Le CESIN et Board of Cyber publient la 3e
édition de l’Observatoire des risques cyber liés aux fournisseurs.
L’Observatoire TPRM
2025 confirme la montée en maturité des entreprises face à un risque devenu
stratégique. L’étude met en lumière deux tendances profondes : la
centralisation de la gestion du risque fournisseur et la volonté d’une
mutualisation de l’évaluation.
Menée auprès de
décideurs IT, cybersécurité et conformité, issus d’organisations françaises et
européennes de toutes tailles, l’étude de l’Observatoire des risques liés aux
fournisseurs montre que les entreprises ont pleinement intégré le risque
fournisseurs dans leur cartographie :
plus de 8 organisations sur 10 considèrent ce risque comme « important »
ou « très important » et 60% ont désormais centralisé sa gestion au niveau du
siège.
Cette prise de
conscience s’ancre dans un environnement réglementaire exigeant (NIS2, DORA,
CRA) qui concerne 84% des répondants et accélère la professionnalisation des
pratiques. La régulation agit comme un révélateur : elle pousse à la
responsabilisation de tous les acteurs de la chaîne d’approvisionnement.
RSSI et Comex, la
gouvernance s’élargit
Le pilotage du risque
fournisseurs devient un exercice collectif. Le RSSI groupe demeure la fonction
la plus impliquée (87%), mais la direction juridique (60%, contre 11% en 2024)
et les achats (60%) sont désormais partie prenante, signe d’une transversalité
accrue. Dans plus d’une entreprise sur deux (54%), le sujet est désormais suivi
par la Direction Générale ou le Comex – et jusqu’à 82% dans les secteurs les
plus régulés comme la banque et l’assurance.
Cette gouvernance
élargie traduit une maturité accrue sur le risque fournisseurs, même s’il reste
souvent sous-évalué dans son suivi opérationnel, mais aussi la reconnaissance
d’un enjeu business : il n’est plus un sujet technique, mais un facteur de performance.
La mutualisation
s’impose comme levier d’efficacité
Face au volume
croissant d’évaluations et à la complexité des chaînes d’approvisionnement, 80% des entreprises se disent prêtes à mutualiser leurs évaluations de
fournisseurs. Elles posent toutefois des conditions claires : un référentiel
commun, un périmètre homogène (secteur, taille, niveau de maturité…) et un
cadre de confiance institutionnel reposant sur des acteurs d’évaluation
légitimes. Cette tendance traduit une aspiration forte à simplifier,
standardiser et partager les contrôles entre pairs, plutôt que de les
dupliquer.
Plusieurs RSSI souhaitent aller plus loin et appellent à la création d’une plateforme universelle d’évaluation continue, basée sur un référentiel d’évaluation unique, un cyberscore, à l’image du
« nutriscore ».
Les RSSI en quête
d’outillage et de coopération
Les dirigeants
cybersécurité expriment le besoin d’automatisation et d’industrialisation des
processus d’évaluation (plateformes mutualisées, notation cyber…), mais aussi
d’une implication accrue des fournisseurs eux-mêmes. La moitié des répondants
souhaitent que ces derniers deviennent acteurs de leur propre sécurisation.
Cette volonté traduit un mouvement de fond : passer d’une logique de contrôle à
une logique de partenariat. Cela révèle aussi une maturité croissante dans la
vision du risque tiers : les entreprises ne remettent plus en cause la
nécessité de l’évaluer, mais veulent désormais en industrialiser et en
simplifier la gestion.
Selon Frank Van
Caenegem, Administrateur du CESIN, CISO EMEA de Schneider Electric et Alain Bouillé,
Délégué général du CESIN : « Le nouveau contexte réglementaire
transforme profondément la gestion des risques cyber liés aux fournisseurs qui
sont devenus un risque systémique. Un changement de méthode s’impose. C’est ce
que montre cette édition 2025 : une progression nette de la maturité, mais
aussi la nécessité d’accélérer la mutualisation et la standardisation des
pratiques pour franchir un nouveau cap. »
Luc Declerck, Managing Partner de Board of Cyber, conclut : « Cette étude est extrêmement utile à ceux qui voudront comprendre en quoi le risque cyber fournisseurs est devenu un enjeu stra¬tégique de gouvernance et de résilience des entreprises. Leur demande de mutualisation et d’automatisation de l’évaluation du risque fournisseurs est un signal clair pour tout l’écosystème cyber. »