‹‹ Retour

Gouvernance cybersécurité : les métiers aux côtés des RSSI dans la gestion du risque tiers

Le risque cyber est dorénavant une problématique qui dépasse le périmètre exclusif des RSSI. Les enjeux liés aux cybermenaces et principalement à la gestion du risque tiers imposent la mise en place d’une gouvernance cybersécurité transversale à l'échelle du groupe, des business unit et des filiales d’une entreprise. Selon l'Observatoire TPRM 2025, dans 87 % des entreprises, les RSSI restent en première ligne pour piloter le risque cyber. La diversité des menaces cyber et la multiplication des fournisseurs imposent une implication forte des directions Juridiques, Achats, Informatiques, Conformité ainsi que des Directions Générales. Le Third Party Risk Management (TPRM) suppose donc une gouvernance cybersécurité partagée, capable de passer à l’échelle et d’aligner sécurité, conformité et résilience opérationnelle.

La gouvernance cyber comme pilier de la gestion du risque tiers

Multiplication des tiers et exposition croissante de la supply chain

La digitalisation massive des entreprises et administrations implique une dépendance forte à des fournisseurs et prestataires IT. Ainsi, la supply chain s’appuie sur une multitude de tiers, principalement technologiques, pour opérer, délivrer et gagner en performance et en efficacité. De ce fait, l'analyse du risque cyber est souvent concentrée sur les fournisseurs SaaS, hébergeurs, éditeurs et prestataires informatiques.

Or, la chaîne de production de l'entreprise repose également sur des prestataires non technologiques comme des cabinets de conseil, sous-traitants opérationnels et partenaires métiers (marketing, finance, RH, commercial…). Une défaillance cyber pouvant impacter leur propre activité entraînerait une conséquence directe sur la réalisation de la mission de l’organisation cliente (conséquences sur la supply chain, la réputation…)

Cette dépendance accroît mécaniquement l'exposition au risque cyber. Chaque connexion, chaque échange de données, chaque accès distant élargit la surface d’attaque et fragilise la supply chain. Les tiers non technologiques peuvent devenir des vecteurs d’attaques par compromission de messagerie, phishing ou usage de solutions IT insuffisamment sécurisées. C’est pourquoi, la gouvernance cybersécurité doit intégrer l’ensemble de l’écosystème fournisseur pour anticiper, évaluer et maîtriser les risques cyber à l’échelle de l’organisation.

Une pression réglementaire forte mais un engagement difficile dans la gestion du risque tiers

La galaxie des réglementations cyber structure les pratiques de gestion du risque fournisseurs. NIS 2, DORA, CRA ou IA Act imposent désormais aux organisations de maîtriser les risques liés à leurs tiers et sous-traitants. Cette pression réglementaire renforce la nécessité d’une gouvernance cybersécurité structurée et d'une implication totale de toutes les directions métiers de l'entreprise.

Dans les faits, 68 % des entreprises interrogées dans le cadre de l’Observatoire TPRM 2025, indiquent que le manque de ressources humaines et financières les contraignent dans leurs démarches cyber. En effet, le Third Party Cyber Risk Management (TPCRM) implique de mobiliser les équipes internes et de s'équiper, entre autre, d’outils de notation cyber et de pilotage du risque.

De plus, les entreprises peinent à engager leurs fournisseurs dans une mise en conformité et à étendre les évaluations cyber à l’ensemble des prestataires. Selon l'Observatoire TPRM 2025, 64% des entreprises interrogées jugent complexe d'engager leurs partenaires et fournisseurs dans une démarche de cybersécurité. Et pour 52 % des organisations, l'incapacité de certains fournisseurs à atteindre les niveaux de sécurité demandés devient un frein majeur dans l'accompagnement à la conformité cyber des tiers.

Des leviers existent pour homogénéiser les pratiques mais le recensement et l’analyse exhaustive du risque tiers restent une difficulté majeure (temps, ressources, coûts…)

Enfin, la mise en œuvre de mesures de contrôles, d'évaluation et de conformité auprès des tiers impose d’embarquer :

  • les métiers dans l’appréciation des risques ;
  • les Directions Achats lors de l'évaluation des prestataires lors d’une mise en concurrence ;
  • les Directions Juridiques pour faire évoluer les contrats fournisseurs et avenants ;
  • les Directions Conformité / DPO afin de contrôler le traitement des données par les tiers ;
  • les Directions Informatiques pour assurer la sécurité des connexions informatiques avec les solutions tierces ;
  • le Risk Management afin de mutualiser les pratiques à l'échelle de l'entreprise.

