurs critiques, cette perturbation peut ensuite rejaillir sur le c\u0153ur op\u00e9rationnel, d\u00e8s lors que les syst\u00e8mes financiers et op\u00e9rationnels sont de plus en plus imbriqu\u00e9s num\u00e9riquement. La distinction classique entre cyberrisque, risque op\u00e9rationnel et risque d\u2019int\u00e9grit\u00e9 financi\u00e8re perd ainsi une part importante de son utilit\u00e9 analytique. Ce qui appara\u00eet au premier regard comme une intrusion num\u00e9rique ou une panne de syst\u00e8me peut se transformer en un ensemble d\u2019instructions erron\u00e9es, d\u2019autorisations d\u00e9fectueuses, d\u2019avantages indus, de transactions opaques ou d\u2019impossibilit\u00e9 de reconstruction m\u00e9dico-l\u00e9gale. Il devient ainsi \u00e9vident que la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re dans les entit\u00e9s critiques ne peut \u00eatre r\u00e9duite \u00e0 la surveillance des transactions, au filtrage des sanctions ou aux contr\u00f4les antifraude au sens traditionnel, mais doit \u00e9galement porter sur les conditions num\u00e9riques dans lesquelles l\u2019int\u00e9grit\u00e9 financi\u00e8re demeure, tout simplement, opposable et v\u00e9rifiable.<\/p>

Du point de vue de la gouvernance, cela signifie que les entit\u00e9s critiques doivent \u00e9tablir un lien beaucoup plus \u00e9troit entre cybers\u00e9curit\u00e9, continuit\u00e9 op\u00e9rationnelle et Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re. Cela ne tient pas au fait que tout cyberincident comporterait n\u00e9cessairement une dimension de criminalit\u00e9 financi\u00e8re, mais au fait que les circonstances dans lesquelles le contr\u00f4le num\u00e9rique est perdu cr\u00e9ent souvent simultan\u00e9ment un environnement dans lequel les atteintes \u00e0 l\u2019int\u00e9grit\u00e9 deviennent plus difficiles \u00e0 d\u00e9tecter, plus difficiles \u00e0 attribuer et plus difficiles \u00e0 r\u00e9parer. Dans un cadre juridique et administratif rigoureux, cela exige une approche du risque dans laquelle la d\u00e9tection technique, la gestion des acc\u00e8s, les contr\u00f4les de paiement, la gestion des fournisseurs, la journalisation, la s\u00e9paration des fonctions, les circuits d\u2019escalade et la prise de d\u00e9cision de crise ne sont pas con\u00e7us isol\u00e9ment les uns des autres. Une entit\u00e9 critique qui maintient une s\u00e9paration institutionnelle ou conceptuelle entre la fonction cyber et le domaine de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re court le risque que les perturbations soient pr\u00e9cis\u00e9ment manqu\u00e9es aux points d\u2019intersection o\u00f9 les dommages les plus graves se produisent. La le\u00e7on normative est donc que la r\u00e9silience num\u00e9rique n\u2019est v\u00e9ritablement convaincante que lorsqu\u2019elle garantit \u00e9galement l\u2019authenticit\u00e9 des instructions, l\u2019int\u00e9grit\u00e9 des flux transactionnels, la fiabilit\u00e9 des journaux et la capacit\u00e9 de reconstitution m\u00e9dico-l\u00e9gale en situation perturb\u00e9e. \u00c0 d\u00e9faut d\u2019un tel lien, il en r\u00e9sulte une carence fondamentale : le service essentiel peut continuer \u00e0 fonctionner en apparence, alors m\u00eame que l\u2019int\u00e9grit\u00e9 des processus financiers et administratifs sous-jacents a d\u00e9j\u00e0 \u00e9t\u00e9 mat\u00e9riellement compromise.<\/p>

Infrastructure num\u00e9rique critique, d\u00e9pendance au cloud et vuln\u00e9rabilit\u00e9 syst\u00e9mique<\/h4>

La num\u00e9risation des services essentiels a conduit \u00e0 une situation dans laquelle l\u2019infrastructure num\u00e9rique critique ne se compose plus uniquement de r\u00e9seaux propri\u00e9taires, de centres de donn\u00e9es et d\u2019applications g\u00e9r\u00e9es localement, mais de plus en plus d\u2019environnements hybrides et stratifi\u00e9s o\u00f9 les services en nuage, les services de plateforme externes, les solutions d\u2019authentification partag\u00e9es, le logiciel en tant que service, les interfaces d\u2019administration \u00e0 distance et l\u2019orchestration pilot\u00e9e par les donn\u00e9es occupent une place centrale. Cette \u00e9volution a produit des \u00e9conomies d\u2019\u00e9chelle, de la flexibilit\u00e9 et une capacit\u00e9 d\u2019innovation accrues, mais elle a \u00e9galement introduit une nouvelle cat\u00e9gorie de vuln\u00e9rabilit\u00e9s syst\u00e9miques qui doit \u00eatre analys\u00e9e avec une rigueur particuli\u00e8re dans le contexte des entit\u00e9s critiques. La d\u00e9pendance au cloud n\u2019est pas simplement une question de localisation des donn\u00e9es ou d\u2019identit\u00e9 du fournisseur d\u2019un service donn\u00e9. Elle touche \u00e0 la ma\u00eetrise, \u00e0 la visibilit\u00e9, au levier contractuel, \u00e0 la portabilit\u00e9, au risque de concentration et \u00e0 l\u2019autonomie op\u00e9rationnelle. Lorsque des processus essentiels reposent sur un nombre limit\u00e9 de prestataires num\u00e9riques externes ou sur des architectures dans lesquelles l\u2019administration, l\u2019authentification, le stockage des donn\u00e9es, la surveillance et le pilotage des processus sont concentr\u00e9s dans une logique de plateforme unique, il na\u00eet une situation dans laquelle la vuln\u00e9rabilit\u00e9 de l\u2019entit\u00e9 critique est partiellement d\u00e9termin\u00e9e par des facteurs sur lesquels elle ne dispose que d\u2019une prise directe limit\u00e9e. Cela rev\u00eat une importance r\u00e9glementaire, car l\u2019obligation de continuit\u00e9 qui p\u00e8se sur l\u2019entit\u00e9 critique ne dispara\u00eet pas au seul motif qu\u2019une partie substantielle de la fonction num\u00e9rique a \u00e9t\u00e9 externalis\u00e9e.<\/p>

L\u2019analyse de la vuln\u00e9rabilit\u00e9 syst\u00e9mique s\u2019\u00e9l\u00e8ve ainsi au-dessus du niveau de l\u2019\u00e9valuation traditionnelle des fournisseurs ou de la due diligence de s\u00e9curit\u00e9 standard. Pour les entit\u00e9s critiques, la question d\u00e9terminante n\u2019est pas seulement de savoir si un fournisseur de cloud ou un fournisseur de plateforme dispose, en g\u00e9n\u00e9ral, de mesures de s\u00e9curit\u00e9 ad\u00e9quates, mais surtout de savoir \u00e0 quel point le service externe est imbriqu\u00e9 dans la capacit\u00e9 effective \u00e0 poursuivre, \u00e0 restaurer ou \u00e0 r\u00e9duire de mani\u00e8re contr\u00f4l\u00e9e la fonction essentielle. Un environnement cloud peut para\u00eetre s\u00fbr \u00e0 la lumi\u00e8re des certifications, des rapports d\u2019audit et des niveaux de service contractuels, tout en recelant n\u00e9anmoins une grave vuln\u00e9rabilit\u00e9 syst\u00e9mique lorsque la migration n\u2019est pas r\u00e9ellement ex\u00e9cutable, lorsque les informations relatives aux incidents ne sont disponibles que de mani\u00e8re partielle, lorsque les priorit\u00e9s de r\u00e9tablissement sont d\u00e9termin\u00e9es par les int\u00e9r\u00eats g\u00e9n\u00e9riques d\u2019un hyperscaler, lorsque la visibilit\u00e9 m\u00e9dico-l\u00e9gale est insuffisante, ou lorsque la d\u00e9pendance \u00e0 une seule couche d\u2019identit\u00e9 ou d\u2019administration fragilise l\u2019ensemble de l\u2019architecture de continuit\u00e9. Dans de telles circonstances, une asym\u00e9trie appara\u00eet entre responsabilit\u00e9 et contr\u00f4le : l\u2019entit\u00e9 critique demeure responsable de la fourniture ininterrompue du service essentiel, tandis que son influence op\u00e9rationnelle sur des \u00e9l\u00e9ments cruciaux de la cha\u00eene num\u00e9rique devient diffuse, indirecte ou contractuellement limit\u00e9e. La d\u00e9pendance au cloud devient ainsi une question centrale de r\u00e9silience strat\u00e9gique et non une simple d\u00e9cision technique d\u2019approvisionnement.<\/p>

