Services de sécurité managés : le RSSI n’est pas seul responsable
Benedikt Langer
8 Min. de lecture Dans de nombreuses entreprises, le CISO est perçu comme le responsable de la sécurité. ...
Lire l'article
8 min de lecture
État : avril 2026 (21.04.2026)
La perception des risques géopolitiques dans la chaîne d’approvisionnement a connu une rupture en 2026. Pas moins de 74 % des responsables logistiques citent la géopolitique comme le principal risque pour leur supply chain, contre 33 % en 2024. Pourtant, seuls 5 % se sentent pleinement préparés à la prochaine perturbation. Pour les DSI qui décident en 2026 des budgets de digitalisation, des portefeuilles de fournisseurs et des plateformes de données, ces deux chiffres doivent désormais être intégrés différemment dans leur planification. L’écart entre le risque identifié et le sentiment de préparation n’est pas nouveau, mais il a rarement été aussi marqué.
En bref
- 74 % considèrent la géopolitique comme le risque majeur. En 2024, ce chiffre n’était que de 33 %. Cette hausse ne s’explique pas uniquement par des conflits isolés, mais par la combinaison des tensions commerciales, des pressions liées aux sanctions et des bouleversements du commerce mondial.
- Seuls 5 % se sentent pleinement préparés. Concrètement, cela signifie que 95 % des équipes dirigeantes reconnaissent un déficit de préparation. La différence entre les 5 % et les 95 % ne réside pas dans la taille de l’entreprise, mais dans la rigueur avec laquelle elles ont digitalisé la visibilité sur les fournisseurs de rang 2 et 3 (Tier-2 et Tier-3).
- La régionalisation devient la réponse par défaut. Les entreprises construisent des réseaux intra-régionaux et rapprochent leurs stocks des marchés de consommation. Si cette approche soulage à court terme, elle pèse sur les coûts et le bilan carbone, tout en transformant l’architecture informatique liée au transport, au stockage et à la prévision.
- La densité réglementaire continue de croître. Des textes comme DORA (Digital Operational Resilience Act), NIS2 (directive européenne sur la cybersécurité), le passeport numérique européen pour les produits, l’Uyghur Forced Labor Prevention Act (loi américaine contre le travail forcé) ou encore le règlement européen sur la déforestation imposent une transparence au-delà du premier niveau de fournisseurs (Tier-1). Le DSI porte la responsabilité informatique de ces exigences de visibilité.
À lire aussiCIO 2026 : le cadre A.R.T. – Trois compétences clés / Gartner 2026 : décryptage du budget IT des DSI
Ce que disent vraiment ces 74 % – et ce qu’ils taisent
Qu’est-ce que la résilience de la supply chain ? La résilience de la supply chain désigne la capacité d’un réseau d’approvisionnement à absorber les perturbations et à rétablir rapidement son fonctionnement opérationnel. Dans sa lecture 2026, ce concept va au-delà de la simple redondance : l’anti-fragilité implique que le réseau sorte renforcé d’une perturbation, car il en a tiré des enseignements. Pour y parvenir, il ne s’agit plus d’accumuler des stocks, mais d’améliorer la visibilité des données, d’accélérer la prise de décision et de nouer des relations solides avec les fournisseurs, au-delà des partenaires contractuels directs.
Le chiffre de 74 % issu du dernier monitor sectoriel reflète avant tout une perception. Il mesure la manière dont les responsables logistique et supply chain évaluent le paysage des menaces, et non la part réelle des perturbations attribuables à la géopolitique. Cette distinction est cruciale, car les perceptions influencent les comportements en matière de planification, même si elles ne sont pas toujours étayées par des données concrètes sur les incidents. Pour le DSI, cela signifie que sa direction alignera budgets et décisions d’architecture sur cette perception, qu’elle corresponde ou non à la réalité du trimestre précédent.
Le bond de 33 % à 74 % en l’espace de deux ans est d’autant plus significatif qu’il s’observe de manière uniforme dans tous les secteurs et toutes les régions. Il ne s’agit donc pas d’une réaction isolée d’un secteur confronté à une disruption spécifique, mais bien d’un changement de paradigme managérial à grande échelle. Cette homogénéité augmente la probabilité que la résilience géopolitique devienne un sujet standard en conseil d’administration et dans les échanges avec le DAF, et non plus une simple ligne à part. Pour les projets IT, cela implique que la visibilité de la supply chain et la planification de scénarios intègrent désormais l’architecture centrale, et non plus un module de gestion des risques séparé.
