En cliquant sur "Accepter tous les cookies", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de contribuer à nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

Préférences
RefuserAccepter
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
icone fleche gauche
Retour
Conformité

Gestion des risques liés aux tiers : un enjeu majeur à l’ère de la réglementation NIS 2

Comment anticiper, évaluer et maîtriser les risques cyber de vos partenaires pour rester conforme et résilient face à NIS 2

À l’heure où la chaîne d’approvisionnement numérique est devenue l’un des vecteurs d’attaque privilégiés par les cybercriminels, les fournisseurs, partenaires ou sous-traitants, bien qu’externes à l’organisation, ont souvent accès à des systèmes critiques ou à des données sensibles. C’est dans ce contexte que le Third Party Cyber Risk Management (gestion des risques cyber liés aux tiers) s’impose comme une démarche incontournable, tant pour réduire la surface d’attaque que pour répondre aux nouvelles exigences réglementaires européennes comme NIS 2.

Ce rapport propose un tour d’horizon du sujet, avant de détailler les obligations induites par NIS 2, puis mentionne Egerie comme une solution recommandée.

1. Third Party Cyber Risk Management : état des lieux, chiffres clés et cadres réglementaires

Le Third Party Cyber Risk Management (TPCRM) consiste à identifier, évaluer et gérer les risques de cybersécurité associés aux parties externes ayant un lien avec l’organisation. Cela inclut les fournisseurs informatiques, prestataires cloud, sous-traitants de maintenance, consultants ou encore tout acteur ayant accès au système d’information ou aux données.

Quelques chiffres marquants :

  • Cette année, Gartner® estime qu’environ 45% des organisations dans le monde auront subi des cyberattaques sur leurs chaînes d’approvisionnement en logiciels (soit une augmentation de +300% depuis 2021).
  • 81% des responsables de la cybersécurité estiment que la sécurité de la chaîne d'approvisionnement est une priorité absolue (source : Gitnux)
  • Le coût moyen d'une attaque de la chaîne d'approvisionnement en 2023 est estimé à 4,3 millions de dollars (source : Gitnux)

Référentiels et réglementations

Souvent recommandé mais de plus en plus obligatoire, le Third Party Cyber Risk Management est un sujet désormais abordé dans de nombreux cadres réglementaires et normatifs.

Parmi les plus populaires, on retrouve : ISO/IEC 27001, NIST Cybersecurity Framework, DORA (Digital Operational Resilience Act), PCI DSS v4.0, SOC 2, RGPD et bien évidemment NIS 2 qui élargit les obligations à de nombreux secteurs critiques et introduit un contrôle accru des tiers.

Forme

2. NIS2 et la gestion des risques cyber liés aux tiers : de nouvelles obligations

Prolongement de la directive NIS de 2016, NIS2 entre progressivement en vigueur dans les différents États membres de l’Union Européenne en apportant un élargissement du périmètre des organisations concernées et des exigences plus strictes.

Elle s’applique à un grand nombre d’entités essentielles ou importantes dans des secteurs comme la santé, l’énergie, les transports, les services numériques, les infrastructures critiques, etc.

Parmi les mesures de sécurité exigées, la gestion des relations avec les fournisseurs figure en bonne place :

Article 21 : "Les entités doivent mettre en œuvre des politiques de sécurité applicables aux relations avec les fournisseurs ou prestataires de services."

Cela amènera à la réalisation d’actions très concrètes comme devoir :

  • Cartographier ses tiers et les dépendances critiques
  • Analyser les risques cyber associés à ces relations
  • Intégrer des clauses de sécurité dans les contrats fournisseurs
  • Contrôler en continu la sécurité des tiers (audits, évaluations, questionnaires…).
  • Documenter et tracer les mesures mises en place.

En cas de non-respect de ces obligations, les organisations concernées s’exposent à des sanctions significatives (jusqu’à 10 M€ ou 2 % du CA mondial, selon les cas).

3. Comment la plateforme Egerie aide à répondre aux exigences de Third Party Cyber Risk Management dans le cadre de NIS 2

Mentionné dans le Market Guide for Third-Party Risk Management (TPRM) 2025 (1) publié par Gartner®, nous estimons que plateforme Egerie est conçue pour vous accompagner dans la mise en conformité NIS2, en adressant également les enjeux de gestion des risques cyber liés aux tiers. En synthèse, voici comment notre solution pourrait vous aider :

Cartographie et gestion des fournisseurs

  • Interface intuitive pour recenser et catégoriser l’ensemble de vos fournisseurs et partenaires selon leur niveau de criticité (faible, moyenne ou haute)
  • Création d’organisations et de sous-organisations pour classer vos tiers

Évaluation des risques cyber et questionnaires

  • Méthodes d’évaluation des risques basées sur des modèles standards et reconnus (ISO 27005 et EBIOS RM)
  • Fonctionnalité de questionnaires personnalisables de cybersécurité envoyés automatiquement à vos tiers

Hébergements des preuves

  • Possibilité de rattacher des documents et preuves aux mesures de sécurité directement dans l’interface des mesures d’un module (conformité ou analyse de risques)
  • En cas d’audit interne ou externe, justifiez vos actions et celles de vos tiers rapidement sans avoir à quitter votre plateforme Egerie

Suivi continu et reporting

  • Dashboards de pilotage pour suivre l’évolution des risques fournisseurs dans le temps
  • Génération de rapports NIS 2 pour les audits internes ou les organismes de contrôle

Conclusion

La cybersécurité ne se limite plus à ce qui se passe à l’intérieur de votre entreprise. À l’ère des écosystèmes interconnectés et de la réglementation renforcée avec NIS 2, la gestion des risques liés aux tiers devient une obligation stratégique et réglementaire. En structurant votre démarche TPCRM et en vous appuyant sur des outils adaptés comme la plateforme Egerie, votre organisation peut répondre efficacement à ces nouvelles exigences, tout en renforçant durablement sa résilience.

(1)

Gartner, Inc. Market Guide for Third-Party Risk Management Technology Solutions. Antonia Donaldson, Luke Ellery, etl. 5 May 2025.

Gartner is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Articles

Vous allez aimer ces autres articles

TISAX® : tout comprendre du label sécurité de l’information pour l’automobile
Découvrez les exigences, étapes et bonnes pratiques pour obtenir le label TISAX, devenu incontournable dans la filière automobile.
Conformité
Découvir
Règlement DORA : tout savoir pour une conformité efficace
Découvrez le règlement DORA, applicable depuis 2025 : enjeux, obligations clés, gestion des prestataires TIC et solutions pour assurer votre conformité.
Conformité
Découvir
Gestion des risques liés aux tiers : un enjeu majeur à l’ère de la réglementation NIS 2
Comment anticiper, évaluer et maîtriser les risques cyber de vos partenaires pour rester conforme et résilient face à NIS 2
Conformité
Découvir
icone fleche gauche
icone fleche droite
Découvrez notre plateforme

Moins de complexité, plus d’impact.
On vous montre comment.

Demander une démo