NIS2, DORA, multiplication des attaques supply chain : les entreprises n’ont plus le choix, la gestion du risque fournisseur doit passer d’un exercice administratif à une discipline pilotée par la donnée. Citalid, qui combine threat intelligence, IA générative et quantification financière, illustre cette mutation d’un marché en pleine recomposition. Son cofondateur, Maxime Cartan, décrypte les transformations à l’œuvre et les nouveaux impératifs du TPRM.
La supply chain, premier front des cyberattaques
La chaîne d’approvisionnement reste un vecteur d’attaque d’une redoutable efficacité. « On augmente la surface d’attaque, avec des points d’entrée moins connus et souvent moins sécurisés », rappelle Maxime Cartan, CEO de Citalid. L’éditeur cite des chiffres qui parlent d’eux-mêmes : près de 30 % des incidents répertoriés proviendraient aujourd’hui des fournisseurs.
Les attaques en cascade se multiplient, avec des effets parfois inversés. Le cas Jaguar Land Rover en est l’exemple récent : la compromission du constructeur a généré des impacts économiques pour l’ensemble de sa chaîne de valeur, sans que les partenaires n’aient été directement visés. « Rien n’est laissé au hasard », observe Marie Gisbert, directrice marketing et communication. Les attaquants cherchent désormais l’effet de propagation autant que le point d’entrée.
Le déclaratif ne suffit plus
Lors de nos échanges, les équipes de Citalid rappellent combien les démarches déclaratives pèsent sur les entreprises : des questionnaires envoyés à chaque fournisseur, souvent « trop binaires, trop longs », et dont la véracité reste difficile à établir. « Il y a une vraie frustration, comme dans la cyberassurance : comment vérifier que la donnée est juste, exacte, et qu’elle se maintient dans le temps ? » pointe Marie Gisbert.
Cette limite devient critique à l’heure où NIS2 et DORA imposent un suivi continu : identifier sa supply chain, en mesurer la criticité, et surveiller le niveau de maturité cyber « à la signature, tout au long de la relation et jusqu’à la sortie du contrat », insiste Maxime Cartan. Une exigence incompatible avec des déclaratifs statiques.
L’IA générative fait sa place dans le TPRM
Citalid combine plusieurs couches pour dépasser cette logique : threat intelligence propriétaire, analyse de documents via IA générative et modélisation financière du risque. L’IA est mobilisée pour automatiser l’analyse des documents déjà détenus par les fournisseurs comme les politiques de sécurité, la gouvernance, les investissements. « L’objectif est de dépasser le déclaratif et de valider ce qui est réellement documenté », explique Maxime Cartan. Cette approche fournit une vision plus proche du terrain, y compris dans des contextes où l’accès au système du fournisseur est limité. Elle permet aussi d’industrialiser le traitement de volumes très importants, un point clé pour les grandes organisations qui doivent gérer des milliers de prestataires.
Prioriser, l’enjeu devenu central
La valeur de cette approche apparaît clairement dans un pilote mené auprès d’un grand groupe bancaire français. L’analyse croisée des documents, de la menace et des modèles financiers a permis d’identifier que « 61 % des fournisseurs non classés à haut risque auraient dû l’être ». Une donnée que la banque a ensuite validée manuellement, preuve que l’automatisation ne remplace pas l’expertise, mais l’oriente.
Pour les équipes achats comme pour les équipes cyber, cette capacité à trier, hiérarchiser et arbitrer devient stratégique. « La priorisation a été un game changer », conclut Marie Gisbert.
Le marché du TPRM entre ainsi dans une nouvelle phase : moins déclaratif, plus opérationnel, et surtout plus quantifié. Une évolution qui s’impose à mesure que la menace se déplace… et que la réglementation s’intensifie.
