L’étude a interrogé plus de 100 responsables cybersécurité du CESIN, issus d’organisations diverses. Elle explore leurs pratiques concernant le risque cyber lié aux fournisseurs, les outils employés, les obstacles rencontrés et leurs attentes face aux nouvelles réglementations.
Bien que 90 % des entreprises considèrent ce risque comme une priorité, la plupart n’évaluent pas plus de 50 partenaires chaque année. De nombreux fournisseurs restent ainsi sans suivi.
Pour expliquer ce manque de suivi, l’étude révèle des obstacles majeurs :
-
Manque de ressources : 73,2 % des entreprises
déclarent ne pas avoir assez de moyens dédiés.
-
Engager les fournisseurs : 64,3 % peinent à
mobiliser leurs partenaires sur les questions de
cybersécurité.
- Complexité des outils (16,8%) et processus (20,8%) : les démarches restent souvent lourdes et peu adaptées.
Les nouvelles règlementations NIS2 et DORA, qui entreront bientôt en vigueur, visent à encourager une meilleure gestion de ces enjeux en apportant des règles plus strictes, des audits et des signalements d’incidents renforcés. Selon 53,4 % des entreprises, ces mesures les amèneront à revoir leurs pratiques dans les prochains mois.
-
NIS2 - Network and Information Systems Directive
2 : règle qui oblige les secteurs essentiels (énergie,
transport…) à mieux sécuriser leurs systèmes informatiques et à
signaler les incidents de sécurité.
- DORA - Digital Operational Resilience Act : règle pour les entreprises financières (banque, assurance…) qui vise à garantir que leurs systèmes restent sûrs et capables de fonctionner même en cas de problèmes numériques.
Une autre piste pour améliorer la gestion du risque fournisseur est la mutualisation des évaluations de sécurité. Toutefois, pour que cette approche soit efficace, il est essentiel de définir une méthode commune et des critères clairs pour ces évaluations.
En savoir plus :