{"id":380,"date":"2026-04-21T21:03:00","date_gmt":"2026-04-21T21:03:00","guid":{"rendered":"https:\/\/basvanleeuwen-avocat.nl\/?p=380"},"modified":"2026-05-03T21:19:28","modified_gmt":"2026-05-03T21:19:28","slug":"entites-critiques-obligations-de-resilience-et-approfondissement-de-la-gouvernance-de-lintegrite","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/fr\/expertises\/gouvernance-de-lintegrite\/entites-critiques-obligations-de-resilience-et-approfondissement-de-la-gouvernance-de-lintegrite\/","title":{"rendered":"Entit\u00e9s critiques, obligations de r\u00e9silience et approfondissement de la gouvernance de l\u2019int\u00e9grit\u00e9"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Dans le cadre juridique et administratif europ\u00e9en et national actuel, les entit\u00e9s critiques ne peuvent plus \u00eatre appr\u00e9hend\u00e9es comme de simples organisations n\u00e9cessitant un niveau accru de s\u00e9curit\u00e9, mais doivent \u00eatre comprises comme des institutions dont la continuit\u00e9 effective, la fiabilit\u00e9 de gouvernance et la r\u00e9silience fonctionnelle sont directement li\u00e9es \u00e0 la stabilit\u00e9 de la soci\u00e9t\u00e9, \u00e0 la cr\u00e9dibilit\u00e9 de l\u2019action publique et au bon fonctionnement des march\u00e9s et des services publics. Ce d\u00e9placement n\u2019est pas d\u2019ordre terminologique, mais de nature constitutionnelle et administrative. Alors que les approches plus anciennes mettaient souvent l\u2019accent sur la protection d\u2019objets, d\u2019installations ou d\u2019\u00e9quipements distincts, le centre de gravit\u00e9 s\u2019est d\u00e9sormais d\u00e9plac\u00e9 vers la question de savoir si les entit\u00e9s fournissant des services essentiels sont capables de pr\u00e9venir, de r\u00e9sister, d\u2019absorber, de limiter et de surmonter des perturbations sans que la fonction publique sous-jacente ne perde de mani\u00e8re substantielle en fiabilit\u00e9, en accessibilit\u00e9 ou en gouvernabilit\u00e9. Dans cette conception, la r\u00e9silience n\u2019est plus un sous-domaine technique, mais un crit\u00e8re structurant pour l\u2019organisation de la responsabilit\u00e9 administrative, de l\u2019\u00e9valuation des risques, de la gouvernance des cha\u00eenes de d\u00e9pendance, de la supervision et de l\u2019encadrement normatif. Cela montre \u00e9galement pourquoi la gouvernance de l\u2019int\u00e9grit\u00e9, dans ce r\u00e9gime, ne peut plus \u00eatre pens\u00e9e uniquement en termes de conformit\u00e9 interne, de pr\u00e9vention de la fraude ou de protection de la r\u00e9putation. D\u00e8s lors que les services essentiels sont con\u00e7us comme des supports de continuit\u00e9 soci\u00e9tale, la gestion de la propri\u00e9t\u00e9, du financement, des tiers, des d\u00e9pendances op\u00e9rationnelles, des structures de gouvernance et de la r\u00e9ponse aux incidents devient in\u00e9vitablement partie int\u00e9grante d\u2019une mission plus large de continuit\u00e9. La question n\u2019est donc plus de savoir si l\u2019int\u00e9grit\u00e9 constitue un angle d\u2019analyse utile en compl\u00e9ment de la r\u00e9silience, mais si une r\u00e9silience durable est m\u00eame concevable sans une forme de gouvernance de l\u2019int\u00e9grit\u00e9 qui p\u00e9n\u00e8tre profond\u00e9ment la mani\u00e8re dont une entit\u00e9 classe, hi\u00e9rarchise et internalise institutionnellement le risque.<\/p>\n

Cette \u00e9volution devient particuli\u00e8rement nette dans le contexte de la directive europ\u00e9enne relative \u00e0 la r\u00e9silience des entit\u00e9s critiques et de sa mise en \u0153uvre nationale, dans la mesure o\u00f9 ce cadre normatif reconfigure de mani\u00e8re substantielle la relation entre les int\u00e9r\u00eats publics, la responsabilit\u00e9 priv\u00e9e de mise en \u0153uvre et la supervision institutionnelle. Les entit\u00e9s concern\u00e9es ne sont pas seulement tenues d\u2019adopter certaines mesures de protection, mais doivent \u00e9galement \u00eatre en mesure de d\u00e9montrer que le service essentiel demeure administrativement ma\u00eetrisable dans des conditions de perturbation tr\u00e8s diverses. Il en r\u00e9sulte un nouveau point de r\u00e9f\u00e9rence pour la gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re. Alors que ce domaine \u00e9tait traditionnellement associ\u00e9 au risque de blanchiment, au risque de sanctions, \u00e0 la corruption, \u00e0 la fraude, \u00e0 la corruption d\u2019agents, aux conflits d\u2019int\u00e9r\u00eats, aux abus commis par des tiers et aux flux transactionnels sensibles sur le plan de l\u2019int\u00e9grit\u00e9, il se trouve, dans le cadre de la r\u00e9silience, \u00e9largi \u00e0 une forme de pilotage capable d\u2019identifier \u00e9galement la mani\u00e8re dont le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re se traduit par une perte de continuit\u00e9, un renforcement des d\u00e9pendances, une influence institutionnelle et une d\u00e9sorganisation op\u00e9rationnelle. Un fournisseur expos\u00e9 aux sanctions, un investisseur pr\u00e9sentant des rapports de contr\u00f4le opaques, un prestataire disposant d\u2019un acc\u00e8s \u00e9tendu \u00e0 des processus critiques, ou encore une configuration contractuelle qui d\u00e9place le pouvoir de d\u00e9cision effectif en dehors de l\u2019organe dirigeant formel repr\u00e9sentent, dans ce contexte, non pas seulement une question de conformit\u00e9, mais une voie potentielle de d\u00e9stabilisation du service essentiel lui-m\u00eame. Dans cette perspective se dessine une conception int\u00e9gr\u00e9e de la gouvernance dans laquelle la r\u00e9silience des entit\u00e9s critiques, la robustesse num\u00e9rique, la ma\u00eetrise des cha\u00eenes de d\u00e9pendance, la r\u00e9ponse aux crises, le reporting et la supervision convergent dans un mod\u00e8le renforc\u00e9 de gouvernance de l\u2019int\u00e9grit\u00e9 qui ne peut plus \u00eatre rel\u00e9gu\u00e9 \u00e0 la p\u00e9riph\u00e9rie de l\u2019organisation, mais doit s\u2019\u00e9tendre au c\u0153ur m\u00eame de la d\u00e9cision, de la hi\u00e9rarchisation des priorit\u00e9s et de l\u2019autoprotection institutionnelle.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Les entit\u00e9s critiques comme supports de continuit\u00e9 soci\u00e9tale, de fiabilit\u00e9 publique et de stabilit\u00e9 \u00e9conomique<\/h4>\n

Dans les \u00c9tats modernes et les \u00e9conomies de march\u00e9, les entit\u00e9s critiques remplissent une fonction qui, du point de vue juridique et administratif, est sensiblement plus lourde que ce que pourrait laisser penser leur seule classification sectorielle formelle. La fourniture d\u2019\u00e9nergie, de services de transport, d\u2019infrastructures de march\u00e9 financier, de soins de sant\u00e9, d\u2019eau potable, d\u2019infrastructures num\u00e9riques, d\u2019approvisionnement alimentaire et d\u2019autres services essentiels ne rev\u00eat pas seulement un caract\u00e8re \u00e9conomique, mais soutient le fondement m\u00eame de la continuit\u00e9 de la soci\u00e9t\u00e9. Lorsque de telles fonctions subissent des pressions, les cons\u00e9quences ne se d\u00e9ploient pas selon un sch\u00e9ma lin\u00e9aire ou isol\u00e9, mais sous la forme de cascades acc\u00e9l\u00e9r\u00e9es : les processus de production se grippent, la prestation de services publics se d\u00e9sorganise, les flux d\u2019information perdent en fiabilit\u00e9, les paiements ralentissent, la prise de d\u00e9cision administrative se tend et l\u2019incertitude sociale s\u2019accro\u00eet. Les entit\u00e9s concern\u00e9es deviennent ainsi les supports d\u2019une fonction de stabilit\u00e9 d\u2019int\u00e9r\u00eat public, m\u00eame lorsque leur forme juridique est priv\u00e9e et que leurs activit\u00e9s s\u2019inscrivent dans des structures de march\u00e9. La port\u00e9e normative de leurs actes s\u2019en trouve renforc\u00e9e. Les choix de gouvernance relatifs aux investissements, \u00e0 l\u2019externalisation, \u00e0 la s\u00e9lection des fournisseurs, aux structures de propri\u00e9t\u00e9, \u00e0 l\u2019acc\u00e8s aux donn\u00e9es, aux dispositifs de maintenance et \u00e0 l\u2019app\u00e9tence au risque ne peuvent plus \u00eatre justifi\u00e9s uniquement au regard de l\u2019efficacit\u00e9, de la ma\u00eetrise des co\u00fbts ou de la valeur actionnariale, mais doivent \u00e9galement \u00eatre appr\u00e9ci\u00e9s \u00e0 l\u2019aune de la capacit\u00e9 de l\u2019entit\u00e9 \u00e0 continuer d\u2019assurer durablement sa fonction essentielle dans des conditions de perturbation.<\/p>\n

