Secu
Risque Fournisseurs : la maturité s’installe mais l’heure de la mutualisation a sonné
Par La rédaction, publié le 12 novembre 2025
La gestion du risque cyber lié aux tiers (TPRM) n’est plus un sujet périphérique, mais un enjeu stratégique de gouvernance. C’est le constat principal de la troisième édition de l’Observatoire TPRM, publié par le CESIN et Board of Cyber.
C’est la bonne nouvelle de cette troisième édition de l’Observatoire du risque cyber lié aux fournisseurs : Le risque tiers est désormais pleinement reconnu comme un risque majeur alors que les attaques à la supply chain se sont démultipliées depuis trois ans.
Pour autant, l’évaluation l’évaluation reste trop parcellaire, les méthodes hétérogènes et la charge opérationnelle élevée.
Tels sont les principaux enseignements qui émergent de cette étude conduite entre juillet et septembre 2025 auprès de 171 organisations françaises et européennes par Board of Cyber et le CESIN.
Une prise de conscience salutaire
La prise de conscience est désormais quasi universelle. Plus de huit organisations sur dix (81,8%) considèrent le risque fournisseur comme « important » ou « très important ». La gestion se centralise au siège dans 60 % des cas (contre 55% en 2024), confirmant que le sujet quitte le registre du “projet” pour entrer dans celui des fondamentaux de résilience.
Cette dynamique est, sans réelle surprise, portée par un environnement réglementaire exigeant, qui touche 84 % des répondants (NIS2, DORA, CRA). Il installe une pression de conformité continue sur l’écosystème et pousse les entreprises à formaliser leurs pratiques, sans pour autant bouleverser du jour au lendemain les méthodes d’évaluation. Si 63 % des organisations interrogées citent NIS2, 36 % l’AI Act et 32 % DORA, plus de la moitié d’entre elles (55%) estiment pourtant que ces règles ne modifient pas encore leur façon d’évaluer les tiers.
La régulation joue d’abord un rôle de « cadre structurant » : elle fixe des attentes, légitime les exigences et installe la responsabilité, mais laisse aux DSI/RSSI le soin d’industrialiser dans la durée. Or la mise en application très progressive de ce type de règlement, les frictions opérationnelles pour embarquer les fournisseurs (en particulier les plus gros) et les arbitrages de moyens limitent la profondeur des contrôles.
Une Gouvernance Élargie, du RSSI au Comex
Ce risque est suivi au plus haut niveau. L’époque où le RSSI était seul en première ligne est révolue. Si le RSSI groupe reste le plus impliqué (87%), l’étude signale une évolution structurelle : la direction juridique est désormais impliquée dans 60% des entreprises, un bond important par rapport aux 11% de 2024. L’implication des achats (60%) est peut-être plus étonnante encore. Mais cette montée de l’implication du juridique et des achats est en réalité une conséquence directe de la pression réglementaire et de la contractualisation du risque.
Plus significatif encore, le sujet s’est invité à la table des comités exécutifs. Dans 54% des entreprises, le risque cyber fournisseurs fait l’objet d’un suivi par la Direction Générale ou le Comex, une proportion qui grimpe à 82% dans les secteurs très régulés comme la banque et l’assurance.
Un fossé opérationnel persistant
Pourtant, cet alignement stratégique masque un décalage opérationnel persistant. L’observatoire qualifie le risque de « reconnu mais encore sous-surveillé ». En dépit de l’importance accordée au sujet, la moitié des entreprises évaluent toujours moins de vingt fournisseurs par an. Même au sein des grands comptes, seuls 55% procèdent à l’évaluation de plus de cinquante fournisseurs annuellement.
Les raisons de ce fossé entre intentions et exécutions sont récurrentes. Le manque de ressources humaines et financières reste le principal obstacle pour 68% des répondants. À cela s’ajoute la complexité d’engager les fournisseurs (64%), surtout les grands acteurs du cloud peu enclin à des évaluations externes, et l’incapacité de certains partenaires à atteindre le niveau de sécurité requis (52%). S’y ajoutent les défis d’embarquement des métiers et le passage à l’échelle.