La r\u00e9ponse juridique et administrative \u00e0 cette vuln\u00e9rabilit\u00e9 exige donc une compr\u00e9hension beaucoup plus profonde de l\u2019infrastructure num\u00e9rique en tant que syst\u00e8me de d\u00e9pendances interd\u00e9pendantes. Les entit\u00e9s critiques doivent \u00eatre en mesure de d\u00e9terminer quels services sont v\u00e9ritablement critiques pour la poursuite de la fonction essentielle, quels fournisseurs exercent un pouvoir syst\u00e9mique disproportionn\u00e9, quels composants peuvent g\u00e9n\u00e9rer des d\u00e9faillances communes, quelles donn\u00e9es et quels droits d\u2019administration sont n\u00e9cessaires \u00e0 un basculement ordonn\u00e9, quelles options de repli sont r\u00e9ellement mobilisables et quels droits contractuels sont n\u00e9cessaires pour imposer, en cas d\u2019incident, un acc\u00e8s rapide \u00e0 l\u2019information, la coop\u00e9ration et l\u2019assistance au r\u00e9tablissement. Le c\u0153ur de la politique de r\u00e9silience ne r\u00e9side pas ici dans des pr\u00e9f\u00e9rences abstraites pour l\u2019internalisation ou l\u2019externalisation, mais dans l\u2019exigence que les choix architecturaux soient examin\u00e9s de telle sorte qu\u2019aucune concentration invisible de d\u00e9pendances ne se forme au point de compromettre la continuit\u00e9 des services essentiels en situation de crise. L\u2019infrastructure num\u00e9rique critique doit d\u00e8s lors \u00eatre comprise comme un objet de ma\u00eetrise juridique et administrative : un ensemble de ressources num\u00e9riques dont la propri\u00e9t\u00e9, le contr\u00f4le, l\u2019acc\u00e8s, la segmentation, la portabilit\u00e9 et l\u2019ordre de r\u00e9tablissement doivent \u00eatre express\u00e9ment compris et document\u00e9s. Sans cette pr\u00e9cision, une entit\u00e9 peut se croire num\u00e9riquement robuste alors qu\u2019en r\u00e9alit\u00e9 la vuln\u00e9rabilit\u00e9 syst\u00e9mique s\u2019est d\u00e9j\u00e0 d\u00e9plac\u00e9e vers des couches externes dont la fonction critique est devenue silencieusement d\u00e9pendante.<\/p>

L\u2019identit\u00e9, l\u2019authentification et la gestion des acc\u00e8s comme premi\u00e8re ligne de d\u00e9fense<\/h4>

Dans le paysage contemporain des menaces, l\u2019identit\u00e9, l\u2019authentification et la gestion des acc\u00e8s constituent la premi\u00e8re ligne de d\u00e9fense des entit\u00e9s critiques et, souvent, la plus d\u00e9cisive. Cette affirmation ne repose pas sur un effet de mode technologique, mais sur le constat fondamental que la plupart des perturbations num\u00e9riques graves sont, en d\u00e9finitive, li\u00e9es \u00e0 une perte de contr\u00f4le sur les personnes disposant d\u2019un acc\u00e8s, sur l\u2019identit\u00e9 au nom de laquelle les actes sont accomplis, sur les pr\u00e9rogatives pouvant \u00eatre exerc\u00e9es et sur la mani\u00e8re dont ces pr\u00e9rogatives sont limit\u00e9es, surveill\u00e9es et retir\u00e9es dans le temps. Dans les environnements critiques, cette question est encore plus aigu\u00eb, car l\u2019identit\u00e9 num\u00e9rique n\u2019ouvre pas seulement l\u2019acc\u00e8s aux syst\u00e8mes administratifs, mais \u00e9galement au pilotage des processus, \u00e0 la surveillance, aux interfaces de maintenance, aux portails fournisseurs, \u00e0 l\u2019administration \u00e0 distance, aux segments logiques de la technologie op\u00e9rationnelle et aux environnements de donn\u00e9es sensibles. D\u00e8s lors que l\u2019authenticit\u00e9 des utilisateurs, des processus ou des connexions syst\u00e8me ne peut plus \u00eatre \u00e9tablie de mani\u00e8re fiable, ce n\u2019est pas seulement la confidentialit\u00e9 qui est menac\u00e9e, mais \u00e9galement la gouvernabilit\u00e9 de la fonction essentielle elle-m\u00eame. Les mod\u00e8les d\u2019identit\u00e9 et d\u2019acc\u00e8s au sein des entit\u00e9s critiques ne peuvent donc pas \u00eatre trait\u00e9s comme une simple gestion de l\u2019IAM de soutien, mais doivent \u00eatre consid\u00e9r\u00e9s comme le gardien normatif de la continuit\u00e9, de l\u2019int\u00e9grit\u00e9 et de la responsabilit\u00e9 imputable.<\/p>

Le poids de ce domaine est renforc\u00e9 par le fait que les environnements num\u00e9riques modernes se composent d\u2019un m\u00e9lange complexe d\u2019identit\u00e9s humaines, de comptes de service, de connexions API, d\u2019identit\u00e9s machines, de droits administratifs temporaires, de comptes fournisseurs et d\u2019acc\u00e8s privil\u00e9gi\u00e9s couvrant \u00e0 la fois les environnements informatiques et les environnements de technologie op\u00e9rationnelle. La vuln\u00e9rabilit\u00e9 d\u00e9coule rarement de la seule absence d\u2019un contr\u00f4le technique ; elle r\u00e9sulte bien plus souvent d\u2019une accumulation de faiblesses organisationnelles et architecturales : autorisations trop \u00e9tendues, s\u00e9paration insuffisante entre domaines d\u2019administration, comptes actifs pendant une dur\u00e9e excessive, v\u00e9rification insuffisante des activit\u00e9s des fournisseurs, surveillance d\u00e9ficiente des \u00e9l\u00e9vations de privil\u00e8ges, contr\u00f4le insuffisant des comportements anormaux ou flou quant \u00e0 la propri\u00e9t\u00e9 des comptes critiques et des cha\u00eenes d\u2019authentification. Dans un contexte critique, une telle faiblesse n\u2019accro\u00eet pas seulement le risque de vol de donn\u00e9es ou de modification non autoris\u00e9e, mais peut \u00e9galement conduire \u00e0 une perte de ma\u00eetrise des processus, au sabotage des fonctions de maintenance, \u00e0 la d\u00e9sorganisation des communications de cha\u00eene et \u00e0 l\u2019absence de fiabilit\u00e9 des op\u00e9rations de r\u00e9tablissement. L\u2019identit\u00e9 et l\u2019authentification ne sont donc pas de simples instruments de r\u00e9gulation des acc\u00e8s ; elles constituent l\u2019infrastructure juridique et technique par laquelle il est d\u00e9termin\u00e9 quels actes peuvent \u00eatre tenus pour l\u00e9gitimes, ma\u00eetrisables et r\u00e9cup\u00e9rables.<\/p>