Ce constat a des cons\u00e9quences directes sur la mani\u00e8re dont la fiabilit\u00e9 publique doit \u00eatre comprise. Dans ce contexte, la fiabilit\u00e9 publique n\u2019est pas une qualit\u00e9 abstraite d\u2019une institution bien administr\u00e9e, mais une attente juridiquement et administrativement charg\u00e9e selon laquelle les services essentiels doivent demeurer disponibles, pr\u00e9visibles, int\u00e8gres dans leur ma\u00eetrise et susceptibles d\u2019\u00eatre r\u00e9tablis, m\u00eame lorsque l\u2019environnement se d\u00e9grade. Pour les entit\u00e9s critiques, cela signifie que la confiance ne d\u00e9coule pas en premier lieu de la communication publique ou d\u2019une certification formelle, mais de la pr\u00e9sence d\u00e9montrable de structures capables d\u2019examiner les d\u00e9pendances, d\u2019escalader les risques, de d\u00e9tecter rapidement les \u00e9carts et de maintenir la prise de d\u00e9cision dans des limites normatives, y compris en situation de crise. La position soci\u00e9tale de ces entit\u00e9s implique que les d\u00e9faillances de gouvernance produisent plus rapidement des effets publics que dans les secteurs non critiques. Une vision incompl\u00e8te du risque li\u00e9 aux tiers, un filtrage d\u00e9faillant des relations d\u2019investissement, une connaissance insuffisante des risques de concentration op\u00e9rationnelle ou une conception trop \u00e9troite de l\u2019int\u00e9grit\u00e9 r\u00e9duite \u00e0 un comportement simplement conforme au droit peuvent, dans ce contexte, se transformer en faille dans la garantie de la fiabilit\u00e9 publique. La distinction pertinente ne passe donc pas entre organisations publiques et priv\u00e9es, mais entre entit\u00e9s dont la discontinuit\u00e9 demeure ma\u00eetrisable \u00e0 l\u2019int\u00e9rieur de leurs propres fronti\u00e8res organisationnelles et entit\u00e9s dont la discontinuit\u00e9 se traduit imm\u00e9diatement par un d\u00e9sordre soci\u00e9tal plus large.<\/p>\n

La fonction de stabilisation \u00e9conomique des entit\u00e9s critiques renforce cette analyse. Dans une \u00e9conomie profond\u00e9ment interd\u00e9pendante, les services essentiels ne soutiennent pas simplement l\u2019activit\u00e9 \u00e9conomique, mais constituent la condition m\u00eame de possibilit\u00e9 du fonctionnement des march\u00e9s. La fiabilit\u00e9 des paiements, la stabilit\u00e9 de l\u2019approvisionnement \u00e9nerg\u00e9tique, l\u2019accessibilit\u00e9 logistique, les services de donn\u00e9es et de communication, la continuit\u00e9 des soins de sant\u00e9 et la prestation administrative ne sont pas des conditions a posteriori, mais des pr\u00e9conditions. D\u00e8s lors qu\u2019un de ces flux est significativement perturb\u00e9, il devient visible que l\u2019ordre \u00e9conomique repose, dans une large mesure, sur des institutions qui peuvent \u00eatre organis\u00e9es sectoriellement au plan formel, mais qui portent, au plan mat\u00e9riel, une signification syst\u00e9mique. Cela requiert une philosophie de gouvernance dans laquelle les entit\u00e9s critiques sont consid\u00e9r\u00e9es comme des supports d\u2019infrastructure soci\u00e9tale au sens fonctionnel, ind\u00e9pendamment de leur forme juridique ou de l\u2019origine de leur propri\u00e9t\u00e9. C\u2019est dans cette perspective qu\u2019il devient \u00e9galement compr\u00e9hensible que la gouvernance de l\u2019int\u00e9grit\u00e9 doive \u00eatre approfondie et \u00e9largie. Non parce que l\u2019int\u00e9grit\u00e9, en tant que cat\u00e9gorie normative, serait nouvelle, mais parce que l\u2019impact des d\u00e9faillances d\u2019int\u00e9grit\u00e9 dans les entit\u00e9s critiques est substantiellement plus grave : l\u2019influence financi\u00e8re et \u00e9conomique, le contr\u00f4le indu, les conflits d\u2019int\u00e9r\u00eats, les abus au sein des cha\u00eenes de d\u00e9pendance ou la d\u00e9faillance des m\u00e9canismes de contr\u00f4le peuvent affecter ici la fiabilit\u00e9 de services dont les citoyens, les entreprises et les pouvoirs publics d\u00e9pendent de mani\u00e8re continue.<\/p>\n

Les obligations europ\u00e9ennes de r\u00e9silience comme nouveau cadre de la gouvernance int\u00e9gr\u00e9e de l\u2019int\u00e9grit\u00e9<\/h4>\n

Les obligations europ\u00e9ennes de r\u00e9silience marquent l\u2019\u00e9mergence d\u2019un nouvel environnement normatif dans lequel la gouvernance int\u00e9gr\u00e9e de l\u2019int\u00e9grit\u00e9 doit \u00eatre structur\u00e9e d\u2019une mani\u00e8re sensiblement diff\u00e9rente de celle qui pr\u00e9valait dans une approche classique, principalement sectorielle, de la s\u00e9curit\u00e9 et de la conformit\u00e9. Dans le cadre de la directive relative \u00e0 la r\u00e9silience des entit\u00e9s critiques, l\u2019entit\u00e9 concern\u00e9e n\u2019est plus confront\u00e9e uniquement \u00e0 une obligation circonscrite de protection physique ou de notification d\u2019incidents, mais \u00e0 un syst\u00e8me plus large d\u2019identification, d\u2019analyse des risques, de renforcement organisationnel, de responsabilit\u00e9 d\u00e9clarative et de d\u00e9montrabilit\u00e9 administrative. Ce syst\u00e8me produit un double effet. D\u2019une part, il d\u00e9place l\u2019attention des objets et des actifs isol\u00e9s vers l\u2019entit\u00e9 prestataire de services en tant que n\u0153ud de continuit\u00e9 publique. D\u2019autre part, il impose une conception du risque dans laquelle les dangers naturels, le sabotage, la menace interne, les pressions hybrides, le terrorisme, les situations d\u2019urgence en mati\u00e8re de sant\u00e9 publique et les d\u00e9pendances intersectorielles ne sont pas appr\u00e9hend\u00e9s comme des cat\u00e9gories s\u00e9par\u00e9es plac\u00e9es c\u00f4te \u00e0 c\u00f4te, mais doivent \u00eatre \u00e9valu\u00e9s dans leur interaction. Dans un tel contexte, la gouvernance int\u00e9gr\u00e9e de l\u2019int\u00e9grit\u00e9 ne peut \u00eatre limit\u00e9e \u00e0 la couverture des risques classiques de criminalit\u00e9 financi\u00e8re au sens \u00e9troit. La question pertinente devient celle de savoir si des vuln\u00e9rabilit\u00e9s financi\u00e8res, li\u00e9es \u00e0 la gouvernance ou li\u00e9es aux tiers, peuvent servir de voies d\u2019acc\u00e8s \u00e0 travers lesquelles se manifestent des risques de perturbation plus larges.<\/p>\n

Il en r\u00e9sulte un \u00e9largissement fondamental du champ de la gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re. Dans un cadre de conformit\u00e9 plus traditionnel, l\u2019attention se porte souvent sur les transactions, les clients, les indicateurs de d\u00e9claration, les listes de sanctions, les atteintes \u00e0 l\u2019int\u00e9grit\u00e9, les contr\u00f4les internes et le traitement des incidents dans les limites d\u2019une obligation l\u00e9gale donn\u00e9e. Dans le cadre de la r\u00e9silience, la perspective se d\u00e9place vers la port\u00e9e syst\u00e9mique de ces m\u00eames \u00e9l\u00e9ments. Une contrepartie contractuelle opaque n\u2019est alors pas seulement pertinente parce qu\u2019un risque de blanchiment ou de corruption peut exister, mais aussi parce que la relation peut donner acc\u00e8s \u00e0 des processus essentiels \u00e0 la continuit\u00e9 du service. Un investisseur pr\u00e9sentant une structure de propri\u00e9t\u00e9 complexe n\u2019est pas seulement pertinent au regard de la transparence de gouvernance, mais \u00e9galement parce qu\u2019un contr\u00f4le peu clair peut mettre sous pression la rapidit\u00e9 d\u2019action, l\u2019autonomie et la hi\u00e9rarchisation des priorit\u00e9s de l\u2019entit\u00e9 lorsqu\u2019une perturbation survient. Un processus informatique externalis\u00e9 n\u2019est pas simplement une question de fournisseur, mais une concentration potentielle d\u2019acc\u00e8s op\u00e9rationnel, d\u2019exposition des donn\u00e9es et de d\u00e9pendance sensible en situation de crise. La gouvernance int\u00e9gr\u00e9e de l\u2019int\u00e9grit\u00e9 acquiert ainsi une signification administrative plus large : elle doit rendre visible la mani\u00e8re dont des vuln\u00e9rabilit\u00e9s financi\u00e8res et \u00e9conomiques peuvent se transformer en vuln\u00e9rabilit\u00e9s dans l\u2019exercice de fonctions essentielles.<\/p>\n

