La cybersécurité des fournisseurs, un point faible pour les RSSI

88 % des RSSI interrogés dans le cadre de l'Observatoire 2024 du Cesin sur le risque de cybersécurité lié aux fournisseurs le considère comme important voire très important. Manque de ressources et complexité d'engager les fournisseurs pour mieux gérer les cyber-risques sont mis en avant alors que le cadre réglementaire ne cesse de durcir.

Face au renforcement de la sécurité des systèmes d'information des entreprises, les pirates ont trouvé la parade : contourner la difficulté en s'attaquant à leurs fournisseurs dont les barrières de protection s'avèrent moins sophistiquées et plus poreuses. Une situation qui inquiète notamment les RSSI français comme le montre le dernier Observatoire 2024 - pas encore mis en ligne à l'écriture de cet article - du club des experts de la sécurité de l'information et du numérique (Cesin) avec Board of Cyber sur cette thématique. "La prise de conscience des enjeux du risque fournisseurs fait l’objet d’un large consensus dans les entreprises interrogées", peut-on lire dans le rapport. Ainsi, 88% des responsables de la sécurité des SI interrogés considèrent ce type de risque comme important voire très important, sans toutefois être considéré comme tel par les dirigeants d'entreprise car dans 45% des cas, il n'est pas suivi par le comité exécutif. "Dans les sociétés considérant ce risque comme « très important », 76 % le font suivre par le Comex", pointe toutefois le Cesin. Dans cette étude on apprend par ailleurs que dans 55% des entreprises, le pilotage du risque fournisseurs est centralisé (au niveau du siège par exemple), alors que 35% d’entre elles ont mis en place un pilotage hybride et que 10% privilégient une gestion décentralisée (au niveau de la business unit par exemple).

Le club s'est également intéressé aux difficultés rencontrées par les RSSI pour gérer les cyber-risques avec leurs fournisseurs et/ou partenaires. Arrive en tête le manque de ressources (73,2%), suivi par la complexité de les engager (64,3%), la difficulté d'embarquer les métiers (51,4%) ainsi que l'incapacité de certains fournisseurs à atteindre le niveau de sécurité demandé (48,5%). "La dimension juridique reste très (trop ?) présente dans les discussions avec nos partenaires", pointe notamment le CISO d'un groupe bancaire pour illustrer les difficultés rencontrées, tandis qu'un RSSI d'un groupe d'assurance pointe lui comme principale difficulté "l’absence d’un véritable référentiel de tous les tiers" et d'expliquer : " L’outil groupe ne concerne que les sous-traitants au sens de Solvability 2, mais ce n’est pas l’ensemble des tiers. L’autre difficulté réside dans la supervision régulière et la capacité à réaliser des audits."

Une gestion des risques impactée par les évolutions réglementaires

Une majorité de répondants (60%) indiquent que leur entreprise a mis en place un système de classification de leurs fournisseurs avec comme principaux points d'attention la criticité du service ou du produit fourni (57,4%), le niveau d'intégration au SI (51,4%), l'accès à des données personnelles (48,5%) et stratégiques (44,5%). De même, des dispositifs d'évaluation ont aussi été adoptés tel que des plans d'assurance sécurité (66,3%), des certifications (ISO 27001, SOC2...) (57,4%), ou encore des notations cyber (29,7%). "Le nouveau contexte réglementaire transforme totalement la gestion des risques liés aux fournisseurs et des risques cyber plus globalement", explique Frank van Caenegem, CISO EMEA de Schneider Electric et administrateur du Cesin.

"Nous sommes dans un moment clé qui implique de passer à l’échelle et donc d’amener les responsables IT à industrialiser leurs méthodes et leurs outils d’évaluation des fournisseurs." Le message va-t-il bien passer ? A ce jour, 53,4% des organisations interrogées indiquent que les nouvelles réglementations (NIS2, DORA...) vont les conduire à modifier dans les douze prochains mois leur approche de la gestion du risque fournisseurs. A voir maintenant si cette prise de conscience s'accélérera bien dans le temps.