Pour cette raison, la gestion des acc\u00e8s dans les entit\u00e9s critiques doit \u00eatre con\u00e7ue \u00e0 partir des principes de n\u00e9cessit\u00e9 minimale, d\u2019authenticit\u00e9 d\u00e9montrable, de v\u00e9rification continue et de contr\u00f4le r\u00e9cup\u00e9rable. Cela exige davantage que l\u2019authentification multifactorielle ou des exercices p\u00e9riodiques de revue. Il faut une architecture dans laquelle les fonctions critiques ne d\u00e9pendent pas de structures d\u2019identit\u00e9 opaques ou excessivement concentr\u00e9es, dans laquelle les acteurs externes ne re\u00e7oivent qu\u2019un acc\u00e8s strictement limit\u00e9 et v\u00e9rifiable, dans laquelle les actes privil\u00e9gi\u00e9s sont contr\u00f4l\u00e9s et journalis\u00e9s s\u00e9par\u00e9ment, et dans laquelle la perte ou la compromission d\u2019une couche d\u2019identit\u00e9 ne conduit pas automatiquement \u00e0 la perte de contr\u00f4le sur l\u2019ensemble de la fonction vitale. Ce domaine exige \u00e9galement une articulation \u00e9troite avec la gouvernance de crise : lorsque l\u2019int\u00e9grit\u00e9 des identit\u00e9s est compromise, il doit \u00eatre imm\u00e9diatement clair qui peut bloquer les acc\u00e8s, qui peut activer des voies administratives alternatives, quels comptes doivent \u00eatre r\u00e9voqu\u00e9s en priorit\u00e9, comment les fonctions essentielles peuvent continuer \u00e0 fonctionner temporairement de mani\u00e8re limit\u00e9e et comment la reconstruction m\u00e9dico-l\u00e9gale peut \u00eatre s\u00e9curis\u00e9e. Au c\u0153ur de sa dimension normative, l\u2019identit\u00e9 constitue le point d\u2019ancrage juridique de la responsabilit\u00e9 num\u00e9rique. L\u00e0 o\u00f9 l\u2019identit\u00e9 et l\u2019authentification sont diffuses, d\u00e9l\u00e9gu\u00e9es ou insuffisamment ma\u00eetris\u00e9es, toute autre couche de d\u00e9fense devient d\u00e9pendante d\u2019une base fondamentalement instable.<\/p>

Surveillance, d\u00e9tection et r\u00e9ponse lors d\u2019incidents num\u00e9riques dans les environnements vitaux<\/h4>

Pour les entit\u00e9s critiques, la surveillance, la d\u00e9tection et la r\u00e9ponse ne sont pas des sous-processus techniques qui ne deviennent pertinents qu\u2019apr\u00e8s l\u2019action de la s\u00e9curit\u00e9 pr\u00e9ventive, mais des conditions premi\u00e8res d\u2019une continuit\u00e9 gouvernable. Dans les environnements vitaux, il est rarement suffisant d\u2019investir uniquement dans des mesures pr\u00e9ventives, car la r\u00e9silience effective d\u00e9pend dans une large mesure de la capacit\u00e9 \u00e0 reconna\u00eetre les \u00e9carts en temps utile, \u00e0 les interpr\u00e9ter de mani\u00e8re pertinente, \u00e0 hi\u00e9rarchiser correctement les escalades et \u00e0 prendre des d\u00e9cisions de r\u00e9tablissement avant qu\u2019une perturbation num\u00e9rique ne d\u00e9g\u00e9n\u00e8re en d\u00e9sorganisation soci\u00e9tale. Cela est d\u2019autant plus vrai que de nombreux incidents contemporains ne se manifestent plus sous la forme de pannes imm\u00e9diatement visibles, mais sous la forme d\u2019atteintes progressives \u00e0 l\u2019int\u00e9grit\u00e9, d\u2019abus d\u2019acc\u00e8s privil\u00e9gi\u00e9s, de manipulation des cha\u00eenes d\u2019administration, de mouvements lat\u00e9raux graduels ou de d\u00e9sorganisation subtile des processus d\u00e9cisionnels fond\u00e9s sur les donn\u00e9es. Dans de telles circonstances, la diff\u00e9rence entre un dommage ma\u00eetrisable et une perturbation syst\u00e9mique grave r\u00e9side souvent non dans l\u2019absence d\u2019attaque, mais dans la qualit\u00e9 de l\u2019observation, de la corr\u00e9lation, de l\u2019interpr\u00e9tation et de la traduction administrative. La surveillance et la d\u00e9tection doivent donc \u00eatre con\u00e7ues \u00e0 partir de la question de savoir quels signaux sont pertinents pour la continuit\u00e9 de la fonction essentielle, et non uniquement \u00e0 partir d\u2019\u00e9v\u00e9nements de s\u00e9curit\u00e9 g\u00e9n\u00e9riques ou d\u2019alertes standard produites par des outils techniques.<\/p>

Il s\u2019ensuit que les environnements vitaux ont besoin d\u2019une capacit\u00e9 de d\u00e9tection profond\u00e9ment li\u00e9e \u00e0 la r\u00e9alit\u00e9 op\u00e9rationnelle du service essentiel. Une alerte n\u2019acquiert une signification v\u00e9ritable que lorsqu\u2019il est clair quelle fonction, quelle cha\u00eene, quelle d\u00e9pendance ou quelle couche d\u00e9cisionnelle elle affecte. Dans un contexte critique, il ne faut donc pas seulement savoir qu\u2019une anomalie s\u2019est produite, mais aussi si cette anomalie peut avoir des cons\u00e9quences sur la s\u00e9curit\u00e9 des processus, la s\u00e9curit\u00e9 d\u2019approvisionnement, la coordination de cha\u00eene, l\u2019int\u00e9grit\u00e9 des donn\u00e9es, la fiabilit\u00e9 des identit\u00e9s ou les contr\u00f4les d\u2019int\u00e9grit\u00e9 financi\u00e8re. Dans un tel contexte, la conception de la surveillance ne peut \u00eatre limit\u00e9e \u00e0 une journalisation centralis\u00e9e ou \u00e0 des outils de s\u00e9curit\u00e9 entendus de mani\u00e8re \u00e9troite, mais doit \u00e9galement inclure l\u2019analyse int\u00e9gr\u00e9e des \u00e9carts de processus, des interventions de maintenance, des activit\u00e9s des fournisseurs, des mouvements sur les r\u00e9seaux, des modifications des structures de droits et des irr\u00e9gularit\u00e9s dans les sch\u00e9mas de transaction ou d\u2019instruction. \u00c0 d\u00e9faut d\u2019un tel lien, la r\u00e9ponse devient fragment\u00e9e : les \u00e9quipes techniques voient un incident, les \u00e9quipes op\u00e9rationnelles voient des anomalies de processus, les fonctions de conformit\u00e9 voient un risque d\u2019int\u00e9grit\u00e9 et les dirigeants voient une pression r\u00e9putationnelle, sans qu\u2019\u00e9merge une vision int\u00e9gr\u00e9e de la menace r\u00e9elle pesant sur le service essentiel. Dans ce vide, la probabilit\u00e9 augmente qu\u2019une action soit entreprise trop tard, de mani\u00e8re trop \u00e9troite ou selon de mauvaises priorit\u00e9s.<\/p>

La r\u00e9ponse aux incidents num\u00e9riques dans les environnements vitaux doit donc \u00eatre con\u00e7ue comme un m\u00e9canisme d\u00e9cisionnel \u00e0 la fois administratif et fonctionnel, et non simplement comme un guide op\u00e9rationnel de confinement et de r\u00e9tablissement. D\u00e8s lors qu\u2019un incident est susceptible d\u2019affecter la fourniture d\u2019un service essentiel, l\u2019entit\u00e9 critique doit \u00eatre capable de d\u00e9terminer imm\u00e9diatement quelles fonctions doivent \u00eatre prot\u00e9g\u00e9es, quels composants peuvent \u00eatre isol\u00e9s, quelles voies de repli peuvent \u00eatre activ\u00e9es, comment pr\u00e9server l\u2019int\u00e9grit\u00e9 de la prise de d\u00e9cision, quelles obligations de notification sont d\u00e9clench\u00e9es, quels acteurs externes doivent \u00eatre associ\u00e9s sans d\u00e9lai et comment les cons\u00e9quences publiques ou intersectorielles peuvent \u00eatre circonscrites. Cela exige que la r\u00e9ponse aux incidents soit align\u00e9e non seulement sur des objectifs techniques de r\u00e9tablissement, mais aussi sur la protection de la fonction vitale dans son contexte soci\u00e9tal \u00e9largi. Une entit\u00e9 critique doit \u00eatre en mesure d\u2019agir dans l\u2019incertitude, avec des informations incompl\u00e8tes et sous contrainte de temps, sans pour autant perdre la ma\u00eetrise administrative du service essentiel. La qualit\u00e9 de la r\u00e9ponse est d\u00e8s lors \u00e9galement d\u00e9termin\u00e9e par des choix ant\u00e9rieurs relatifs aux circuits d\u2019escalade, \u00e0 la r\u00e9partition des responsabilit\u00e9s, aux seuils de notification et d\u2019intervention, \u00e0 la disponibilit\u00e9 de canaux administratifs alternatifs et \u00e0 la capacit\u00e9 de traduire l\u2019impact d\u2019un incident num\u00e9rique en d\u00e9cisions concr\u00e8tes de continuit\u00e9. En ce sens, la surveillance, la d\u00e9tection et la r\u00e9ponse ne constituent pas la phase technique terminale de la cybers\u00e9curit\u00e9, mais le lieu o\u00f9 la r\u00e9silience num\u00e9rique se d\u00e9montre ou \u00e9choue dans la pratique.<\/p>

