Cybersécurité : 78 % des organisations échouent à superviser leurs prestataires

78 % des organisations constatent un désaccord entre les équipes IT et la direction sur la fiabilité de leurs prestataires de sécurité. Le chiffre, issu d’une enquête menée auprès de 5 000 répondants, illustre une fracture qui ne relève plus d’un simple débat interne, mais d’un problème de gouvernance, au moment où la cybersécurité s’invite durablement au niveau du conseil d’administration.

Le décalage est d’autant plus sensible que la confiance est faible, seules 5 % des organisations déclarent accorder une confiance totale à leurs fournisseurs de cybersécurité. Dans près d’un tiers des cas, le désaccord survient fréquemment. Derrière ces statistiques, une réalité opérationnelle, IT et dirigeants ne regardent pas les mêmes signaux, ne parlent pas le même langage, et finissent par piloter les mêmes risques avec des grilles de lecture incompatibles.

Vanson Bourne mesure 78% de désaccords entre IT et direction

L’enquête met un chiffre sur une impression répandue dans les grandes entreprises, la cybersécurité est devenue un sujet de comité exécutif, mais l’alignement ne suit pas. Dans 78 % des organisations interrogées, l’équipe IT et la direction générale ou le conseil d’administration divergent sur la fiabilité des prestataires de cybersécurité. Ce n’est pas un désaccord ponctuel, près d’un tiers des répondants indiquent qu’il se produit fréquemment.

Autre point qui casse un cliché, la direction n’est presque jamais absente des décisions. Seules 1 % des organisations déclarent que la direction générale ne joue aucun rôle dans les achats de cybersécurité. Dit autrement, l’époque où l’IT choisissait seul un fournisseur « dans son coin » est marginale. Mais cette montée en puissance des décideurs n’implique pas automatiquement une décision plus cohérente, elle peut aussi créer une double commande.

Le niveau de confiance déclaré est particulièrement bas. Seules 5 % des organisations disent faire totalement confiance à leurs prestataires de cybersécurité. Ce chiffre n’accuse pas un acteur en particulier, il traduit plutôt une relation structurellement asymétrique, le client délègue une partie de sa défense, mais conserve la responsabilité en cas d’incident. Dans ce contexte, la confiance devient un objet de négociation, pas un état stable.

Dans les échanges internes, ce désaccord se matérialise souvent au moment des renouvellements de contrats, ou lorsqu’un incident externe éclate et que le nom d’un fournisseur apparaît dans les médias. Marc, RSSI dans une ETI industrielle, résume le mécanisme, « moi je regarde la qualité des détections et le support, le COMEX regarde qui est bien classé chez les analystes, on ne se contredit pas sur le fond, on ne parle juste pas de la même chose ».

La nuance, c’est que le désaccord n’est pas toujours un dysfonctionnement. Une direction peut légitimement intégrer des critères de réputation, de lisibilité contractuelle ou de capacité financière, là où l’IT se concentre sur l’efficacité technique. Le problème commence quand ces critères ne sont pas explicités, et que l’organisation découvre trop tard que « fiable » ne signifie pas la même chose selon les étages.

Les équipes IT jugent support, détection et remédiation au quotidien

Du côté des équipes IT, l’évaluation d’un prestataire de cybersécurité part du terrain. Ce qui pèse, c’est la qualité de service opérationnelle, la réactivité du support, la profondeur technique des détections, et la pertinence des recommandations de remédiation. Un SOC externalisé peut être très bien « sur le papier », si les alertes arrivent trop tard ou sans contexte exploitable, la confiance s’érode vite, parce que l’IT doit rendre des comptes sur le temps réel.

Les critères sont concrets, temps de prise en charge, clarté des escalades, capacité à adapter des règles de détection, stabilité des équipes en face. Dans une semaine chargée, un fournisseur jugé « fiable » est celui qui répond à 2 heures du matin pendant une crise, pas celui qui présente le plus beau tableau de bord. Marc, administrateur sécurité dans une collectivité, dit souvent à ses collègues, « si je dois relancer trois fois pour une réponse, je ne peux pas appeler ça fiable ».

Cette grille de lecture s’appuie aussi sur la capacité du prestataire à produire des recommandations actionnables. Une détection sans piste de correction, ou un rapport d’audit trop générique, est vécu comme une charge supplémentaire. L’IT attend souvent une forme de compagnonnage, un prestataire qui comprend l’architecture, les contraintes métier, et la réalité des fenêtres de maintenance. Ce point devient critique quand l’organisation a peu de ressources internes.

La difficulté, c’est que ces critères sont rarement visibles depuis le sommet. Une direction voit un contrat, un coût, un niveau de service affiché. L’IT voit des tickets, des délais, des échanges techniques. Quand ces signaux ne remontent pas, la direction peut conclure que tout va bien, pendant que l’équipe opérationnelle accumule des irritants. Le désaccord naît parfois d’un simple déficit de reporting, pas d’une dispute idéologique.

