De nouvelles réglementations imposent aux entreprises une attention accrue sur les risques cyber de leurs fournisseurs. Si les acteurs de l’assurance ont pris conscience des nouveaux enjeux, des obstacles demeurent pour satisfaire aux nouvelles exigences sans exploser les budgets informatiques.
Le risque cyber ressemble à celui que tout automobiliste connaît. Sur la route, on fait attention à sa conduite, mais aussi à celle des autres. En matière cyber, c’est la même chose. Si un de vos fournisseurs ne résiste pas à une attaque, vous avez de grandes chances, s’il se trouve dans votre système d’information et si vous n’endiguez pas l’attaque, que la compromission de données ou d’identité, se propage à votre entreprise. Bref, la sécurité informatique, c’est l’affaire de tous. Il semblerait d’ailleurs que la grande majorité des entreprises en ait conscience puisque selon le rapport « Le risque cyber lié aux fournisseurs », réalisé conjointement par le Club des experts de la sécurité de l’information et du numérique (Cesin) et Board of Cyber, une entreprise de cybersécurité et de cyber rating, 88 % des 101 entreprises interrogées considèrent le risque cyber des fournisseurs comme « très important » ou « important ». Seules 11 % d’entre elles le considèrent comme « peu important » et une seule entreprise le qualifie de « pas du tout important ».
La conscience du risque
Mais ce n’est pas parce qu’on a conscience d’un danger que l’on fait tout pour y échapper. Toujours selon le rapport, seulement 33,6 % des entreprises impliquent l’ensemble de leurs fournisseurs dans le processus d’évaluation. Moins de 20 fournisseurs sont évalués au moins une fois par an dans 42,5 % des cas, entre 21 et 50 dans 23,7 % des entreprises, entre 51 et 100 dans 20,7 %. Dans près d’une entreprise sur dix, cette évaluation s’applique à plus de 251 fournisseurs.