Les ran\u00e7ongiciels, le sabotage et les attaques num\u00e9riques hybrides contre les secteurs critiques<\/h4>

Les ran\u00e7ongiciels, le sabotage et les attaques num\u00e9riques hybrides doivent, dans le contexte des entit\u00e9s critiques, \u00eatre compris comme des formes de perturbation \u00e0 plusieurs niveaux qui n\u2019affectent pas seulement la disponibilit\u00e9 technique des syst\u00e8mes, mais exercent \u00e9galement une pression directe sur la gouvernabilit\u00e9, la l\u00e9gitimit\u00e9 et la fiabilit\u00e9 soci\u00e9tale des services essentiels. Dans les secteurs vitaux, le danger fondamental des ran\u00e7ongiciels ne se limite pas au chiffrement des donn\u00e9es ou \u00e0 l\u2019inaccessibilit\u00e9 temporaire des applications. Leur gravit\u00e9 r\u00e9side avant tout dans la combinaison de la d\u00e9sorganisation op\u00e9rationnelle, de la pression extorsive, de la perte de vision fonctionnelle d\u2019ensemble, de l\u2019atteinte \u00e0 l\u2019int\u00e9grit\u00e9 des donn\u00e9es, de la d\u00e9faillance potentielle des communications de cha\u00eene et de la n\u00e9cessit\u00e9 de prendre, sous la menace d\u2019une escalade, des d\u00e9cisions strat\u00e9giques relatives au r\u00e9tablissement, au basculement, \u00e0 la communication et, le cas \u00e9ch\u00e9ant, \u00e0 la coordination relevant du droit public. Dans les environnements critiques, le sabotage rev\u00eat en outre une port\u00e9e plus lourde que dans les contextes commerciaux ordinaires, car la perturbation ne provoque pas seulement un dommage \u00e9conomique, mais peut \u00e9galement affecter la s\u00e9curit\u00e9 physique, la sant\u00e9, la mobilit\u00e9, l\u2019approvisionnement \u00e9nerg\u00e9tique, les syst\u00e8mes de paiement, les t\u00e9l\u00e9communications et l\u2019ordre social au sens large. Les attaques num\u00e9riques hybrides approfondissent encore ce risque, dans la mesure o\u00f9 elles consistent souvent en un entrelacement de moyens cyber, de d\u00e9sinformation, de pressions exerc\u00e9es sur les partenaires de la cha\u00eene, de d\u00e9tournement d\u2019identit\u00e9s, de perturbation des cha\u00eenes de gestion et de manipulation de la confiance du public. Il devient ainsi manifeste que l\u2019attaque ne vise pas uniquement le syst\u00e8me technique, mais la capacit\u00e9 de l\u2019entit\u00e9 critique \u00e0 pr\u00e9server de mani\u00e8re cr\u00e9dible sa fonction vitale sous pression.<\/p>

Ces menaces doivent, d\u00e8s lors, \u00eatre lues sur le plan normatif comme des formes de pression strat\u00e9gique exerc\u00e9es sur la continuit\u00e9 des services essentiels. En ce sens, le ran\u00e7ongiciel n\u2019est pas seulement un mod\u00e8le criminel de g\u00e9n\u00e9ration de revenus, mais \u00e9galement, dans les secteurs critiques, une m\u00e9thode destin\u00e9e \u00e0 forcer la prise de d\u00e9cision administrative, \u00e0 maximiser le stress organisationnel et \u00e0 exploiter de mani\u00e8re visible les d\u00e9pendances. Lorsqu\u2019une entit\u00e9 critique d\u00e9pend dans une large mesure du pilotage num\u00e9rique des processus, de domaines d\u2019identit\u00e9 centralis\u00e9s, de canaux de gestion externes ou d\u2019environnements de donn\u00e9es difficilement rempla\u00e7ables, une attaque par ran\u00e7ongiciel peut rapidement \u00e9voluer d\u2019un incident technique vers une crise globale dans laquelle se heurtent des int\u00e9r\u00eats juridiques, op\u00e9rationnels, contractuels et publics. Le sabotage suit une logique comparable, tout en s\u2019en distinguant par le fait que son mobile r\u00e9side moins exclusivement dans l\u2019extorsion que dans la d\u00e9sorganisation, la d\u00e9gradation ou la d\u00e9moralisation. Dans le cas des attaques hybrides, cette d\u00e9sorganisation est souvent d\u00e9lib\u00e9r\u00e9ment combin\u00e9e avec des op\u00e9rations informationnelles, un choix du moment visant des sensibilit\u00e9s g\u00e9opolitiques ou soci\u00e9tales, et des tactiques destin\u00e9es \u00e0 accro\u00eetre l\u2019incertitude quant \u00e0 l\u2019attribution. Pour les entit\u00e9s critiques, cela engendre une t\u00e2che administrative particuli\u00e8rement difficile : il ne suffit pas de circonscrire techniquement l\u2019attaque, encore faut-il emp\u00eacher que l\u2019organisation ne fixe, sous pression, de mauvaises priorit\u00e9s, que des d\u00e9cisions de r\u00e9tablissement ne soient prises sur la base d\u2019informations non fiables, ou que la perception publique d\u2019une perte de contr\u00f4le n\u2019amplifie l\u2019impact soci\u00e9tal.<\/p>

La protection contre les ran\u00e7ongiciels, le sabotage et les attaques num\u00e9riques hybrides requiert par cons\u00e9quent une approche dans laquelle la pr\u00e9vention, la d\u00e9tection, la gouvernance de crise, la planification du r\u00e9tablissement et la coordination relevant du droit public sont r\u00e9unies dans un cadre unique. Pour les entit\u00e9s critiques, il ne suffit pas de disposer de sauvegardes, de m\u00e9canismes de s\u00e9curit\u00e9 des terminaux ou de proc\u00e9dures de r\u00e9ponse standardis\u00e9es. Ce qui est n\u00e9cessaire, c\u2019est une organisation dans laquelle il est clairement \u00e9tabli quels processus ne peuvent en aucun cas \u00eatre interrompus, quels environnements doivent pouvoir \u00eatre totalement isol\u00e9s, quelles donn\u00e9es sont indispensables \u00e0 une reprise s\u00fbre du service essentiel, comment l\u2019authenticit\u00e9 des d\u00e9cisions de r\u00e9tablissement est garantie et de quelle mani\u00e8re les d\u00e9pendances externes influencent l\u2019ordre du r\u00e9tablissement. Il faut \u00e9galement reconna\u00eetre que les attaques hybrides visent aussi l\u2019ambigu\u00eft\u00e9, le retard et la surcharge administrative. Cela rend indispensables les exercices fond\u00e9s sur des sc\u00e9narios, les protocoles d\u2019escalade, la segmentation des environnements critiques, les canaux de communication ind\u00e9pendants ainsi que des structures d\u00e9cisionnelles explicites relatives au basculement, \u00e0 la priorisation et aux contacts avec les autorit\u00e9s. Le crit\u00e8re de la r\u00e9silience ne r\u00e9side pas ici dans l\u2019attente abstraite selon laquelle chaque attaque pourrait \u00eatre emp\u00each\u00e9e, mais dans la capacit\u00e9 d\u2019emp\u00eacher que la logique de la perturbation ne supplante la logique administrative de la protection de la continuit\u00e9. L\u00e0 o\u00f9 cette capacit\u00e9 fait d\u00e9faut, l\u2019entit\u00e9 critique devient vuln\u00e9rable non seulement \u00e0 l\u2019atteinte technique, mais aussi \u00e0 la d\u00e9sorganisation strat\u00e9gique de sa fonction publique.<\/p>

