François Samarcq,
Vice-President Sales de Cybervadis
« Les fournisseurs d’un grand compte peuvent se représenter sous la forme d’une pyramide. A son sommet figurent les fournisseurs les plus stratégiques. Pour ces 4 ou 5 fournisseurs clés, l’idéal est de mener un audit de sécurité sur site par le RSSI lui-même ou par un grand cabinet comme Ernst&Young ou Deloitte. Un tel audit approfondi demande du temps, coûte très cher et cette approche n’est pas scalable lorsqu’on a plusieurs centaines de fournisseurs à auditer, explique François Samarcq, Vice-President Sales de Cybervadis, un prestataire spécialisé dans la notation de la posture de cybersécurité des parties tierces.
Le questionnaire est une étape, mais sans vérification, cette approche n’est pas fiable. Une évaluation par revue de preuve réalisée non pas de manière automatisée mais par des analystes permet d’atteindre une fiabilité des évaluations.
Pour nos plus grands clients, nous réalisons de l’ordre de 200 à 300 audits par mois, avec un principe de contrat illimité facturé annuellement. La société qui est auditée participe financièrement à l’audit. Celle-ci a accès au détail de notre analyse et au plan de remédiation que nous lui proposons. »