Il y a aussi un biais, l’IT juge la fiabilité à travers les incidents, donc à travers les moments où ça se passe mal. Un prestataire peut être performant 95% du temps et échouer lors des 5% critiques, ceux qui marquent les mémoires. Cette perception, très humaine, doit être objectivée avec des indicateurs partagés. Sinon, la discussion tourne à l’anecdote, et la direction tranche sur des critères plus « stables » comme la réputation.

Les dirigeants privilégient réputation, analystes et clauses contractuelles

Les directions générales et conseils d’administration évaluent les prestataires avec une autre logique. Leur priorité n’est pas de savoir si une règle de détection est finement calibrée, mais si le fournisseur réduit le risque global, y compris le risque d’image et le risque juridique. Ils regardent la réputation, les positionnements dans des rapports d’analystes, la présence médiatique lors d’incidents majeurs, et la lisibilité des engagements contractuels. Cette approche n’est pas « moins pertinente », elle est différente.

Concrètement, un dirigeant veut comprendre qui porte quoi en cas de crise, quels sont les délais de notification, quelles garanties existent, et si l’entreprise peut changer de fournisseur sans se retrouver captif. Ce dernier point est un classique de l’informatique externalisée, la promesse de simplicité s’accompagne souvent d’une perte de maîtrise. Dans les contrats d’adhésion, fréquents pour les PME, la marge de négociation est limitée, ce qui renforce l’attention portée aux clauses.

La direction s’intéresse aussi à la capacité financière du prestataire, à sa stabilité, à sa capacité à tenir dans le temps. Dans des secteurs où les marges sont sous pression, la tentation de réduire les coûts de service existe. Le panorama prospectif de la sécurité privée rappelle un marché fragmenté, avec une majorité de petites structures, et des performances économiques contrastées selon les segments. Pour un décideur, la fiabilité inclut la probabilité que le fournisseur tienne ses promesses sur plusieurs années.

Autre élément, la direction raisonne souvent par comparaisons externes. « Qui utilisent nos pairs » devient un argument, surtout quand la cybersécurité monte au conseil. Cette logique peut sécuriser une décision, mais elle peut aussi conduire à choisir un acteur très visible, sans vérifier l’adéquation aux besoins réels. Marc, DSI dans une entreprise de services, critique ce réflexe, « on achète parfois un nom pour rassurer, puis on découvre que l’intégration est compliquée et que le support est saturé ».

Le point de friction, c’est que ces critères de gouvernance sont rarement traduits en exigences opérationnelles. Un contrat très clair ne garantit pas une détection pertinente, et un prestataire très réputé peut être moins bon sur un périmètre spécifique. La fiabilité, vue du sommet, est une promesse de maîtrise du risque, vue du terrain, c’est une expérience quotidienne. Tant que l’organisation ne met pas ces deux dimensions dans un même cadre, le désaccord reste structurel.

La confiance totale plafonne à 5% malgré l’externalisation croissante

Le chiffre des 5 % d’organisations qui accordent une confiance totale à leurs prestataires de cybersécurité frappe par sa faiblesse. Il ne signifie pas que 95% estiment leurs fournisseurs mauvais, mais que la confiance « totale » est devenue rare. La cybersécurité est une discipline où l’incertitude est permanente, un fournisseur fiable aujourd’hui peut être compromis demain, ou simplement dépassé par une nouvelle technique d’attaque. La confiance se transforme en contrôle continu.

Ce manque de confiance se nourrit aussi d’une asymétrie d’information. Le prestataire voit plusieurs clients, des tendances, des signaux faibles. Le client voit son propre SI et dépend de ce que le prestataire lui remonte. Si les rapports sont trop génériques, l’organisation a l’impression de payer pour une boîte noire. Dans les services managés, ce sentiment est fréquent quand les tableaux de bord ne permettent pas de relier une alerte à un risque métier concret.

La question de la réversibilité pèse lourd. Les travaux publics sur les risques numériques rappellent une interrogation simple, « puis-je récupérer mes données, suis-je captif ». Dans la cybersécurité, la dépendance peut être technique, connecteurs, agents sur les postes, formats de logs, mais aussi humaine, connaissance accumulée du SI par le prestataire. Quand l’IT sait qu’un changement coûtera cher et prendra des mois, la confiance affichée peut se dégrader, même si le service est correct.

Le marché lui-même ajoute de la complexité. Dans la sécurité privée au sens large, le tissu d’entreprises est très atomisé, avec une majorité de petites structures. Dans la cybersécurité, on trouve aussi une polarisation entre quelques grands acteurs et une multitude de spécialistes. Pour un client, cette diversité est une chance, mais elle rend l’évaluation plus difficile. Marc, acheteur IT, explique, « entre les certifications, les labels, les promesses commerciales, on a vite une pile de documents, mais peu d’éléments comparables ».

Une critique s’impose, la confiance est parfois utilisée comme un slogan, alors qu’elle devrait être une variable mesurable. Dire « on fait confiance » ne remplace pas des audits, des tests, des clauses de notification, et une supervision continue. Le faible taux de confiance totale peut être lu comme un signe de maturité, les organisations arrêtent de croire sur parole. Mais il peut aussi signaler une fatigue, trop d’outils, trop de fournisseurs, et pas assez de temps pour piloter correctement.

