Anastasiia - stock.adobe.com
Le risque Cyber lié aux fournisseurs préoccupe près de 82 % des entreprises jugent
La troisième édition de l’observatoire du risque Cyber édité par Board of Cyber et le Cesin fait apparaître une nette montée en maturité des entreprises vis-à-vis du risque Cyber lié aux fournisseurs.
C’est un progrès extrêmement significatif : 60 % des entreprises demandent désormais à leur service juridique d’intégrer le risque cyber lié aux fournisseurs. C’est 11 % de mieux par rapport à 2024 ! En parallèle, 80 % d’entre elles s’affirment prêtes à mutualiser les évaluations des fournisseurs.
Cette montée en maturité rapide de la perception du risque fournisseur fait certainement suite à une forte médiatisation de ce risque ainsi qu’aux nombreuses conférences animées sur ce thème ces derniers mois. Elle précède aussi l’adoption de la loi de transposition de NIS 2 qui se fait toujours attendre, mais dont les discussions ont clairement posé les enjeux : si les grandes entreprises sont aujourd’hui largement équipées en solutions de cybersécurité et peuvent être considérées comme matures quant à la gestion du risque cyber, c’est loin d’être le cas de leurs fournisseurs et cela constitue une vraie vulnérabilité pour elles.
La réglementation fait bouger les mentalités
L’étude TPRM (Third Party Risk Management) 2025 a été menée auprès de 170 entreprises françaises de toutes tailles et de tous secteurs d’activités. Les chiffres le montrent clairement : ce risque est aujourd’hui connu de tous ; 81,8 % l’estiment même comme important ou très important, contre 80 % en 2024.
Le rôle de la règlementation est évidemment capital dans cette prise de conscience. Dora est cité par 32 % des personnes interrogées, l’AI Act par 36 % et NIS 2 par 63 %. Ces cadres sont en train de faire bouger le marché. Le levier que la réglementation fonctionne à merveille, même si le législatif français reste en panne.
La gouvernance du risque fournisseurs est désormais centralisée dans 60 % des entreprises ; 32 % choisissent une approche hybride tandis que 12 % préfèrent une approche complètement décentralisée.
Le RSSI est bien évidemment à la manœuvre pour gérer ce risque : c’est le cas dans 87 % des entreprises, bien avant la direction des achats et la direction juridique (60 %), ou les RSSI métiers (44 %). Il est à noter que les gestionnaires des risques et les responsables conformité se sont encore assez peu emparés de cette problématique cyber puisqu’ils ne sont que 30 % à être impliqués…
Mais un suivi de cet indicateur n’est fourni aux directions générales et aux comités exécutifs que dans 54 % des cas. Les auteurs de l’étude estiment ce risque fournisseur comme sous-évalué dans son suivi opérationnel.
Si les grands comptes ont l’habitude de lancer des missions d’audit cyber chez leurs fournisseurs les plus critiques, 55 % des grands comptes évaluent plus de 50 fournisseurs par an. Les coûts sont bien évidemment rédhibitoires lorsqu’il s’agit de généraliser ce type de pratiques.
La priorisation des audits est la règle et 68 % des entreprises ont mis en place une classification des risques, soit 8 % de mieux en un an. Cette classification est menée en fonction de la criticité du fournisseur, du niveau d’intégration du système d’information avec lui et de son accès aux données personnelles ou stratégiques.
De multiples outils pour mesurer le risque fournisseur
L’évaluation du risque fournisseur passe avant tout par le plan d’assurance sécurité (75 %), devant le questionnaire auto-déclaratif (60 %) et la certification ISO SOC 2 (55 %). En progression, la notation cyber n’est encore utilisée que par le tiers (34 %) des entreprises.
Plus coûteux, les tests d’intrusion représentent 30 % des réponses, les audits GRC 29 %. Les données de renseignement sur les menaces (CTI, Cyber Threat Intelligence) relatives aux fuites de données, incidents et attaques de rançongiciels sont mises à profit par 20 % des RSSI. Il est à noter que seul un tiers des entreprises évaluent leurs fournisseurs sur une base annuelle.
Le manque de moyens financiers et humains bride les entreprises à aller plus loin. C’est l’argument avancé par 68 % des répondants, mais le manque d’engagement des fournisseurs arrive immédiatement après, avec 64 %. Ceux-ci sont souvent réticents à se soumettre à des évaluations externes et pour cause, puisque 52 % sont dans l’incapacité d’atteindre le niveau de sécurité demandé.
Près d'un tiers (31 %) des répondants regrettent l’absence de mutualisation des audits, ce qui les oblige à consacrer beaucoup de temps à répondre aux multiples questionnaires envoyés par leurs clients et à consacrer du temps aux auditeurs. De facto, le contrat reste l’outil principal entre le donneur d’ordre et ses fournisseurs pour engager ce dernier dans une démarche de sécurisation des données.
Dès lors, 80 % des entreprises se prononcent en faveur d’une mutualisation de l’évaluation des fournisseurs. Les trois conditions posées à cette mutualisation sont le recours à un référentiel reconnu et transparent, une mutualisation limitée à un périmètre homogène (secteur d’activité, taille et niveau de maturité) et enfin un cadre de confiance reposant sur des acteurs légitimes : société du même secteur, membre du club des experts de la sécurité de l'information et du numérique (Cesim), entreprise de taille équivalente ou un autre label.
Rappelons que Board of Cyber qui a réalisé l’étude en partenariat avec le Cesin est une plateforme de notation des fournisseurs.
