Citalid introduit un nouveau module dédié au risque cyber fournisseur qui combine la modélisation quantitative, le renseignement sur la menace et l’IA générative. L’outil répond aux exigences accrues de maîtrise du risque tiers liées à NIS2 et DORA et cherche à offrir une lecture opérationnelle et financière des vulnérabilités de la chaîne d’approvisionnement numérique. L’éditeur met en avant une approche fondée sur la donnée réelle pour dépasser les limites des déclaratifs traditionnels.
La pression réglementaire impose aux organisations européennes une connaissance beaucoup plus précise de l’exposition de leurs prestataires. Les équipes chargées du risque et de la sécurité doivent composer avec des chaînes de valeur étendues et hétérogènes, où chaque maillon dépend de politiques de sécurité disparates et de niveaux de maturité inégaux. Cette complexité rend difficile toute anticipation des scénarios de rupture, alors même que les audits fondés sur des questionnaires restent la norme et masquent souvent les écarts entre perception et réalité opérationnelle. Le lancement du module Third Party Risk Management par Citalid intervient au moment où les directions achats, les RSSI et les responsables de la continuité d’activité cherchent des instruments de mesure plus fiables, capables de relier l’exposition cyber à un impact financier mesurable.
La plateforme de Citalid s’appuie sur ses moteurs internes de renseignement sur la menace, son expertise de modélisation quantitative et des capacités d’IA générative pour agréger un grand volume d’indicateurs et les convertir en signaux exploitables. L’éditeur propose une cartographie dynamique de la chaîne de fournisseurs et un classement de leurs profils de risque, censé favoriser une priorisation plus fine. Selon Maxime Cartan, cofondateur et directeur général, la combinaison d’une vue globale et d’un diagnostic détaillé répond à un manque persistant dans les solutions TPRM traditionnelles. L’outil repose sur des données enrichies et contextualisées qui réduisent fortement la dépendance aux déclaratifs souvent incomplets ou approximatifs. Pour les entreprises soumises à des obligations strictes de conformité, cette capacité à relier menaces observées, exposition technique et potentiel de pertes financières devient essentielle pour orienter les plans de remédiation et justifier les investissements.
Une approche outillée pour combler les lacunes du déclaratif fournisseur
Le module introduit une analyse documentaire automatisée qui accélère le traitement des informations transmises par les tiers. L’IA générative opère ici comme un moteur d’extraction et de normalisation, ce qui limite les délais traditionnellement associés à la revue des politiques et certifications de sécurité. Selon Olivier Hamon, directeur technique produit, cette automatisation soutient les équipes en charge du contrôle interne sans remplacer leur responsabilité d’arbitrage. L’objectif affiché est de fluidifier le cycle d’évaluation tout en produisant des signaux plus homogènes et plus fiables, utiles pour alimenter les comités de risque ou les échanges contractuels avec les prestataires.
Les premiers déploiements révèlent l’ampleur du décalage entre auto-évaluation et exposition réelle. Au sein d’un groupe bancaire européen, une phase pilote conduite depuis l’été 2025 montre que 61 pour cent des fournisseurs étudiés présentaient un risque supérieur à leur propre déclaration. Soixante et onze pour cent affichaient également une maturité de sécurité inférieure à la moyenne de leur secteur. Enfin, soixante pour cent dépassaient une Value at Risk estimée à 3 pour cent de leur chiffre d’affaires. Ce constat illustre la fréquence des angles morts dans les chaînes d’approvisionnement numériques et l’intérêt d’un diagnostic fondé sur l’observation directe plutôt que sur la perception déclarative.
Un positionnement qui reflète l’évolution des attentes en matière de TPRM
La quantification financière du risque cyber gagne du terrain dans les entreprises soumises à une gouvernance exigeante. Les directions générales et les assureurs privilégient désormais des méthodes qui permettent de relier exposition, scénarios d’incident et impacts sur les comptes. Le positionnement de Citalid trouve un écho auprès des secteurs où les dépendances technologiques sont multiples et où les obligations règlementaires s’intensifient. Les organisations qui doivent démontrer une maîtrise consolidée des risques tiers, notamment au titre de NIS2 ou DORA, cherchent des solutions capables d’articuler information technique, contexte de menace et métriques financières. Ce type d’approche facilite la justification des actions préventives et peut contribuer à améliorer la négociation des contrats d’assurance cyber.
Cette orientation s’inscrit également dans une tendance plus large où le risque fournisseur devient un indicateur central de continuité opérationnelle. Les chaînes numériques s’appuient désormais sur un nombre élevé de prestataires spécialisés, souvent critiques mais peu visibles. Une plateforme qui confronte en continu les données de menace aux caractéristiques des tiers aide les entreprises à construire une vision actualisée de leur exposition. Elle soutient aussi une meilleure allocation des ressources, en focalisant les efforts sur les prestataires les plus sensibles pour les opérations clés ou sur les points de dépendance susceptibles de générer un effet domino en cas d’incident.
La nouvelle offre TPRM de Citalid est désormais disponible et complète une stratégie orientée vers la mesure objectivée du risque cyber. Pour les directions qui doivent ajuster leurs contrôles, préparer des audits réglementaires ou démontrer la robustesse de leur chaîne d’approvisionnement, cette approche fondée sur la donnée peut servir de levier de priorisation et de pilotage, notamment dans les secteurs où les délais de remédiation doivent être justifiés et documentés. L’évolution des pratiques de gestion du risque tiers tend à rendre ce type d’outils indispensable pour sécuriser les opérations tout en documentant les arbitrages budgétaires.
