Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X
Canada CA
Americas
Asia Pacific
Europe
Middle East & Africa
Français FR

RECHERCHES ET BULLETINS

Les chaînes d’approvisionnement numériques nécessitent une approche collective en matière de cyberrisques

 


L’interdépendance croissante et la numérisation des chaînes d’approvisionnement augmentent les cyberrisques pour toutes les parties, mais de nombreuses entreprises perçoivent les risques comme unilatéraux, selon les résultats de l’édition 2019 du sondage mondial sur la perception des cyberrisques mené par Marsh et Microsoft.

Les perceptions des risques de la chaîne d’approvisionnement varient considérablement

Le sondage a mis en évidence un écart important dans la perception que de nombreuses entreprises ont des cyberrisques posés par les partenaires de la chaîne d’approvisionnement, comparativement au niveau de risque perçu qu’elles représentent elles-mêmes.  

Q. Quel niveau de cyberrisques représentent la chaîne d’approvisionnement de votre organisation et les tierces parties de votre organisation? Inversement : quel niveau de cyberrisques votre organisation représente-t-elle pour sa chaîne d’approvisionnement et ses tierces parties?

  • Cyberrisques que nous représentons pour notre chaîne d’approvisionnement : 16 %
  • Cyberrisques représentés par notre chaîne d’approvisionnement : 39 %

% à l’égard de chaque risque considéré comme « élevé » ou « très élevé »

Cet écart est cohérent dans tous les secteurs d’activité et les régions géographiques, et ce sont les plus grandes organisations qui présentent la plus grande dissonance : 61 % des entreprises dont le chiffre d’affaires s’élève à 5 milliards de dollars ou plus déclarent que leurs partenaires de la chaîne d’approvisionnement présentent un risque, alors qu’elles ne sont que 19 % à déclarer qu’elles-mêmes présentent un risque pour des tierces parties.

Q. Quel niveau de cyberrisques représentent la chaîne d’approvisionnement de votre organisation et les tierces parties de votre organisation? Inversement : quel niveau de cyberrisques votre organisation représente-t-elle pour sa chaîne d’approvisionnement et ses tierces parties?

Cyberrisques représentés par notre chaîne d’approvisionnement

  • 28 % – < 25 millions de dollars de chiffre d’affaires annuel (n = 182)
  • 34 % – de 25 à 99 millions de dollars (n = 139)
  • 38 % – de 100 à 999 millions de dollars (n = 263)
  • 46 % – de 1 milliard de dollars à 4,9 milliards de dollars (n = 121)
  • 61 % – + de 5 milliards de dollars de chiffre d’affaires annuel (n = 81)

Cyberrisques que nous représentons pour notre chaîne d’approvisionnement

  • 14 % – < 25 millions de dollars de chiffre d’affaires annuel (n = 182)
  • 18 % – de 25 à 99 millions de dollars (n = 139)
  • 14 % – de 100 à 999 millions de dollars (n = 263)
  • 22 % – de 1 milliard de dollars à 4,9 milliards de dollars (n = 121)
  • 19 % – + de 5 milliards de dollars de chiffre d’affaires annuel (n = 81)

% à l’égard de chaque risque considéré comme « élevé » ou « très élevé »

Faible confiance pour gérer les risques de tierces parties

Le décalage peut être attribuable à la faible confiance des entreprises dans leur capacité à prévenir ou à réduire les cyberrisques posés par les partenaires commerciaux. La part des entreprises « très confiantes » en matière de lutte contre les cybermenaces provenant de partenaires de la chaîne d’approvisionnement était comprise entre 5 % et 15 %, selon le type de tierce partie. La proportion des entreprises « pas du tout confiantes » était généralement deux fois plus élevée, de 13 % à 30 %. Dans l’ensemble, 43 % des sondés ont affirmé ne pas avoir confiance en leur capacité à prévenir les cybermenaces d’au moins un de leurs partenaires tiers.

Q. À quel point êtes-vous confiant envers l’efficacité de votre organisation à prévenir/réduire les cyberrisques suivants?

  • Fournisseurs de technologies 15 % Très confiant, 62 % Assez confiant, 13 % Pas du tout confiant, 10 % Ne sait pas
  • Fournisseurs de processus d’affaires externalisés 8 % Très confiant, 55 % Assez confiant, 23 % Pas du tout confiant, 13 % Ne sait pas
  • Fournisseurs d’autres services ou produits 6 % Très confiant, 55 % Assez confiant, 22 % Pas du tout confiant, 17 % Ne sait pas
  • Travailleurs et experts-conseils indépendants 6 % Très confiant, 47 % Assez confiant, 30 % Pas du tout confiant, 18 % Ne sait pas
  • Cibles d’acquisition ou intégrations récentes* 5 % Très confiant, 46 % Assez confiant, 21 % Pas du tout confiant, 28 % Ne sait pas

% des organisations signalant différents niveaux de confiance

Les entreprises de taille moyenne ont déclaré avoir la plus forte confiance dans la gestion des fournisseurs. Par exemple, 71 % des entreprises dont le chiffre d’affaires est compris entre 100 millions et 1 milliard de dollars étaient « assez confiantes » ou « très confiantes » dans leur capacité à réduire les risques posés par des fournisseurs de processus d’affaires externalisés, contre 60 % pour les entreprises de toutes les autres tailles.

