Le devoir de vigilance, un enjeu indirect mais réel

La loi française du 27 mars 2017 sur le devoir de vigilance s’applique aux sociétés de plus de 5 000 salariés en France (ou 10 000 dans le monde). Mais ses effets se répercutent en cascade sur leurs fournisseurs, y compris les ESN, cliniques et cabinets d’avocats de 40 à 100 salariés [1].

En effet, ces grandes entreprises doivent cartographier les risques liés à leurs « chaînes d’approvisionnement et de sous-traitance », y compris en matière de cybersécurité. Elles exigent donc de plus en plus de leurs prestataires une preuve de maturité.

Exemples concrets

  • Un grand groupe bancaire demande à son ESN de fournir un registre des risques mis à jour
  • Un hôpital public exige de sa clinique partenaire une attestation de conformité NIS2
  • Un fonds d’investissement impose à son cabinet d’avocats un audit annuel de sécurité

Comment répondre à cette exigence ?

La cartographie des risques est la réponse la plus efficace. Elle permet de :

  • Identifier les risques liés à vos propres sous-traitants (cloud, maintenance)
  • Démontrer que vous avez évalué les menaces pesant sur vos clients
  • Fournir un rapport partageable (ex. : dashboard NovaShield) en moins de 24h

En 2024, 68 % des grands comptes déclarent avoir rompu ou renégocié un contrat à cause d’un manque de transparence cyber de leur fournisseur (étude PwC) [2].

Transformer la contrainte en opportunité

Plutôt que de subir cette exigence, les PME peuvent en faire un argument commercial. Une cartographie claire, à jour et pilotée devient un gage de professionnalisme.

Conclusion

Le devoir de vigilance n’est plus un sujet réservé aux grands groupes. Grâce à une cartographie des risques dynamique, les PME de 40 à 100 salariés peuvent non seulement s’y conformer, mais en tirer un avantage concurrentiel.

Références

  1. Légifrance – Loi devoir de vigilance : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000034293865
  2. PwC – Devoir de vigilance et cybersécurité, 2024 : https://www.pwc.fr/fr/assets/files/pdf/2024/02/pwc-devoir-de-vigilance-et-cybersecurite.pdf
  3. Impact Nova Consulting : https://impact-novaconsulting.com/