Le r\u00f4le des tiers, des cha\u00eenes logicielles et des prestataires de services g\u00e9r\u00e9s<\/h4>

Le r\u00f4le des tiers, des cha\u00eenes logicielles et des prestataires de services g\u00e9r\u00e9s est devenu, pour les entit\u00e9s critiques, l\u2019un des facteurs les plus d\u00e9terminants de la qualit\u00e9 effective de la r\u00e9silience num\u00e9rique. Dans un environnement profond\u00e9ment num\u00e9ris\u00e9, le service essentiel n\u2019est plus, dans la plupart des cas, assur\u00e9 exclusivement par une infrastructure propre, par du personnel interne et par des applications g\u00e9r\u00e9es en interne. La fourniture des fonctions vitales repose de plus en plus sur un ensemble \u00e9tendu de fournisseurs de logiciels, d\u2019administrateurs externes, de prestataires de cloud, de prestataires de s\u00e9curit\u00e9, de services d\u2019identit\u00e9, d\u2019int\u00e9grateurs, de soci\u00e9t\u00e9s de maintenance et de fournisseurs de services de donn\u00e9es ou de plateforme. Cette \u00e9volution a accru l\u2019efficacit\u00e9 et rendu plus accessible l\u2019expertise sp\u00e9cialis\u00e9e, mais elle a \u00e9galement conduit \u00e0 une redistribution du pouvoir op\u00e9rationnel et de l\u2019acc\u00e8s aux syst\u00e8mes, laquelle doit \u00eatre appr\u00e9ci\u00e9e avec une particuli\u00e8re rigueur sur les plans juridique et administratif. Une entit\u00e9 critique ne peut, en effet, externaliser, au sens normatif, sa responsabilit\u00e9 essentielle en mati\u00e8re de continuit\u00e9, de s\u00e9curit\u00e9 et de r\u00e9tablissement, m\u00eame lorsque des fonctions num\u00e9riques essentielles sont en pratique con\u00e7ues, g\u00e9r\u00e9es ou h\u00e9berg\u00e9es par des tiers. C\u2019est pr\u00e9cis\u00e9ment l\u00e0 que r\u00e9side une tension fondamentale : l\u2019entit\u00e9 critique demeure responsable en dernier ressort de la fourniture du service essentiel, alors m\u00eame que des parties d\u00e9cisives de la cha\u00eene num\u00e9rique se trouvent hors de sa propre sph\u00e8re organisationnelle.<\/p>

Cela conf\u00e8re \u00e0 la cha\u00eene logicielle une port\u00e9e qui d\u00e9passe largement celle d\u2019un simple ensemble de relations contractuelles. Elle constitue un champ de pouvoir op\u00e9rationnel au sein duquel des vuln\u00e9rabilit\u00e9s, des processus de mise \u00e0 jour, des erreurs de configuration, des d\u00e9pendances cach\u00e9es, des acc\u00e8s privil\u00e9gi\u00e9s et des m\u00e9canismes de d\u00e9faillance communs peuvent s\u2019accumuler sans que l\u2019entit\u00e9 critique en ait toujours une pleine visibilit\u00e9. Les prestataires de services g\u00e9r\u00e9s peuvent, pour des raisons d\u2019efficacit\u00e9, obtenir un acc\u00e8s administratif \u00e9tendu \u00e0 plusieurs environnements vitaux \u00e0 la fois, de sorte qu\u2019une seule compromission ou une seule erreur peut produire un effet disproportionn\u00e9. Les fournisseurs de logiciels peuvent, par le biais de mises \u00e0 jour, de d\u00e9pendances \u00e0 des composants open source, de processus de build ou d\u2019interfaces de gestion, cr\u00e9er une voie par laquelle des vuln\u00e9rabilit\u00e9s se manifestent rapidement et \u00e0 grande \u00e9chelle. Les int\u00e9grateurs externes peuvent devenir profond\u00e9ment imbriqu\u00e9s dans les interconnexions OT\/IT ou dans les syst\u00e8mes de maintenance, de sorte que la connaissance effective de l\u2019architecture op\u00e9rationnelle se d\u00e9place hors de l\u2019organisation. Dans de telles conditions, l\u2019approche traditionnelle du risque fournisseur, centr\u00e9e avant tout sur les stipulations contractuelles, les droits d\u2019audit ou des questionnaires g\u00e9n\u00e9raux de s\u00e9curit\u00e9, appara\u00eet manifestement insuffisante. Pour les entit\u00e9s critiques, la question d\u00e9terminante est celle de savoir quel tiers exerce, \u00e0 quel point, une influence disproportionn\u00e9e sur la disponibilit\u00e9, l\u2019int\u00e9grit\u00e9, la r\u00e9cup\u00e9rabilit\u00e9 et la marge d\u00e9cisionnelle de la fonction vitale elle-m\u00eame.<\/p>

Le r\u00f4le des tiers appelle donc une doctrine plus stricte de ma\u00eetrise de la cha\u00eene, qui d\u00e9passe le simple contr\u00f4le des achats ou la diligence raisonnable p\u00e9riodique. Les entit\u00e9s critiques doivent pouvoir d\u00e9terminer avec pr\u00e9cision quelle partie externe a acc\u00e8s \u00e0 quels syst\u00e8mes, quels droits d\u2019administration existent, comment les modifications sont mises en \u0153uvre, quels composants logiciels sont v\u00e9ritablement critiques pour l\u2019activit\u00e9, o\u00f9 les d\u00e9pendances convergent, quelles alternatives existent en cas de d\u00e9faillance ou de conflit, et dans quelles conditions l\u2019acc\u00e8s peut \u00eatre imm\u00e9diatement restreint ou supprim\u00e9 sans rendre le service essentiel incontr\u00f4lable. L\u2019organisation doit \u00e9galement \u00eatre en mesure d\u2019imposer contractuellement la mise \u00e0 disposition en temps utile des informations pertinentes relatives aux incidents, des donn\u00e9es de journalisation, du soutien m\u00e9dico-l\u00e9gal et de la coop\u00e9ration n\u00e9cessaire au r\u00e9tablissement. \u00c0 d\u00e9faut de telles garanties, une situation se dessine dans laquelle les tiers ne sont pas seulement des soutiens de la fonction vitale, mais contribuent en r\u00e9alit\u00e9 \u00e0 d\u00e9finir les limites de l\u2019autonomie administrative et de la capacit\u00e9 de crise. Cela rev\u00eat \u00e9galement une importance au regard de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re, puisque des tiers disposant d\u2019un acc\u00e8s aux syst\u00e8mes, de relations de paiement, d\u2019un acc\u00e8s aux donn\u00e9es ou d\u2019une influence sur les processus g\u00e9n\u00e8rent non seulement un risque cyber, mais aussi un risque d\u2019int\u00e9grit\u00e9, un risque de fraude et un risque de cha\u00eenes d\u2019instruction incontr\u00f4lables. L\u2019entit\u00e9 critique doit donc traiter l\u2019ensemble du paysage des fournisseurs num\u00e9riques comme une composante de l\u2019architecture de r\u00e9silience elle-m\u00eame. L\u00e0 o\u00f9 cette logique de cha\u00eene n\u2019est pas suffisamment ma\u00eetris\u00e9e, il appara\u00eet une illusion de contr\u00f4le interne alors que la vuln\u00e9rabilit\u00e9 effective se concentre en dehors du p\u00e9rim\u00e8tre formel.<\/p>

La redondance num\u00e9rique, les dispositifs de repli et la capacit\u00e9 de r\u00e9tablissement<\/h4>