Cet \u00e9largissement emporte \u00e9galement des cons\u00e9quences m\u00e9thodologiques. L\u00e0 o\u00f9 la ma\u00eetrise classique de l\u2019int\u00e9grit\u00e9 pouvait souvent se contenter de politiques, de contr\u00f4les, de formations et de r\u00e9ponses aux incidents au sein de domaines de conformit\u00e9 identifiables, le nouveau cadre exige une forme de pilotage capable de relier entre eux les risques \u00e0 travers les dimensions juridiques, op\u00e9rationnelles, num\u00e9riques et administratives. Cela signifie que les fonctions d\u2019int\u00e9grit\u00e9 doivent \u00eatre articul\u00e9es de mani\u00e8re plus \u00e9troite avec la planification de continuit\u00e9, la d\u00e9cision de crise, la gouvernance des cha\u00eenes de d\u00e9pendance, la classification des actifs et le reporting \u00e0 destination des autorit\u00e9s de supervision. Le crit\u00e8re d\u00e9cisif n\u2019est plus alors la simple pr\u00e9sence de mesures de ma\u00eetrise distinctes, mais la question de savoir si l\u2019ensemble constitu\u00e9 par la d\u00e9cision, la d\u00e9tection, l\u2019escalade et le r\u00e9tablissement pr\u00e9sente une coh\u00e9rence suffisante pour demeurer administrativement maniable sous pression. \u00c0 cet \u00e9gard, la logique europ\u00e9enne de r\u00e9silience corrige les approches dans lesquelles l\u2019int\u00e9grit\u00e9 et la continuit\u00e9 sont trait\u00e9es comme des domaines distincts. Pour les entit\u00e9s critiques, cette s\u00e9paration est devenue analytiquement et pratiquement \u00e9puis\u00e9e, parce que les perturbations les plus graves se produisent de plus en plus pr\u00e9cis\u00e9ment \u00e0 l\u2019intersection de l\u2019influence financi\u00e8re et \u00e9conomique, de la d\u00e9pendance num\u00e9rique, de l\u2019acc\u00e8s par des tiers et de la vuln\u00e9rabilit\u00e9 de gouvernance.<\/p>\n

L\u2019articulation du risque d\u2019int\u00e9grit\u00e9 financi\u00e8re avec les risques de continuit\u00e9, de s\u00e9curit\u00e9 et de perturbation<\/h4>\n

Au sein des entit\u00e9s critiques, le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re doit \u00eatre compris comme une cat\u00e9gorie qui d\u00e9passe tr\u00e8s largement les irr\u00e9gularit\u00e9s transactionnelles ou les violations formelles des normes juridiques. Dans un environnement centr\u00e9 sur les services essentiels, le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re peut constituer un signal pr\u00e9coce de vuln\u00e9rabilit\u00e9s plus profondes touchant au contr\u00f4le, \u00e0 la susceptibilit\u00e9 \u00e0 l\u2019influence, \u00e0 la d\u00e9pendance op\u00e9rationnelle et \u00e0 l\u2019autoprotection institutionnelle. L\u2019approche classique, dans laquelle l\u2019int\u00e9grit\u00e9 financi\u00e8re est associ\u00e9e principalement au blanchiment, \u00e0 la fraude, \u00e0 la corruption ou aux violations des sanctions, demeure pertinente, mais devient insuffisante d\u00e8s lors que l\u2019entit\u00e9 exerce une fonction cruciale de continuit\u00e9. Dans ce cas, un lien direct appara\u00eet entre l\u2019opacit\u00e9 financi\u00e8re et le potentiel de d\u00e9sorganisation. Une structure de financement inhabituelle, un tiers dont l\u2019origine des fonds est incertaine, un sous-traitant disposant d\u2019un acc\u00e8s \u00e9tendu \u00e0 des syst\u00e8mes critiques ou une entit\u00e9 interm\u00e9diaire dissimulant le pouvoir de pilotage effectif repr\u00e9sentent non seulement un risque normatif ou p\u00e9nal, mais \u00e9galement un risque pour l\u2019exercice s\u00fbr, ininterrompu et autonome du service essentiel. L\u2019analyse du risque d\u2019int\u00e9grit\u00e9 financi\u00e8re doit donc \u00eatre int\u00e9gr\u00e9e dans une appr\u00e9ciation plus large de la continuit\u00e9, de la s\u00e9curit\u00e9 et de la r\u00e9silience strat\u00e9gique.<\/p>\n

Cette articulation devient toujours plus importante parce que l\u2019environnement contemporain des perturbations est de nature hybride. La fronti\u00e8re entre l\u2019influence financi\u00e8re et \u00e9conomique, l\u2019intrusion num\u00e9rique, le sabotage physique, la pression g\u00e9opolitique et la d\u00e9sorganisation guid\u00e9e par la r\u00e9putation devient de plus en plus floue. Une d\u00e9pendance contractuelle peut donner acc\u00e8s \u00e0 des r\u00e9seaux ou \u00e0 des installations ; une relation d\u2019investissement apparemment ordinaire peut ouvrir des canaux d\u2019information strat\u00e9giques ; un \u00e9cart apparemment limit\u00e9 dans les proc\u00e9dures d\u2019approvisionnement peut compromettre l\u2019int\u00e9grit\u00e9 de la maintenance, des pi\u00e8ces de rechange ou des mises \u00e0 jour logicielles. Dans de telles conditions, le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re n\u2019est pas simplement un risque parmi d\u2019autres, mais souvent la modalit\u00e9 par laquelle d\u2019autres menaces s\u2019ancrent dans l\u2019organisation. Le point analytique essentiel est que les relations financi\u00e8res et \u00e9conomiques peuvent constituer l\u2019infrastructure \u00e0 travers laquelle se construit la vuln\u00e9rabilit\u00e9 op\u00e9rationnelle. Pour cette raison, la gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re, au sein des entit\u00e9s critiques, ne doit pas seulement s\u2019interroger sur l\u2019existence d\u2019une ill\u00e9galit\u00e9, mais aussi sur la possibilit\u00e9 que des relations licites, semi-licites ou difficiles \u00e0 qualifier compromettent l\u2019autonomie effective et la capacit\u00e9 de r\u00e9tablissement de l\u2019entit\u00e9.<\/p>\n

Pour la gouvernance et la supervision, cela signifie que les cat\u00e9gories de risque ne peuvent plus \u00eatre \u00e9valu\u00e9es dans des silos s\u00e9par\u00e9s sans perdre de vue la dynamique r\u00e9elle de la menace. Lorsque les signaux d\u2019int\u00e9grit\u00e9 financi\u00e8re sont trait\u00e9s comme une question \u00e9troite de conformit\u00e9, il demeure invisible qu\u2019ils peuvent se traduire en probl\u00e8mes de s\u00e9curit\u00e9, en sensibilit\u00e9 aux incidents ou en risques structurels de perturbation. Inversement, les disciplines de continuit\u00e9 et de s\u00e9curit\u00e9 peuvent accorder trop peu d\u2019attention aux m\u00e9canismes \u00e9conomiques et juridiques par lesquels des vuln\u00e9rabilit\u00e9s s\u2019enracinent dans l\u2019organisation. Une approche int\u00e9gr\u00e9e exige d\u00e8s lors que les d\u00e9cisions concernant les fournisseurs, les investissements, l\u2019externalisation, les niveaux d\u2019acc\u00e8s, les flux de donn\u00e9es, la propri\u00e9t\u00e9 et les pouvoirs de crise soient appr\u00e9ci\u00e9es non seulement au regard de l\u2019efficacit\u00e9 et de la n\u00e9cessit\u00e9 op\u00e9rationnelle, mais aussi au regard de la question de savoir si elles cr\u00e9ent des d\u00e9pendances ind\u00e9sirables, des marges d\u2019influence ou des positions d\u2019exception difficiles \u00e0 circonscrire sur le plan normatif. Ce n\u2019est qu\u2019une fois ce lien \u00e9tabli de mani\u00e8re structurelle que la gouvernance de l\u2019int\u00e9grit\u00e9 financi\u00e8re peut contribuer \u00e0 une protection cr\u00e9dible des services essentiels contre la d\u00e9sorganisation au sens large.<\/p>\n

Les secteurs critiques comme cibles de pressions criminelles financi\u00e8res, hybrides, physiques et num\u00e9riques<\/h4>\n

Les secteurs critiques \u00e9voluent dans un environnement de menace dans lequel les diff\u00e9rentes formes de pression ne se manifestent pas s\u00e9par\u00e9ment, mais se renforcent et se conditionnent mutuellement. R\u00e9seaux de criminalit\u00e9 financi\u00e8re, strat\u00e9gies d\u2019influence \u00e9tatiques ou semi-\u00e9tatiques, acteurs cyber opportunistes, menaces internes, saboteurs physiques et parties recherchant un gain \u00e9conomique au moyen de la perturbation ou de la manipulation op\u00e8rent de plus en plus selon des sch\u00e9mas dans lesquels l\u2019acc\u00e8s, la d\u00e9pendance et la d\u00e9sorganisation se construisent \u00e0 travers plusieurs domaines \u00e0 la fois. Les secteurs critiques en deviennent d\u2019autant plus attractifs que l\u2019impact potentiel y est \u00e9lev\u00e9, l\u2019urgence du r\u00e9tablissement forte et la tol\u00e9rance \u00e0 l\u2019interruption faible. C\u2019est pr\u00e9cis\u00e9ment cette combinaison qui cr\u00e9e un environnement propice \u00e0 l\u2019usage efficace d\u2019instruments de pression. Une p\u00e9n\u00e9tration financi\u00e8re et \u00e9conomique peut servir \u00e0 obtenir un acc\u00e8s structurel ; une perturbation num\u00e9rique peut \u00eatre utilis\u00e9e pour accro\u00eetre l\u2019incertitude op\u00e9rationnelle ; des incidents physiques peuvent \u00e9puiser la capacit\u00e9 de r\u00e9tablissement ; l\u2019asym\u00e9trie d\u2019information peut obscurcir la d\u00e9cision de gouvernance. Il en r\u00e9sulte, pour les secteurs assurant des services essentiels, que la protection ne peut plus \u00eatre comprise comme la somme de mesures de s\u00e9curit\u00e9 distinctes, mais comme un processus continu d\u2019identification de sch\u00e9mas de menace composites.<\/p>\n

