{"id":7208,"date":"2026-01-19T08:46:23","date_gmt":"2026-01-19T08:46:23","guid":{"rendered":"https:\/\/locaterisk.com\/?page_id=7208"},"modified":"2026-04-08T08:34:47","modified_gmt":"2026-04-08T08:34:47","slug":"case-study-lieferanten-cyberrisikomanagement-nach-nis-2-intelligent-umgesetzt","status":"publish","type":"page","link":"https:\/\/locaterisk.com\/fr\/case-study-lieferanten-cyberrisikomanagement-nach-nis-2-intelligent-umgesetzt\/","title":{"rendered":"\u00c9tude de cas : gestion des risques cybern\u00e9tiques des fournisseurs selon la norme NIS-2 mise en \u0153uvre de mani\u00e8re intelligente"},"content":{"rendered":"

Gestion des risques cybern\u00e9tiques des fournisseurs selon la norme NIS-2 mise en \u0153uvre de mani\u00e8re intelligente<\/h1>\n\n\n\n

Une entreprise industrielle internationale a collabor\u00e9 avec AON Cyber Advisory<\/a> transform\u00e9 sa gestion des cyber-risques - l'objectif \u00e9tant de mettre en place un processus \u00e9volutif, efficace et susceptible d'\u00eatre audit\u00e9 pour \u00e9valuer la cha\u00eene d'approvisionnement selon NIS-2<\/a> de s'\u00e9tablir.<\/strong><\/strong><\/p>\n\n\n

\n
\"Digitales<\/a><\/figure><\/div>\n\n\n


Avec plus de 1 500 collaborateurs et plusieurs sites dans l'UE, le fabricant est l'un des meilleurs fournisseurs de son secteur. Compte tenu des exigences r\u00e9glementaires croissantes et de l'interd\u00e9pendance croissante dans la cha\u00eene d'approvisionnement, il s'agissait de garantir une \u00e9valuation structur\u00e9e et compr\u00e9hensible de la s\u00e9curit\u00e9 informatique des fournisseurs. L'\u00e9valuation ne devait pas seulement cr\u00e9er de la transparence, mais aussi fournir une documentation v\u00e9rifiable qui puisse servir de preuve d'un syst\u00e8me de s\u00e9curit\u00e9 actif. Gestion des risques fournisseurs <\/a>est utilis\u00e9. Le processus a \u00e9t\u00e9 mis en place et suivi par l'\u00e9quipe d'experts d'AON, l'un des principaux fournisseurs de solutions cybern\u00e9tiques.<\/p>\n\n\n

D\u00e9fi : donn\u00e9es fragment\u00e9es, ressources limit\u00e9es<\/b><\/h3>\n

La situation est tout aussi stimulante pour toutes les entreprises concern\u00e9es par la NIS-2. Les diff\u00e9rents niveaux de maturit\u00e9 des fournisseurs et une compr\u00e9hension tr\u00e8s variable de la cybers\u00e9curit\u00e9 - souvent marqu\u00e9e par le secteur d'activit\u00e9 concern\u00e9 - rendent difficile une \u00e9valuation uniforme. \u00c0 cela s'ajoute le fait que l'on ne conna\u00eet souvent pas tous les acc\u00e8s qui comportent des risques potentiels. Les discussions individuelles atteignent ici rapidement leurs limites. Parall\u00e8lement, la pression augmente pour r\u00e9pondre aux exigences des parties prenantes internes et externes, telles que la direction, les auditeurs et les instances de r\u00e9gulation.<\/span><\/p>\n

En r\u00e9sum\u00e9, il manque une base de donn\u00e9es objective pour \u00e9valuer les cyber-risques dans la cha\u00eene d'approvisionnement. Les m\u00e9thodes existantes, telles que les entretiens ou les recherches manuelles, prennent beaucoup de temps et sont souvent limit\u00e9es dans leur pertinence. De plus, les ressources humaines disponibles sont insuffisantes pour une \u00e9valuation compl\u00e8te.\u00a0<\/span><\/p>\n