Cela peut vouloir dire que les entreprises de taille moyenne sont suffisamment petites pour connaître les risques de leurs partenaires de la chaîne d’approvisionnement, mais suffisamment grandes pour disposer des ressources nécessaires pour les évaluer et les gérer correctement.

Attentes en matière de gestion des risques de tierces parties

Il y avait également un écart entre les mesures et les normes de cybersécurité que les entreprises appliquent à leurs activités et celles qu’elles attendent des fournisseurs.

Globalement, les sondés étaient plus enclins à affirmer que les mesures de gestion des cyberrisques de leur propre entreprise étaient supérieures à celles de leurs fournisseurs.

Par exemple, 56 % des organisations ont déclaré s’attendre à ce que les partenaires de la chaîne d’approvisionnement mettent en place une formation à l’intention des employés, mais 71 % ont déclaré que leur propre organisation avait mis en place une formation.

De même, seuls 73 % des entreprises s’attendent à ce que les tierces parties améliorent la sécurité des ordinateurs et des systèmes, tandis que 89 % l’exigent d’elles-mêmes.

Q. Selon vous, quelles mesures de cybersécurité prendront vos tierces parties et partenaires de la chaîne d’approvisionnement? Veuillez indiquer si votre organisation a pris les mesures précises suivantes.

  • Évaluer les cyberrisques et les contrôles en tenant compte des normes de cybersécurité (mesure disproportionnellement attendue de la part des tierces parties)
  • 73 % Mesures que les organisations attendent de la part de leurs partenaires de la chaîne d’approvisionnement
  • 68 % Mesures mises en œuvre par les organisations elles-mêmes

Comparer les cyberrisques à ceux de ses pairs et/ou du secteur (mesure disproportionnellement attendue de la part des tierces parties)

  • 37 % Mesures que les organisations attendent de la part de leurs partenaires de la chaîne d’approvisionnement
  • 30 % Mesures mises en œuvre par les organisations elles-mêmes

Accroître la sécurité de nos ordinateurs, appareils et systèmes (mesure plus souvent mise en œuvre en interne qu’attendue de la part des tierces parties)

  • 73 % Mesures que les organisations attendent de la part de leurs partenaires de la chaîne d’approvisionnement
  • 89 % Mesures mises en œuvre par les organisations elles-mêmes

Renforcer nos capacités de protection des données (mesure plus souvent mise en œuvre en interne qu’attendue de la part des tierces parties)

  • 71 % Mesures que les organisations attendent de la part de leurs partenaires de la chaîne d’approvisionnement
  • 84 % Mesures mises en œuvre par les organisations elles-mêmes

Mettre en place des formations visant à sensibiliser les employés (mesure plus souvent mise en œuvre en interne qu’attendue de la part des tierces parties)

  • 56 % Mesures que les organisations attendent de la part de leurs partenaires de la chaîne d’approvisionnement
  • 71 % Mesures mises en œuvre par les organisations elles-mêmes

Identifier les services externes, les ressources et les experts pour offrir des services de soutien en cas de cyberincident (mesure plus souvent mise en œuvre en interne qu’attendue de la part des tierces parties)

  • 34 % Mesures que les organisations attendent de la part de leurs partenaires de la chaîne d’approvisionnement
  • 47 % Mesures mises en œuvre par les organisations elles-mêmes

De telles disparités peuvent amener les organisations à penser que leurs fournisseurs sont moins bien préparés pour gérer les cyberrisques qu’elles-mêmes, ce qui diminue la confiance de l’organisation dans sa chaîne d’approvisionnement.

Le risque lié à la chaîne d’approvisionnement doit être une responsabilité partagée

Dans un monde de chaînes d’approvisionnement hyperconnectées, il est essentiel de partager la responsabilité des risques liés à la chaîne d’approvisionnement.

Chaque entreprise doit comprendre l’intégrité et la sécurité de sa chaîne d’approvisionnement numérique, avoir confiance en elles et y participer.  

La « responsabilité sociale technologique », la reconnaissance par chaque organisation de son rôle et de ses obligations en matière de cybersécurité au sein de la chaîne d’approvisionnement, doit être au centre des préoccupations de tous les chefs de file de l’industrie.

Marsh.com Ouvrir une session

Veuillez vous connecter pour accéder au site marsh.com au complet.

Cliquez ici pour vous connecter en tant que collègue

Mot de passe oublié? S’inscrire

*Obligatoire