La redondance num\u00e9rique, les dispositifs de repli et la capacit\u00e9 de r\u00e9tablissement constituent le contrepoids op\u00e9rationnel \u00e0 l\u2019in\u00e9vitabilit\u00e9 des perturbations dans les environnements num\u00e9riques critiques. Pour les entit\u00e9s critiques, il n\u2019est pas r\u00e9aliste de d\u00e9finir la r\u00e9silience num\u00e9rique comme l\u2019exclusion totale des pannes, des intrusions ou des manipulations. La norme pertinente r\u00e9side plut\u00f4t dans la question de savoir si la fonction essentielle peut, dans des conditions d\u2019atteinte, de perte des syst\u00e8mes primaires ou de compromission du contr\u00f4le num\u00e9rique, se poursuivre sous une forme telle que le dommage soci\u00e9tal soit contenu et que le contr\u00f4le administratif soit maintenu. Cela exige une mani\u00e8re de penser diff\u00e9rente de l\u2019accent habituellement mis sur l\u2019efficacit\u00e9, la centralisation et la standardisation. Lorsque des syst\u00e8mes sont con\u00e7us exclusivement pour une performance optimale dans des conditions normales, ils manquent souvent de la capacit\u00e9 de se d\u00e9grader de mani\u00e8re ordonn\u00e9e, de basculer vers un autre mode ou d\u2019\u00eatre repris manuellement dans des conditions anormales. Dans des contextes vitaux, il s\u2019agit l\u00e0 d\u2019une faiblesse fondamentale. La redondance et le repli ne sont pas des cat\u00e9gories r\u00e9siduelles de conception des infrastructures, mais une expression juridique et administrative explicite de l\u2019obligation de ne pas rendre les services essentiels enti\u00e8rement d\u00e9pendants d\u2019une seule configuration technique, d\u2019une seule couche d\u2019identit\u00e9, d\u2019un seul flux de donn\u00e9es, d\u2019un seul fournisseur ou d\u2019un seul mod\u00e8le de gestion.<\/p>

Cette obligation doit n\u00e9anmoins \u00eatre comprise avec soin. La redondance ne signifie pas automatiquement la duplication de tous les syst\u00e8mes, pas plus que la capacit\u00e9 de r\u00e9tablissement ne saurait \u00eatre d\u00e9duite de la seule existence, sur papier, d\u2019un plan de reprise d\u2019activit\u00e9 apr\u00e8s sinistre. La v\u00e9ritable question est de savoir si des voies alternatives, des dispositifs de r\u00e9serve et des m\u00e9canismes de r\u00e9tablissement peuvent fonctionner, dans des conditions r\u00e9elles de crise, de mani\u00e8re rapide, s\u00fbre et gouvernable. Un syst\u00e8me secondaire qui ne peut \u00eatre activ\u00e9 de fa\u00e7on ind\u00e9pendante, une sauvegarde qui n\u2019a pas \u00e9t\u00e9 valid\u00e9e de mani\u00e8re fiable, une proc\u00e9dure de repli n\u00e9cessitant une expertise sp\u00e9cialis\u00e9e indisponible en situation de crise, ou une m\u00e9thode manuelle ne fonctionnant qu\u2019\u00e0 une \u00e9chelle limit\u00e9e, n\u2019offrent pas de garantie suffisante sur les plans juridique et op\u00e9rationnel. Pour les entit\u00e9s critiques, la capacit\u00e9 de r\u00e9tablissement doit \u00eatre con\u00e7ue du point de vue de la priorit\u00e9 fonctionnelle. La d\u00e9termination des composantes du service essentiel qui doivent se poursuivre imm\u00e9diatement, des donn\u00e9es n\u00e9cessaires \u00e0 une reprise s\u00fbre, des processus pouvant \u00eatre temporairement simplifi\u00e9s, des d\u00e9pendances devant \u00eatre restaur\u00e9es en premier lieu et des d\u00e9cisions requises pour permettre le passage contr\u00f4l\u00e9 du mode d\u2019urgence \u00e0 une exploitation stable ne rel\u00e8ve pas de questions purement techniques, mais de questions centrales de responsabilit\u00e9 administrative.<\/p>

Pour cette raison, l\u2019organisation de la redondance num\u00e9rique et des dispositifs de repli doit \u00eatre \u00e9troitement articul\u00e9e \u00e0 la gouvernance de crise, aux d\u00e9pendances sectorielles et \u00e0 la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re. La capacit\u00e9 de r\u00e9tablissement ne devient convaincante que lorsqu\u2019il est clair comment l\u2019authenticit\u00e9 des donn\u00e9es sera \u00e9tablie pendant le r\u00e9tablissement, comment les instructions frauduleuses ou manipul\u00e9es seront emp\u00each\u00e9es durant le fonctionnement d\u2019urgence, comment les fournisseurs externes seront associ\u00e9s sans perte de contr\u00f4le, et comment les priorit\u00e9s de r\u00e9tablissement seront align\u00e9es sur la signification soci\u00e9tale de la fonction affect\u00e9e. Il convient \u00e9galement de reconna\u00eetre que le r\u00e9tablissement, dans les environnements critiques, se d\u00e9roule souvent dans des conditions d\u2019incertitude : il n\u2019est pas toujours imm\u00e9diatement \u00e9tabli qu\u2019un environnement soit enti\u00e8rement assaini, que l\u2019int\u00e9grit\u00e9 des donn\u00e9es historiques puisse \u00eatre tenue pour fiable, qu\u2019aucune persistance cach\u00e9e ne subsiste, ou que les partenaires de cha\u00eene se trouvent dans le m\u00eame \u00e9tat de r\u00e9tablissement. Dans ce champ de tension, la capacit\u00e9 de r\u00e9tablissement ne se confond pas avec la rapidit\u00e9 seule. Une reprise trop rapide, sans contr\u00f4le d\u2019int\u00e9grit\u00e9, peut produire de nouveaux dommages, tandis qu\u2019une reprise trop lente accro\u00eet la d\u00e9sorganisation soci\u00e9tale. L\u2019art de la r\u00e9silience num\u00e9rique consiste donc \u00e0 concevoir une architecture de r\u00e9tablissement \u00e0 la fois robuste et gouvernable : suffisamment redondante pour absorber les d\u00e9faillances, suffisamment simple pour \u00eatre activ\u00e9e sous pression, et suffisamment contr\u00f4lable pour \u00e9viter que la solution d\u2019urgence elle-m\u00eame ne devienne une nouvelle source de perturbation ou de perte d\u2019int\u00e9grit\u00e9.<\/p>

Les rapports entre la directive CER, la Wwke, NIS2 et la r\u00e9silience num\u00e9rique \u00e0 l\u2019\u00e9chelle de l\u2019organisation<\/h4>

Les rapports entre la Directive sur la r\u00e9silience des entit\u00e9s critiques, la loi n\u00e9erlandaise sur la r\u00e9silience des entit\u00e9s critiques, NIS2 et la r\u00e9silience num\u00e9rique \u00e0 l\u2019\u00e9chelle de l\u2019organisation doivent \u00eatre compris comme une articulation normative dans laquelle diff\u00e9rentes logiques de protection interagissent sans se fondre les unes dans les autres. Le cadre CER est principalement orient\u00e9 vers la r\u00e9silience des entit\u00e9s critiques face \u00e0 un large spectre de perturbations comprenant les catastrophes naturelles, le sabotage, les erreurs humaines, les actes malveillants et d\u2019autres \u00e9v\u00e9nements d\u00e9stabilisateurs. NIS2 se concentre plus sp\u00e9cifiquement sur la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d\u2019information, ainsi que sur la gouvernance, les obligations de notification et la ma\u00eetrise des risques n\u00e9cessaires pour porter la cybers\u00e9curit\u00e9 \u00e0 un niveau \u00e9lev\u00e9 dans les secteurs essentiels et importants. Dans le contexte national, cette articulation est traduite par la Wwke et par la mise en \u0153uvre de NIS2 au sein de l\u2019architecture plus large de cybers\u00e9curit\u00e9. Le point essentiel est que ces r\u00e9gimes forment ensemble un cadre de gouvernance et de supervision dans lequel la r\u00e9silience num\u00e9rique ne se limite pas \u00e0 la conformit\u00e9 cyber, et dans lequel la r\u00e9silience physique ou organisationnelle ne peut pas davantage \u00eatre dissoci\u00e9e des conditions num\u00e9riques dans lesquelles les services essentiels fonctionnent effectivement. Le rapport est donc compl\u00e9mentaire, mais sa port\u00e9e pratique est sensiblement plus lourde que ne le laisserait supposer une simple r\u00e9partition des t\u00e2ches entre diff\u00e9rentes lois et diff\u00e9rents r\u00e9gimes de surveillance.<\/p>

