Logo Galink

Solution

Partenaires

Ressources

A propos

Log in

Essayez gratuitement

Galink la solution de TPRM n°1

Essayez

‹ Return to blog

IA, Agent.. a quoi ressemblera la gestion de ce risque en 2030 ?

6 oct. 2025

Galink, Vendor Risk
Galink, Vendor Risk

Retour sur la table ronde du Vendor Cyber Risk Summit – animée par Mathieu de Galink, avec Ayoub Fandi et Laurent Hausermann

Alors que la gestion du risque fournisseur devient un enjeu critique pour les directions cybersécurité et conformité, l’intelligence artificielle (IA) s’impose comme un levier de transformation majeur. Lors du Vendor Cyber Risk Summit, organisé par GalinkMathieu a animé une table ronde passionnante avec deux experts complémentaires :

  • Ayoub Fandi, fondateur du mouvement GRC Engineering et responsable des automatisations GRC chez GitLab,

  • Laurent Hausermann, serial entrepreneur et cofondateur de Cygo Entrepreneur, un startup studio spécialisé dans la cybersécurité.

Ensemble, ils ont partagé leur vision d’un futur — déjà en marche — où l’IA devient le moteur de l’efficacité et de la résilience dans la gestion des risques fournisseurs (TPRM).

Découvrez le webinar en entier ici

L’IA dans la gestion du risque fournisseur : une révolution déjà en cours

Dès les premières minutes, un sondage auprès des participants a révélé un constat surprenant : près de 40 % des organisations n’ont jamais utilisé l’IA dans leur processus de gestion des risques.
Et pourtant, les cas d’usage sont nombreux — et concrets.

Ayoub a illustré comment GitLab utilise déjà l’IA pour automatiser la revue documentaire, véritable goulet d’étranglement du TPRM.

“Un rapport SOC 2, c’est entre 50 et 300 pages. L’IA nous permet d’en extraire automatiquement les 60 à 70 lignes qui comptent vraiment pour nos contrôles.”

Grâce à l’analyse automatique des rapports, des questionnaires et des tests de sécurité, son équipe a pu bâtir de véritables “cartes d’identité” fournisseurs, combinant résultats d’audit, exceptions et vulnérabilités non corrigées.
Résultat : un gain de temps considérable et une capacité à traiter plusieurs centaines de fournisseurs avec la même équipe.

Pour les ETI, l’IA devient un accélérateur indispensable

Laurent a apporté une perspective terrain : celle des ETI, ces entreprises entre 500 et 5 000 salariés souvent dépourvues de moyens humains dédiés à la cybersécurité.

“En dessous de 1 500 personnes, il n’y a souvent pas de RSSI à temps plein. Les équipes courent entre plusieurs missions et manquent de ressources pour répondre aux exigences des grands donneurs d’ordre.”

Là encore, l’IA peut faire la différence.
Laurent cite l’exemple de PME ayant mis des semaines à réconcilier manuellement les données RH et IT pour identifier les comptes dormants — un travail qu’un agent d’IA pourrait automatiser en quelques heures.

“L’IA permet de compenser le manque de bras et de temps. C’est la seule voie réaliste pour amener les ETI au niveau de maturité cyber attendu.”

De la génération de rapports à l’action autonome

Les deux experts s’accordent : nous ne sommes qu’au début.
Aujourd’hui, l’IA aide à agréger et résumer des données ; demain, elle agira.

“L’étape suivante, c’est de déléguer des actions à des agents IA”, explique Laurent.
“Comme les solutions anti-spam à leurs débuts, on hésite à leur faire confiance, mais demain, ce sera impensable de faire sans.”

Ayoub confirme cette vision avec des chiffres concrets :

“Chez nous, une IA analyse 700 pages en 75 secondes. Multipliez ça par 2 000 fournisseurs : le gain de productivité est colossal.”

Et demain ? Vers le TPRM en autopilote

Si 2030 semble loin, l’avenir du TPRM s’écrit déjà.
Les experts imaginent un processus presque entièrement automatisé :

  • L’IA scanne le “trust center” d’un fournisseur,

  • Analyse son périmètre d’exposition et son historique d’incidents,

  • Évalue les mentions du fournisseur dans les outils internes (Slack, tickets, etc.) pour détecter les signaux faibles,

  • Et attribue une note de risque contextualisée et dynamique.

“On ne se contentera plus d’un questionnaire statique : on aura une évaluation en temps réel, basée sur des données concrètes et des analyses croisées”, prédit Ayoub.

Laurent ajoute que les progrès des petits modèles open source (SLM) et des technologies comme MCP (Model Context Protocol) permettront bientôt d’intégrer ces IA directement au sein des systèmes internes, sans exposition de données sensibles.

L’humain restera au cœur du processus

Malgré la puissance des modèles, un consensus demeure : l’humain reste indispensable.

“L’IA automatise la collecte et l’analyse, mais la décision finale doit rester humaine. Elle permet de dégager du temps pour l’essentiel : comprendre, dialoguer, décider”, rappelle Mathieu.

Autrement dit : l’IA ne remplace pas l’expert cyber, elle l’augmente.

En conclusion

L’IA n’est plus une promesse futuriste — c’est un outil opérationnel qui transforme déjà la gestion du risque fournisseur.
Les pionniers comme GitLab ou les initiatives portées par Five Entrepreneurs montrent la voie :

  • réduction du temps de revue documentaire,

  • meilleure priorisation des risques,

  • et accès équitable à la performance cyber, même pour les ETI.

Mais pour passer à l’échelle, il faudra accompagner cette révolution par un travail d’évangélisation et de confiance.
Car comme le résume parfaitement Laurent :

“On a eu peur de laisser un algorithme trier nos spams. Aujourd’hui, on ne pourrait plus s’en passer. Il en sera de même pour la cybersécurité.”

5 conseils concrets pour gérer efficacement le risque fournisseur>