"La souveraineté d'une organisation ne peut pas être plus forte que le maillon le plus faible de sa chaîne de valeur numérique. Un tiers non-conforme est une brèche dans votre propre posture de souveraineté."
Extension de la souveraineté aux partenaires et fournisseurs, due diligence souveraineté dans les appels d'offres, scoring tiers, clauses contractuelles de propagation.
CDO, CIO, CISO, équipes achats IT, juristes, responsables risques tiers (TPRM), responsables conformité DORA/NIS2.
DORA Art. 28-30 (TPRM), NIS2 Art. 21.2.d (supply chain), Data Act Art. 5-9 (données tiers), EU AI Act Art. 25 (déployeurs).
½ journée (3h30) — 2 séquences + 1 atelier scoring d'un fournisseur réel.
La chaîne de valeur numérique d'une organisation bancaire comprend typiquement 4 catégories de tiers, chacune avec un profil de risque souveraineté distinct.
| Catégorie | Exemples typiques | Accès à vos données | Risque souveraineté | Obligation DORA/NIS2 |
|---|---|---|---|---|
| Fournisseurs TIC critiques | Plateforme data, cloud, core banking, SIEM | Données critiques | Critique | DORA Art. 28 complet |
| ESN & intégrateurs | SSII, cabinets de conseil tech, éditeurs customisés | Données confidentiel + code | Élevé | DORA Art. 28 + clauses PI |
| Fournisseurs IA & données | API LLM, data providers, modèles tiers | Données potentiellement confidentiel | Élevé | EU AI Act Art. 25 + RGPD |
| Partenaires & écosystème | Fintechs, assurtech, Open Banking DSP3 | Données clients partagées | Modéré | RGPD + contrats DPA |
| Fournisseurs support | Outils RH, marketing, productivité | Données internes | Faible | RGPD basique |
DORA Art. 28.5 : les entités financières doivent s'assurer que les contrats prévoient une traçabilité des sous-traitants et un droit d'opposition à la sous-traitance vers certains pays. Cette obligation s'étend aux sous-traitants de rang 2 et 3.
Vous avez consulté l'aperçu de ce module (2 premières pages).
Pour accéder au contenu complet, entrez votre code d'accès ou demandez un accès.