Le Club de la sécurité de l'information et du numérique (Cesin), association française regroupant plus de 1100 membres, et la start-up Board of Cyber ont publié le 5 décembre la deuxième édition de leur observatoire sur les risques de cybersécurité liés aux fournisseurs. Ces derniers sont de plus en plus ciblés par les cybercriminels, d'une part car leur niveau de protection est généralement moins sophistiqué, et d'autre part car une intrusion dans les systèmes d'un fournisseur peut permettre d'accéder à des organisations plus importantes.
Des risques surtout gérés au niveau du siège social de l'entreprise
L'étude a été menée entre juillet et septembre auprès de plus de 100 responsables en cybersécurité d'organisations de toutes tailles, parmi lesquelles Capgemini, Hub One, Orange, OVHCloud ou encore Schneider Electric. Les RSSI sont globalement au fait des cyber-risques liés aux fournisseurs : 88% des décideurs interrogés estiment que ce danger est “important” voire “très important”. En revanche, dans 45% des cas, ce risque n'est pas suivi par le comité exécutif de l'organisation.
Plus de la moitié des entreprises répondantes gèrent le risque lié aux fournisseurs directement depuis leur siège (55%), tandis que les autres privilégient un pilotage hybride (35%) voire décentralisé, au niveau d'une business unit par exemple (10%). Les RSSI au niveau du groupe et les salariés travaillant à la direction des achats sont les plus impliqués dans la gestion du risque liés aux fournisseurs (82% et 65%), à l'inverse des risk managers (25%) et des directeurs juridiques (11%).
Seule 1 entreprise sur 3 réunit tous ses fournisseurs dans le processus d'évaluation
Si près d'une entreprise sur deux (47%) adopte une fréquence d'évaluation annuelle auprès de ses fournisseurs, seules 33% d'entre elles réunissent l'ensemble de leurs fournisseurs dans leur processus d'évaluation. Le manque de ressources apparaît comme le premier obstacle à une gestion efficace du risque chez les fournisseurs (73%), suivi par la complexité d'associer les fournisseurs au processus (64%) et d'embarquer les métiers (51%). 48% des RSSI citent également l'incapacité pour un fournisseur à atteindre le niveau de sécurité demandé.
En revanche, 6 entreprises sur 10 ont mis en place un système de classification de leurs fournisseurs. Les principaux critères sélectionnés pour cette classification relèvent de la criticité du service ou du produit délivré à l'entreprise (57%), de leur “niveau d'intégration” dans le système d'information de la société (51%), ou de leur accès à des données personnelles (48%) et stratégiques (44%). Les entreprises évaluent principalement leurs fournisseurs à travers des plans d'assurance sécurité et des questionnaires auto-déclaratifs (66%). Seule 1 entreprise sur 3 met en œuvre des solutions de notation cyber et des tests d'intrusion.
La réglementation européenne pourrait changer la donne
Pour mieux gérer le risque cyber lié aux fournisseurs, les entreprises interrogées évoquent, outre des budgets plus importants, la mise en place d'une méthodologie d'évaluation standardisée et approuvée par les régulateurs. Certains plaident également pour une plateforme commune à l'échelle européenne. 53% des organisations estiment aussi que les nouvelles réglementations européennes, telles que NIS2 et DORA en début d'année prochaine, les pousseront à modifier leur approche de la gestion du risque dans les 12 prochains mois.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
