La troisième édition de l’Observatoire des risques cyber liés aux fournisseurs (TPRM 2025) montre une professionnalisation rapide de la gestion du risque tiers. Les entreprises centralisent désormais leur pilotage et appellent à une mutualisation des évaluations pour gagner en efficacité.
Le risque fournisseurs devient un enjeu stratégique
Selon l’étude menée par le CESIN et Board of Cyber auprès de 171 organisations françaises et européennes, plus de 8 entreprises sur 10 considèrent désormais le risque fournisseurs comme important ou très important. Près de 60 % d’entre elles ont centralisé la gestion du risque au siège, traduisant une maturité nouvelle et une reconnaissance du sujet au plus haut niveau.
Les réglementations récentes (NIS2, DORA et CRA) concernent 84 % des répondants, accélérant la professionnalisation des pratiques et l’intégration du risque fournisseur dans la cartographie globale des menaces.
Une gouvernance élargie et transversale
Le pilotage du risque tiers n’est plus seulement du ressort du RSSI. 87 % des RSSI groupe restent impliqués mais la direction juridique (60 %) et les achats (60 %) s’affirment désormais comme acteurs clés, tandis que plus d’une entreprise sur deux (54 %) indique un suivi direct par la direction générale ou le Comex, et jusqu’à 82 % dans les secteurs bancaires et assurantiels. Ce glissement illustre une vision plus stratégique du risque cyber : un levier de gouvernance et de performance, et non plus un simple indicateur technique.
Mutualisation et automatisation en ligne de mire
Face à la complexité croissante des chaînes d’approvisionnement, 80 % des entreprises se disent prêtes à mutualiser leurs évaluations fournisseurs. Elles réclament pour cela un référentiel commun et un cadre de confiance partagé, reposant sur des évaluateurs légitimes. Plusieurs RSSI appellent à la création d’une plateforme universelle d’évaluation continue, fondée sur un cyberscore comparable au nutriscore. Les dirigeants cybersécurité insistent également sur la nécessité d’industrialiser et automatiser les processus grâce à des plateformes mutualisées et des outils de notation cyber.