Court : <\/strong>Pour les entreprises ayant des centaines, voire des milliers de fournisseurs, il faut une m\u00e9thode d'\u00e9valuation compr\u00e9hensible, \u00e9volutive et efficace pour cr\u00e9er de la transparence et g\u00e9rer les risques de mani\u00e8re syst\u00e9matique. L'objectif du projet \u00e9tait donc d'introduire une proc\u00e9dure num\u00e9rique et \u00e9volutive qui soit \u00e0 la fois pratique et conforme aux r\u00e8gles.<\/p>\n\n\n

Solution : \u00e9valuation hybride avec une technologie intelligente<\/strong><\/strong><\/h3>\n\n\n\n

Proc\u00e9dure et points forts du projet<\/strong>
Afin d'\u00e9valuer les fournisseurs de mani\u00e8re uniforme et compr\u00e9hensible, un questionnaire standardis\u00e9 d'une trentaine de questions a \u00e9t\u00e9 d\u00e9velopp\u00e9, bas\u00e9 sur ISO 27001, NIST, C5 et IT-Grundschutz. L'\u00e9valuation globale a \u00e9t\u00e9 r\u00e9alis\u00e9e selon une proc\u00e9dure hybride : par le biais du questionnaire num\u00e9rique d'auto-\u00e9valuation, d'un scan de vuln\u00e9rabilit\u00e9 automatis\u00e9 et non invasif de la surface d'attaque externe et sur la base de l'\u00e9valuation technique des experts d'AON Cyber Advisory. Ces derniers se sont \u00e9galement charg\u00e9s de la communication avec les fournisseurs, ont analys\u00e9 les donn\u00e9es re\u00e7ues et ont pr\u00e9par\u00e9 les r\u00e9sultats de mani\u00e8re structur\u00e9e pour le reporting interne.<\/p>\n\n\n\n

La plate-forme de LocateRisk a constitu\u00e9 la base technologique du projet. Elle permet aux organisations de valider, de surveiller et de comparer efficacement la situation de leurs fournisseurs et prestataires de services en mati\u00e8re de s\u00e9curit\u00e9 informatique. La combinaison d'analyses de risques automatis\u00e9es, de questionnaires de conformit\u00e9 num\u00e9riques et de puissantes fonctions de comparaison et de gestion rend la gestion des risques fournisseurs efficace, transparente et \u00e9volutive. En savoir plus sur la cartographie de la conformit\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9<\/a><\/p>\n\n\n\n

Le tableau de bord des performances est un \u00e9l\u00e9ment central,<\/strong> qui permet de visualiser clairement toutes les informations relatives \u00e0 la s\u00e9curit\u00e9 - comme la criticit\u00e9, le score de risque informatique, le statut de conformit\u00e9 et les changements actuels. Cela permet d'identifier \u00e0 temps les risques potentiels li\u00e9s \u00e0 des tiers et de les adresser de mani\u00e8re cibl\u00e9e.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n

\u201eM\u00eame notre auditeur a express\u00e9ment lou\u00e9 la d\u00e9marche et soulign\u00e9 qu'il souhaitait que d'autres entreprises proc\u00e8dent de mani\u00e8re aussi structur\u00e9e\u201c.\u201c<\/strong>, Le fabricant insiste sur ce point.<\/p>\n\n\n\n

Des enseignements importants, mais aussi des obstacles au cours du projet<\/strong>
Certains fournisseurs ont d\u00fb \u00eatre motiv\u00e9s et convaincus de mani\u00e8re cibl\u00e9e afin d'obtenir une participation active. La majorit\u00e9 d'entre eux - environ 60 \u00e0 70 % - se sont montr\u00e9s coop\u00e9ratifs et ont mis en \u0153uvre les exigences de bonne gr\u00e2ce. Une petite partie des fournisseurs \u00e9tait initialement sceptique quant \u00e0 l'implication d'un tiers externe. Dans ces cas, des assurances sp\u00e9cifiques ont \u00e9t\u00e9 n\u00e9cessaires pour confirmer la participation.<\/p>\n\n\n\n

