Dans un contexte de recrudescence des cyberattaques portées contre la chaîne d’approvisionnement des organisations, Board of Cyber a interrogé un panel d’entreprises afin de mieux comprendre leur gestion du risque cyber fournisseurs, leurs outils, leurs méthodes et leurs nouvelles attentes.
L’accélération de la transformation numérique expose toujours plus les organisations au risque cyber. Parallèlement, celles-ci multiplient les recours aux fournisseurs et sous-traitants et augmentent leur vulnérabilité à l’égard de ces tiers. Les attaques se portent donc de plus en plus sur la supply chain des organisations : 150 entreprises en moyenne sont en danger quand une organisation est attaquée, en raison des attaques par rebond.
Pour son premier Livre blanc, Board of Cyber a réalisé une étude exclusive auprès de RSSI (Responsables de la Sécurité des Système d’informations) et de directeurs de la cybersécurité d’une trentaine d’entreprises, dont 18 gèrent plus de 1 000 fournisseurs. Ces entreprises figurent parmi les leaders mondiaux de leur secteur : Énergie, Transports, BTP, Chimie, Distribution, Services, Luxe
Il en ressort que le risque cyber fournisseurs est jugé « très important » pour 49% des entreprises interrogées et « important » pour 41% d'entre elles. Si le niveau de préoccupation est donc élevé pour 90% des entreprises, ce risque n’est suivi par le conseil d’administration que dans une entreprise sur deux (48%). La pression règlementaire devrait sans doute accélérer la prise de conscience : 52% des entreprises interrogées vont ainsi modifier leur approche du risque fournisseur dans le cadre des nouvelles réglementations NIS 2 et DORA.
Board of Cyber a également cherché à identifier les obstacles dans la gestion du risque tiers. Les réponses sont claires : manque de temps et de process pour assumer une charge de travail lourde et coûteuse, difficultés de certains fournisseurs à réaliser les investissements nécessaires et, plus globalement, un manque de maturité cyber de certains fournisseurs, ce qui implique un effort de pédagogie important de la part des donneurs d’ordres.
L’étude analyse également la multiplicité de méthodes et d’outils utilisés par les organisations pour gérer le risque fournisseurs. S’ils combinent souvent des plans d'assurance sécurité, des dispositifs d’audit et d’analyse des risques, les RSSI expriment aussi des insatisfactions et sont en attente de solutions nouvelles, comme la notation cyber et des solutions automatisées.
Selon Luc Declerck, Managing Director de Board of Cyber : « La montée en puissance des risques géopolitiques et leurs conséquences économiques doivent amener les organisations à prendre conscience que le risque cyber est à traiter en priorité. Face aux risques liés aux tiers, il faut adopter une approche globale, holistique. Ce Livre blanc montre que les entreprises sont en demande de rationalisation et d’automatisation pour pallier leur manque de temps et de moyens, et l’hétérogénéité de maturité cyber des sous-traitants. »