Dans ce contexte, les risques li\u00e9s \u00e0 la criminalit\u00e9 financi\u00e8re doivent \u00eatre appr\u00e9hend\u00e9s avec une gravit\u00e9 particuli\u00e8re. Il ne s\u2019agit pas uniquement de la possibilit\u00e9 que des fonds d\u2019origine illicite p\u00e9n\u00e8trent un secteur, mais \u00e9galement de la question de savoir si des relations financi\u00e8res, des investissements, des contrats, des coentreprises, des op\u00e9rations d\u2019interm\u00e9diation ou des structures de tiers sont utilis\u00e9s afin d\u2019acqu\u00e9rir de l\u2019influence, de l\u2019information, de l\u2019acc\u00e8s ou des d\u00e9pendances. Les secteurs critiques sont vuln\u00e9rables \u00e0 de tels m\u00e9canismes parce que les activit\u00e9s concern\u00e9es sont souvent intensives en capital, techniquement sp\u00e9cialis\u00e9es et inscrites dans des relations contractuelles de longue dur\u00e9e. Cela ouvre des possibilit\u00e9s \u00e0 des acteurs qui ne cherchent pas principalement l\u2019appropriation directe de ressources, mais l\u2019obtention d\u2019avantages positionnels au sein des cha\u00eenes d\u2019approvisionnement, des relations de maintenance, des environnements logiciels, de l\u2019exploitation des donn\u00e9es ou des structures de propri\u00e9t\u00e9. Un manque limit\u00e9 de transparence peut, dans de telles circonstances, avoir des cons\u00e9quences disproportionn\u00e9es, parce que les effets d\u2019une s\u00e9lection d\u00e9faillante ou d\u2019une diligence insuffisante ne restent pas confin\u00e9s \u00e0 une transaction individuelle, mais peuvent p\u00e9n\u00e9trer jusqu\u2019au c\u0153ur m\u00eame de la prestation du service. La gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re doit donc \u00eatre positionn\u00e9e comme un instrument permettant de mettre au jour ce lien entre signaux financiers et \u00e9conomiques et exposition strat\u00e9gique plus large.<\/p>\n

Les dimensions num\u00e9rique et physique de la menace rendent cette n\u00e9cessit\u00e9 encore plus pressante. Les d\u00e9pendances num\u00e9riques sont, dans pratiquement tous les secteurs critiques, si profond\u00e9ment imbriqu\u00e9es dans les processus op\u00e9rationnels qu\u2019un incident cyber peut imm\u00e9diatement produire des effets physiques, \u00e9conomiques ou soci\u00e9taux. Dans le m\u00eame temps, l\u2019acc\u00e8s physique aux installations, aux moyens de maintenance, aux maillons logistiques et au personnel demeure une variable centrale du risque de perturbation. Lorsque les pressions financi\u00e8res, hybrides, physiques et num\u00e9riques op\u00e8rent dans le prolongement les unes des autres, aucune discipline isol\u00e9e n\u2019est en mesure de porter \u00e0 elle seule l\u2019ensemble du tableau de risque. Une vuln\u00e9rabilit\u00e9 apparemment technique peut trouver son origine dans un filtrage insuffisant des fournisseurs ; une d\u00e9faillance physique peut avoir \u00e9t\u00e9 pr\u00e9c\u00e9d\u00e9e de signaux de conflits d\u2019int\u00e9r\u00eats ou de clauses contractuelles atypiques ignor\u00e9s par la gouvernance ; un incident cyber peut \u00eatre facilit\u00e9 par une externalisation mal con\u00e7ue ou par des droits d\u2019acc\u00e8s externes excessivement larges. La le\u00e7on administrative pertinente est que les secteurs critiques ne doivent pas \u00eatre prot\u00e9g\u00e9s prioritairement contre un catalogue de dangers distincts, mais contre des sch\u00e9mas de pression multilayer\u00e9s qui s\u2019implantent dans l\u2019entit\u00e9 par des canaux \u00e9conomiques, num\u00e9riques et organisationnels, et qui ne deviennent pleinement visibles que lorsque la gouvernance de l\u2019int\u00e9grit\u00e9 et la gouvernance de la r\u00e9silience sont exerc\u00e9es conjointement.<\/p>\n

L\u2019analyse des risques, le reporting et la supervision comme nouvelles exigences fondamentales pour les organisations vitales<\/h4>\n

Pour les organisations vitales, l\u2019analyse des risques, le reporting et la supervision ne sont plus des processus de soutien d\u00e9montrant a posteriori le respect de certaines exigences formelles, mais des conditions premi\u00e8res de cr\u00e9dibilit\u00e9 administrative dans le nouveau cadre de r\u00e9silience. Le point de d\u00e9part normatif est qu\u2019une entit\u00e9 critique ne peut exercer de mani\u00e8re convaincante sa fonction essentielle que si elle est capable, de fa\u00e7on syst\u00e9matique, d\u2019identifier quels facteurs internes et externes peuvent affecter la continuit\u00e9 du service, comment ces facteurs s\u2019articulent entre eux, et de quelle mani\u00e8re des mesures organisationnelles, techniques et administratives sont mises en \u0153uvre pour y r\u00e9pondre. L\u2019analyse des risques acquiert ainsi un poids accru par rapport aux environnements traditionnels de conformit\u00e9, parce qu\u2019elle ne sert pas seulement \u00e0 op\u00e9rationnaliser des obligations connues, mais \u00e0 permettre \u00e0 l\u2019entit\u00e9 d\u2019identifier \u00e0 temps les glissements de menace, les effets de cha\u00eene et les nouvelles d\u00e9pendances. En l\u2019absence d\u2019une telle base analytique, le reporting lui-m\u00eame perd sa signification : les notifications, les dossiers et les productions d\u2019assurance deviennent alors de simples enregistrements plut\u00f4t que des instruments de direction. Dans une telle situation, la supervision des organisations vitales examinera de plus en plus de mani\u00e8re critique la qualit\u00e9 de la cartographie des risques sous-jacente, le degr\u00e9 de coh\u00e9rence entre les diff\u00e9rentes fonctions de ma\u00eetrise et la capacit\u00e9 de l\u2019organe dirigeant \u00e0 intervenir effectivement sur la base de ces informations.<\/p>\n

Dans cette perspective, le reporting assume une fonction diff\u00e9rente du r\u00f4le plus limit\u00e9 qu\u2019il remplissait traditionnellement dans certaines organisations. Il ne s\u2019agit pas simplement de transmettre \u00e0 temps les incidents ou de documenter les \u00e9carts constat\u00e9s, mais de construire un syst\u00e8me d\u2019information de gouvernance capable de distinguer le bruit op\u00e9rationnel des signaux d\u2019affaiblissement structurel. Pour les entit\u00e9s critiques, cette fonction est essentielle, car un incident se pr\u00e9sente rarement de mani\u00e8re isol\u00e9e. Il existe souvent un historique de signaux fragment\u00e9s : responsabilit\u00e9s peu claires, exceptions r\u00e9p\u00e9t\u00e9es, sch\u00e9mas atypiques de fournisseurs, acc\u00e8s d\u2019audit limit\u00e9s, structures de propri\u00e9t\u00e9 insuffisamment tra\u00e7ables, risque de concentration dans l\u2019externalisation ou lenteur dans l\u2019escalade des questions d\u2019int\u00e9grit\u00e9. Lorsque le reporting n\u2019est pas capable d\u2019agr\u00e9ger de tels sch\u00e9mas et de les traduire en urgence administrative, l\u2019organe dirigeant continue d\u2019op\u00e9rer sur la base d\u2019une image trop \u00e9troite ou obtenue trop tard. La gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re ne doit donc pas \u00eatre orient\u00e9e exclusivement vers la d\u00e9tection d\u2019infractions isol\u00e9es, mais \u00e9galement vers la production d\u2019informations permettant de rendre visible l\u2019endroit o\u00f9 des vuln\u00e9rabilit\u00e9s d\u2019int\u00e9grit\u00e9 financi\u00e8re convergent avec des indicateurs plus larges de d\u00e9sorganisation.<\/p>\n