ANSSI structure le marché avec PASSI, PDIS et PRIS

Face à la difficulté d’évaluer la fiabilité, les dispositifs de qualification jouent un rôle de repère. La plateforme MesServicesCyber présente des prestataires qualifiés par l’ANSSI dans plusieurs catégories. Les PASSI réalisent des audits de sécurité des systèmes d’information avec une exigence d’impartialité et d’objectivité. Pour une organisation, recourir à ce type de prestataire peut aider à sortir d’une discussion purement commerciale, en s’appuyant sur un cadre reconnu.

La qualification ne se limite pas à l’audit. Les prestataires de détection des incidents de sécurité, les PDIS, supervisent en temps réel les activités pour détecter des comportements anormaux ou malveillants. Les prestataires de réponse aux incidents, les PRIS, interviennent quand un incident est suspecté ou avéré, pour qualifier, identifier le mode opératoire, déterminer le périmètre de compromission, évaluer les impacts, puis préconiser des mesures de remédiation. Ces périmètres clarifient qui fait quoi.

Dans les organisations où IT et direction divergent, ces labels peuvent servir de langage commun. La direction y voit une reconnaissance par l’État, un signal de conformité et de fiabilité. L’IT y voit une exigence de compétences et de méthodes. Mais il faut rester lucide, une qualification ne garantit pas que la prestation sera adaptée à votre contexte, ni que l’intégration se fera sans friction. Elle réduit un risque, elle ne l’annule pas.

Un exemple concret, une entreprise qui hésite entre deux fournisseurs de réponse à incident peut utiliser la qualification comme filtre initial, puis demander des scénarios d’intervention, des délais, des modalités de communication de crise. Marc, responsable continuité, raconte un cas fréquent, « le prestataire promet une intervention rapide, mais quand on creuse, il faut valider un bon de commande, puis attendre un créneau, ce n’est pas compatible avec une attaque en cours ». La fiabilité se joue dans les détails d’activation.

Ces cadres ont aussi une vertu, ils poussent à formaliser les attentes. Quand un prestataire est choisi sur un label, l’organisation doit encore définir les exigences, périmètre, logs collectés, responsabilités, règles d’escalade. Si elle ne le fait pas, le désaccord IT direction ressurgit, l’IT reproche l’opérationnel, la direction répond « mais c’est qualifié ». Le label peut devenir un argument d’autorité, ce qui n’aide pas si les indicateurs de service ne sont pas partagés.

NIS2 impose l’évaluation continue des fournisseurs et engage les dirigeants

Le désalignement IT direction devient plus coûteux avec la montée des obligations réglementaires. La directive NIS2 introduit une exigence explicite sur la supply chain, les organisations concernées doivent évaluer et surveiller leurs fournisseurs. Le texte vise environ 160 000 organisations dans 18 secteurs, avec des obligations qui dépassent la simple mise en place d’outils. Le message est clair, la sécurité des prestataires fait partie du périmètre de conformité.

La méthode attendue est structurée, identifier les fournisseurs critiques, évaluer leur niveau de sécurité via questionnaires, demandes de certifications comme ISO 27001 ou SOC 2, et audits pour les plus critiques. Puis intégrer des clauses contractuelles, obligation de notification en cas d’incident, droit d’audit, exigences minimales, clause de réversibilité. Enfin, surveiller en continu, parce qu’un fournisseur sûr aujourd’hui peut être compromis demain. Pour beaucoup d’entreprises, c’est un changement d’échelle.

NIS2 introduit aussi une pression temporelle, le signalement des incidents doit pouvoir se faire sous 24h. Ce délai implique des processus rodés, des contacts identifiés, des responsabilités claires. Si l’IT pense qu’un prestataire est fiable parce qu’il « répond vite », mais que le contrat ne garantit pas la notification, la direction est exposée. À l’inverse, si la direction signe une clause sans vérifier la faisabilité technique, l’IT se retrouve à gérer une promesse intenable.

Le texte met également les dirigeants en première ligne, la responsabilité est personnelle, la cybersécurité n’est plus seulement un sujet IT. Les sanctions peuvent atteindre 10 M ou 2% du chiffre d’affaires. Ce cadre change la dynamique interne, la direction ne peut plus se contenter d’une vision de réputation, elle doit comprendre la réalité opérationnelle. Marc, juriste conformité, le formule simplement, « si on signe, on doit être capable de prouver qu’on contrôle ».

Une nuance s’impose, beaucoup d’organisations ne sont pas directement dans le périmètre NIS2, notamment les petites structures sous certains seuils, moins de 50 employés et moins de 10 M de chiffre d’affaires, sauf exceptions. Mais la pression se diffuse par les donneurs d’ordre. Un prestataire IT peut se voir imposer des questionnaires et des audits par un client soumis à NIS2. Le désaccord interne sur la fiabilité devient alors un problème commercial, parce qu’il retarde les réponses, ou produit des réponses incohérentes.