La cybersécurité est devenue un sujet de conseil d’administration. Cette visibilité en haut lieu a produit un effet non anticipé : les équipes IT et les directions générales évaluent désormais les mêmes prestataires avec des critères si différents que leurs verdicts divergent dans 78 % des cas, souvent de façon répétée. Une enquête menée par Vanson Bourne mesure les conséquences de ce désalignement : seules 5 % des organisations accordent une confiance totale à leurs prestataires de cybersécurité.
La maturité cyber des organisations s’est construite sur la prévention et la détection. La capacité à évaluer rigoureusement les prestataires qui en assurent la mise en œuvre a longtemps occupé une place secondaire dans les dispositifs de gouvernance. L’enquête Vanson Bourne, conduite auprès de 5 000 décideurs IT et sécurité répartis dans 17 pays pour le compte de Sophos, donne à voir l’ampleur de ce déficit, où les organisations externalisent une fonction critique tout en doutant de ceux à qui elles la confient.
Ce déficit ne se résorbe pas à la signature du contrat. Parmi les répondants, 79 % jugent difficile d’évaluer la fiabilité d’un nouveau prestataire. Mais 62 % déclarent rencontrer les mêmes difficultés avec leurs prestataires actuels, avec lesquels ils travaillent depuis des mois ou des années. La relation contractuelle établie ne lève pas les doutes : elle les déplace dans le temps.
IT et direction générale divergent face aux mêmes prestataires
Parmi les 5 000 répondants, 78 % indiquent que leur équipe IT et leur direction générale ou le conseil d’administration divergent dans leur appréciation de la fiabilité des prestataires de cybersécurité. Près d’un tiers précisent que ce désaccord survient fréquemment. Un seul pourcent des organisations déclarent que la direction générale ne joue aucun rôle dans les décisions d’achat en cybersécurité.
Ce désalignement reflète une asymétrie d’information et de critères d’évaluation entre deux populations qui observent les mêmes prestataires sous des angles radicalement différents. Les équipes IT évaluent sur la qualité de service opérationnelle, la réactivité du support, la profondeur technique des détections et la pertinence des recommandations de remédiation. Les directions générales et les conseils d’administration évaluent sur la réputation, les positionnements dans les rapports d’analystes, la présence médiatique lors d’incidents majeurs et la lisibilité des engagements contractuels. Ces deux grilles de lecture produisent des verdicts distincts sur les mêmes acteurs.
Parmi les répondants qui déclarent un déficit de confiance envers leurs prestataires, 51 % font état d’une anxiété accrue quant à la probabilité de subir un incident cyber significatif, 45 % se déclarent plus enclins à changer de prestataire, une démarche coûteuse et déstabilisatrice pour les équipes en place, et 42 % signalent une augmentation des exigences de supervision interne. Ce dernier point est particulièrement révélateur : quand la confiance envers un prestataire diminue, les équipes compensent par du contrôle, ce qui consomme des ressources qui devraient être allouées à la détection et à la réponse.
Un problème de méthode autant que de transparence
Parmi les 4 483 répondants qui déclarent rencontrer des difficultés à évaluer leurs prestataires, 47 % estiment que les informations fournies manquent de fait ou de précision, 45 % les trouvent difficiles à interpréter, 43 % reconnaissent manquer eux-mêmes des compétences nécessaires pour évaluer efficacement un prestataire, et 41 % se heurtent à des informations contradictoires entre sources. L’écart entre petites structures et grandes entreprises est notable sur le critère des compétences internes. Les organisations de moins de 250 salariés sont 8 points plus nombreuses que les grandes entreprises à citer ce manque comme obstacle principal.
Cette cartographie dessine un problème à deux faces. Les prestataires communiquent de façon insuffisamment vérifiable, la promesse marketing prime sur la preuve opérationnelle. Les organisations acheteuses ne disposent pas toujours des référentiels et des compétences internes pour évaluer ce qu’on leur soumet. Ces deux déficits se renforcent mutuellement.
Des preuves vérifiables, premier critère de confiance pour les directions et les équipes IT
Les preuves vérifiables de maturité en cybersécurité arrivent en tête des critères de confiance cités par les deux populations (programmes de bug bounty, publications d’avis de sécurité détaillant les vulnérabilités identifiées et leur remédiation, évaluations tierces indépendantes, certifications auditables). La transparence lors des incidents et la rapidité des communications arrivent en deuxième position pour les dirigeants, en troisième pour les équipes IT. La performance dans les rapports d’analystes se positionne en cinquième position pour les deux populations.
Ce classement inverse une hiérarchie implicite qui pesait sur les décisions d’achat. Un modèle dans lequel le positionnement dans les quadrants d’analystes et la notoriété commerciale primaient souvent sur la vérifiabilité des pratiques internes. Pour les professionnels qui pilotent les processus de sélection et de renouvellement, la charge de la preuve revient désormais au prestataire. Les DSI-RSSI ont désormais intérêt à revoir la composition de leurs dossiers d'évaluation en conséquence.