La supervision compl\u00e8te ce triangle en rendant visible que le niveau d\u2019exigence applicable aux organisations vitales est structurellement plus \u00e9lev\u00e9 que celui applicable aux organisations ne remplissant pas une fonction essentielle de continuit\u00e9. Le crit\u00e8re pertinent n\u2019est pas seulement de savoir si une norme particuli\u00e8re a \u00e9t\u00e9 viol\u00e9e, mais si l\u2019entit\u00e9 est capable de traduire de mani\u00e8re d\u00e9montrable ses obligations de r\u00e9silience en un syst\u00e8me coh\u00e9rent d\u2019analyse, de d\u00e9cision, de ma\u00eetrise et de r\u00e9tablissement. Cela implique que les autorit\u00e9s de supervision examineront de plus en plus la qualit\u00e9 de la gouvernance, la fiabilit\u00e9 de la classification des risques, la profondeur de l\u2019\u00e9valuation des tiers, le fonctionnement des voies d\u2019escalade, la coh\u00e9rence du traitement des incidents et le degr\u00e9 auquel l\u2019organe dirigeant int\u00e8gre les signaux d\u2019int\u00e9grit\u00e9 financi\u00e8re dans les questions de continuit\u00e9. Pour les organisations vitales, cela signifie que l\u2019analyse des risques, le reporting et la supervision ne constituent pas une charge externe de conformit\u00e9, mais des conditions fondamentales de l\u00e9gitimit\u00e9 institutionnelle. Ce n\u2019est que lorsque ces fonctions sont r\u00e9ellement capables de produire une image nette, actuelle et int\u00e9gr\u00e9e des vuln\u00e9rabilit\u00e9s qu\u2019il est possible de parler d\u2019un mod\u00e8le de gouvernance qui traite la protection des services essentiels non comme une obligation formelle, mais comme une responsabilit\u00e9 publique permanente et d\u00e9montrablement pilot\u00e9e.<\/p>\n

La gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re comme \u00e9largissement de la conformit\u00e9 classique au sein des entit\u00e9s critiques<\/h4>\n

Au sein des entit\u00e9s critiques, la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re ne peut plus \u00eatre comprise de mani\u00e8re convaincante comme une fonction sp\u00e9cialis\u00e9e de conformit\u00e9 se limitant \u00e0 la d\u00e9tection et \u00e0 la ma\u00eetrise du blanchiment de capitaux, du risque de sanctions, de la fraude, de la corruption, de la concussion ou de la corruption active, des conflits d\u2019int\u00e9r\u00eats et de questions comparables d\u2019int\u00e9grit\u00e9 au sens \u00e9troit. Cette approche classique suppose implicitement que le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re constitue, en substance, un probl\u00e8me normatif, juridique ou r\u00e9putationnel qui peut \u00eatre ma\u00eetris\u00e9 au moyen de politiques, de m\u00e9canismes de surveillance, de formations, de proc\u00e9dures de filtrage et de traitement des incidents \u00e0 l\u2019int\u00e9rieur de fronti\u00e8res organisationnelles relativement claires. Pour les entit\u00e9s qui fournissent des services essentiels, cette hypoth\u00e8se se r\u00e9v\u00e8le de plus en plus insuffisante. D\u00e8s lors que la continuit\u00e9 d\u2019une fonction socialement vitale d\u00e9pend de cha\u00eenes d\u2019approvisionnement, de structures d\u2019externalisation, d\u2019un acc\u00e8s num\u00e9rique, de relations contractuelles transfrontali\u00e8res, de structures de propri\u00e9t\u00e9 et de fournisseurs strat\u00e9giques, le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re devient in\u00e9vitablement li\u00e9 \u00e0 la question de savoir si l\u2019entit\u00e9 peut, en pratique, continuer \u00e0 fonctionner de mani\u00e8re administrativement autonome, normativement encadr\u00e9e et op\u00e9rationnellement r\u00e9siliente. Dans cette perspective, la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re \u00e9volue d\u2019une cat\u00e9gorie classique de conformit\u00e9 vers une forme plus large de pilotage qui doit \u00e9galement pouvoir mettre en lumi\u00e8re les situations dans lesquelles des sch\u00e9mas financiers et \u00e9conomiques cr\u00e9ent les conditions de l\u2019influence, de la d\u00e9pendance, de la d\u00e9sorganisation ou de l\u2019affaiblissement de la prestation de services essentiels.<\/p>\n

Cet \u00e9largissement porte d\u2019abord sur l\u2019unit\u00e9 d\u2019analyse. La conformit\u00e9 classique s\u2019int\u00e9resse souvent \u00e0 l\u2019admissibilit\u00e9 de comportements, de transactions ou de relations au regard des cadres normatifs existants. En revanche, la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re au sein des entit\u00e9s critiques doit aussi appr\u00e9cier la place qu\u2019occupent ces comportements, transactions ou relations dans le fonctionnement plus large de l\u2019organisation. Un tiers pr\u00e9sentant un profil de risque formellement acceptable peut n\u00e9anmoins, dans un contexte critique, repr\u00e9senter un potentiel accru de d\u00e9sorganisation lorsque ce tiers est profond\u00e9ment int\u00e9gr\u00e9 \u00e0 la maintenance, \u00e0 la gestion des logiciels, \u00e0 la gestion des acc\u00e8s, \u00e0 la continuit\u00e9 op\u00e9rationnelle ou \u00e0 l\u2019environnement des donn\u00e9es. Une structure de propri\u00e9t\u00e9 peut \u00eatre juridiquement admissible et pourtant introduire une telle opacit\u00e9 dans le contr\u00f4le effectif que l\u2019agilit\u00e9 administrative et la prise de d\u00e9cision en situation de crise se trouvent plac\u00e9es sous pression. Une relation de financement peut \u00eatre formellement correcte et n\u00e9anmoins d\u00e9placer l\u2019orientation strat\u00e9gique de l\u2019entit\u00e9 d\u2019une mani\u00e8re qui affaiblit la garantie de la continuit\u00e9 publique. La question ne se limite donc plus \u00e0 savoir si une norme a \u00e9t\u00e9 concern\u00e9e, mais porte sur la signification structurelle que les relations financi\u00e8res et \u00e9conomiques rev\u00eatent pour la fiabilit\u00e9 du service essentiel et pour la capacit\u00e9 de l\u2019organisation \u00e0 agir de mani\u00e8re autonome et coh\u00e9rente dans des circonstances d\u00e9favorables.<\/p>\n

Il s\u2019ensuit que la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re au sein des entit\u00e9s critiques ne peut demeurer une activit\u00e9 isol\u00e9e de deuxi\u00e8me ligne op\u00e9rant en marge de la prise de d\u00e9cision. Cette fonction doit irriguer la s\u00e9lection et la r\u00e9\u00e9valuation p\u00e9riodique des tiers, les d\u00e9cisions d\u2019investissement et de d\u00e9sinvestissement, les questions de gouvernance relatives \u00e0 l\u2019acc\u00e8s et au contr\u00f4le, les protocoles d\u2019escalade, la planification de la continuit\u00e9 ainsi que l\u2019interpr\u00e9tation d\u2019incidents qui, \u00e0 premi\u00e8re vue, ne sont pas reconnus comme des incidents d\u2019int\u00e9grit\u00e9 financi\u00e8re. Une perturbation des donn\u00e9es, une d\u00e9faillance en mati\u00e8re de maintenance, une modification contractuelle inhabituelle ou un changement inattendu dans le comportement d\u2019un fournisseur peuvent, en effet, contenir les traces de vuln\u00e9rabilit\u00e9s d\u2019int\u00e9grit\u00e9 plus profondes. L\u2019\u00e9largissement de la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re ne consiste donc pas en une simple extension s\u00e9mantique, mais en une r\u00e9organisation fondamentale de la place qu\u2019occupe la gouvernance de l\u2019int\u00e9grit\u00e9 au sein des organisations critiques. La question centrale n\u2019est plus de savoir si la conformit\u00e9 remplit encore un r\u00f4le de soutien, mais si la gouvernance de l\u2019int\u00e9grit\u00e9 financi\u00e8re est ancr\u00e9e dans l\u2019organisation de telle sorte qu\u2019elle contribue \u00e0 la protection des services essentiels contre l\u2019influence, la perturbation et la perte de ma\u00eetrise administrative.<\/p>\n

La d\u00e9pendance aux cha\u00eenes, les tiers et les d\u00e9pendances num\u00e9riques comme vuln\u00e9rabilit\u00e9s d\u00e9terminantes<\/h4>\n

Les entit\u00e9s critiques op\u00e8rent rarement dans un vide institutionnel ou op\u00e9rationnel. La fourniture de services essentiels repose de plus en plus sur des cha\u00eenes imbriqu\u00e9es de fournisseurs, de sous-traitants, de prestataires de logiciels, de sous-traitants du traitement des donn\u00e9es, de partenaires de maintenance, d\u2019environnements en nuage, de maillons logistiques, de prestataires sp\u00e9cialis\u00e9s et de relations financi\u00e8res qui soutiennent ensemble le fonctionnement effectif de l\u2019entit\u00e9. Cette interconnexion rend l\u2019organisation plus efficace, plus sp\u00e9cialis\u00e9e et plus \u00e9volutive, mais augmente simultan\u00e9ment la complexit\u00e9 des d\u00e9pendances qui deviennent visibles en cas de perturbation. La d\u00e9pendance aux cha\u00eenes n\u2019est donc pas seulement une donn\u00e9e d\u2019\u00e9conomie d\u2019entreprise, mais une cat\u00e9gorie de risque juridique et administratif de tout premier ordre. Pour les entit\u00e9s critiques, la question d\u00e9cisive n\u2019est pas de savoir si une d\u00e9pendance a \u00e9t\u00e9 cr\u00e9\u00e9e de mani\u00e8re commercialement rationnelle, mais si cette d\u00e9pendance, dans des conditions de pression, d\u2019interruption, de conflit ou d\u2019influence, entra\u00eene une perte de capacit\u00e9 d\u2019action, de capacit\u00e9 de r\u00e9tablissement ou de contr\u00f4le normatif. D\u00e8s lors que les services essentiels sont fournis par le biais de cha\u00eenes longues et techniquement sp\u00e9cialis\u00e9es, le centre de gravit\u00e9 de la protection se d\u00e9place de la fronti\u00e8re de l\u2019organisation elle-m\u00eame vers la question plus large de savoir si l\u2019environnement global d\u2019ex\u00e9cution est suffisamment transparent, v\u00e9rifiable et administrativement ma\u00eetrisable.<\/p>\n