Une dynamique qui s’étend jusqu’aux Directions Générales. Dans 54 % des cas, elles souhaitent opérer un suivi stratégique du risque cyber au plus haut niveau, surtout celles jugeant leur activité comme critique.

De la RSSI aux Achats : vers une gouvernance cyber partagée du TPRM

Les RSSI en pilote de la gouvernance cyber

Le RSSI pilote la gouvernance de la cybersécurité et doit :

  • définir les objectifs de sécurité ;
  • évaluer et gérer les risques informatiques ;
  • organiser et réaliser les pentest et audits ;
  • accompagner les équipes internes (formations, sensibilisation…)
  • gérer les incidents et attaques cyber.

Pour ces raisons, le RSSI reste l’acteur le plus impliqué dans la gestion du risque fournisseur. Une tendance exacerbée dans les organisations de taille intermédiaire et les grandes entreprises où la fonction est assurée au niveau du COMEX. A l’inverse, les plus petites structures s’appuient davantage sur leur DSI ou font appel à un prestataire externalisé. De ce fait, selon les tailles d’entreprise, le pilotage du Third Party Risk Management est plus ou moins assuré.

Dans tous les cas, la démarche TPRM implique de structurer les équipes et les process et de s’outiller. Les dispositifs les plus utilisés sont :

  • le Plan d’assurance sécurité (PAS), cité par 75 % des interrogés et en augmentation par à 2024 ;
  • le questionnaire auto-déclaratif (60 %)
  • la certification ISO SOC 2 (55 %)
  • le questionnaire avec dépôt de preuve (40 %)
  • la notation cyber (34 %)

Malgré leur usage massif, le PAS et les questionnaires sont difficiles à industrialiser lorsqu’une montée à l’échelle est nécessaire. D’autant plus que ces outils imposent à la fois de mobiliser les équipes métiers concernées (achats, conformité, juridique…) mais surtout d’assurer une récurrence dans les évaluations. En effet, seulement un tiers des entreprises déclare évaluer leurs fournisseurs tous les ans. Les freins résident à la fois dans l’organisation opérationnelle (et les ressources humaines que cela implique) et le coût de ces dispositifs. Conséquences : les entreprises s’adaptent selon leurs contraintes et leur niveau de maturité cyber. Les RSSI tentent donc d’harmoniser une démarche à l’échelle de l’entreprise en s’appuyant sur les différentes directions métiers. La gestion du risque fournisseur devient ainsi un exercice collectif.

Les Directions Achats en première ligne du TPRM

Les directions des achats occupent une position stratégique dans la gouvernance cybersécurité. En effet, elles interviennent dès la phase de sélection des fournisseurs jusqu’à la contractualisation. Elles sont en mesure d’intégrer des critères de cybersécurité, au même titre que les gages financiers, techniques ou opérationnels. Elles peuvent ainsi assurer un premier niveau de contrôle, notamment sur les aspects de conformité cyber et de certifications.

Dans la pratique, les équipes Achats participent à l’évaluation des prestataires au travers des grilles de comparaison. Il s’agit donc de les enrichir avec des critères de cybersécurité et de réglementation : protocole d’échange de données, PCA, RPA, niveau d’authentification, certifications, dépendance à des sous-traitants... En phase de contractualisation et de renouvellement, les achats veillent à la bonne compréhension et validation des clauses de sécurité, incluses dans les contrats fournisseurs. Leur posture de dialogue et de pédagogie facilite l’adhésion des fournisseurs aux exigences cyber et contribue à déployer une gouvernance cybersécurité du risque fournisseur.

Le rôle prépondérant de la Direction Juridique dans la démarche TPRM

La direction juridique s’impose désormais comme un acteur central de la gouvernance cybersécurité, en particulier dans les organisations soumises à des cadres réglementaires exigeants. En 2025, 60 % des entreprises impliquaient leur service juridique dans leur démarche TPRM, contre 11 % en 2024. Une tendance exacerbée par l’extension des obligations légales en matière de cybersécurité, de protection des données et de résilience opérationnelle.

De ce fait, l’implication du juridique dans la démarche TPRM devient incontournable et répond à deux enjeux.

  1. S’assurer d’être conforme aux exigences réglementaires et légales: NIS2, DORA, RGPD, CRA, IA Act sont autant de réglementations cyber qui viennent structurer les démarches de gestion du risque tiers.
  2. Accompagner les équipes, notamment dans la phase de contractualisation. L’ajout des clauses contractuelles de sécurité joue le rôle de garde-fou et permet de définir clairement les responsabilités et engagements des prestataires. En effet, le contrat demeure pour près de 9 entreprises sur 10 le principal outil de maîtrise du risque fournisseur.

