À travers l’Europe et le Royaume-Uni, un phénomène remarquable transforme l’écosystème de la cybersécurité. Les règles initialement conçues pour les plus grandes institutions déclenchent une réaction en chaîne qui renforce la cyber-résilience de milliers d’entreprises. Une dynamique expliqué, par Greg Lacroix, Domain Architect, Architecte Solutions Risque & Conformité chez Tanium, que les experts qualifient de « sécurité par ruissellement ».
Une cascade réglementaire inédite
L’Union européenne et le Royaume-Uni ont adopté un arsenal législatif ambitieux : NIS2 pour sécuriser les infrastructures critiques (2023-2024), DORA pour renforcer la résilience du secteur financier (2023), la loi sur l’IA – première législation mondiale (2024), le RGPD (2018), et le projet de loi britannique sur la cybersécurité (2026).
Cette vague contraste avec l’approche prudente des États-Unis et produit des effets qui dépassent largement les entreprises directement concernées. La pression ne s’exerce pas seulement de manière descendante : elle se répercute sur l’ensemble de la chaîne d’approvisionnement, touchant non seulement les fournisseurs directs, mais aussi leurs propres sous-traitants et les niveaux suivants.
L’impact franchit même les frontières : les entreprises américaines et internationales opérant en Europe doivent elles aussi se conformer à ces exigences.
Quand la pression commerciale devient moteur de conformité
Chaque réglementation apporte son lot d’exigences. NIS2 élargit considérablement le champ des entités concernées. DORA impose des obligations strictes de signalement d’incidents et de gestion des risques liés aux tiers. Les conséquences vont bien au-delà des amendes : les membres des conseils d’administration peuvent être tenus personnellement responsables, et les organisations risquent des dommages réputationnels majeurs ou la perte de contrats.
La dynamique commerciale induite par ces réglementations s’avère particulièrement puissante. Les entreprises réglementées, sous pression, répercutent ces exigences sur leurs fournisseurs en envoyant des questionnaires de conformité de plus en plus détaillés. Le responsable de la sécurité d’une entreprise de taille moyenne peut ainsi devoir répondre à plus de 160 clients par an, totalisant plus de 8 000 questions individuelles.
Face à ce flux, les fournisseurs doivent soit répondre au cas par cas, soit publier de manière proactive leurs certifications, audits et documents de conformité. Ceux qui ne suivent pas le rythme se voient tout simplement écartés. Cette pression commerciale garantit que même les petits fournisseurs adoptent progressivement des normes initialement conçues pour les seuls secteurs critiques.
Une immunité collective numérique en construction
Cette dynamique crée ce que l’on pourrait appeler une « immunité collective numérique ». À mesure que les grandes entreprises imposent des standards de sécurité plus élevés, leurs fournisseurs et sous-traitants s’adaptent. Dans toute l’Europe, on observe de moins en moins d’entreprises dont les défenses sont ouvertes. Il y a cinq ans, les audits révélaient systématiquement des failles. Aujourd’hui, c’est devenu l’exception plutôt que la règle.
Mais la question va bien au-delà du premier niveau de fournisseurs. Comment ces derniers gèrent-ils leurs propres sous-traitants ? La cybersécurité ne concerne pas seulement la
protection de sa propre infrastructure, mais aussi la gestion des accès et des clés confiés à l’ensemble de l’écosystème.
Des incidents majeurs comme la violation de SolarWinds ont forcé les régulateurs et les grandes entreprises à étendre drastiquement leur surveillance des fournisseurs. Mais la vulnérabilité des chaînes d’approvisionnement ne concerne pas que le secteur technologique. Un ransomware ayant frappé une entreprise de transport néerlandaise a ainsi paralysé les livraisons de fromage aux supermarchés, perturbant tout le réseau logistique alimentaire du pays. La leçon est claire : la résilience dépend désormais autant de la cybersécurité de vos fournisseurs que de la vôtre.
