Recherche

Les RSSI s'inquiêtent face aux risques cyber liés aux fournisseurs

L'étude " Le risque cyber lié aux fournisseurs" produite par le Cesin et Board of Cyber pointe l'inquiétude des RSSI renforcée par l'application des règlementations NIS2 et DORA.

Publié par Philippe Leroy le | Mis à jour le
Lecture
4 min
  • Imprimer
Les RSSI s'inquiêtent face aux risques cyber liés aux fournisseurs

Les réglementations européennes, telles que DORA et NIS2, vont renforcer les exigences des RSSI envers leurs fournisseurs de solutions de cybersécurité. C'est une confirmation de la deuxième édition de l'étude "Observatoire 2024 : Le risque cyber lié aux fournisseurs" produite par le Cesin et Board of Cyber qui estiment que 70% des entreprises sont concernées par NIS2. La directive implique un élargissement de l'analyse des risques au sein des entreprises et de tous leurs fournisseurs.

Plus de la moitié ( 53,4 %) du panel * va ainsi modifier son approche de la gestion du risque fournisseurs d'ici fin 2025. Et pour cause, ils sont près de 90 % à reconnaitre que ce risque est « très important » ou « important.

Les entreprises du panel mesurent déjà la qualité de leurs fournisseurs selon des fréquences régulières : 47,5 % tous les ans, 12,8 % tous les deux ans et 30,6 % tous les trois ans. Dans une large majorité des cas (82%) c'est la RSSI qui pilote mais la direction des achats (65,3%) et la fonction conformité (33,6%) sont largement impliquées. Plus étonnant, la direction juridique n'interviendrait que pour 11%.

Des difficultés à évaluer

Un tiers des entreprises (33,6%) évaluent tous leurs fournisseurs dans le processus d'évaluation sur quatre critères principaux : criticité du service ou du produit délivré (57,4%), niveau d'intégratioon dans le SI (51,4%), accès aux données personnelles (48,5%) et accès aux données stratégiques (44,5%).

Comment se passe les évaluations ? Très largement via des questionnaire auto-déclaratif (66,3%) et les certifications ISO (57,4%). Dans une moindre mesure via les notations cyber et les audits GRC (Gouvernance, risque et conformité) à près de 30%.

« La notation cyber et la CTI, seules solutions en continu, sont utilisées par près d'une entreprise sur trois, pratiquement au même niveau que les tests d'intrusion » souligne l'étude.

Si elle s'avère indispensable, l'évaluation n'est pas pourtant pas une tache facile. Le manque de ressources (73,2 %), la complexité d'engager les fournisseurs (64,3 %) et les métiers (51,4 %) ou encore l'incapacité de certains fournisseurs à atteindre le niveau de sécurité demandé (48,5 %) sont autant de freins à sa réalisation.

Comment dépasser ses contraintes ? Outre un accroissement des effectifs pour réaliser les audits, les RSSI se prononcent sur la mise en place de règles communes : plateforme d'évaluation européenne unique, recours à des tiers de confiance "labelisés" sur la base de KPI "standards".

« Il existe un certain consensus en faveur de la création d'une méthodologie d'évaluation standardisée et reconnue par les autorités de régulation. » indique l'étude. Quitte à réduire le nombre de fournisseurs et à créer une dépendance. Ce qui n'est le moindre des paradoxes...


Paroles de RSSI

> Une méthodologie d'évaluation commune ?

« Il faudrait mettre en place un "cyber score fournisseur" régulièrement mis à jour et/ou une certification obligatoire type ISO 27001 garantissant la mise en place des bonnes pratiques et leur suivi dans le temps. Cela pourrait apporter plus de confiance dans les relations clients/fournisseurs. »

« Il est de ma responsabilité d'analyser le niveau de risque introduit par une collaboration avec un fournisseur et/ou un partenaire. En revanche, une base commune où trouver des éléments récurrents, type PAS, certifications, rapport de PenTest, processus de gestion de crise ou autre aiderait sûrement à moins solliciter les fournisseurs et partenaires. »

« Il faudrait mettre en place un "cyber score fournisseur" régulièrement mis à jour et/ou une certification obligatoire type ISO 27001 garantissant la mise en place des bonnes pratiques et leur suivi dans le temps. Cela pourrait apporter plus de confiance dans les relations clients/fournisseurs. »

* 100 responsables cybersécurité et conformité, membres du Cesin et issus d'oraganisation de toutes tailles et de tous secteurs.

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page