Sujets
Services
Accueil > Cybersécurité ...
FR
FR DE IT EN

La cybersécurité dans les achats : entre la pression des coûts et le manque de normes

Les plus grands déficits structurels se situent au niveau de la standardisation des critères de sécurité et de la pondération stratégique de la sécurité par rapport aux coûts. Les grandes entreprises luttent contre la coordination interne, les petites entreprises contre le manque de savoir-faire. C'est ce qu'a révélé une enquête de Sophos.

Bureau de la rédaction - 17 juin 2025
Dans de nombreuses entreprises, la cybersécurité des achats est encore freinée par la pression des coûts, l'absence de normes et le manque de coordination. (Image : Depositphotos.com)

L'importance de la cybersécurité dans les achats ne cesse de croître, mais de nombreux départements achats des entreprises sont confrontés à des défis considérables. C'est ce que révèle une récente enquête menée par le fournisseur de services de sécurité informatique Sophos auprès de 201 responsables des achats de différents secteurs et de différentes tailles d'entreprises en Allemagne.

L'optimisation des coûts, le plus grand obstacle

Selon l'enquête, les quatre plus grands défis parmi toutes les personnes interrogées sont

  • Focalisation sur la réduction des coûts plutôt que sur la sécurité à long terme (45%)
  • Absence ou quasi-absence de critères de sécurité standardisés dans l'évaluation des fournisseurs (41,6 %)
  • Trop peu de sensibilisation à la cybersécurité dans les services d'achat (40,1 %)
  • Manque de coordination avec le propre service informatique/sécurité (39,6 %)

Avec 45 %, l'orientation vers la réduction des coûts représente le défi le plus souvent cité. Cette tension entre efficacité et mesures de protection montre que la cybersécurité est peut-être encore souvent traitée comme une priorité secondaire dans le domaine des achats.

La taille de l'entreprise détermine les défis

Environ 42 pour cent des personnes interrogées déplorent l'absence ou la quasi-absence de critères de sécurité standardisés dans l'évaluation des fournisseurs. En outre, près de 40 pour cent déplorent un manque de coordination avec leur propre service informatique ou de sécurité ; ce facteur est particulièrement cité dans les grandes entreprises (plus de 52 pour cent dans les entreprises de plus de 1000 collaborateurs).

L'enquête révèle en outre des différences selon la taille de l'entreprise. Les petites entreprises (100 à 249 collaborateurs) sont particulièrement confrontées à un manque de savoir-faire technique (35,8 %) et à des critères de sécurité non standardisés (54,7 %). Les grandes entreprises de plus de 1000 collaborateurs voient surtout des problèmes de coordination avec le service informatique ou de sécurité (52,6 pour cent).

Ainsi, alors que les petites entreprises semblent manquer de compétences, les structures complexes des grandes entreprises rendent souvent difficile une intégration efficace de la sécurité.

Les administrations manquent de savoir-faire, les fournisseurs de services publics rappellent la sensibilisation à la cybersécurité

Il existe également de nettes différences entre les secteurs. L'administration publique signale particulièrement souvent un manque de savoir-faire et de normes (60,0 % dans les deux cas). Dans le secteur financier, c'est surtout le manque de formation qui pèse dans la balance (53,8 %).

Dans le secteur de la distribution, en revanche, les valeurs sont toujours faibles : seuls 13 % considèrent que le manque de savoir-faire est un problème, et seuls 17,4 % déplorent le manque de transparence des fournisseurs. Les entreprises de services publics déplorent à près de 100 % un manque de sensibilisation à la cybersécurité dans les services d'achat.

"Le fait que les entreprises de services publics se plaignent du manque de sensibilisation à la cybersécurité dans leurs achats est à prendre très au sérieux", commente Michael Veit, expert en sécurité chez Sophos. "Dans les secteurs sensibles en particulier, les aspects de sécurité ne devraient pas être sacrifiés sur l'autel de l'optimisation des coûts".

L'appel : donner encore plus la priorité à la cybersécurité, y compris dans les services d'achat

Les résultats de l'enquête le montrent : La cybersécurité est également de plus en plus reconnue comme un facteur critique dans les achats des entreprises. Toutefois, les connaissances, la coordination interne et les directives structurelles font encore défaut dans de nombreux endroits. Les entreprises sont donc appelées à accorder une plus grande priorité à ce thème, tant par des formations que par des directives claires dans l'évaluation des fournisseurs.

"De nombreux services d'achat sont aujourd'hui confrontés au défi d'intégrer de manière structurée les aspects de cybersécurité dans leurs processus", explique Michael Veit. "Mais il manque souvent un savoir-faire, des critères clairs ou une étroite collaboration avec le service informatique. Pourtant, la chaîne d'approvisionnement est justement un levier décisif pour la situation de sécurité d'une entreprise. C'est pourquoi les achats nécessitent des directives de sécurité claires, des collaborateurs formés et une étroite coordination avec les responsables informatiques. La résilience de réseaux d'approvisionnement entiers, par exemple, ne dépend plus depuis longtemps uniquement des pare-feu, mais aussi des décisions prises au niveau des achats".

Source : Sophos

(Visité 207 fois, 1 visite aujourd'hui)

Plus d'articles sur le sujet

Les formations contre le phishing sont-elles encore utiles à l'ère de l'IA ?

Quelles sont les marques les plus souvent utilisées pour le phishing ?

La loi européenne sur l'IA est armée