Les tiers occupent dans cet ensemble une position particuli\u00e8rement sensible, parce qu\u2019ils disposent souvent d\u2019une combinaison d\u2019acc\u00e8s, d\u2019information, d\u2019influence op\u00e9rationnelle et d\u2019ancrage contractuel plus importante que ne le laisserait supposer la visibilit\u00e9 formelle de leur r\u00f4le. Un service informatique externalis\u00e9, un contrat de maintenance pour des installations physiques, un fournisseur externe de gestion des identit\u00e9s ou des acc\u00e8s, un composant logiciel sp\u00e9cialis\u00e9 ou un partenaire logistique b\u00e9n\u00e9ficiant d\u2019une position d\u2019exclusivit\u00e9 dans la fourniture peuvent, en pratique, constituer un maillon d\u00e9cisif dans la continuit\u00e9 d\u2019un service essentiel. Cela signifie que la gestion des tiers au sein des entit\u00e9s critiques ne peut \u00eatre r\u00e9duite \u00e0 un processus standard de gestion des fournisseurs reposant sur un filtrage \u00e9l\u00e9mentaire, des clauses contractuelles et une \u00e9valuation p\u00e9riodique. Ce qu\u2019il faut, c\u2019est un r\u00e9gime approfondi dans lequel l\u2019acc\u00e8s, la substituabilit\u00e9, les possibilit\u00e9s de sortie, la structure de propri\u00e9t\u00e9, la sensibilit\u00e9 aux sanctions, la qualit\u00e9 de la gouvernance, la sous-externalisation sous-jacente et la concentration op\u00e9rationnelle sont appr\u00e9ci\u00e9s ensemble comme un profil de d\u00e9pendance. La gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re doit jouer un r\u00f4le marqu\u00e9 dans ce contexte, parce que les indicateurs d\u2019int\u00e9grit\u00e9 financi\u00e8re r\u00e9v\u00e8lent souvent \u00e0 un stade pr\u00e9coce les situations dans lesquelles un tiers repr\u00e9sente non seulement un risque de conformit\u00e9, mais aussi un risque de d\u00e9sorganisation. Un contr\u00f4le opaque, des structures de paiement inhabituelles, des ajustements contractuels atypiques, des droits d\u2019audit limit\u00e9s ou un degr\u00e9 frappant d\u2019influence informelle peuvent indiquer des vuln\u00e9rabilit\u00e9s qui affectent directement la fiabilit\u00e9 du service essentiel.<\/p>\n

Les d\u00e9pendances num\u00e9riques approfondissent encore cette probl\u00e9matique, parce qu\u2019elles \u00e9chappent souvent aux intuitions traditionnelles relatives \u00e0 la propri\u00e9t\u00e9, au contr\u00f4le et \u00e0 la proximit\u00e9 physique. Alors que les infrastructures classiques pouvaient encore \u00eatre appr\u00e9hend\u00e9es \u00e0 travers des actifs tangibles, des emplacements et des structures d\u2019exploitation directes, le fonctionnement des entit\u00e9s critiques contemporaines est, dans une large mesure, port\u00e9 par des couches logicielles, des flux de donn\u00e9es, des plateformes externes, des m\u00e9canismes d\u2019identit\u00e9 et d\u2019acc\u00e8s, du stockage en nuage, de la gestion \u00e0 distance, des mises \u00e0 jour automatis\u00e9es et des connexions num\u00e9riques avec des prestataires externes. Il peut en r\u00e9sulter une d\u00e9pendance qui para\u00eet, en termes juridiques, contractuellement limit\u00e9e, mais qui, sur les plans technique et op\u00e9rationnel, est extr\u00eamement profonde. Une perturbation touchant un fournisseur num\u00e9rique apparemment p\u00e9riph\u00e9rique peut, en peu de temps, se traduire par une paralysie fonctionnelle, une perte d\u2019information, un pilotage erron\u00e9 ou une perte de visibilit\u00e9 sur les processus essentiels. Au sein des entit\u00e9s critiques, l\u2019appr\u00e9ciation de la d\u00e9pendance aux cha\u00eenes doit donc examiner non seulement quelles parties sont formellement pertinentes, mais surtout quelles relations externes sont, en r\u00e9alit\u00e9, d\u00e9terminantes pour la continuit\u00e9 op\u00e9rationnelle, la r\u00e9ponse aux incidents et le contr\u00f4le administratif. La vuln\u00e9rabilit\u00e9 ne r\u00e9side pas seulement dans une atteinte malveillante, mais aussi dans une concentration excessive, l\u2019absence de substituabilit\u00e9, une force ex\u00e9cutoire contractuelle insuffisante et une compr\u00e9hension administrativement sous-estim\u00e9e de la profondeur avec laquelle les d\u00e9pendances num\u00e9riques affectent l\u2019ex\u00e9cutabilit\u00e9 m\u00eame du service.<\/p>\n

La r\u00e9silience num\u00e9rique comme condition de la continuit\u00e9 op\u00e9rationnelle et de la confiance syst\u00e9mique<\/h4>\n

Au sein des entit\u00e9s critiques, la r\u00e9silience num\u00e9rique doit \u00eatre comprise comme une condition pr\u00e9alable \u00e0 la pr\u00e9servation de la continuit\u00e9 op\u00e9rationnelle, de la ma\u00eetrisabilit\u00e9 administrative et de la confiance syst\u00e9mique. Dans la quasi-totalit\u00e9 des secteurs vitaux, les syst\u00e8mes num\u00e9riques ne sont plus simplement des supports du processus primaire, mais des \u00e9l\u00e9ments constitutifs de son fonctionnement. La conduite des processus, le traitement des donn\u00e9es, l\u2019interaction avec les clients, les paiements, la coordination logistique, la gestion des identit\u00e9s, la planification de la maintenance, la communication de crise et la prise de d\u00e9cision interne passent de plus en plus par des infrastructures num\u00e9riques et des syst\u00e8mes interconnect\u00e9s. La perturbation num\u00e9rique n\u2019est donc pas seulement un incident technique, mais un \u00e9v\u00e9nement susceptible d\u2019affecter, au c\u0153ur m\u00eame, l\u2019ex\u00e9cutabilit\u00e9 du service essentiel. La distinction entre dommage num\u00e9rique et dommage op\u00e9rationnel devient ainsi, dans une large mesure, artificielle. D\u00e8s lors que les syst\u00e8mes deviennent indisponibles, que des donn\u00e9es sont manipul\u00e9es, que les droits d\u2019acc\u00e8s deviennent incertains ou que des d\u00e9pendances dans les cha\u00eenes logicielles et d\u2019informatique en nuage se mat\u00e9rialisent, ce n\u2019est pas seulement la gestion de l\u2019information qui se trouve sous pression, mais bien la question de savoir si l\u2019entit\u00e9 est encore en mesure d\u2019exercer de mani\u00e8re fiable sa fonction publique ou \u00e9conomique. La r\u00e9silience num\u00e9rique perd ainsi son caract\u00e8re de domaine informatique sp\u00e9cialis\u00e9 pour devenir une composante centrale de la robustesse institutionnelle.<\/p>\n

Pour les entit\u00e9s critiques, cela a \u00e9galement des cons\u00e9quences directes sur la mani\u00e8re dont la confiance syst\u00e9mique doit \u00eatre construite et maintenue. La confiance syst\u00e9mique suppose que les usagers, les autorit\u00e9s de supervision, les partenaires de cha\u00eene et les pouvoirs publics puissent raisonnablement compter sur le fait que le service essentiel fonctionne non seulement aujourd\u2019hui, mais demeure \u00e9galement administrativement et op\u00e9rationnellement ma\u00eetris\u00e9 en situation de pression num\u00e9rique. Cette confiance ne repose pas sur des assurances abstraites, mais sur une ma\u00eetrise d\u00e9montrable des droits d\u2019acc\u00e8s, de la segmentation, de la journalisation, de la d\u00e9tection, de l\u2019int\u00e9grit\u00e9 des sauvegardes, de l\u2019ordre de r\u00e9tablissement, de la gestion des changements, de l\u2019acc\u00e8s des tiers et du lien entre la r\u00e9ponse num\u00e9rique aux incidents et l\u2019escalade administrative. Une organisation techniquement avanc\u00e9e mais d\u00e9pourvue, sur le plan administratif, d\u2019une visibilit\u00e9 suffisante sur ses d\u00e9pendances num\u00e9riques ne poss\u00e8de pas une r\u00e9silience num\u00e9rique convaincante. Il ne suffit pas davantage que des mesures cybern\u00e9tiques existent formellement si la prise de d\u00e9cision relative aux exceptions, aux priorit\u00e9s et aux trajectoires de r\u00e9tablissement demeure insuffisamment encadr\u00e9e sur le plan normatif. C\u2019est pr\u00e9cis\u00e9ment \u00e0 cet endroit que la r\u00e9silience num\u00e9rique croise le champ de la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re. Les vuln\u00e9rabilit\u00e9s d\u2019int\u00e9grit\u00e9 financi\u00e8re peuvent, en effet, se manifester dans le choix des fournisseurs, les structures d\u2019externalisation, la d\u00e9l\u00e9gation des acc\u00e8s, des pressions contractuelles inhabituelles ou des arrangements de gouvernance qui approfondissent les d\u00e9pendances num\u00e9riques sans que la sensibilit\u00e9 plus large \u00e0 la perturbation soit suffisamment prise en compte.<\/p>\n

