Stratégie

La supply chain logicielle, un point faible qui inquiète les RSSI

---

Près de 9 RSSI sur 10 s'inquiètent des risques liés à la sécurité de leurs fournisseurs, selon une étude du Cesin. Un travail de fond semble indispensable pour se conformer aux nouvelles exigences réglementaires en la matière.

PublicitéPour contourner la sécurité des systèmes d'information des entreprises, les pirates ont trouvé la parade : s'attaquer à leurs fournisseurs dont les barrières de protection s'avèrent moins sophistiquées et plus poreuses. Une situation qui inquiète les RSSI français, mais aussi le régulateur qui s'attaque au problème au travers de réglementations comme NIS2. Le dernier Observatoire 2024 du club des experts de la sécurité de l'information et du numérique (Cesin), associé à Board of Cyber, se penche logiquement sur cette thématique.

« La prise de conscience des enjeux du risque fournisseurs fait l'objet d'un large consensus dans les entreprises interrogées », peut-on lire dans le rapport. Ainsi, 88% des responsables de la sécurité des SI interrogés considèrent ce type de risque comme important, voire très important, sans toutefois être considéré comme tel par les dirigeants d'entreprise. Dans 45% des cas, il n'est ainsi pas suivi par le comité exécutif. « Dans les sociétés considérant ce risque comme 'très important', 76% le font suivre par le Comex », pointe toutefois le Cesin. Dans cette étude on apprend par ailleurs que, dans 55% des entreprises, le pilotage du risque fournisseur est centralisé (au niveau du siège, par exemple), alors que 35% d'entre elles ont mis en place un pilotage hybride et que 10% privilégient une gestion décentralisée (au niveau de la business unit par exemple).

Une discussion trop centrée sur le juridique

Le club s'est également intéressé aux difficultés rencontrées par les RSSI pour gérer les cyberrisques avec leurs fournisseurs et/ou partenaires. Arrive en tête le manque de ressources (73,2%), suivi par la complexité d'impliquer ces tiers sur ce sujet (64%), la difficulté d'embarquer les métiers (51%) ainsi que par l'incapacité de certains fournisseurs à atteindre le niveau de sécurité demandé (48%).

« La dimension juridique reste très (trop ?) présente dans les discussions avec nos partenaires », pointe notamment le CISO d'un groupe bancaire pour illustrer les difficultés rencontrées, tandis qu'un RSSI d'un groupe d'assurance souligne, lui, « l'absence d'un véritable référentiel de tous les tiers ». Et d'expliquer : « l'outil groupe ne concerne que les sous-traitants au sens de Solvability 2, mais ce n'est pas l'ensemble des tiers. L'autre difficulté réside dans la supervision régulière et la capacité à réaliser des audits. »

Accélération imposée par la réglementation

Une majorité de répondants (60%) indiquent que leur entreprise a mis en place un système de classification de leurs fournisseurs avec comme principaux points d'attention la criticité du service ou du produit fourni (57%), le niveau d'intégration au SI (51%), l'accès à des données personnelles (48%) et stratégiques (44%). De même, des dispositifs d'évaluation ont aussi été adoptés, tel que des plans d'assurance sécurité (66%), des certifications (ISO 27001, SOC2...) (57%), ou encore des notations cyber (30%). « Le nouveau contexte réglementaire transforme totalement la gestion des risques liés aux fournisseurs et celle des risques cyber plus globalement », explique Frank van Caenegem, CISO EMEA de Schneider Electric et administrateur du Cesin.

Publicité« Nous sommes dans un moment clé qui implique de passer à l'échelle et donc d'amener les responsables IT à industrialiser leurs méthodes et leurs outils d'évaluation des fournisseurs. » Un message reçu ? À ce jour, 53% des organisations interrogées indiquent que les nouvelles réglementations (NIS2, DORA...) vont les conduire à modifier dans les douze prochains mois leur approche de la gestion du risque fournisseur.

Article rédigé par

Dominique Filippone, Chef des actualités LMI

Partager cet article