Comment les entreprises évaluent-elles le risque fournisseur ? Pour son premier Livre blanc, Board of Cyber, une startup française spécialisée dans la gestion du risque cyber, a réalisé une étude exclusive auprès de RSSI et de directeurs de la cybersécurité d’une trentaine d’entreprises, dont 18 gèrent plus de 1000 fournisseurs. Ces entreprises figurent parmi les leaders mondiaux de leur secteur : Énergie, Transports, BTP, Chimie, Distribution, Services, Luxe.
Les entreprises impliquent leurs fournisseurs dans la gestion du risque, sous de multiples formes, dont les plus citées sont des clauses contractuelles, des échanges réguliers, des comités de pilotage, des comités sécurité pour les fournisseurs les plus critiques, des prises de contact ponctuelles…
Dans le détail, on apprend que toutes les entreprises interrogées citent le plan d’assurance sécurité, la certification, le questionnaire d’analyse des risques, l’audit et la notation cyber, une large majorité d’entreprises utilisant ces outils de façon combinée. Il faut remarquer que la notation cyber est utilisée par 42 % des entreprises interrogées.
Il en ressort que le risque cyber fournisseurs est jugé « très important » pour 49 % des entreprises interrogées et « important » pour 41 % d’entre elles. Si le niveau de préoccupation est donc élevé pour 90 % des entreprises, ce risque n’est suivi par le conseil d’administration que dans une entreprise sur deux (48 %).
La pression réglementaire devrait sans doute accélérer la prise de conscience : 52 % des entreprises interrogées vont ainsi modifier leur approche du risque fournisseur dans le cadre des nouvelles réglementations NIS 2 et DORA.
Dans 60 % des entreprises interrogées, la fréquence d’analyse du risque cyber fournisseurs est annuelle. Le rythme est semestriel pour 10 % des entreprises, trimestriel pour 16 % d’entre elles, mensuel dans 10 % des cas. À noter qu’une seule entreprise conduit cette analyse à un rythme quotidien.
Le risque fournisseurs est analysé sur certains d’entre eux seulement (67 % des cas), dont les niveaux de risques sont évalués en grande majorité en fonction de la criticité des services, de la sensibilité des données traitées, du degré d’insertion du fournisseur dans le système d’information et de la nature de la relation commerciale.
Dans la grande majorité des cas (80 %), le risque cyber fournisseurs est géré par le RSSI groupe et/ou des Business Units concernées. Dans 40 % des cas, la direction des achats est également impliquée.
La difficulté pour un certain nombre de fournisseurs (en particulier des PME) d’appréhender les enjeux de la cybersécurité ou de se mettre en capacité d’y répondre avec un certain niveau de maturité.