L\u2019importance centrale de la r\u00e9silience num\u00e9rique r\u00e9side d\u00e8s lors dans sa capacit\u00e9 \u00e0 relier la continuit\u00e9 op\u00e9rationnelle \u00e0 la fiabilit\u00e9 administrative. Une entit\u00e9 critique ne peut \u00eatre consid\u00e9r\u00e9e comme r\u00e9siliente de mani\u00e8re cr\u00e9dible que lorsque les processus num\u00e9riques ne sont pas seulement prot\u00e9g\u00e9s sur le plan technique, mais sont int\u00e9gr\u00e9s \u00e0 la gouvernance et au pilotage des risques de telle sorte que les perturbations ne conduisent pas imm\u00e9diatement \u00e0 une improvisation d\u00e9pourvue de cadre normatif, \u00e0 des solutions d\u2019urgence non document\u00e9es ou \u00e0 des d\u00e9placements opaques du pouvoir d\u00e9cisionnel. Cela exige une approche dans laquelle les risques num\u00e9riques ne sont pas class\u00e9s isol\u00e9ment, mais mis en relation avec la propri\u00e9t\u00e9, les tiers, l\u2019acc\u00e8s contractuel, les pouvoirs de crise, les notifications d\u2019incidents et la supervision. La port\u00e9e pratique en est consid\u00e9rable. Non seulement les attaques num\u00e9riques, mais aussi les erreurs de configuration, les mises \u00e0 jour d\u00e9faillantes, une coordination insuffisante des fournisseurs, une r\u00e9partition peu claire des responsabilit\u00e9s ou une migration inconsid\u00e9r\u00e9e vers le nuage peuvent affecter la continuit\u00e9 du service essentiel. La r\u00e9silience num\u00e9rique n\u2019est donc pas un suppl\u00e9ment technique venant s\u2019ajouter \u00e0 la gouvernance existante, mais une condition int\u00e9grale de la question de savoir si les entit\u00e9s critiques peuvent continuer \u00e0 assumer leur fonction avec un degr\u00e9 suffisant de stabilit\u00e9, de capacit\u00e9 de r\u00e9tablissement et de cr\u00e9dibilit\u00e9 institutionnelle dans un environnement en r\u00e9seau et sensible aux menaces.<\/p>\n

La coop\u00e9ration public-priv\u00e9 comme condition de la protection des fonctions vitales<\/h4>\n

Dans le contexte actuel, la protection des fonctions vitales ne peut \u00eatre organis\u00e9e de mani\u00e8re convaincante au moyen d\u2019un mod\u00e8le dans lequel l\u2019\u00c9tat fixe des normes et des entit\u00e9s priv\u00e9es ou semi-publiques appliquent ensuite ces normes de mani\u00e8re isol\u00e9e. Les entit\u00e9s critiques se situent \u00e0 l\u2019intersection des int\u00e9r\u00eats publics et de la capacit\u00e9 priv\u00e9e de mise en \u0153uvre. Cela signifie que la protection d\u00e9pend d\u2019une interaction continue entre strat\u00e9gie nationale, expertise sectorielle, pilotage supervis\u00e9, \u00e9change d\u2019informations, pr\u00e9paration op\u00e9rationnelle et processus d\u2019apprentissage partag\u00e9s. La coop\u00e9ration public-priv\u00e9 ne doit donc pas \u00eatre trait\u00e9e comme un compl\u00e9ment souhaitable \u00e0 la r\u00e9gulation formelle, mais comme une condition de l\u2019effectivit\u00e9 pratique des obligations de r\u00e9silience. En l\u2019absence de coop\u00e9ration, la sph\u00e8re publique demeure trop \u00e9loign\u00e9e des r\u00e9alit\u00e9s op\u00e9rationnelles, tandis que la sph\u00e8re priv\u00e9e ne peut conserver une visibilit\u00e9 suffisante sur le tableau g\u00e9n\u00e9ral des menaces, sur les vuln\u00e9rabilit\u00e9s intersectorielles et sur les attentes que l\u2019int\u00e9r\u00eat g\u00e9n\u00e9ral fait peser sur la fourniture de services critiques. La protection des fonctions vitales pr\u00e9suppose donc une constellation administrative dans laquelle l\u2019information, la responsabilit\u00e9 et l\u2019interpr\u00e9tation normative ne se confondent pas enti\u00e8rement, mais sont suffisamment align\u00e9es pour que le risque de perturbation soit reconnu \u00e0 temps et trait\u00e9 conjointement.<\/p>\n

Cette coop\u00e9ration exige toutefois un haut degr\u00e9 de pr\u00e9cision, parce que les int\u00e9r\u00eats et les logiques institutionnelles des acteurs publics et priv\u00e9s ne co\u00efncident pas naturellement. Les entit\u00e9s critiques op\u00e8rent souvent sous des pressions commerciales, contractuelles, technologiques et organisationnelles qui imposent leur propre rythme et leur propre hi\u00e9rarchisation \u00e0 la prise de d\u00e9cision. Les pouvoirs publics et les autorit\u00e9s de supervision abordent la m\u00eame r\u00e9alit\u00e9 \u00e0 partir de la s\u00e9curit\u00e9 nationale, de la continuit\u00e9 soci\u00e9tale, des garanties de l\u2019\u00c9tat de droit et de la responsabilit\u00e9 syst\u00e9mique. Lorsque ces perspectives ne sont pas suffisamment reli\u00e9es, appara\u00eet le risque que les lectures du risque se croisent sans se rejoindre. Une entit\u00e9 peut consid\u00e9rer une d\u00e9pendance comme ma\u00eetrisable parce que les niveaux de service paraissent contractuellement ad\u00e9quats, alors que les acteurs publics peuvent juger cette m\u00eame d\u00e9pendance ind\u00e9sirable en raison de l\u2019impact soci\u00e9tal d\u2019une interruption ou de la sensibilit\u00e9 g\u00e9opolitique de la partie concern\u00e9e. Inversement, une pr\u00e9occupation publique relative \u00e0 des sc\u00e9narios de perturbation peut ne pas trouver de traduction suffisante au sein de l\u2019organisation lorsque son passage dans les choix op\u00e9rationnels, les structures de co\u00fbts et les priorit\u00e9s demeure obscur. La gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re peut exercer, dans ce champ de tension, une fonction de liaison, parce qu\u2019elle fournit un langage dans lequel les signaux financiers et \u00e9conomiques, les vuln\u00e9rabilit\u00e9s de gouvernance, les relations avec les tiers et le potentiel de d\u00e9sorganisation peuvent \u00eatre discut\u00e9s conjointement entre acteurs publics et priv\u00e9s.<\/p>\n

En d\u00e9finitive, la qualit\u00e9 de la coop\u00e9ration public-priv\u00e9 se mesure \u00e0 la contribution qu\u2019elle apporte \u00e0 une conscience situationnelle partag\u00e9e, \u00e0 une escalade en temps utile et au renforcement concret des fonctions critiques. Cela exige davantage qu\u2019une coordination occasionnelle ou qu\u2019un \u00e9change r\u00e9actif d\u2019informations apr\u00e8s un incident. Ce qu\u2019il faut, c\u2019est un processus continu dans lequel les entit\u00e9s, les autorit\u00e9s de supervision, les organismes sectoriels et les pouvoirs publics apprennent ensemble \u00e0 partir des quasi-incidents, des perturbations de cha\u00eene, des constats d\u2019audit, des \u00e9volutions g\u00e9opolitiques et des changements dans les sch\u00e9mas de menace. Pour les entit\u00e9s critiques, il est d\u2019une grande importance que cette coop\u00e9ration ne soit pas per\u00e7ue comme une simple surveillance externe, mais comme un \u00e9l\u00e9ment de la responsabilit\u00e9 plus large qui d\u00e9coule de leur position de supports de la continuit\u00e9 soci\u00e9tale. \u00c0 l\u2019inverse, pour les acteurs publics, la coop\u00e9ration n\u2019est efficace que s\u2019ils acqui\u00e8rent une compr\u00e9hension suffisante de la complexit\u00e9 op\u00e9rationnelle et contractuelle \u00e0 laquelle les entit\u00e9s sont quotidiennement confront\u00e9es. La protection des fonctions vitales devient ainsi une t\u00e2che partag\u00e9e \u00e0 r\u00f4les diff\u00e9renci\u00e9s : l\u2019\u00c9tat veille \u00e0 l\u2019orientation, \u00e0 l\u2019\u00e9diction des normes et \u00e0 la coordination syst\u00e9mique ; l\u2019entit\u00e9 assume l\u2019ex\u00e9cution concr\u00e8te, le contr\u00f4le interne et la traduction administrative ; et la supervision garantit que le lien entre les deux ne demeure pas purement d\u00e9claratoire, mais se manifeste concr\u00e8tement dans les choix, les mesures et l\u2019am\u00e9lioration d\u00e9montrable.<\/p>\n

La r\u00e9silience des entit\u00e9s critiques comme phase suivante du d\u00e9veloppement de la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re<\/h4>\n

