Le CESIN et Board of Cyber dévoilent l’Observatoire 2024 des risques cyber liés aux fournisseurs

décembre 2024 par CESIN et Board of Cyber

Cette deuxième édition a interrogé plus de 100 responsables de la cybersécurité, membres du CESIN et issus d’organisations de toutes tailles et de tous secteurs sur la façon dont ils gèrent le risque cyber fournisseurs – méthodes, outils, obstacles – mais aussi leurs nouvelles attentes, face à l’impact croissant des nouvelles réglementations.

Après une édition 2023 qui avait démontré une réelle prise de conscience au sein des organisations, il ressort de l’édition 2024 que près de 90 % des décideurs interrogés reconnaissent que ce risque est « très important » ou « important », mais que les deux-tiers déclarent mener un processus d’évaluation du risque sur moins de 50 fournisseurs par an.

Les nouvelles règlementations NIS2 et DORA qui entreront en vigueur dans les prochaines semaines commandent pourtant d’approcher ce risque de façon plus globale. Pour 53,4 % des organisations, ces nouveaux cadres réglementaires vont les conduire à modifier dans les douze prochains mois leur approche de la gestion du risque fournisseurs ; un chiffre légèrement plus élevé qu’en 2023 (52 %).

Des méthodes de gestion des risques hétérogènes

L’Observatoire fait état d’assez grandes différences dans les méthodes de gestion du risque fournisseurs, qu’il s’agisse du suivi par le comex, de la centralisation du pilotage ou des fonctions impliquées dans le processus (RSSI, direction achats, responsable conformité, risk manager…).

Une organisation sur deux adopte une fréquence d’évaluation annuelle, une sur huit tous les deux ans, et une sur trois tous les trois ans. Seule une minorité d’entreprises a adopté une fréquence plus soutenue.

Par ailleurs, si la plupart des entreprises ont mis en place des systèmes de classification de leurs fournisseurs (60% des décideurs interrogés), les organisations se démarquent par la diversité des dispositifs. Le questionnaire auto-déclaratif (66,3 %), ou avec dépôt de preuves (41,5 %), la certification ISO SOCII (57,4 %) sont les plus souvent cités même s’ils sont très chronophages pour les entreprises et leurs fournisseurs. Seules solutions à fonctionner de façon non intrusive et en continu, la notation cyber (29,7%) et la cyber threat intelligence (24,7%) se situent pratiquement au même niveau que les tests d’intrusion (32,6%).

L’Observatoire a également cherché à identifier les difficultés auxquelles se heurtent les entreprises dans la gestion du risque fournisseurs. Près de 75 % des entreprises citent le « manque de ressources » comme premier obstacle. Parmi les autres freins : la complexité d’engager les fournisseurs dans un processus d’évaluation (64,3 %) mais aussi l’incapacité de certains fournisseurs à atteindre le niveau de sécurité demandé (48,5 %) et les contraintes liées au passage à l’échelle (42,5%).

De nouvelles approches pour gérer les risques fournisseurs

L’étude fait en outre état d’un certain consensus en faveur de la création d’une méthodologie d’évaluation standardisée et reconnue par les autorités de régulation. Certains décideurs interrogés plaident même la mise en place d’une plateforme unique et commune en Europe. La mutualisation fait partie des autres pistes envisagées par les responsables cyber : 71 % d’entre eux accepteraient de réduire leurs demandes aux fournisseurs si leurs services avaient déjà été évalués positivement par plusieurs entreprises. L’étude questionne donc les décideurs sur le système idéal et notamment la pertinence d’un tiers de confiance (agence de notation, certification, label).

Cette étude a été réalisée entre juillet et septembre 2024 auprès de responsables cybersécurité et conformité, membres du CESIN, issus de plus de 100 organisations, de toutes tailles et de tous secteurs, devant gérer un réseau complexe de fournisseurs, allant jusqu’à plusieurs milliers d’entreprises.

« Le nouveau contexte réglementaire transforme totalement la gestion des risques liés aux fournisseurs et des risques cyber plus globalement. Nous sommes dans un moment clé qui implique de passer à l’échelle et donc d’amener les responsables IT à industrialiser leurs méthodes et leurs outils d’évaluation des fournisseurs. Cette étude montre que les RSSI ont un rôle de plus en plus stratégique à jouer au sein des organisations, à la fois comme un levier de performance opérationnelle et comme un facilitateur de business. »

Frank van Caenegem, CISO EMEA de Schneider Electric, et administrateur du CESIN

« Cet Observatoire est un outil essentiel pour nos membres à l’heure où le risque fournisseurs est de plus en plus prégnant dans leur cartographie des risques cyber.

Il leur permet d’identifier les approches les plus adaptées pour appréhender efficacement ces risques dans un contexte réglementaire accentuant l’obligation de le traiter.

Alain Bouillé, Délégué général du CESIN

« Je veux d’abord remercier chaleureusement les membres du CESIN d’avoir répondu à cette étude et Frank van Caenegem et Alain Bouillé de l’avoir rendue possible. Les résultats sont clairs : les nouvelles obligations règlementaires et le nombre de fournisseurs à évaluer nécessitent un changement de paradigme. Ce challenge collectif nécessite de mettre en place des solutions automatisées et de mutualiser l’évaluation des fournisseurs en impliquant des tiers de confiance. »

Luc DECLERCK, Managing director de Board of Cyber