De ce fait, elle analyse les risques juridiques liés aux cyberattaques, aux violations de données et aux défaillances fournisseurs. Elle peut alerter sur des risques juridiques et de non-conformité pouvant remettre en question la contractualisation avec un tiers. Si le risque est avéré, le service Juridique peut exiger des contrôles et audits supplémentaires auprès du fournisseur.

Les DSI en soutien à la gestion du risque fournisseur

Leur implication dans le TPRM se concentre en priorité sur les fournisseurs technologiques, dont les solutions sont directement interconnectées au système d’information. C’est pourquoi, la DSI joue un rôle clé dans la gouvernance cybersécurité en apportant une expertise technique. En effet, hébergeurs Cloud, éditeurs SaaS ou prestataires d’infogérance exposent l’entreprise à des risques cyber en cas de mauvaises configurations ou de vulnérabilités non maîtrisées.

La DSI tranche également les choix d’architecture technique, les protocoles d’échange de données et les modalités de connexion aux solutions tierces. Il assure également la supervision des accès, la gestion des identités, la sécurité des flux et le stockage des données et accompagne les usages numériques pour limiter les risques de fraude ou de compromission. Le tout participant à une meilleure maîtrise du risque cyber fournisseur.

La coordination avec le Risk Management

Le Risk Management consiste à évaluer l’impact potentiel des défaillances fournisseurs sur l’ensemble de l’organisation, au-delà du seul prisme technique. Ainsi, il assure l’appréciation du risque sur l’organisation et est de fait impliqué dans la mise en œuvre de politiques de management du risque cyber.

Il joue également un rôle clé dans la préparation aux situations de crise, en définissant des scénarios, des plans de réponse et des circuits de décision. Cette coordination permet d’aligner la gestion du risque fournisseur avec les objectifs de résilience et de continuité d’activité de l’entreprise.

Les équipes Compliance / DPO garantes de la conformité cyber

Comme vu précédemment, la pression légale et réglementaire impose aux organisations d’aligner leur démarche TPRM aux exigences de protection des données, de sécurité et de traçabilité. C’est pourquoi les équipes Compliance et DPO participent activement à la gouvernance cybersécurité.

La Compliance pilote la conformité aux réglementations et normes de cybersécurité en traduisant les exigences légales en politiques, procédures et indicateurs opérationnels. Elle agit dans une logique préventive et continue. Même si elle n’intervient pas directement dans la rédaction contractuelle, elle participe à la sécurisation de l’organisation sur le plan légal en encadrant les responsabilités.

Elle analyse également les flux de données avec les tiers et à la définition des exigences contractuelles avec les équipes juridiques. Elles encadrent les modalités d’accès, de traitement, de conservation et de restitution des données. Leur implication permet de sécuriser la relation fournisseur et de limiter les risques de non-conformité.

La Direction Générale comme tête de pont de la gouvernance cyber

La prise de conscience des entreprises de la nécessité de maîtriser leur cybersécurité engendre une nouvelle dynamique : la gestion du risque cyber ne relève plus uniquement de l’opérationnel mais devient un enjeu stratégique. C’est pourquoi, 54 % d’entre elles réalisent un suivi de leur risque fournisseur au plus haut niveau. Ce chiffre peut même atteindre 80 % pour les organisations jugeant le Third party risk important (Observatoire TPRM 2025).

Les Directions Générales prennent conscience de la nécessité de déployer des politiques ambitieuses de gestion du risque cyber fournisseur. Afin d’éclairer leur prise de décision, elles demandent au RSSI de consolider les données au travers d‘indicateurs et de rapports synthétiques. Les COMEX peuvent ainsi fixer les priorités, arbitrer les investissements et fournir les moyens humains, financiers et organisationnels nécessaires au déploiement d’un TPRM efficace.

Conclusion

L’augmentation des risques liés aux fournisseurs confirme une évolution structurelle : la gouvernance cybersécurité ne peut plus être portée uniquement par le RSSI.

La pression réglementaire et la dépendance croissante aux tiers imposent une approche collective du Third Party Risk Management. Juridique, Achats, DSI, Risk management, Compliance et Direction Générale doivent désormais opérer une gouvernance partagée pour aligner sécurité, conformité et performance opérationnelle. Si la maturité cyber progresse, elle engendre deux défis majeurs : le passage à l’échelle et l’automatisation de l’évaluation des tiers.

TPRM trends | tprm

Cet article vous a plu ? Inscrivez-vous à notre newsletter pour ne manquer aucune nouvelle publication !

S'inscrire
Newsletter
Mentions Légales
Gérer les cookies