Malgré l’essor des menaces numériques, la cybersécurité reste trop souvent reléguée au second plan dans les politiques d’achat des entreprises. C’est ce que révèle une enquête menée en Allemagne par Techconsult pour le compte de l’éditeur de solutions de sécurité Sophos. Menée auprès de 201 responsables achats issus de secteurs variés, elle met en lumière un décalage persistant entre les enjeux de sécurité et les pratiques sur le terrain.
Le coût prime encore sur la sécurité
Premier enseignement : 45 % des répondants reconnaissent que la réduction des coûts prime encore sur la protection à long terme. Un arbitrage révélateur d’une approche jugée trop court-termiste, au moment même où les cyberattaques ciblent de plus en plus les chaînes d’approvisionnement.
À cela s’ajoutent plusieurs freins structurels : près de 42 % des décideurs interrogés pointent l’absence de critères de cybersécurité clairs et standardisés pour évaluer les fournisseurs. La sensibilisation des équipes reste également insuffisante (40,1 %), tout comme la coordination avec les services informatiques ou de sécurité (39,6 %), un écueil particulièrement marqué dans les grandes entreprises.
Des faiblesses qui varient selon la taille et le secteur
L’enquête révèle aussi des disparités selon la taille des structures. Les petites entreprises (100 à 249 salariés) souffrent surtout d’un manque de compétences techniques (35,8 %) et de référentiels partagés (54,7 %). Les grandes organisations (plus de 1 000 salariés), quant à elles, sont confrontées à des difficultés de coordination entre services, citées par plus de la moitié des sondés.
Les écarts sont tout aussi marqués d’un secteur à l’autre. L’administration publique concentre les critiques, avec 60 % des répondants évoquant un déficit de normes et de savoir-faire. Le secteur financier pointe un manque de formation (53,8 %), tandis que les services publics dénoncent massivement un défaut de sensibilisation à la cybersécurité dans leurs services achats. Seul le commerce de détail semble relativement épargné, avec des niveaux de préoccupation nettement inférieurs à la moyenne.
Lire aussi sur L’Essor de la Sécurité : Trois priorités pour renforcer la sécurité des données sensibles
Pour les experts de Sophos, ces résultats traduisent un besoin urgent de repenser les pratiques. « La sécurité de l’entreprise ne dépend plus uniquement des pare-feu, mais aussi des décisions prises lors des achats », insiste Michael Veit, expert cybersécurité chez Sophos. Il plaide pour une meilleure intégration des enjeux de sécurité dès la sélection des fournisseurs, via des critères partagés, des formations ciblées et une coordination renforcée avec les services IT.
