Temps de lecture : 3 min

Longtemps reléguée au second plan, la cybersécurité s’impose désormais comme une préoccupation centrale dans les stratégies d’achat. Plus qu'une contrainte technique, c'est un levier de résilience et de performance.

De la sécurité des systèmes à la vigilance dans les achats

La cybersécurité n'est plus l'apanage de l'équipe informatique. L'acheteur, par ses décisions, peut introduire des failles sans même le savoir. L'acquisition d'un nouveau logiciel, d'un service cloud ou même d'un matériel connecté représente un risque potentiel.

Anecdote : Un acheteur a choisi un logiciel de gestion des stocks pour une PME. Le fournisseur offrait un prix imbattable, mais le service client était basé à l'étranger et le logiciel ne proposait pas de mises à jour de sécurité régulières. Quelques mois plus tard, l'entreprise a subi une attaque par rançongiciel qui a paralysé toute sa chaîne logistique. Le coût de la cyberattaque a largement dépassé l'économie initiale réalisée sur le logiciel.

L'acheteur : un acteur de la confiance et de la résilience

L'acheteur a un rôle crucial à jouer dans la construction d'une chaîne d'approvisionnement résiliente et digne de confiance. Il doit intégrer la cybersécurité dès la phase de sourcing, en posant les bonnes questions aux fournisseurs. Il ne s'agit plus seulement de négocier les prix et les délais, mais aussi de s'assurer de la maturité cyber des partenaires.

Anecdote : Un acheteur pour le secteur public devait choisir une solution de visioconférence. Il a inclus dans ses critères de sélection le respect des normes de chiffrement de bout en bout et l'audit de sécurité des serveurs. Il a ainsi écarté des solutions populaires mais non conformes, protégeant les communications sensibles de son administration.

Intégrer la cybersécurité dans la stratégie d'achat : les bonnes pratiques

Aujourd'hui, l'intégration de la cybersécurité dans la stratégie d'achat est plus cruciale que jamais. Les entreprises doivent considérer la cybersécurité non plus comme un simple coût, mais comme un investissement stratégique pour protéger leurs actifs, leur réputation et leurs données clients.

Pour cela, il est essentiel d'adopter des bonnes pratiques. L'une des premières consiste à effectuer un audit de sécurité des fournisseurs potentiels, en évaluant leurs certifications (ISO 27001), leurs politiques de gestion des incidents et leur résilience. Il faut également inclure des clauses de sécurité claires dans les contrats, spécifiant les exigences en matière de chiffrement, de contrôle d'accès et de notification en cas de violation.

Anecdote : Un grand distributeur a récemment subi une attaque majeure à la suite d’une intrusion via le système de climatisation d'un sous-traitant. Ce dernier, non audité sur ses pratiques de cybersécurité, avait une sécurité défaillante qui a permis aux pirates d'accéder au réseau du distributeur. Cet exemple met en lumière le fait que la vigilance doit s'étendre bien au-delà des fournisseurs directs pour inclure les tiers et les sous-traitants de niveau inférieur, créant ainsi une défense en profondeur.

La cybersécurité n'est plus une simple obligation technique, mais une composante essentielle de la performance économique. L'acheteur, par son rôle stratégique, est le mieux placé pour infuser cette culture de la vigilance au sein de son entreprise et de ses écosystèmes. Il devient, en quelque sorte, un architecte de la résilience numérique.

Jacques Fayet, Coach en emploi achats

Retrouvez l’ensemble des publications de ce rendez-vous éditorial « Acheteur : couteau suisse et davantage »