MH · Souveraineté Cyber · 2026
Module MH — Souveraineté Numérique
La cybersécurité
comme condition
de souveraineté.
SOC souverain · NIS2 · DORA TLPT · Détection sans dépendance
Droits fondamentaux n°1, 2, 4 — ORBii Framework

"Une organisation qui ne maîtrise pas sa détection des menaces dépend d'un tiers pour savoir si elle est compromise. C'est la forme la plus grave de perte de souveraineté — celle sur sa propre sécurité."

Ce que couvre ce module

SOC interne vs externalisé, NIS2 opérationnel, DORA TLPT, gestion des vulnérabilités, dépendance aux éditeurs de sécurité, supply chain cyber.

Public cible

CISO, CDO, CIO, responsables continuité, équipes SOC, risk managers, auditeurs internes, responsables conformité DORA/NIS2.

Réglementation centrale

DORA Art. 25-28 (tests de résilience, TLPT), NIS2 Art. 21 (mesures techniques), RGPD Art. 32 (sécurité), EU AI Act Art. 15 (robustesse).

Durée recommandée

½ journée (3h30) — 2 séquences + 1 atelier diagnostic SOC & dépendances éditeurs.

ORBii.Academy — Souveraineté Numérique & IAMH · P.01
MH · Souveraineté Cyber
Dépendances critiques en cybersécurité

Les 4 formes de dépendance cyber qui menacent la souveraineté.

La cybersécurité génère des dépendances spécifiques, souvent invisibles, qui peuvent compromettre simultanément la capacité de détection, de réponse et de conformité réglementaire.

D1 — Dépendance au SOC externalisé

Confier la détection et la réponse aux incidents à un tiers crée une asymétrie d'information : le SOC externe connaît vos systèmes mieux que vous. En cas de rupture contractuelle ou de conflit d'intérêts, vous êtes aveugle.

Risque DORA : incapacité à exercer le droit d'audit (Art. 28.3.e)
D2 — Dépendance aux éditeurs de détection

Si un seul éditeur fournit votre SIEM, EDR et threat intelligence, une défaillance, une acquisition ou une décision réglementaire (ex : interdiction d'un éditeur russe ou chinois) paralyse votre capacité de détection.

Risque NIS2 : non-respect Art. 21 mesures techniques
D3 — Dépendance aux renseignements sur les menaces

Les flux de Threat Intelligence proviennent majoritairement d'acteurs non-européens. Si ces flux sont suspendus, biaisés ou manipulés, votre capacité d'anticipation des menaces s'effondre — sans que vous le sachiez.

Risque : angles morts dans la détection avancée
D4 — Dépendance à la supply chain logicielle

Chaque composant tiers intégré dans vos systèmes (bibliothèques open-source, SDK, plugins) est un vecteur d'attaque potentiel. Sans SBOM (Software Bill of Materials), vous ne pouvez pas évaluer votre surface d'exposition.

Risque EU AI Act Art. 15 : robustesse et supply chain IA
La règle fondamentale — Souveraineté cyber

Si vous ne pouvez pas détecter, analyser et répondre à une menace sans dépendre d'un tiers, vous n'avez pas de souveraineté cyber — vous avez une sous-traitance de votre sécurité. DORA Art. 5.2 impose aux organes de direction une responsabilité directe sur la résilience numérique : cette responsabilité ne peut pas être déléguée.

ORBii.Academy — Souveraineté Numérique & IAMH · P.02
Contenu protégé

Vous avez consulté l'aperçu de ce module (2 premières pages).
Pour accéder au contenu complet, entrez votre code d'accès ou demandez un accès.

10 pages restantes Lien personnel · Valide 24h