Le CESIN et Board of Cyber publient l’Observatoire
2024 des risques cyber liés aux fournisseurs
Cette deuxième édition
a interrogé plus de 100 responsables de la cybersécurité, membres du CESIN et
issus d’organisations de toutes tailles et de tous secteurs sur la façon dont
ils gèrent le risque cyber fournisseurs – méthodes, outils, obstacles – mais
aussi leurs nouvelles attentes, face à l’impact croissant des nouvelles
réglementations.
Après une édition 2023 qui avait démontré une réelle prise de conscience au sein des organisations, il ressort de l’édition 2024 que près de 90% des décideurs interrogés reconnaissent que ce risque est
« très important » ou « important », mais que
les deux-tiers déclarent mener un processus d’évaluation du risque sur moins de
50 fournisseurs par an.
Les nouvelles
règlementations NIS2 et DORA qui entreront en vigueur dans les prochaines
semaines commandent pourtant d’approcher ce risque de façon plus globale. Pour
53,4% des organisations, ces nouveaux cadres réglementaires vont les conduire à
modifier dans les douze prochains mois leur approche de la gestion du risque
fournisseurs ; un chiffre légèrement plus élevé qu’en 2023 (52%).
Des méthodes de gestion
des risques hétérogènes
L’Observatoire fait
état d’assez grandes différences dans les méthodes de gestion du risque
fournisseurs, qu’il s’agisse du suivi par le comex, de la centralisation du
pilotage ou des fonctions impliquées dans le processus (RSSI, direction achats,
responsable conformité, risk manager…).
Une organisation sur
deux adopte une fréquence d’évaluation annuelle, une sur huit tous les deux
ans, et une sur trois tous les trois ans. Seule une minorité d’entreprises a
adopté une fréquence plus soutenue.
Par ailleurs, si la
plupart des entreprises ont mis en place des systèmes de classification de
leurs fournisseurs (60% des décideurs interrogés), les organisations se
démarquent par la diversité des dispositifs. Le questionnaire auto-déclaratif
(66,3%), ou avec dépôt de preuves (41,5%), la certification ISO SOCII (57,4%)
sont les plus souvent cités même s’ils sont très chronophages pour les
entreprises et leurs fournisseurs. Seules solutions à fonctionner de façon non
intrusive et en continu, la notation cyber (29,7%) et la cyber threat
intelligence (24,7%) se situent pratiquement au même niveau que les tests
d’intrusion (32,6%).
L’Observatoire a
également cherché à identifier les difficultés auxquelles se heurtent les
entreprises dans la gestion du risque fournisseurs. Près de 75% des entreprises
citent le « manque de ressources » comme premier obstacle. Parmi les autres
freins : la complexité d’engager les fournisseurs dans un processus
d’évaluation (64,3%) mais aussi l’incapacité de certains fournisseurs à
atteindre le niveau de sécurité demandé (48,5%) et les contraintes liées au
passage à l’échelle (42,5%).
De nouvelles approches
pour gérer les risques fournisseurs
L’étude fait en outre état d’un certain consensus en faveur de la création d’une méthodologie d’évaluation standardisée et reconnue par les autorités de régulation.
Certains décideurs interrogés plaident même la mise en place d’une plateforme unique et commune en Europe.
La mutualisation fait partie des autres pistes envisagées par les responsables cyber :
71% d’entre eux accepteraient de réduire leurs demandes aux fournisseurs si leurs services avaient déjà été évalués positivement par plusieurs entreprises.
L’étude questionne donc les décideurs sur le système idéal et notamment la pertinence d’un tiers de confiance (agence de notation, certification, label).
Cette étude a été réalisée entre juillet et septembre 2024 auprès de responsables cybersécurité et conformité, membres du CESIN, issus de plus de 100 organisations, de toutes tailles et de tous secteurs, devant gérer un réseau complexe de fournisseurs, allant jusqu’à plusieurs milliers d’entreprises.
« Le nouveau contexte réglementaire transforme totalement la gestion des risques liés aux fournisseurs et des risques cyber plus globalement.
Nous sommes dans un moment
clé qui implique de passer à l’échelle et donc d’amener les responsables IT à
industrialiser leurs méthodes et leurs outils d’évaluation des fournisseurs.
Cette étude montre que les RSSI ont un rôle de plus en plus stratégique à jouer
au sein des organisations, à la fois comme un levier de performance
opérationnelle et comme un facilitateur de business », annonce Frank van
Caenegem, CISO EMEA de Schneider Electric, et administrateur du CESIN
« Cet Observatoire est un outil essentiel pour nos membres à l’heure où le risque fournisseurs est de plus en plus prégnant dans leur cartographie des risques cyber. Il leur permet d’identifier les approches les plus adaptées pour appréhender efficacement ces risques dans un contexte réglementaire accentuant l’obligation de le traiter », rappelle Alain Bouillé, Délégué général du CESIN.
« Je veux d’abord remercier chaleureusement les membres du CESIN d’avoir répondu à cette étude et Frank van Caenegem et Alain Bouillé de l’avoir rendue possible.
Les résultats sont clairs : les nouvelles obligations règlementaires et le nombre de fournisseurs à évaluer nécessitent un changement de paradigme. Ce challenge collectif nécessite de mettre en place des solutions automatisées et de mutualiser l’évaluation des fournisseurs en impliquant des tiers de confiance », conclut Luc Declerck, Managing director de Board of Cyber.