La troisième édition de l’Observatoire TPRM du Cesin et de Board of Cyber confirme que le risque cyber lié aux fournisseurs s’impose désormais comme un enjeu vital. Les entreprises structurent leurs pratiques mais peinent à couvrir l’ensemble de leur chaîne de sous-traitance. Pour accélérer, elles misent sur la mutualisation des évaluations, l’automatisation et l’émergence de standards partagés.
Réalisée entre juillet et septembre 2025 auprès de 171 organisations de toutes tailles, cette étude s’impose comme un repère dans l’évolution de la maturité face au risque cyber fournisseurs. Elle révèle une conscience aiguë du sujet, renforcée par la réglementation européenne, mais aussi une volonté marquée de repenser les méthodes d’évaluation devenues trop lourdes et peu efficaces. Entre outillage insuffisant, pression opérationnelle et quête de confiance, les entreprises appellent de leurs vœux un changement de paradigme. Cette bascule vers une gouvernance partagée du risque tiers redéfinit les responsabilités et ouvre la voie à un écosystème fondé sur des pratiques interopérables.
Plus de huit entreprises sur dix classent désormais le risque fournisseurs comme important ou très important. Cette reconnaissance traverse tous les secteurs, y compris les administrations et les établissements publics. Le cadre réglementaire agit ici comme un catalyseur puissant. Les directives NIS2, DORA ou CRA irriguent progressivement les chaînes d’approvisionnement numériques, contraignant les organisations à structurer la gestion des risques de bout en bout.
Une volonté de cohérence et de maîtrise
Pour autant, seuls 45 % des répondants indiquent que ces obligations ont modifié concrètement leur approche. Le principal effet constaté est une centralisation accrue du pilotage, désormais assurée par le siège dans 60 % des cas, contre 55 % un an plus tôt. Cette recentralisation reflète une volonté de cohérence et de maîtrise, face à une complexité croissante des relations fournisseurs. Le risque n’est plus un paramètre technique isolé, mais un facteur de résilience et un sujet de gouvernance à part entière.
Cette dynamique s’accompagne d’un élargissement du cercle décisionnel. Si le RSSI reste le premier acteur impliqué (87 %), la direction juridique bondit à 60 % de participation, contre 11 % en 2024. Les achats suivent au même niveau. Cette transversalité traduit une inflexion stratégique : le TPRM devient une affaire collective. Dans plus d’une entreprise sur deux, le sujet est aujourd’hui porté jusqu’au Comex, avec un suivi renforcé dans les secteurs fortement régulés comme la banque ou l’assurance. Cette évolution pose toutefois la question de l’alignement entre volonté stratégique et capacité opérationnelle, tant les contraintes restent nombreuses.
Des pratiques en progression mais encore trop parcellaires
Malgré la reconnaissance du risque, la profondeur des contrôles reste limitée. La moitié des entreprises évaluent moins de vingt fournisseurs par an. Même parmi les grands comptes, seuls 55 % dépassent les cinquante évaluations annuelles. Ce décalage s’explique par deux facteurs principaux. D’une part, les méthodes actuelles demeurent coûteuses, souvent manuelles, et difficilement industrialisables. D’autre part, les entreprises ont recours à un tiering stratégique, concentrant leurs efforts sur les prestataires les plus critiques. La classification des fournisseurs s’impose progressivement comme norme : 68 % des répondants y ont désormais recours, un chiffre en hausse de huit points sur un an. Elle repose sur des critères de criticité, d’intégration SI, d’accès aux données personnelles ou stratégiques. Mais cette structuration ne suffit pas à pallier l’ampleur des interdépendances numériques.
Les outils utilisés reflètent cette diversité. Le plan d’assurance sécurité reste en tête (75 %), suivi par les questionnaires auto-déclaratifs (60 %), les certifications ISO ou SOC 2 (55 %), les dépôts de preuves (40 %) et les notations cyber (34 %). Mais 35 % des entreprises n’ont toujours pas défini de fréquence précise d’évaluation. Cette variabilité freine la comparaison et la confiance interentreprises. Les entreprises bâtissent leurs propres dispositifs en fonction de leurs contraintes, mais peinent à construire une approche homogène, continue et vérifiable à grande échelle.
La mutualisation apparaît comme la voie de sortie du piège opérationnel
La majorité des répondants jugent nécessaire de transformer en profondeur le modèle d’évaluation actuel. Quatre entreprises sur cinq se disent prêtes à mutualiser les évaluations, à condition de respecter trois exigences clés : un référentiel reconnu, un périmètre homogène (secteur, taille, maturité) et un cadre de confiance porté par des pairs légitimes. Le CESIN, les labels sectoriels ou les entreprises de taille comparable sont identifiés comme acteurs crédibles. Cette mutualisation répond à une logique pragmatique : éviter les doublons, alléger la charge pour les fournisseurs et améliorer la fiabilité des notations. Elle permet aussi d’instaurer une culture du risque partagé, fondée sur la transparence et la comparabilité.
Cette dynamique s’inscrit dans un mouvement plus large de rationalisation. 85 % des organisations envisagent d’adapter la profondeur des contrôles selon la criticité du fournisseur. 77 % privilégient le recours à des certifications reconnues pour éviter les questionnaires systématiques. Plusieurs RSSI appellent à la création d’un tableau de bord unique, d’un cyberscore européen, ou même d’une norme universelle de confiance. Cette approche traduit une aspiration profonde : construire un socle commun pour fluidifier les échanges, réduire les frictions et fiabiliser les chaînes de sous-traitance à l’échelle européenne.
Un besoin pressant d’automatisation, de clarté et d’autorité partagée
Les difficultés restent nombreuses. Le manque de ressources humaines et financières touche encore 68 % des répondants. La complexité d’engager certains fournisseurs, notamment les géants du cloud, et leur réticence à se soumettre à des audits, freine les ambitions. La contractualisation reste le principal levier utilisé, avec des clauses de sécurité intégrées. Mais seuls 43 % organisent un suivi périodique structuré, 40 % ont mis en place un plan d’action partagé, et à peine 15 % sensibilisent activement leurs partenaires. Les évaluations restent souvent ponctuelles, perçues comme une contrainte externe plus que comme un processus d’amélioration continue.
Face à cela, les RSSI plaident pour l’automatisation, le recours à des plateformes mutualisées, la création de référentiels dynamiques, et l’implication directe des fournisseurs dans leur propre évaluation. L’idée dominante n’est plus celle du contrôle vertical, mais d’un partenariat éclairé, outillé, fluide et reproductible. Cette orientation vers une industrialisation des processus, déjà amorcée, annonce une transformation plus large de la gouvernance cyber. Désormais, la confiance ne s’impose plus, elle se mesure, se documente et se partage.
Cette édition 2025 de l’Observatoire TPRM montre clairement que le sujet du risque fournisseurs a quitté les marges pour devenir une priorité de résilience. La convergence des attentes autour de la standardisation et de la mutualisation constitue un signal fort pour l’ensemble de l’écosystème. Le moment semble venu d’unir les efforts pour bâtir un référentiel commun, fondé sur des critères clairs, des données vérifiables et une gouvernance interentreprises. En franchissant ce cap, les organisations pourront enfin inscrire leur gestion du risque tiers dans une logique continue, automatisée et alignée sur les exigences d’une économie numérique interdépendante.
