Quels enseignements tirez-vous de l’Observatoire du risque cyber fournisseurs 2025 ?
Le risque fournisseurs, devenu systémique, est maintenant bien pris en compte par le management. Sa gouvernance s’est élargie et l’implication croissante des directions juridiques, directement liée à l’arrivée des réglementations (DORA, NIS2, CRA notamment), est une évolution positive : les clauses de sécurité dans les contrats contribuent à structurer le dialogue entre donneurs d’ordre et fournisseurs. Mais il ne faut pas surestimer leur portée, car une clause contractuelle ne protège pas d’un incident. Il faut combiner les volets juridiques avec des preuves de maturité – audits et notations cyber. La prise de conscience est bienvenue, mais il est temps de rationaliser les méthodes de gestion du risque cyber fournisseurs
Vous alertez sur une saturation possible liée à la multiplication des questionnaires. Comment y remédier ?
Il faut s’appuyer sur des protocoles unifiés et sur des tiers de confiance pour évaluer la maturité cyber des fournisseurs, sans les saturer. La première étape consiste à définir une stratégie et à classer les tiers selon leur niveau de maturité. Lorsqu’un fournisseur se déclare conforme à NIS2 ou à DORA, cela constitue déjà un premier niveau de garantie : si le donneur d’ordre l’accepte, il peut alors se limiter à quelques questions complémentaires. Aujourd’hui, pourtant, chacun repose les mêmes questions, ce qui alourdit considérablement le processus. Le NIS2 Technical Implementation Guidance élaboré par l’ENISA offre un socle commun permettant de vérifier un premier niveau de conformité, même s’il mériterait d’être renforcé par une approche internationale plus détaillée. L’idéal serait qu’un réglement NIS3 établisse enfin un standard de maturité harmonisé à l’échelle européenne.
Et si le fournisseur n’est pas assujetti à NIS2 par exemple ?
Dans ce cas, l’entreprise doit s’appuyer sur un arbre de décision pour classer ses fournisseurs. Lorsqu’un tiers n’est pas soumis à NIS2 ou à DORA, il peut néanmoins présenter d’autres garanties : une certification SOC 2 ou ISO 27001, ou encore l’usage d’outils d’évaluation de maturité, comme ceux de Board of Cyber ou d’autres acteurs du marché. Ces éléments donnent déjà une première lecture du risque, sans recourir immédiatement à un audit complet. De manière générale, les organisations disposent d’un nombre très important de fournisseurs. Il est donc essentiel d’éviter la sursollicitation et de concentrer les questionnaires là où le risque le justifie. Le risque cyber fournisseurs ne doit pas se limiter à noter ses tiers ; c’est une opportunité pour les CISO de démontrer la maturité de leur entreprise et de supporter le business en accompagnant les tiers en difficulté.
"Il faut des protocoles unifiés pour éviter la saturation des fournisseurs.” - Frank VAN CAENEGEM
A propos de Frank VAN CAENEGEM
Frank van Caenegem est administrateur du CESIN, en charge des relations internationales ainsi que de l’European Cyber Security Organisation (ECSO). Il a effectué toute sa carrière au sein de grands groupes, chez Capgemini puis CNP Assurances, avant de rejoindre Schneider en 2023 comme Cybersecurity Vice President & CISO EMEA.
