Capture décran 2025 07 09 155915

Blog of cyber

Gestion des risques cyber des fournisseurs : les ESN face au double défi de la conformité et de la performance

conformité et règlementation TPCRM

Gestion des risques cyber des fournisseurs : les ESN face au double défi de la conformité et de la performance

Avec la multiplication des cyberattaques et l’entrée en vigueur de nouvelles réglementations européennes (NIS2, DORA, CRA), les entreprises de services numériques (ESN) sont confrontées à un défi stratégique : protéger leur chaîne de valeur tout en répondant aux exigences croissantes de leurs clients et de leur écosystème.

Ce n’est plus une option : les ESN doivent démontrer une posture cyber solide à leurs clients et partenaires. La gestion du risque cyber des fournisseurs, aussi appelée Third-Party Risk Management (TPRM), est désormais au cœur des enjeux opérationnels, contractuels et réglementaires des ESN. Pourtant, peu d’acteurs savent comment passer à l’action de façon structurée, efficace et compétitive.

Dans cet article, nous revenons sur les temps forts du webinaire organisé par Numeum le 17 juin 2025, avec les interventions croisées de :

À la lecture, vous comprendrez :

  • Pourquoi les ESN sont désormais systématiquement exposées à une évaluation cyber, même sans en être informées,
  • Ce que les nouvelles réglementations impliquent réellement (et pour qui),
  • Comment se différencier dans un contexte tendu, en intégrant le risque fournisseur comme un levier de différenciation

Pourquoi la gestion des risques cyber fournisseurs est devenue critique pour les ESN

Des cyberattaques en hausse… et des conséquences majeures.

Le cabinet Derriennic gère aujourd’hui plus de deux cyberattaques par mois, contre une seule il y a cinq ans. Cette tendance s’inscrit dans un contexte plus large :

  • +15 % de cyberattaques en 2024 selon l’ANSSI,
  • des conséquences économiques pouvant atteindre 20 millions d’euros pour les plus grosses PME touchées,
  • un impact réputationnel direct, avec perte de confiance des clients et évaporation de la clientèle

Le lien est clair : une faille cyber non maîtrisée sur la chaîne de sous-traitance peut provoquer une perte directe de revenus et de contrats.

« L’entreprise qui subit une cyberattaque perd mécaniquement des clients. À partir du moment où les données ont fuité, la confiance est rompue. »
– Maître François-Pierre LANI, cabinet Derriennic

Les ESN, cibles indirectes mais contraintes directes.

En tant que maillons essentiels de la chaîne numérique, les ESN sont sous pression :

  • leurs clients finaux exigent des garanties (notamment les établissements financiers et publics),
  • les assureurs, banques, auditeurs et autres tiers les évaluent sans notification,
  • la réglementation les expose même quand elles ne s’en rendent pas compte
« Aujourd’hui, vous êtes évalués, parfois sans le savoir. Il faut reprendre le contrôle sur ces évaluations et en faire un levier de business. »
– François SAMARCQ, Board of Cyber

DORA, NIS2, CRA : que dit la réglementation et qui est concerné ?

NIS2 : transposition imminente, obligations élargies

La directive NIS2 vise les entités essentielles et importantes dans des secteurs critiques, dont de nombreuses ESN au travers de leurs activités et typologies de clients. La loi de transposition française est attendue pour octobre 2025, avec un risque de sanctions rapides dès 2026.

« Contrairement au RGPD, l’ANSSI et la CPR ne feront preuve d’aucune tolérance sur NIS2. Des audits sont déjà en cours. »
– Maître François-Pierre LANI

DORA : une réglementation sectorielle… mais aux effets collatéraux

Le règlement DORA ne cible que les entités financières, mais ces dernières répercutent les exigences sur leurs prestataires. Concrètement : une ESN qui travaille avec une banque est déjà indirectement soumise à DORA.

Ainsi, même si une ESN n’est pas directement soumise à DORA, elle peut être désignée comme :

  • un prestataire TIC critique (article 31)
  • ou comme exerçant une fonction critique

Sortir de cette qualification est difficile, sauf à démontrer sa substituabilité immédiate.

CRA (Cyber Resilience Act) : le renforcement de toute la chaîne produit

Le CRA impose aux fabricants, importateurs et distributeurs de garantir la cybersécurité de leurs produits numériques tout au long du cycle de vie. Les ESN intégrant ou distribuant des briques logicielles ou matérielles sont concernées. L’anticipation est donc clé.

Comment transformer la contrainte réglementaire en avantage compétitif ?

Reprendre la main sur son évaluation cyber

Des solutions comme Security Rating permettent aux ESN :

  • d’obtenir un score cyber externe de 0 à 1000,
  • de se comparer à leur secteur,
  • d’identifier les axes d’amélioration prioritaires

C’est aussi un atout différenciateur puissant en appel d’offres.

« Avec Numeum, nous offrons un rapport de synthèse Security Rating aux ESN. C’est la première étape pour reprendre le contrôle. »
– Célien LEROY, Board of Cyber

Centraliser les preuves et anticiper les questionnaires

Le meilleur moyen de gagner du temps (et de la crédibilité) : standardiser ses preuves.

Exemples :

  • centraliser les certifications (ISO 27001, SOC 2…), politiques de sécurité, PRA/PCA,
  • réutiliser les réponses aux questionnaires précédents grâce à une base de connaissances,
  • anticiper les questionnaires clients à l’approche des renouvellements

Miser sur la collaboration, la mutualisation et l’IA

Board of Cyber préconise une approche mutualisée des évaluations fournisseurs :

  • éviter les doublons quand un fournisseur est déjà évalué ailleurs,
  • intégrer les notations existantes (cyberscore, rating assurantiel…),
  • utiliser l’IA pour accélérer et fiabiliser les audits

L’entreprise investit aussi massivement dans l’IA pour :

  • aider les fournisseurs à répondre plus vite aux questionnaires,
  • vérifier la cohérence des réponses fournies
« Le succès d’un programme TPRM repose sur la préparation, la collaboration avec les fournisseurs et une approche progressive, pragmatique. »
– François SAMARCQ, Board of Cyber

5 points clés à retenir

  1. Les ESN sont déjà évaluées par leurs clients. Ignorer cette réalité est un risque.
  2. NIS2 et DORA entraînent des obligations indirectes mais très concrètes.
  3. Le CRA impactera tous les acteurs intégrant ou distribuant des produits numériques.
  4. Anticiper, centraliser les preuves et standardiser les réponses est vital.
  5. Board of Cyber propose des outils concrets pour transformer la contrainte en avantage.

Prochaines étapes pour les ESN

Face à des clients plus exigeants, des régulateurs plus stricts et un marché plus concurrentiel, la gestion du risque cyber fournisseur devient un critère de performance. La cybersécurité n’est plus un coût : c’est un facteur de compétitivité.

C’est aussi une opportunité stratégique : professionnaliser sa posture cyber, gagner la confiance de ses clients et faire de la conformité un levier commercial.

Pour vous aider à structurer votre démarche TPRM, Board of Cyber met à disposition des solutions comme Security Rating et Trust HQ.

Vous souhaitez en savoir plus ?

Contactez Célien LEROY, responsable ESN chez Board of Cyber, via ce formulaire pour bénéficier :

  • d’un Security Rating offert,
  • et d’un accompagnement personnalisé sur le TPRM et la conformité NIS2/DORA

Retour au blog

Newsletter
Mentions Légales
Gérer les cookies