Tout ce qui est étiqueté « géopolitique » dans les registres de risques ne relève pas forcément de la géopolitique à l’origine. Une grande partie de ce basculement perceptif s’explique par des effets en cascade de deuxième ou troisième niveau : un régime de sanctions frappe un fabricant de semi-conducteurs, qui impacte un équipementier automobile, qui à son tour perturbe votre propre ligne de production. La cause première est rarement un conflit géopolitique direct au sein de votre réseau, mais plutôt une chaîne d’événements dont l’origine se situe trois ou quatre niveaux en amont. Prendre ces 74 % au sérieux, c’est donc acquérir une visibilité sur ces niveaux, et pas seulement sur le premier cercle de fournisseurs (Tier 1).
74 % vs. 5 %
Part des responsables logistique considérant la géopolitique comme un risque majeur, contre la part de ceux qui se sentent pleinement préparés à affronter les perturbations. Cet écart constitue le véritable défi du DSI en 2026.
Source : Supply Chain Digital 2026, combinaison du monitor sectoriel et d’une enquête auprès des DSI.
L’anti-fragilité comme objectif opérationnel, pas comme mot à la mode
Le terme d’anti-fragilité est largement utilisé dans les présentations managériales en 2026, sans que sa signification opérationnelle soit toujours claire. Pour les DSI, il est pertinent de réduire cette définition à trois capacités concrètes, mesurables sur le plan technique. Premièrement, la visibilité multi-niveaux : la capacité à suivre les commandes, les capacités de production et les risques non seulement chez les fournisseurs directs, mais aussi chez leurs propres fournisseurs et les niveaux suivants. Deuxièmement, la vitesse de scénarisation, mesurée par le temps écoulé entre la détection d’un signal et la mise en œuvre d’une décision de remplacement. Troisièmement, la densité d’apprentissage : la manière systématique dont les enseignements tirés d’une perturbation sont réinjectés dans le réseau, plutôt que de finir oubliés dans le dossier du dernier incident.
La base technologique nécessaire n’est pas aussi nouvelle qu’il y paraît. La plupart des composants existent depuis cinq à dix ans : suites SCM (Supply Chain Management) avec intégration des fournisseurs, plateformes de données avec streaming d’événements, modèles de machine learning pour la prévision. Ce qui change en 2026, c’est le sérieux avec lequel ces outils sont utilisés. Une entreprise qui exploite aujourd’hui SAP IBP (Integrated Business Planning) ou Oracle Fusion SCM sans activer les modules de collaboration avec les fournisseurs perd l’option de visibilité sur les niveaux 2 et au-delà – et donc la condition préalable pour atteindre l’anti-fragilité. En 2026, le débat ne porte donc plus tant sur les outils que sur leur utilisation disciplinée.
La régionalisation constitue la deuxième réponse concrète. Les entreprises construisent des réseaux intra-régionaux parallèles pour réduire leur exposition aux risques liés à des routes de transit spécifiques. Du point de vue informatique, cela implique une refonte significative : les systèmes de gestion d’entrepôt doivent être répliqués, la gestion des transports doit orchestrer des flottes multi-régionales, et les données de référence nécessitent des définitions cohérentes à travers les régions. Cependant, ce choix présente un compromis : la régionalisation réduit les risques de transit, mais augmente les coûts, l’empreinte carbone et la charge des stocks. Une régionalisation partielle signifie assumer les coûts sans bénéficier pleinement de la résilience.
Il ne faut pas négliger l’aspect réglementaire dans ces réflexions. DORA (Digital Operational Resilience Act) et NIS2 (Network and Information Security Directive 2) concernent directement la sécurité informatique des systèmes de la chaîne d’approvisionnement. Le passeport numérique des produits de l’UE, le règlement européen contre la déforestation et l’Uyghur Forced Labor Prevention Act exigent des preuves couvrant plusieurs niveaux de fournisseurs. Ces exigences atterrissent presque toujours sur le bureau du DSI, même si la responsabilité formelle incombe aux services achats, conformité ou développement durable. La base de données permettant de gérer des enregistrements juridiquement sûrs doit être construite et exploitée par quelqu’un – et en 2026, ce rôle revient clairement au DSI et à son équipe.
