L’Observatoire 2024 des risques cyber liés aux fournisseurs constate que le nouveau contexte réglementaire transforme la gestion des risques liés aux fournisseurs et des risques cyber plus globalement. Après une édition 2023 qui avait démontré une réelle prise de conscience au sein des organisations, il ressort de l’édition 2024 que près de 90 % des décideurs interrogés reconnaissent que ce risque est « très important » ou « important », mais que les deux tiers déclarent mener un processus d’évaluation du risque sur moins de 50 fournisseurs par an.

S’appuyant sur les réponses de plus de 100 responsables de la cybersécurité, membres du CESIN et issus d’organisations de toutes tailles et de tous secteurs, cette étude fait le point sur la gestion des risques qui doit devenir plus globale. Les nouvelles réglementations
NIS 2 et DORA qui entreront en vigueur dans les prochaines semaines commandent en effet d’approcher ce risque de façon plus globale.

Évaluation annuelle

Pour 53,4 % des organisations, ces nouveaux cadres réglementaires vont les conduire à modifier dans les douze prochains mois leur approche de la gestion du risque fournisseurs ; un chiffre légèrement plus élevé qu’en 2023 (52 %).

Mais cette enquête fait état d’assez grandes différences dans les méthodes de gestion du risque fournisseurs, qu’il s’agisse du suivi par le comex, de la centralisation du pilotage ou des fonctions impliquées dans le processus (RSSI, direction achats, responsable conformité, risk manager…).


Une organisation sur deux adopte une fréquence d’évaluation annuelle, une sur huit tous les deux ans, et une sur trois tous les trois ans. Seule une minorité d’entreprises a adopté une fréquence plus soutenue. Par ailleurs, si la plupart des entreprises ont mis en place des systèmes de classification de leurs fournisseurs (60 % des décideurs interrogés), les organisations se démarquent par la diversité des dispositifs.

Le questionnaire auto-déclaratif (66,3 %), ou avec dépôt de preuves (41,5 %), la certification ISO SOCII (57,4 %) sont les plus souvent cités même s’ils sont très chronophages pour les entreprises et leurs fournisseurs.

La gestion du risque fournisseurs

Seules solutions à fonctionner de façon non intrusive et en continu, la notation cyber
(29,7 %) et la cyber threat intelligence (24,7 %) se situent pratiquement au même niveau que les tests d’intrusion (32,6 %). Cet Observatoire a également mis en évidence les difficultés auxquelles se heurtent les entreprises dans la gestion du risque fournisseurs. Près de 75 % des entreprises citent le « manque de ressources » comme premier obstacle.

Parmi les autres freins : la complexité d’engager les fournisseurs dans un processus d’évaluation (64,3 %) mais aussi l’incapacité de certains fournisseurs à atteindre le niveau de sécurité demandé (48,5 %) et les contraintes liées au passage à l’échelle (42,5 %). Enfin, l’idée de la création d’une méthodologie d’évaluation standardisée et reconnue par les autorités de régulation fait son chemin. Certains décideurs interrogés plaident même la mise en place d’une plateforme unique et commune en Europe.

La mutualisation fait partie des autres pistes envisagées par les responsables cyber : 71 % d’entre eux accepteraient de réduire leurs demandes aux fournisseurs si leurs services avaient déjà été évalués positivement par plusieurs entreprises.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR