Questionnaires cybersécurité : le casse tête des RSSI

gbe — Tue, 02 Sep 2025 09:15:35 +0000

Des questionnaires de sécurité de l’information qui posent problème

De plus en plus d’entreprises imposent à leurs partenaires des questionnaires de cybersécurité censés évaluer leur niveau de maturité. Si l’intention est louable — sécuriser la chaîne d’approvisionnement numérique — la réalité est souvent bien plus complexe. Ces questionnaires, souvent standardisés, mal adaptés au contexte du partenaire, peuvent devenir contre-productifs, voire décourageants.

L’origine du casse-tête

Nombreuses sont les entreprises qui par manque de connaissances en cybersécurité évaluent leurs (futurs) partenaires de manière générique, maladroite ou parfois inproductive, en utilisant parfois :

Des référentiels standardisés : ISO 27001, NIST, CIS Controls… souvent utilisés comme base, pas toujours pertinents si la réponse est « oui » ou « non » ;
Une approche unique : peu ou pas d’adaptation au secteur, à la taille ou au rôle du partenaire ;
Des exigences parfois déconnectées de la réalité : demander un SOC 24/7 à une PME de 10 personnes, par exemple ;
On voit souvent des PME ou des startups crouler sous des exigences conçues pour des multinationales.

Les conséquences de ces questionnaires

Les conséquences sont assez évidentes, et tout RSSI ou désigné volontaire pour remplir le questionnaire pourra l’affirmer :

▶️ Perte de temps et d’énergie pour les partenaires.
▶️ Frustration et incompréhension des deux côtés.
▶️ Risque de réponses biaisées ou inexactes juste pour « cocher les cases ».
▶️ Altération de la relation de confiance entre client et fournisseur.

Bon nombre d’entreprises cochent parfois « la bonne case » simplement pour ne pas se faire exclure d’un appel d’offre, sans se rendre compte de la portée de leur déclaration.

Peut on faire mieux ?

C’est évident, la réponse est oui. Mais cela nécessite un peu de travail des deux côtés. Histoire de se comprendre et de parler le même langage.

Adapter les questionnaires au contexte : taille, secteur, rôle dans la chaîne de valeur.
Privilégier le dialogue à la checklist : un échange humain vaut mieux qu’un fichier Excel de 300 lignes. Du moins cela se discute ! Peut être qu’un entre deux est envisageable.
Favoriser une approche basée sur les risques : quels sont les vrais risques liés à ce partenaire ? Lui faire appliquer toutes les mesures est vraiment nécessaire ? Pensons à l’importance relative ;
Encourager la transparence plutôt que la conformité aveugle : fourniture de preuves sur les sujets essentiels (cf le point précédent) ;
Mettre en place un dispositif de suivi des éventuels écarts entre les niveaux requis et les niveaux actuels. Le prestataire qui coche toutes les cases n’existe peut être pas vraiment. On peut tolérer des écarts et étudier sa capacité à les réduire.

Enfin, en tant que partenaire, posez vous les bonnes questions : tout déclarer de son niveau de sécurité à son client en lui fournissant parfois des documents confidentiels, sans même vous inquiéter de sa manière à conserver tout cela de manière sécurisée, n’est-ce déjà pas là votre première négligeance ? Ah oui, il faut faire vite sinon on perd le contrat, c’est vrai. Merci le business !

Le mot de la fin

Les questionnaires de cybersécurité ne devraient pas être une épreuve de force, mais un outil de collaboration. En les rendant plus intelligents, plus humains et plus adaptés, on renforce non seulement la sécurité, mais aussi la confiance entre partenaires.

👉 Suivez-nous pour ne rien manquer des dernières actualités !