Certains fournisseurs craignaient que l'analyse non invasive utilis\u00e9e ne s'introduise dans les syst\u00e8mes internes. Mais comme il s'agit exclusivement d'analyses de s\u00e9curit\u00e9 informatique externes, qui ne franchissent aucun obstacle \u00e0 l'acc\u00e8s, les r\u00e9serves ont \u00e9t\u00e9 rapidement lev\u00e9es. Enfin, certains fournisseurs ont refus\u00e9 de participer, soit parce qu'ils craignaient que leur situation en mati\u00e8re de cybers\u00e9curit\u00e9 ne soit r\u00e9v\u00e9l\u00e9e, soit en raison de leurs directives internes. Ces entreprises ont d\u00fb \u00eatre class\u00e9es comme risque critique par la suite, ind\u00e9pendamment de leur situation r\u00e9elle en mati\u00e8re de s\u00e9curit\u00e9 informatique.<\/p>\n\n\n\n

Un d\u00e9veloppement int\u00e9ressant en marge :<\/strong> Un fournisseur, d'abord sceptique, a d\u00e9cid\u00e9 apr\u00e8s le projet d'utiliser lui-m\u00eame \u00e0 l'avenir la proc\u00e9dure automatis\u00e9e pour \u00e9valuer sa propre cha\u00eene d'approvisionnement - en pr\u00e9paration de sa propre strat\u00e9gie NIS 2.<\/p>\n\n\n\n

Efficacit\u00e9, transparence et tra\u00e7abilit\u00e9 - les points forts du projet<\/strong>
<\/strong>Le projet a convaincu par son efficacit\u00e9 exceptionnellement \u00e9lev\u00e9e : <\/strong>En l'espace de dix semaines seulement, 50 fournisseurs ont pu \u00eatre \u00e9valu\u00e9s de mani\u00e8re syst\u00e9matique. Le temps moyen d'auto-\u00e9valuation via le questionnaire num\u00e9rique \u00e9tait de moins de 30 minutes par fournisseur.<\/p>\n\n\n\n

Un rapport global complet a \u00e9t\u00e9 r\u00e9dig\u00e9 pour le fabricant, regroupant toutes les connaissances pertinentes sur la situation des fournisseurs en mati\u00e8re de cybers\u00e9curit\u00e9. Il contenait des recommandations claires sur les actions \u00e0 entreprendre en priorit\u00e9, par exemple sur les fournisseurs avec lesquels il convient d'approfondir les discussions \u00e0 court terme. Les fournisseurs eux-m\u00eames en ont profit\u00e9 : chaque entreprise a re\u00e7u une \u00e9valuation individuelle avec des r\u00e9sultats personnels et des recommandations concr\u00e8tes d'am\u00e9lioration.<\/p>\n\n\n\n

\n
\n\n \"LocateRisk\n <\/a>\n
Le rapport de gestion LocateRisk fournit au niveau de la direction un aper\u00e7u facilement compr\u00e9hensible de la situation en mati\u00e8re de s\u00e9curit\u00e9 informatique.<\/figcaption>\n<\/figure>\n<\/div>\n\n\n\n

Les r\u00e9sultats ont \u00e9t\u00e9 pr\u00e9sent\u00e9s de mani\u00e8re visuelle - sous forme de graphiques clairs et d'une matrice permettant d'\u00e9valuer et de comparer rapidement la situation en mati\u00e8re de s\u00e9curit\u00e9 informatique. Il en est r\u00e9sult\u00e9 une image claire du niveau de s\u00e9curit\u00e9 informatique des fournisseurs \u00e9valu\u00e9s. <\/p>\n\n\n\n

Particuli\u00e8rement pertinent en ce qui concerne la pr\u00e9vention des risques :<\/strong> L'\u00e9valuation a permis d'identifier les fournisseurs dont l'acc\u00e8s au syst\u00e8me pr\u00e9sentait un risque accru. Dans ces cas, des entretiens cibl\u00e9s ont \u00e9t\u00e9 men\u00e9s avec les personnes responsables et les droits d'acc\u00e8s ont \u00e9t\u00e9 limit\u00e9s jusqu'\u00e0 ce qu'un niveau de s\u00e9curit\u00e9 informatique plus \u00e9lev\u00e9 ait pu \u00eatre d\u00e9montr\u00e9. En savoir plus sur l'analyse des risques informatiques<\/a><\/p>\n\n\n\n

R\u00e9sultats et valeur ajout\u00e9e<\/strong><\/h3>\n\n\n
\n