Pour sa troisième édition, publiée ce lundi 3 novembre 2025, l'Observatoire du risque fournisseur du Cesin et Board of Cyber montre une réelle prise de conscience. 54% des entreprises suivent désormais le risque cyber lié à leurs fournisseurs au niveau du Comex ou de la direction générale, contre 48% en 2024. Dans les secteurs régulés comme la banque et l'assurance, cette proportion atteint 82%.
Le Club des Experts de la Sécurité de l'Information et du Numérique et la start-up experte dans la gestion du risque cyber s'appuient sur une enquête réalisée entre juillet et septembre 2025. Elle a recueilli les réponses de 171 décideurs IT, cybersécurité et conformité issus d'organisations françaises et européennes de toutes tailles dans tous les secteurs (finance, secteur public, services, industrie...). L'objectif est de mesurer la maturité des entreprises face à la montée du risque cyber tiers ainsi que d'identifier les freins opérationnels.
Un risque devenu systémique
Pour rappel, le risque cyber lié aux fournisseurs (Third Party Risk Management, TPRM) désigne la probabilité qu'une faille ou une compromission chez un prestataire externe (fournisseur de cloud, partenaire logistique...) ait un impact sur la sécurité de l'entreprise cliente. A mesure que les organisations externalisent une grande partie de leurs opérations, ce risque est devenu systémique.
Dans le détail, le baromètre révèle une gouvernance de plus en plus transversale. Bien que le RSSI reste la fonction la plus impliquée (87%), la direction juridique s'impose désormais en passant de 11% d'implication en 2024 à 60% cette année. Les directions achats atteignent également 60%. Ce qui montre que le risque cyber lié aux fournisseurs n'est plus seulement un problème technique mais aussi un facteur de performance pour les entreprises.
Une prise de conscience poussée par la réglementation
La réglementation joue un rôle important dans la prise en compte de ce risque. Huit entreprises sur dix évoluent désormais dans un environnement de conformité renforcé. On peut citer le règlement européen Dora qui impose aux entités financières de nouvelles obligations en matière de gestion des risques liés aux prestataires de services TIC.
Mais, malgré cette maturité croissante, la pratique reste inégale. En effet, une entreprise sur deux n'évalue pas plus de 20 fournisseurs par an. Les RSSI appellent ainsi à une industrialisation des contrôles via des plateformes automatisées et des référentiels communs. Par ailleurs, près de 80% des répondants se disent prêts à mutualiser les évaluations de leurs fournisseurs. Certains avancent l'idée d'un "Cyberscore".
Indissociable de la stratégie d'entreprise
Cette étude montre que la gestion du risque lié aux fournisseurs est désormais au croisement de la sécurité, de la conformité et de la stratégie d'entreprise. Une bonne nouvelle dans un contexte où les cyberattaques ciblent de plus en plus les fournisseurs pour atteindre plus facilement les grandes entités.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