Trois décisions clés pour le portefeuille du DSI en 2026
La première décision concerne la répartition budgétaire. Dans de nombreux portefeuilles de DSI (directeurs des systèmes d’information), l’informatique de la chaîne d’approvisionnement figure parmi d’autres postes, historiquement relégué derrière les CRM, les ERP et les plateformes de collaboration. Avec une perception à 74 %, cette dynamique change. Une part plus importante des investissements informatiques globaux devrait être explicitement allouée à la résilience de la chaîne d’approvisionnement. Non seulement aux modules SCM (gestion de la chaîne logistique) classiques, mais aussi aux plateformes de données, à l’intégration des fournisseurs et aux outils de scénarisation. Ceux qui n’ajusteront pas cette pondération interne d’ici 2026 se verront poser par le DAF (directeur administratif et financier) l’année suivante une question simple : pourquoi la plus grande catégorie de risques n’apparaît-elle pas dans le budget ?
La deuxième décision porte sur la consolidation des fournisseurs. De nombreuses entreprises ont fonctionné ces cinq dernières années avec un mélange de suites SCM complètes, de plateformes spécialisées de visibilité et de constructions internes de lacs de données. Cela peut avoir du sens au cas par cas, mais cumulativement, cela entraîne des ruptures de données, une maintenance redondante des données de référence et des métriques de risque incohérentes. 2026 est un bon moment pour réaliser un examen structuré des fournisseurs, qui ne soit pas principalement motivé par des considérations de coûts, mais qui pose la question suivante : quelle plateforme doit servir de colonne vertébrale des données pour la visibilité de la chaîne d’approvisionnement ? La réponse est rarement une pile mono-fournisseur, mais elle devrait être claire pour chaque domaine de données.
« La différence entre résilient et fragile dans la chaîne d’approvisionnement est rarement une question de technologie. C’est une question de savoir si l’organisation prend des décisions sur les données des fournisseurs de niveau 2, même lorsqu’elles sont inconfortables. Les 5 % qui se sentent préparés n’ont pas un meilleur outil, mais une pratique décisionnelle plus mature. » Tobias Massow, rédacteur en chef de Digital Chiefs
La troisième décision concerne le profil de compétences au sein de votre équipe. Les projets de visibilité de la chaîne d’approvisionnement échouent rarement à cause d’un manque d’outils, mais souvent en raison d’un déficit de compétences en matière de données de référence et de données maîtres, d’architecture d’intégration et de traduction réglementaire. Si votre équipe actuelle se compose d’analystes métier et de spécialistes classiques de la mise en œuvre SCM, vous ne parviendrez pas à mener à bien les projets de 2026. La demande en ingénieurs de données spécialisés dans la chaîne d’approvisionnement et en architectes d’intégration ayant une expertise dans ce domaine est forte, mais le marché est tendu. Les DSI devraient clarifier dans les deux prochains trimestres quelles compétences développer en interne et lesquelles externaliser. Cette décision doit être prise avant la prochaine perturbation majeure, et non après.
Ces trois décisions peuvent sembler des thèmes classiques pour un DSI, mais leur ordre est crucial. Sans une pondération budgétaire claire, l’examen des fournisseurs reste un tigre de papier. Sans cet examen, le développement des compétences ne trouve pas sa place au sein d’une plateforme. Et sans développement des compétences, l’augmentation du budget ne se traduit pas en résilience opérationnelle. Les DSI qui seront pris au sérieux au niveau de la direction générale en 2026 sont ceux qui ne sauteront pas ces étapes et sauront expliquer cette logique au conseil d’administration.
Ce qui ne figure pas délibérément dans cette liste, c’est un nouveau programme de transformation avec sa propre structure. La plupart des organisations ont déjà deux ou trois programmes actifs pertinents pour la chaîne d’approvisionnement. En ajouter un quatrième génère dans la plupart des cas des frictions plutôt que de la rapidité. Il est plus judicieux d’intégrer les exigences de résilience dans les programmes en cours et d’améliorer la coordination entre eux. Cela est moins spectaculaire qu’un programme de résilience avec son propre comité de pilotage, mais c’est plus efficace.