La réponse reste très contractuelle avec les clauses de sécurité, les exigences de certifications dans 55 % des cas, des comités de pilotage et des plans d’actions partagés.
Les équipes arbitrent en concentrant leurs efforts sur les partenaires critiques, selon la nature du service, le niveau d’intégration SI et les accès aux données sensibles. Autrement dit, la conscience du risque est là, mais la profondeur de la surveillance reste limitée face à des chaînes d’interdépendance qui, elles, s’étendent. Toutefois, près de 37 % des entreprises interrogées prévoient d’aller regarder les partenaires de leurs partenaires, un signe encourageant d’une vigilance qui remonte la chaîne.
L’impasse des questionnaires
Côté outillage, les DSI et RSSI semblent majoritairement frustrés par les outils actuels et un paysage fracturé qui ne simplifie pas la tâche. En tête, les Plans d’Assurance Sécurité progressent (75 %), les questionnaires auto-déclaratifs reculent (60 %), mais ces dispositifs restent « difficilement industrialisables ». Un RSSI du secteur agroalimentaire résume le sentiment général : « Cela fait dix ans que la communauté RSSI perd une bonne partie de sa capacité à remplir ou à faire remplir des questionnaires qui ne servent à rien, sauf à se donner bonne conscience ».
Parallèlement, les certifications de type ISO/SOC2 s’imposent peu à peu (55 %), la notation cyber gagne du terrain (34 %), tandis que pentests (30 %), audits GRC (29 %) et signaux CTI (20 %) complètent des dispositifs encore « mosaïques ».
Il en découle notamment des rythmes d’évaluation hétérogènes : un tiers des sondés procède à une revue annuelle, mais 35 % n’ont pas encore fixé de périodicité.
Un appel à une industrialisation
C’est dans ce contexte qu’émerge l’option jugée la plus prometteuse : la mutualisation. L’étude révèle que 80% des entreprises se disent prêtes à mutualiser l’évaluation de leurs fournisseurs. L’aspiration n’est plus de multiplier les contrôles, mais de les partager au sein d’un cadre de confiance.
Néanmoins, pour ces entreprises une telle mutualisation, un tel partage des évaluations n’est possible que si l’on met préalablement en place un référentiel reconnu, un périmètre homogène et un cadre de confiance porté par des acteurs légitimes (pairs sectoriels, membres du CESIN, etc.).
Les répondants plébiscitent le “différentiel” : 85 % souhaitent adapter la profondeur des contrôles à la criticité, 77 % veulent s’appuyer sur des certifications reconnues pour réduire les questionnaires à rallonge, et plusieurs appellent à un “cyberscore” lisible, inspiré du Nutriscore, dans une logique d’évaluation continue.
L’enjeu, comme le souligne l’étude, n’est plus de convaincre de l’existence du risque, mais de trouver la bonne réponse pour l’industrialiser. Le passage d’une logique de contrôle individuelle à une culture du risque partagé, fondée sur un écosystème de confiance, est devenu une nécessité opérationnelle. Avec à la clé une nouvelle exigence à concrétiser : basculer d’une logique de campagnes annuelles vers une observation en continu, alimentée par des preuves et des signaux externes.
Première conséquence de cet appel, Board of Cyber annonce l’enrichissement de son offre avec AD Rating, signe que les solutions de notation et d’évaluation continue vont se standardiser et s’interconnecter, au service de la confiance entre acteurs. À charge pour les entreprises de s’assurer que ces dispositifs restent transparents, auditables et adaptés à leur criticité métier.
Au fond, la “nouvelle normalité” du TPRM qui se dégage de cette étude tient en un équilibre : mesurer ce qui compte vraiment, partager quand c’est pertinent, automatiser tout ce qui est répétitif. La maturité est là. Le défi, désormais, est d’en faire un avantage opérationnel et un langage commun avec l’écosystème. C’est à cette condition que le risque tiers cessera d’être un angle mort pour devenir un levier de performance et de confiance.
À LIRE AUSSI :
À LIRE AUSSI :