Le défi de la proportionnalité
Cette transformation pose néanmoins un défi majeur : comment éviter que les coûts de conformité n’excluent les plus petites structures ? Toutes les PME n’ont pas les moyens d’obtenir des certifications comme l’ISO 27001. C’est pourquoi la classification des fournisseurs par niveau de risque devient essentielle, avec différents niveaux de contrôle selon le type de données ou d’accès concernés.
L’AI Act européen aborde cette question avec son approche basée sur les risques, qui module les exigences selon le niveau de criticité du système d’IA. Sans cette proportionnalité, la réglementation risquerait de devenir contre-productive.
Les entreprises doivent trouver un équilibre délicat entre deux pressions : le coût de mise en œuvre de la cybersécurité et le coût de la perte de confiance et de contrats. L’équation est simple : soit investir maintenant dans la sécurité, soit perdre des opportunités commerciales plus tard.
De la conformité papier à la résilience opérationnelle
Dans la pratique, beaucoup d’entreprises commencent par se demander si elles respectent le minimum pour être conformes. Elles font appel à des cabinets de conseil pour réaliser des audits, puis se rendent compte qu’elles ignorent encore quels sont exactement leurs actifs critiques.
La cyber-résilience commence en réalité par une visibilité totale des appareils connectés au réseau. Les organisations ont besoin non pas d’un simple inventaire statique, mais d’un « inventaire vivant », continuellement mis à jour face à une surface d’attaque en constante expansion.
Mais même les meilleurs outils ne peuvent empêcher la plus ancienne des vulnérabilités : l’erreur humaine. Plus de 90 % des attaques réussies impliquent une erreur humaine. Pourtant, moins de la moitié des entreprises disposent de programmes de formation structurés en cybersécurité. Le sous-investissement dans la sensibilisation et la formation demeure un point faible majeur.
L’un des impacts les plus significatifs de DORA pourrait être son exigence de signalement rapide des incidents, non seulement aux régulateurs mais aussi aux pairs du secteur. Les entreprises doivent désormais disposer de processus permettant d’évaluer l’impact d’un incident et de le signaler pour alerter les autres acteurs de l’écosystème. Ce réflexe coopératif, désormais inscrit dans la réglementation, constitue l’un des effets d’entraînement les plus puissants – bien que discrets – de ces nouvelles règles.
Un changement culturel en marche
Comme pour le développement durable, où les grandes entreprises ont entraîné leurs réseaux vers des pratiques plus écologiques, la cybersécurité entre dans une phase où la
responsabilité se diffuse naturellement dans tout l’écosystème. De nombreuses entreprises n’attendent d’ailleurs pas que les lois leur dictent leur conduite. Elles agissent sous la pression du marché, du risque réputationnel et du simple bon sens.
La sécurité parfaite n’existe pas. Mais les réglementations, les audits et la pression des pairs obligent les organisations à réfléchir : aux sauvegardes, à l’intégration des nouveaux collaborateurs, à la formation continue, aux risques liés aux tiers, à la continuité des activités. Et cette réflexion représente déjà la moitié du chemin vers une meilleure résilience.
Dans ce nouveau paysage, il ne s’agit plus seulement de conformité réglementaire mais de construction d’un écosystème de confiance. Confiance que vos fournisseurs ne vous exposeront pas. Confiance que vos outils sont à jour. Confiance que vos collaborateurs ne compromettront pas votre sécurité par inadvertance.
La cybersécurité commence peut-être au sommet des organisations, mais elle ne s’y arrête pas. Elle se diffuse à travers formulaires, audits, contrats et conversations, jusqu’à ce que même la plus petite entreprise de la chaîne se pose les bonnes questions : que dois-je protéger, et comment ?
Dans l’économie numérique, cette interrogation n’est plus optionnelle. Car au final, dans un monde interconnecté, chacun joue un rôle déterminant pour garantir la sécurité et la résilience de l’ensemble de la chaîne d’approvisionnement.