Un dernier point concerne la communication avec le conseil d’administration. Dans de nombreuses entreprises allemandes et européennes, le sujet de la chaîne d’approvisionnement sera discuté pour la première fois en 2026 au niveau du conseil d’administration, et non plus seulement au sein de la direction opérationnelle. Les DSI qui préparent ces échanges devraient toujours avoir deux chiffres en tête : la part des systèmes informatiques directement connectés à la visibilité de la chaîne d’approvisionnement, ainsi que le temps nécessaire pour passer d’une situation de données à une décision opérationnelle dans le cadre d’une réponse à un scénario. Ces deux indicateurs peuvent évoluer d’une année sur l’autre et sont bien compris par les membres du conseil d’administration. Ceux qui ne peuvent pas les mesurer n’ont pas encore intégré la discussion des 74 %. Préparer ces deux mesures pour la prochaine réunion du conseil d’administration constitue le plus petit pas possible vers l’agenda de résilience 2026, et offre au DSI une position de discussion plus claire au sein de la direction générale, quelle que soit l’ampleur finale du reste du programme. C’est à ce moment-là que le simple chiffre de perception se transforme en travail de leadership mesurable.
Questions fréquentes
D’où vient le bond de 33 à 74 % dans la perception des risques ?
Cette hausse s’explique par la conjonction de plusieurs événements géopolitiques entre 2024 et 2026, couplée à une couverture médiatique plus large. Les régimes de sanctions, les conflits commerciaux, les tensions dans les détroits stratégiques et la raréfaction des ressources ont uniformément densifié le paysage des menaces. Ce chiffre mesure une perception, non l’ampleur des dommages, mais il reste pertinent pour les décisions de planification.
La régionalisation est-elle une réponse durable ou une stratégie transitoire ?
Les deux. À court terme, la régionalisation réduit les risques liés aux transits. À long terme, elle engendre des coûts et des émissions de CO₂ plus élevés, ce qui pousse à nouveau vers une mondialisation sélective. Le scénario le plus probable pour les années 2030 est un modèle hybride, combinant des réseaux régionaux centraux et un sourcing global ciblé pour les composants critiques.
Quel rôle jouent DORA et NIS2 pour l’IT des chaînes d’approvisionnement ?
Ces deux réglementations renforcent les exigences de cybersécurité pour les systèmes soutenant les processus de la chaîne d’approvisionnement. DORA (Digital Operational Resilience Act) s’applique directement aux institutions financières et indirectement à leur chaîne de fournisseurs. NIS2 (Network and Information Security Directive 2), plus large, concerne tous les secteurs proches des infrastructures critiques (KRITIS en Allemagne). Pour les DSI, cela signifie que les plateformes de gestion de la chaîne d’approvisionnement deviennent des systèmes réglementés, nécessitant des preuves, des plans de test et une documentation adaptée.
Quel devrait être le budget IT alloué à la chaîne d’approvisionnement en 2026 ?
Cela varie considérablement selon les secteurs. Pour les entreprises industrielles et commerciales, les benchmarks se situent entre 12 et 18 % des dépenses IT. Dans les entreprises dominées par les services, cette part est nettement plus faible. L’essentiel n’est pas le chiffre absolu, mais la tendance : si ce budget reste stable depuis deux ans alors que la perception des risques a fortement augmenté au niveau de la direction, cela mérite une explication au niveau du comité exécutif.
Quel est l’erreur de mise en œuvre la plus fréquente pour la visibilité sur les fournisseurs de rang 2 (Tier-2) ?
Le piège le plus courant est de laisser cette initiative trop longtemps cantonnée à un projet IT. Obtenir une visibilité au-delà des fournisseurs directs (Tier-1) exige que les services achats, conformité et juridiques concluent des accords concrets de partage de données avec les fournisseurs. Sans ces accords, l’IT se heurte à des sources de données verrouillées. La deuxième erreur fréquente est de sous-estimer le travail sur les données de référence et les données maîtres, qui prend souvent des mois et ne peut être résolu par un simple projet de data lake.
Plus d’articles du réseau média MBF
MyBusinessFuture
PSD3 et les PME : ce que les directeurs financiers doivent préparer en 2026
Contexte DACH : La directive européenne PSD3 (Payment Services Directive 3) vise à moderniser les services de paiement et à renforcer la concurrence dans le secteur financier, avec un impact particulier sur les PME allemandes, autrichiennes et suisses.
Security Today
DORA après 15 mois : ce que les équipes de sécurité des institutions financières doivent retenir
Contexte réglementaire : Le règlement DORA (Digital Operational Resilience Act) impose aux institutions financières de l’UE des exigences strictes en matière de résilience opérationnelle numérique, avec des audits réguliers pour garantir la sécurité des systèmes.
Source de l’image d’en-tête : Pexels / Kelly (px:17311127)