La gestion du risque fournisseur acquiert de la maturité

Le TPRM (Third Party Risk Management) ou gestion des risques liés aux fournisseurs acquiert enfin une certaine maturité dans les entreprises françaises, du moins en matière de cybersécurité. C’est en tous cas ce qui semble se dessiner selon la troisième édition de l’« Observatoire des risques cyber liés aux fournisseurs ». Cette étude est issue de la collaboration du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), l’association professionnelle des RSSI/CISO français, et de Board of Cyber. Le faible effectif des répondants oblige malgré tout à une certaine prudence sur les chiffres.

Ainsi, la quasi-totalité des répondants juge ce risque comme important et une nette majorité en a centralisé la gestion au niveau du siège, la direction générale ou le ComEx se saisissant du sujet dans 54 % des cas. 84 % des répondants ont des obligations de conformité à une réglementation récente comme DORA, NIS2 ou CRA. Ces obligations ont amené à une prise de conscience du risque fournisseur, même en matière de cybersécurité.

Si le RSSI est évidemment prioritairement concerné (87 % des répondants), la direction juridique est impliquée dans 60 % des cas (11 % en 2024), tout comme la direction des achats. Les cyber-risques liés aux fournisseurs ne sont donc plus traités de façon anecdotique. Mais ils restent complexes à gérer. En réponse à cette difficulté, 80 % des entreprises se disent prêtes à mutualiser leurs évaluations de fournisseurs, sous réserve que les méthodologies d’évaluation soient bien communes. La création d’une évaluation continue et universelle séduit de plus en plus.