Il en r\u00e9sulte, pour les entit\u00e9s critiques, que la r\u00e9silience num\u00e9rique \u00e0 l\u2019\u00e9chelle de l\u2019organisation ne peut \u00eatre abord\u00e9e ni comme une trajectoire isol\u00e9e de mise en \u0153uvre des obligations de NIS2, ni comme un programme cyber distinct plac\u00e9 \u00e0 c\u00f4t\u00e9 des obligations plus larges de r\u00e9silience relevant de la logique CER et Wwke. La question administrative pertinente est plut\u00f4t celle de savoir comment l\u2019organisation maintient sa fonction essentielle face \u00e0 des formes vari\u00e9es de perturbation, et comment les d\u00e9pendances num\u00e9riques, les processus physiques, les relations de cha\u00eene, les mesures relatives au personnel, les structures de crise et les obligations de notification sont align\u00e9s de telle sorte qu\u2019aucune fragmentation r\u00e9glementaire ou op\u00e9rationnelle n\u2019apparaisse. Une entit\u00e9 critique qui lirait principalement CER et la Wwke comme des cadres de robustesse physique ou organisationnelle, et NIS2 uniquement comme une obligation de cybers\u00e9curit\u00e9, court le risque que son architecture r\u00e9elle de continuit\u00e9 se disloque en \u00e9l\u00e9ments s\u00e9par\u00e9s. Dans une telle hypoth\u00e8se, les analyses de risque peuvent demeurer trop \u00e9troites, les structures de notification coexister parall\u00e8lement, les responsabilit\u00e9s \u00eatre r\u00e9parties de mani\u00e8re diffuse, et des interfaces essentielles rester sans surveillance, notamment lorsqu\u2019un incident cyber provoque une perturbation op\u00e9rationnelle, lorsqu\u2019une d\u00e9faillance physique limite les possibilit\u00e9s de r\u00e9tablissement num\u00e9rique, ou lorsqu\u2019un incident fournisseur produit \u00e0 la fois un impact cyber notifiable et des cons\u00e9quences plus larges en mati\u00e8re de r\u00e9silience. Le c\u0153ur du nouveau cadre r\u00e9side donc dans l\u2019int\u00e9gration des perspectives, et non dans une conformit\u00e9 administrativement parall\u00e8le.<\/p>

Cela signifie que la r\u00e9silience num\u00e9rique \u00e0 l\u2019\u00e9chelle de l\u2019organisation doit \u00eatre positionn\u00e9e, sur les plans juridique et administratif, comme une couche de liaison entre les diff\u00e9rents r\u00e9gimes normatifs. Au niveau de la gouvernance, cela requiert un langage du risque coh\u00e9rent, des lignes de responsabilit\u00e9 claires, une analyse int\u00e9gr\u00e9e des sc\u00e9narios, une classification harmonis\u00e9e des incidents et une compr\u00e9hension constante de quels processus, syst\u00e8mes et d\u00e9pendances sont v\u00e9ritablement critiques pour le service essentiel. Au niveau de l\u2019ex\u00e9cution, cela exige que les mesures de cybers\u00e9curit\u00e9, la continuit\u00e9 des activit\u00e9s, la gestion de crise, la gestion des fournisseurs, la s\u00e9curit\u00e9 physique, les obligations de notification et les dialogues de supervision n\u2019op\u00e8rent pas de mani\u00e8re isol\u00e9e les uns des autres. Pr\u00e9cis\u00e9ment dans les entit\u00e9s critiques, il convient d\u2019\u00e9viter que la conformit\u00e9 formelle ne devienne un substitut \u00e0 la r\u00e9silience mat\u00e9rielle. L\u2019objectif du cadre combin\u00e9 form\u00e9 par CER, la Wwke et NIS2 n\u2019est pas, en effet, la production de r\u00e9sultats de conformit\u00e9 distincts, mais le renforcement de la capacit\u00e9 effective \u00e0 maintenir des services essentiels sous pression. La v\u00e9ritable qualit\u00e9 de la r\u00e9silience num\u00e9rique \u00e0 l\u2019\u00e9chelle de l\u2019organisation se r\u00e9v\u00e8le donc dans la mesure o\u00f9 l\u2019entit\u00e9 parvient \u00e0 traduire la coh\u00e9rence normative de ces r\u00e9gimes en un mod\u00e8le unique et gouvernable de protection de la continuit\u00e9, accordant une attention suffisante aux d\u00e9pendances, \u00e0 l\u2019escalade, \u00e0 la responsabilit\u00e9 publique et au contr\u00f4le d\u00e9montrable.<\/p>

La r\u00e9silience num\u00e9rique comme composante int\u00e9gr\u00e9e de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re au sein des entit\u00e9s critiques<\/h4>

La r\u00e9silience num\u00e9rique doit \u00eatre positionn\u00e9e, au sein des entit\u00e9s critiques, comme une composante int\u00e9gr\u00e9e de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re, parce que la fronti\u00e8re entre la d\u00e9sorganisation num\u00e9rique et la perte d\u2019int\u00e9grit\u00e9 financi\u00e8re dans les environnements vitaux devient de moins en moins nettement tra\u00e7able. Alors que la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re a traditionnellement \u00e9t\u00e9 fortement associ\u00e9e au risque de blanchiment de capitaux, \u00e0 la lutte contre la corruption, au respect des sanctions, \u00e0 la ma\u00eetrise de la fraude et \u00e0 la surveillance de l\u2019int\u00e9grit\u00e9 des flux transactionnels, la r\u00e9alit\u00e9 num\u00e9rique contemporaine requiert une lecture plus large. Dans les entit\u00e9s critiques, le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re ne na\u00eet en effet pas exclusivement de mod\u00e8les transactionnels classiques ou de comportements humains fautifs, mais \u00e9galement de la compromission des identit\u00e9s, de la manipulation des autorisations, de la perturbation des donn\u00e9es de paiement ou de fournisseurs, de l\u2019atteinte \u00e0 la journalisation, de l\u2019abus de droits syst\u00e8me, de l\u2019interruption des cha\u00eenes de contr\u00f4le et de la perte de visibilit\u00e9 sur l\u2019authenticit\u00e9 des instructions op\u00e9rationnelles et financi\u00e8res. D\u00e8s lors que le contr\u00f4le num\u00e9rique s\u2019affaiblit, l\u2019applicabilit\u00e9 des normes d\u2019int\u00e9grit\u00e9 devient imm\u00e9diatement vuln\u00e9rable. Cela vaut tout particuli\u00e8rement pour les entit\u00e9s dont les processus op\u00e9rationnels, administratifs et financiers sont profond\u00e9ment int\u00e9gr\u00e9s sur le plan num\u00e9rique. Dans de tels environnements, un cyberincident peut cr\u00e9er les conditions dans lesquelles des actes frauduleux deviennent invisibles, o\u00f9 des irr\u00e9gularit\u00e9s sont d\u00e9tect\u00e9es plus tardivement ou de mani\u00e8re incompl\u00e8te, ou encore o\u00f9 les mesures de r\u00e9tablissement elles-m\u00eames introduisent de nouveaux risques d\u2019int\u00e9grit\u00e9.<\/p>

