Domaine · D4
Durabilité et résilience de la chaîne d'approvisionnement
„Dans quelle mesure la chaîne technique et géopolitique est-elle robuste ?"
1. Importance stratégique§
La durabilité et la résilience de la chaîne d'approvisionnement étendent l'évaluation au-delà du fournisseur, à l'ensemble de l'écosystème sur lequel repose le service. Même un fournisseur géré de manière souveraine est vulnérable s'il repose sur des semi-conducteurs monopolisés, des mainteneurs open source isolés ou des centres de données géographiquement concentrés.
Ce domaine traite des points d'étranglement géopolitiques et des dépendances silencieuses — composants invisibles en exploitation normale et capables d'arrêter le service en cas de crise.
D4 est le domaine de l'anticipation stratégique. Il exige une diversification solide et des hypothèses de reprise réalistes.
2. Critères essentiels§
- SBOM complète du logiciel utilisé
Composants, versions, mainteneurs, pays d'origine — en permanence à jour.
- Chaîne d'approvisionnement matérielle
Semi-conducteurs, composants réseau et stockage avec fabricant, lieu de production et sources alternatives.
- Dépendances de bases de code
Identification des dépendances critiques à des dépôts, registres ou mainteneurs isolés.
- Points d'étranglement géopolitiques
Composants à origine concentrée (fabrication de semi-conducteurs, routes fibres, résolveurs DNS) et stratégies de repli.
- Diversification des composants critiques
Au moins deux sources indépendantes pour chaque composant critique en sécurité ou en disponibilité.
- Séquestre du code source
Dépôt des composants critiques auprès d'un tiers de confiance pour remise en service en cas de défaillance.
- Disponibilité d'alternatives européennes
Documentation indiquant pour quels composants des alternatives UE sont disponibles, partiellement disponibles ou indisponibles.
3. Questions d'audit (extrait)§
- Quels composants de la chaîne sont géographiquement ou juridiquement concentrés ?
- Existe-t-il, pour chaque composant critique, au moins deux sources indépendantes ?
- La SBOM est-elle complète, à jour et lisible par machine ?
- Quels composants open source dépendent de mainteneurs isolés ou d'une forge unique ?
- Existe-t-il une procédure documentée de reprise en cas de défaillance d'un composant géopolitiquement critique ?
- Existe-t-il un contrat de séquestre du code source pour les composants critiques en sécurité ?
- Quelles alternatives UE peuvent réalistement remplacer chaque composant, et dans quel délai ?
Preuves acceptées§
- SBOM à jour avec informations sur les mainteneurs et l'origine
- Nomenclature matérielle avec lieux de production et fournisseurs alternatifs
- Évaluation de risque des points d'étranglement géopolitiques
- Contrats de séquestre du code source avec le dépositaire
- Plan de substitution des composants critiques
5. Seuils de niveau dans ce domaine§
| Niveau | Exigence minimale en D4 |
|---|---|
| L0 | Chaîne d'approvisionnement largement non documentée ; pas de SBOM. |
| L1 | SBOM complète et chaîne matérielle documentées ; points d'étranglement identifiés. |
| L2 | Sources diversifiées pour les composants critiques ; stratégie de substitution documentée. |
| L3 | Résilient aux points d'étranglement géopolitiques ; alternatives UE viables pour chaque composant critique. |
6. Articulation avec les standards existants§
| Standard | Ce qui est couvert | Où EDSO va plus loin |
|---|---|---|
| NIS2 | Sécurité de la chaîne exigée | Risques de concentration géopolitique non audités systématiquement |
| Cyber Resilience Act (CRA) | Exigences de sécurité applicables aux composants | Aspects de souveraineté non traités |
| Lois de devoir de vigilance dans la chaîne d'approvisionnement | Devoir de vigilance droits humains et environnement | Chaîne de souveraineté technique non couverte |
7. Constats d'audit typiques§
- SBOM uniquement pour le développement interne, pas pour les composants tiers
- Double sourcing de semi-conducteurs, en fait via la même fonderie
- Dépendance open source critique sur un seul mainteneur, sans mainteneur de secours
- Séquestre de code sans exercice de reprise documenté
- Alternatives UE nommées mais fonctionnellement non équivalentes