Logo Galink

Solution

Partenaires

Ressources

A propos

Log in

Essayez gratuitement

Galink la solution de TPRM n°1

Essayez

‹ Return to blog

Du CISO au COMEX : faire du risque fournisseurs une priorité

6 oct. 2025

CISO, Fournisseur, Galink
CISO, Fournisseur, Galink

À l’occasion du Vendor Cyber Risk Summit organisé par Galink et d’une table ronde animée par Leslie Fornero, animatrice du podcast Le Monde de la Cyber, deux experts de la cybersécurité ont partagé leurs expériences sur un sujet devenu critique : le risque cyber lié aux fournisseurs.

Autour de la table :

  • Odile Duthil, directrice cybersécurité du Groupe Caisse des Dépôts et présidente du CUSIF

  • Jérémy Couture, CISO de la Française des Jeux (FDJ)

Ensemble, ils ont exploré comment sensibiliser les directions générales à ce risque grandissant, et comment le transformer en priorité stratégique d’entreprise.

Pour voir le replay en entier

45 % des entreprises déjà touchées par une attaque fournisseur

Dès le début, un sondage mené auprès du public a donné le ton : près d’une entreprise sur deux (45 %) a déjà été impactée par une cyberattaque liée à un fournisseur. Un chiffre que Jérémie Couture juge représentatif de la réalité terrain : 98 des 100 plus grandes entreprises françaises ont déjà subi une violation via un tiers.

Odile Dil complète : les attaques via la supply chain représentent aujourd’hui près des deux tiers des cyberincidents observés. Dans le secteur bancaire notamment, les attaques indirectes — comme celle de Harvest, un fournisseur de fournisseurs — ont démontré que même les acteurs les plus protégés ne sont pas à l’abri.

La réglementation, levier d’action et d’alignement avec le COMEX

Pour Odile, la réglementation DORA (Digital Operational Resilience Act), applicable en 2026, constitue un accélérateur de prise de conscience : le régulateur aide à aborder le sujet au COMEX. Mais au-delà du cadre, il s’agit de comprendre que le maillon faible se trouve souvent chez le fournisseur du fournisseur du fournisseur.

À la Caisse des Dépôts, l’approche est top‑down : identification des fonctions critiques, cartographie des processus, puis descente jusqu’aux applications et prestataires concernés. Le CEX valide les fonctions critiques et les processus vitaux, tandis que les équipes opérationnelles pilotent le risque au quotidien.

Du côté de la FDJ, la norme ISO 27001 joue un rôle similaire : les revues de direction permettent d’aborder le risque fournisseur en parlant de ce que tout le monde comprend, les impacts réels sur le business.

Parler le langage du COMEX : de la cyber à l’impact business

Un message clé ressort de la discussion : pour convaincre le COMEX, il faut parler d’impact, pas de technique.

Quand on parle d’impact, tout le monde comprend — les métiers, les achats, la direction. La FDJ travaille d’ailleurs sur une quantification du risque fournisseur, traduite en scénarios financiers. Dire qu’il y a une fuite de données ne suffit pas ; ce qui compte, c’est ce que ces données permettent de faire. Peut-on encore faire confiance à nos interlocuteurs ? C’est cette perte de confiance qui coûte cher.

Méthodologie : prioriser, contractualiser, auditer

Odile et Jérémy partagent une conviction commune : il est impossible d’auditer tous ses fournisseurs, il faut prioriser.

  • À la Caisse des Dépôts, un plan pluriannuel de mise en conformité est en place. Les contrats sont renégociés progressivement avec de nouvelles clauses de cybersécurité (sauvegardes, reprise d’activité, tests, etc.).

  • À la FDJ, une approche pyramidale cible une vingtaine de fournisseurs critiques, audités régulièrement selon des critères précis : dépendance, maturité, confiance et exposition.

L’essentiel est d’être lucide sur la capacité à faire : mieux vaut bien auditer quelques partenaires critiques que survoler des centaines de contrats.

Crises et exercices : la pédagogie par la simulation

Autre levier d’adhésion du COMEX : les exercices de crise. À la Caisse des Dépôts, le premier a été organisé à la demande du directeur général, soucieux de savoir quoi faire en cas d’incident. Depuis, ces exercices sont devenus réguliers. Ils permettent aux dirigeants de se projeter, de mesurer l’impact réel sur l’activité et de comprendre que le risque cyber est un risque business.

Un suivi continu et des échanges réguliers

Chaque année, les deux organisations présentent leurs cartographies de risques et les plans d’action associés aux comités d’audit et de direction. À la Caisse des Dépôts, ces éléments sont également partagés avec la Commission de surveillance, composée de parlementaires, preuve que la cybersécurité est devenue un sujet de gouvernance.

Conseils aux CISO pour embarquer leur COMEX

En conclusion, quelques conseils concrets à retenir :

  • Vulgariser la menace et la relier à l’actualité pour ancrer le sujet dans le réel.

  • Parler d’impact, pas de technique : quantifier, illustrer, raconter des scénarios de risque.

  • Adopter une approche transversale en impliquant achats, juridique, métiers et DSI.

  • Accepter le risque résiduel et penser résilience plutôt que perfection.

La cybersécurité n’est plus seulement l’affaire du CISO : c’est celle de toute l’entreprise.

En bref

Faire du risque fournisseurs une priorité d’entreprise, c’est comprendre qu’il s’agit d’un risque systémique et non uniquement technique, le porter au COMEX avec des arguments business, outiller, prioriser et contractualiser la gestion du risque, et surtout embarquer toutes les fonctions de l’entreprise dans une démarche de résilience collective.

<5 conseils concrets pour gérer efficacement le risque fournisseur

Galink est désormais certifié ISO 27001 🎉>