Français
Se connecter
Demander une démo

Cybersécurité des tiers : qui doit piloter (DSI, RSSI, Achats ou Conformité) ?

Gouvernance cybersécurité des tiers : équipe Achats, DSI, RSSI et Conformité dans un pavillon vitré en lisière de forêt, avec interface futuriste de pilotage TPRM affichant une matrice criticité/exposition.

L’évaluation de la maturité cybersécurité des tiers : un sujet sans propriétaire évident

Les incidents cyber impliquant des tiers se multiplient : prestataires IT compromis, éditeurs SaaS vulnérables, sous-traitants exposant des données sensibles, partenaires attaqués servant de point d’entrée vers les systèmes internes. Dans la majorité des cas, l’entreprise donneuse d’ordre n’est pas directement à l’origine de la faille, mais elle en subit pleinement les conséquences opérationnelles, réglementaires et réputationnelles.

Face à cette réalité, une question revient systématiquement au sein des organisations : qui doit piloter la cybersécurité des tiers ?

La DSI pour les aspects techniques ? Le RSSI pour la gestion du risque cyber ? Les Achats, propriétaires de la relation fournisseur ? Ou la Conformité, garante du respect des exigences réglementaires ?

Cette hésitation révèle une réalité plus profonde : la cybersécurité des tiers est un risque transverse, qui ne peut être efficacement piloté par une seule fonction.

Pourquoi la cybersécurité des tiers ne peut pas être un sujet “mono-métier”

Contrairement à la cybersécurité interne, la cybersécurité des tiers ne repose pas uniquement sur des contrôles techniques. Elle implique :

  • des choix de fournisseurs et des décisions de sourcing
  • des engagements contractuels et des exigences de conformité
  • une évaluation continue du risque dans le temps
  • des arbitrages entre acceptation, réduction ou transfert du risque

Autrement dit, elle se situe au croisement de la technologie, du métier, du juridique et de la gouvernance. La traiter comme un simple sujet IT conduit mécaniquement à des angles morts, tout comme la confier uniquement aux Achats ou à la Conformité limite sa portée opérationnelle.

C’est précisément pour cette raison que la cybersécurité des tiers s’inscrit aujourd’hui au cœur des démarches de TPRM (Third Party Risk Management) et, plus largement, de TPGRC (Third Party Governance, Risk & Compliance).

Le rôle de chaque fonction : forces et limites

La DSI : la maîtrise technique, mais une vision partielle du risque

La DSI dispose d’une expertise essentielle sur les architectures, les flux, les interconnexions et les accès aux systèmes d’information. Elle est souvent en première ligne pour évaluer les impacts techniques d’un incident cyber impliquant un tiers.

Cependant, la DSI intervient généralement après le choix du fournisseur, avec une capacité limitée à influencer le sourcing ou les exigences contractuelles. De plus, son approche reste centrée sur l’infrastructure et les outils, sans toujours intégrer la criticité métier ou réglementaire du tiers.

La DSI est donc un acteur clé, mais elle ne peut être le pilote unique.

Le RSSI : le pilote naturel du risque cyber… mais pas du tiers

Le RSSI est, par définition, responsable de la gestion du risque cyber global. Il dispose des méthodes, des référentiels et des indicateurs nécessaires pour évaluer la maturité de sécurité des tiers, définir des exigences et interpréter des scores de cyber risque.

Toutefois, le RSSI ne porte généralement ni la relation contractuelle, ni la gouvernance fournisseur. Il peut identifier un risque, mais pas toujours décider du maintien, du remplacement ou de la renégociation d’un fournisseur.

Le RSSI est donc le référent du risque cyber, mais pas le seul décideur dans la relation tiers.

Les Achats : propriétaires de la relation fournisseur, mais pas du risque cyber

Les équipes Achats jouent un rôle central dans la sélection, l’onboarding et le pilotage des fournisseurs. Elles sont souvent les premières à détecter des signaux faibles : difficultés opérationnelles, dépendances excessives, tensions contractuelles.

Cependant, les Achats ne disposent pas toujours des compétences techniques nécessaires pour évaluer la cybersécurité d’un tiers, ni des outils pour suivre l’évolution du risque dans le temps. Sans cadre structuré, la cybersécurité peut alors être réduite à un simple questionnaire déclaratif lors du référencement.

Les Achats sont donc indispensables, mais ne peuvent piloter seuls la cybersécurité des tiers.

La Conformité : garante du cadre, mais pas de l’opérationnel

La fonction Conformité intervient pour s’assurer du respect des obligations réglementaires : RGPD, NIS2, DORA, devoir de vigilance, exigences sectorielles. Elle apporte une vision structurante et une capacité à formaliser les exigences et les contrôles.

En revanche, la Conformité n’est pas positionnée pour suivre des indicateurs cyber en continu, ni pour gérer des incidents ou arbitrer des choix opérationnels. Son rôle est essentiel, mais complémentaire.

Alors, qui doit piloter ?

La réponse courte : personne seul

La réponse mature : une gouvernance TPRM transverse

La cybersécurité des tiers ne doit pas être pilotée par une fonction unique, mais par un dispositif de gouvernance transverse, structuré autour du TPRM.

Dans ce modèle :

  • le RSSI définit les exigences cyber, les indicateurs et les seuils d’alerte
  • la DSI apporte l’expertise technique et évalue les impacts sur le SI
  • les Achats pilotent la relation fournisseur, les arbitrages et les plans d’action
  • la Conformité sécurise le cadre réglementaire et contractuel

Le pilotage ne repose plus sur une personne, mais sur un processus partagé, outillé et tracé.

Le rôle clé d’une plateforme TPRM

Sans outillage, cette gouvernance transverse reste théorique. Une plateforme TPRM permet de :

  • centraliser les évaluations cyber des tiers
  • objectiver le risque via des scores de cyber risque dynamiques
  • relier l’exposition cyber à la criticité métier du fournisseur
  • automatiser les alertes, les escalades et les plans de remédiation
  • offrir des niveaux de lecture adaptés à chaque fonction

La plateforme devient le point de convergence entre IT, sécurité, achats et conformité, transformant un sujet fragmenté en pilotage structuré.

De la question du “qui” à la question du “comment”

La vraie question n’est donc pas qui doit piloter la cybersécurité des tiers, mais comment organiser un pilotage efficace, transverse et durable.

Les organisations les plus matures ont déjà franchi ce cap : elles ont cessé d’opposer les fonctions pour construire une gouvernance commune, fondée sur des indicateurs partagés, des responsabilités claires et des décisions éclairées.

Conclusion – La cybersécurité des tiers comme enjeu de gouvernance

La cybersécurité des tiers n’est ni un sujet purement IT, ni un sujet uniquement achats ou conformité. C’est un enjeu de gouvernance, au croisement du risque, du métier et de la stratégie.

En l’inscrivant dans une démarche TPRM structurée, les organisations passent d’une logique de silos à une logique de pilotage collectif. C’est à cette condition que la cybersécurité des tiers cesse d’être subie pour devenir un levier de résilience et de maîtrise durable du risque.

Passez à une gestion proactive dès aujourd’hui !

Avec Aprovall360, bénéficiez d’une solution intuitive et puissante, adaptée aux exigences des secteurs les plus réglementés. Ne subissez plus les risques : anticipez-les, mesurez-les et pilotez-les en toute confiance.

Réservez une démo

Ces articles pourraient vous intéresser