Banques, assureurs et établissements financiers font face à une pression cyber sans précédent. Entre l'entrée en vigueur du règlement DORA en janvier 2025, la directive NIS2 et la montée en puissance des attaques visant les chaînes d'approvisionnement, les RSSI du monde financier cherchent des repères, des méthodes et des pairs avec qui construire des réponses collectives. C'est précisément la vocation du Forum des Compétences, dont Board of Cyber rejoint prochainement la réunion plénière.
Le Forum des Compétences : une communauté d'experts au service de la finance et de l'assurance
Fondé par et pour des professionnels de la sécurité des systèmes d'information (SSI) et du plan de continuité d'activité (PCA), le Forum des Compétences est l'association de référence dédiée à la cybersécurité des acteurs de la place financière française. Son objectif : fédérer les équipes en charge de la cybersécurité pour construire des pratiques communes, mutualiser les retours d'expérience terrain et élever collectivement le niveau de maturité cyber des organisations membres.
Des groupes de travail structurés autour des enjeux les plus critiques
Le Forum des Compétences anime plusieurs groupes de réflexion permanents, dont les travaux débouchent sur des publications et recommandations pratiques :
- Notation et appréciation cyber des tiers : construction de programmes d'évaluation fournisseurs, choix des référentiels, engagement des prestataires dans la démarche
- Directives Network and Information Security (NIS2) : transposition, implications opérationnelles et conformité
- Fonctions de sécurité externalisables dans le Cloud : gouvernance, souveraineté et conditions de recours sécurisé
- PCA et impact des attaques extrêmes : continuité d'activité face aux scénarios de crise majeurs
- Sensibilisation cyber : efficacité des programmes de formation et engagement des collaborateurs
- Réglementation (DORA, NIS2, Solvabilité II) : anticipation des évolutions et stratégies adaptatives
Ces travaux collectifs donnent lieu à des publications et à des colloques annuels. En décembre 2025, la réunion portait sur la cryptographie post-quantique et ses implications pour la résilience des systèmes financiers, preuve de la capacité du Forum à anticiper les mutations technologiques à venir.
Pourquoi Board of Cyber participe à cette plénière
Board of Cyber, spécialisé dans la gestion des risques cyber fournisseurs (TPRM / TPCRM) et la notation cyber des tiers, partage avec le Forum des Compétences la conviction que la résilience cyber ne peut pas être solitaire. Dans un écosystème financier fortement interconnecté, où chaque entité s'appuie sur des dizaines voire des centaines de prestataires TIC, l'évaluation de la posture cyber des tiers est devenue un enjeu stratégique de premier ordre.
Cette participation s'inscrit dans la continuité de notre engagement auprès des RSSI du secteur financier et de nos travaux communs avec le CESIN, formalisés dans l'Observatoire TPRM 2025. Selon cet observatoire, 82 % des répondants considèrent le risque cyber fournisseur comme important ou très important. Pourtant, les programmes de gestion des risques tiers restent encore trop souvent manuels, fragmentés, et difficiles à faire passer à l'échelle.
Des institutions membres du Forum des Compétences, comme le Groupe Crédit Agricole et AXA France, ont d'ailleurs partagé leurs retours d'expérience sur la gestion du risque cyber fournisseurs dans nos Cyber Voices. Leurs témoignages illustrent concrètement les défis auxquels le Forum des Compétences répond avec ses membres, dans une démarche de résolution collective.
Les enjeux TPRM au coeur des préoccupations du secteur financier
DORA impose une gestion formalisée des risques liés aux prestataires TIC
Depuis le 17 janvier 2025, le règlement DORA impose à toutes les entités financières européennes de structurer leur gestion du risque lié aux prestataires de services TIC. Cela implique notamment la tenue d'un registre d'information, la révision des clauses contractuelles, la réalisation d'audits et la mise en place de stratégies de sortie pour les prestataires critiques.
Ces exigences ne sont pas théoriques : elles impliquent des ressources dédiées, des outils adaptés et une gouvernance transversale associant les équipes RSSI, juridiques et achats. La plénière du Forum des Compétences est l'occasion d'échanger sur les retours d'expérience terrain de ses membres, et de confronter les approches adoptées par les grandes institutions financières françaises.
La notation cyber des tiers : de la bonne intention à l'industrialisation
L'évaluation de la maturité cyber d'un prestataire ne peut reposer uniquement sur ses déclarations. C'est l'un des enseignements clés que Board of Cyber partage avec les RSSI : le déclaratif (questionnaires, auto-évaluations) doit être complété par des données factuelles issues d'un monitoring externe en continu. Ports ouverts, certificats expirés, vulnérabilités non corrigées, présence de données sur le dark web... autant de signaux objectifs qui permettent de qualifier le risque réel d'un fournisseur, indépendamment de ce qu'il déclare.
Lorsque le périmètre fournisseur dépasse quelques dizaines de tiers, l'enjeu devient celui de l'échelle. Comment évaluer 500 fournisseurs avec des équipes de deux ou trois personnes ? Comment prioriser les audits approfondis sur les prestataires qui le méritent vraiment ? Les réponses passent par une approche structurée du TPRM, soutenue par des outils capables d'automatiser la collecte, la notation et le suivi des plans de remédiation.
Ce que Board of Cyber apporte à la discussion
Notre participation à la plénière du Forum des Compétences s'inscrit dans une démarche de partage d'expertise. Les praticiens du secteur financier ont besoin de retours concrets, de données comparatives et de méthodes éprouvées.
Board of Cyber apporte à ces échanges :
- Les enseignements de l'Observatoire TPRM 2025, réalisé avec le CESIN auprès de plus de 170 RSSI, DSI et CTO
- Une vision opérationnelle de la notation cyber des tiers, issue du déploiement de nos solutions auprès d'organisations de toutes tailles et de tous secteurs
- Des cas concrets d'industrialisation du TPRM, de 50 à plus de 1 000 fournisseurs évalués
- Notre expertise sur l'articulation entre réglementation (DORA, NIS2) et pratiques de gestion des risques tiers
Nos solutions Security Rating et Trust HQ ont été conçues précisément pour répondre aux contraintes des équipes RSSI du secteur financier : volumes importants, exigences réglementaires fortes, nécessité d'un reporting structuré pour les autorités de contrôle.
Pour aller plus loin
- Comment aborder un projet de Third Party Risk Management
- 7 méthodes pour évaluer le risque cyber de vos fournisseurs
- DORA : comprendre la réglementation européenne sur la résilience opérationnelle numérique
- Observatoire TPRM 2025
- Les 10 erreurs qui compromettent votre stratégie TPRM
- Webinaire - Gestion des risques cyber fournisseurs (TPCRM)