La r\u00e9silience des entit\u00e9s critiques doit \u00eatre consid\u00e9r\u00e9e comme une nouvelle phase de d\u00e9veloppement dans la mani\u00e8re dont la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re prend forme au sein d\u2019organisations assumant une fonction sociale essentielle. Cette phase de d\u00e9veloppement ne se caract\u00e9rise pas par le remplacement des dispositifs classiques de ma\u00eetrise de l\u2019int\u00e9grit\u00e9, mais par leur r\u00e9ordonnancement dans un cadre normatif plus lourd et plus large. L\u2019attention traditionnelle port\u00e9e au blanchiment de capitaux, aux sanctions, \u00e0 la fraude, \u00e0 la corruption, aux conflits d\u2019int\u00e9r\u00eats, \u00e0 la corruption active, aux transactions inhabituelles et \u00e0 l\u2019int\u00e9grit\u00e9 des tiers demeure pleinement pertinente. Ce qui change, c\u2019est l\u2019\u00e9talon \u00e0 l\u2019aune duquel l\u2019effectivit\u00e9 de cette ma\u00eetrise est appr\u00e9ci\u00e9e. Au sein des entit\u00e9s critiques, il ne suffit plus que le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re soit identifi\u00e9 au sens formel et trait\u00e9 selon des proc\u00e9dures \u00e9tablies. Ce qui devient d\u00e9cisif, c\u2019est de savoir si cette forme de pilotage permet \u00e9galement \u00e0 l\u2019organisation de reconna\u00eetre et de circonscrire des voies plus larges de d\u00e9sorganisation. Le crit\u00e8re se d\u00e9place ainsi du respect de normes isol\u00e9es vers la question de savoir si la gouvernance de l\u2019int\u00e9grit\u00e9 financi\u00e8re contribue effectivement \u00e0 la continuit\u00e9, \u00e0 la fiabilit\u00e9 administrative et \u00e0 la capacit\u00e9 de r\u00e9tablissement du service essentiel. Il s\u2019agit l\u00e0 d\u2019une orientation fondamentalement diff\u00e9rente, parce qu\u2019elle relie directement la fonction de gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re \u00e0 la capacit\u00e9 institutionnelle de l\u2019entit\u00e9 elle-m\u00eame.<\/p>\n

Cette nouvelle phase de d\u00e9veloppement implique que la gouvernance de l\u2019int\u00e9grit\u00e9 financi\u00e8re soit plus profond\u00e9ment int\u00e9gr\u00e9e \u00e0 la prise de d\u00e9cision strat\u00e9gique, aux choix de cha\u00eene, \u00e0 la pr\u00e9paration aux crises ainsi qu\u2019\u00e0 l\u2019analyse de la propri\u00e9t\u00e9 et de la d\u00e9pendance. Une entit\u00e9 critique peut satisfaire, au sens formel, \u00e0 des obligations de conformit\u00e9 particuli\u00e8res et n\u00e9anmoins demeurer vuln\u00e9rable si l\u2019information relative \u00e0 l\u2019int\u00e9grit\u00e9 financi\u00e8re n\u2019est pas mise en relation avec les enjeux de continuit\u00e9, la concentration des tiers, l\u2019acc\u00e8s num\u00e9rique, les structures d\u2019investissement ou la substituabilit\u00e9 op\u00e9rationnelle. Le d\u00e9placement essentiel r\u00e9side, d\u00e8s lors, dans le fait que la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re ne fonctionne plus uniquement comme un m\u00e9canisme correctif ou de signalement a posteriori, mais comme une source de pilotage dans la configuration m\u00eame de l\u2019organisation. Le choix d\u2019un fournisseur, la conception d\u2019un mod\u00e8le d\u2019externalisation, l\u2019acceptation d\u2019une structure de financement, la tol\u00e9rance \u00e0 une transparence limit\u00e9e en mati\u00e8re de propri\u00e9t\u00e9 ou la mani\u00e8re de traiter des demandes d\u2019exception en situation de crise doivent \u00e9galement \u00eatre appr\u00e9ci\u00e9s \u00e0 l\u2019aune de leur signification pour la r\u00e9silience de l\u2019entit\u00e9. La gouvernance de l\u2019int\u00e9grit\u00e9 financi\u00e8re acquiert ainsi une place plus constitutive : non pas comme un r\u00e9gime s\u00e9par\u00e9 \u00e0 c\u00f4t\u00e9 de la gestion op\u00e9rationnelle, mais comme un prisme permettant de rendre visible la mani\u00e8re dont des choix juridiques, \u00e9conomiques et organisationnels peuvent renforcer ou affaiblir la fiabilit\u00e9 de la fonction vitale.<\/p>\n

En d\u00e9finitive, cette phase de d\u00e9veloppement montre clairement que la r\u00e9silience des entit\u00e9s critiques et la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re ne se compl\u00e8tent pas seulement, mais se pr\u00e9supposent de plus en plus mutuellement. Une entit\u00e9 qui d\u00e9finit trop \u00e9troitement le risque d\u2019int\u00e9grit\u00e9 financi\u00e8re n\u2019aura pas une visibilit\u00e9 suffisante sur les voies d\u2019influence et les d\u00e9pendances qui compromettent le service essentiel. Une entit\u00e9 qui aborde la r\u00e9silience dans des termes purement techniques ou op\u00e9rationnels comprendra insuffisamment les m\u00e9canismes \u00e9conomiques et de gouvernance par lesquels la vuln\u00e9rabilit\u00e9 s\u2019ancre au sein de l\u2019organisation. La convergence de ces deux perspectives conduit \u00e0 un mod\u00e8le de gouvernance plus intensif et plus raffin\u00e9 dans lequel l\u2019int\u00e9grit\u00e9 n\u2019est pas r\u00e9duite \u00e0 la puret\u00e9 juridique et la r\u00e9silience n\u2019est pas r\u00e9duite \u00e0 la s\u00e9curit\u00e9 ou \u00e0 la capacit\u00e9 de r\u00e9tablissement. Ce qui se d\u00e9gage, c\u2019est une forme de pilotage dans laquelle l\u2019entit\u00e9 apprend \u00e0 lire, dans un cadre continu unique, les signaux financiers et \u00e9conomiques, les d\u00e9pendances num\u00e9riques, les vuln\u00e9rabilit\u00e9s de cha\u00eene, l\u2019information relative aux incidents et la d\u00e9cision administrative. C\u2019est en cela que r\u00e9side la v\u00e9ritable signification de la r\u00e9silience des entit\u00e9s critiques comme nouvelle phase de d\u00e9veloppement de la gestion int\u00e9gr\u00e9e du risque de criminalit\u00e9 financi\u00e8re : non pas seulement une extension en ampleur, mais un approfondissement de principe de la question de savoir comment les services essentiels demeurent institutionnellement prot\u00e9g\u00e9s contre l\u2019action combin\u00e9e des abus, de l\u2019influence, de la d\u00e9sorganisation et de la perte de fiabilit\u00e9 publique.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\n
\n\n\n
\n\n

Domaine d\u2019int\u00e9r\u00eat<\/span><\/span><\/h2> \n<\/div>\n\n\n<\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n La directive relative \u00e0 la r\u00e9silience des entit\u00e9s critiques (CERD) et la loi n\u00e9erlandaise sur la r\u00e9silience des entit\u00e9s critiques (Wwke) comme nouveau cadre de r\u00e9silience pour les entit\u00e9s critiques\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Les secteurs critiques comme cibles et canaux de transit de la perturbation financi\u00e8re criminelle\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Analyse des risques, signalement et contr\u00f4le dans le cadre de la directive sur la r\u00e9silience des entit\u00e9s critiques (DERC) et de la loi n\u00e9erlandaise sur la r\u00e9silience des entit\u00e9s critiques (Wet weerbaarheid kritieke entiteiten, Wwke)\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 financi\u00e8re au sein des entit\u00e9s critiques : de l\u2019int\u00e9grit\u00e9 \u00e0 la protection de la continuit\u00e9\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n D\u00e9pendance \u00e0 la cha\u00eene d\u2019approvisionnement, risque li\u00e9 aux tiers et r\u00e9silience des entit\u00e9s critiques\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n R\u00e9silience num\u00e9rique et protection des entit\u00e9s critiques\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Dans le cadre juridique et administratif europ\u00e9en et national actuel, les entit\u00e9s critiques ne peuvent plus \u00eatre appr\u00e9hend\u00e9es comme de simples organisations n\u00e9cessitant un niveau accru de s\u00e9curit\u00e9, mais doivent \u00eatre comprises comme des institutions dont la continuit\u00e9 effective, la fiabilit\u00e9 de gouvernance et la r\u00e9silience fonctionnelle sont directement li\u00e9es \u00e0 la stabilit\u00e9 de la soci\u00e9t\u00e9, \u00e0 la cr\u00e9dibilit\u00e9 de l\u2019action publique et au bon fonctionnement des march\u00e9s et des services publics. Ce d\u00e9placement n\u2019est pas d\u2019ordre terminologique, mais de nature constitutionnelle et administrative. Alors que les approches plus anciennes mettaient souvent l\u2019accent sur la protection d\u2019objets, d\u2019installations ou d\u2019\u00e9quipements<\/p>\n","protected":false},"author":2,"featured_media":34005,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[84],"tags":[],"class_list":["post-380","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gouvernance-de-lintegrite"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/380","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/comments?post=380"}],"version-history":[{"count":58,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/380\/revisions"}],"predecessor-version":[{"id":34102,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/380\/revisions\/34102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/media\/34005"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/media?parent=380"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/categories?post=380"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/tags?post=380"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}