Dans cette perspective, la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re au sein des entit\u00e9s critiques doit \u00eatre \u00e9largie \u00e0 un syst\u00e8me qui traite explicitement aussi des conditions num\u00e9riques de l\u2019int\u00e9grit\u00e9 financi\u00e8re et administrative. Il ne suffit pas de surveiller les transactions et de signaler des sch\u00e9mas inhabituels lorsque les structures d\u2019identit\u00e9 et d\u2019acc\u00e8s sous-jacentes sont peu fiables, lorsque les environnements des fournisseurs sont profond\u00e9ment imbriqu\u00e9s avec les processus de paiement, lorsque l\u2019int\u00e9grit\u00e9 des donn\u00e9es ne peut \u00eatre \u00e9tablie pendant les incidents, ou lorsque les journaux sont insuffisamment fiables \u00e0 des fins de reconstitution et de preuve. Il ne suffit pas non plus de laisser la cybers\u00e9curit\u00e9 \u00e0 la seule fonction technique lorsque la faiblesse cyber peut conduire directement \u00e0 la fraude, au risque de corruption, \u00e0 la manipulation des prestations contractuelles, \u00e0 l\u2019octroi d\u2019avantages non autoris\u00e9s ou \u00e0 la dissimulation d\u2019\u00e9carts financi\u00e8rement significatifs. Les entit\u00e9s critiques doivent donc analyser express\u00e9ment les points auxquels la perturbation num\u00e9rique peut co\u00efncider avec une perte d\u2019int\u00e9grit\u00e9 financi\u00e8re, les contr\u00f4les qui d\u00e9pendent de l\u2019authenticit\u00e9 num\u00e9rique, les processus les plus expos\u00e9s aux abus dans les situations de crise, et les d\u00e9cisions de r\u00e9tablissement qui exigent d\u2019abord une confirmation de l\u2019int\u00e9grit\u00e9 avant qu\u2019une reprise op\u00e9rationnelle puisse avoir lieu de mani\u00e8re responsable. \u00c0 d\u00e9faut d\u2019un tel lien, la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re demeure aveugle \u00e0 une part importante des causes du risque moderne.<\/p>

L\u2019int\u00e9gration de la r\u00e9silience num\u00e9rique dans la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re comporte \u00e9galement une dimension claire de gouvernance. La direction, les fonctions de conformit\u00e9, la cybers\u00e9curit\u00e9, le contr\u00f4le interne, l\u2019audit et la conduite op\u00e9rationnelle ne doivent pas fonctionner c\u00f4te \u00e0 c\u00f4te avec des repr\u00e9sentations s\u00e9par\u00e9es du risque, mais doivent \u00e9laborer une compr\u00e9hension commune de la mani\u00e8re dont les cybermenaces, les d\u00e9pendances de cha\u00eene, les abus d\u2019acc\u00e8s, les manipulations de donn\u00e9es et la perturbation des traces de supervision peuvent conjointement \u00e9voluer vers des incidents d\u2019int\u00e9grit\u00e9 financi\u00e8re ayant un impact sur le service essentiel. Dans les entit\u00e9s critiques, cette int\u00e9gration est particuli\u00e8rement importante parce que le dommage reste rarement limit\u00e9 au bilan ou \u00e0 des cas individuels de fraude. Une atteinte \u00e0 l\u2019int\u00e9grit\u00e9 financi\u00e8re peut perturber la fourniture des services essentiels, miner la confiance du public, provoquer des interventions de surveillance et affaiblir la l\u00e9gitimit\u00e9 administrative de l\u2019entit\u00e9. La r\u00e9silience num\u00e9rique devient ainsi, au sein de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re, non pas un th\u00e8me additionnel, mais une condition de l\u2019efficacit\u00e9 de l\u2019ensemble du cadre d\u2019int\u00e9grit\u00e9. Ce n\u2019est que lorsque le contr\u00f4le num\u00e9rique, la gestion des acc\u00e8s, la capacit\u00e9 de d\u00e9tection, la gouvernance des fournisseurs, les protocoles de r\u00e9tablissement et les contr\u00f4les d\u2019int\u00e9grit\u00e9 financi\u00e8re sont con\u00e7us de mani\u00e8re coh\u00e9rente les uns avec les autres qu\u2019\u00e9merge un cadre dans lequel les entit\u00e9s critiques sont non seulement mieux arm\u00e9es contre la perturbation num\u00e9rique, mais aussi capables, sous pression num\u00e9rique, de pr\u00e9server leur int\u00e9grit\u00e9, leur responsabilit\u00e9 et leur fonction publique essentielle.<\/p><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div>

<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\n
\n\n\n
\n\n

R\u00f4le de l\u2019avocat<\/span><\/span><\/h2> \n<\/div>\n\n\n<\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Pr\u00e9vention\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n D\u00e9tection\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Enqu\u00eate\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n R\u00e9ponse\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Conseil\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Contentieux\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n N\u00e9gociation\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\n
\n\n\n
\n\n

Domaines de Pratique<\/span><\/span><\/h2> \n<\/div>\n\n\n<\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Droit p\u00e9nal, contr\u00f4le r\u00e9glementaire et responsabilit\u00e9 des entreprises\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n D\u00e9fense et Enqu\u00eates en Mati\u00e8re de Criminalit\u00e9 en Col Blanc\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Cybercriminalit\u00e9, R\u00e9ponse aux incidents et Risque num\u00e9rique\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Att\u00e9nuation des risques li\u00e9s \u00e0 la confidentialit\u00e9, \u00e0 la gouvernance des donn\u00e9es et \u00e0 la cybers\u00e9curit\u00e9\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Services Forensiques et Enqu\u00eates Corporatives Complexes\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Services de conseil sp\u00e9cialis\u00e9s & Conseil strat\u00e9gique en gestion des risques\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Conseil en technologie, transformation num\u00e9rique et risques \u00e9mergents\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Criminalit\u00e9 financi\u00e8re, r\u00e9glementation FinTech et strat\u00e9gie d\u2019ex\u00e9cution et de sanction\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Gouvernance d\u2019entreprise, supervision \u00e9thique et gestion de la conformit\u00e9\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Conformit\u00e9 ESG, enqu\u00eates & gestion des risques de durabilit\u00e9\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Signalement de cr\u00e9dit \u2013 Vos options pour contester, rectifier ou supprimer\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Gestion de Crises et des Probl\u00e8mes\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\n
\n\n\n
\n\n

Secteurs d'activit\u00e9<\/span><\/span><\/h2> \n<\/div>\n\n\n<\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Agriculture\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Art et culture\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Industrie automobile\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Aviation, a\u00e9rospatiale et d\u00e9fense\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Banques, institutions financi\u00e8res et fintech\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Industrie chimique\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Soci\u00e9t\u00e9s de conseils et services professionnels\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Biens de consommation et commerce de d\u00e9tail\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n \u00c9conomie digitale\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n \u00c9nergie et ressources naturelles\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Entreprises familiales et gestion de patrimoine\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Alimentation et boissons\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Entit\u00e9s gouvernementales et secteur public\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Soins de sant\u00e9, lifescience et produits pharmaceutiques\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n H\u00f4tels, restaurants et loisirs\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Assurance\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n M\u00e9dias, divertissement et sports\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Capital-investissement et capital-risque\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Immobilier et Construction\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Start-up & scale-up\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n T\u00e9l\u00e9communications\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Transport, mobilit\u00e9 et infrastructure\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

La r\u00e9silience num\u00e9rique et la protection des entit\u00e9s critiques doivent, dans le cadre normatif europ\u00e9en et national actuel, \u00eatre appr\u00e9hend\u00e9es comme une red\u00e9finition structurelle de l\u2019objet m\u00eame de la protection. Alors que les doctrines classiques de protection des infrastructures \u00e9taient auparavant principalement orient\u00e9es vers la s\u00e9curit\u00e9 physique des installations, des actifs, des r\u00e9seaux et des points d\u2019acc\u00e8s, une conception juridique et administrative beaucoup plus large s\u2019est d\u00e9velopp\u00e9e au cours des derni\u00e8res ann\u00e9es, dans laquelle ce n\u2019est plus l\u2019objet physique lui-m\u00eame, mais la fourniture ininterrompue de services essentiels qui occupe la place centrale. Ce d\u00e9placement emporte des cons\u00e9quences consid\u00e9rables quant \u00e0<\/p>\n","protected":false},"author":1,"featured_media":34094,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[475],"tags":[],"class_list":["post-34093","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-resilience-des-entites-critiques"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/34093","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/comments?post=34093"}],"version-history":[{"count":6,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/34093\/revisions"}],"predecessor-version":[{"id":34106,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/34093\/revisions\/34106"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/media\/34094"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/media?parent=34093"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/categories?post=34093"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/tags?post=34093"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}