Qu'est-ce qu'un questionnaire de sécurité ?

Un questionnaire de sécurité est un ensemble standardisé de questions qu'un acheteur envoie à ses fournisseurs pour évaluer leur posture de sécurité avant tout achat. Il couvre la protection des données, le contrôle des accès, la réponse aux incidents, les certifications, l'infrastructure et la continuité d'activité. En vertu de l'article 21(2)(d) de NIS2 et des articles 28-44 de DORA, les questionnaires de sécurité sont désormais une obligation réglementaire — et non plus une simple formalité d'achat.

Comment réduire le volume des questionnaires de sécurité entrants ?

L'approche la plus efficace est de lancer un Trust Center — un portail orienté acheteurs qui publie de manière proactive votre posture de sécurité, vos certifications et votre statut de conformité. Les entreprises disposant d'un Trust Center signalent 40 à 70 % de questionnaires entrants en moins, car les prospects trouvent les réponses par eux-mêmes. La publication de votre CAIQ dans le registre CSA STAR et la mise à disposition d'un SIG Lite réduisent également le volume de façon significative.

Combien de temps faut-il pour répondre à un questionnaire de sécurité ?

Sans automatisation, un questionnaire typique prend de 5 à 15 jours ouvrés. Un SIG complet avec plus de 800 questions peut nécessiter 20 à 40 heures de travail impliquant les équipes sécurité, ingénierie, juridique et conformité. Les plateformes d'automatisation basées sur l'IA réduisent ce délai à 2 à 4 heures pour les types de questions récurrents — des économies de temps de 60 à 87 % ont été documentées.

NIS2 impose-t-il des questionnaires de sécurité ?

L'article 21(2)(d) de NIS2 exige que les entités essentielles et importantes mettent en oeuvre des mesures de sécurité de la chaîne d'approvisionnement, y compris l'évaluation de la posture de sécurité des fournisseurs. Les organisations soumises à NIS2 doivent donc envoyer des questionnaires à leurs fournisseurs critiques pour démontrer leur diligence raisonnable. Les articles 28-44 de DORA imposent des exigences similaires pour la gestion des risques ICT tiers dans les services financiers.

Comment l'IA aide-t-elle à automatiser les réponses aux questionnaires de sécurité ?

L'automatisation par IA maintient une base de connaissances de vos contrôles de sécurité et de vos réponses précédentes. Lorsqu'un nouveau questionnaire arrive, l'IA fait correspondre chaque question aux entrées pertinentes de la base de connaissances et génère des projets de réponse. Les meilleures plateformes atteignent des taux de remplissage automatique de 70 à 90 %, réduisant le temps de traitement de plusieurs jours à quelques heures.

Guide des questionnaires de sécurité : bâtir un programme efficace en 2026

Published 10 avr. 2026

By Orbiq Team

Guide des questionnaires de sécurité : bâtir un programme efficace en 2026

Guide complet sur les questionnaires de sécurité — répondre efficacement, automatiser avec l'IA, réduire le volume entrant et satisfaire aux exigences NIS2, DORA et ISO 27001.

questionnaire-securite

gestion-risques-fournisseurs

automatisation-conformite

nis2

dora

iso-27001

Guide des questionnaires de sécurité : bâtir un programme efficace en 2026

Les questionnaires de sécurité sont incontournables dans les ventes B2B en entreprise — et sont devenus une obligation réglementaire avec NIS2 et DORA. En vertu de l'article 21(2)(d) de NIS2 et des articles 28-44 de DORA, les organisations réglementées dans l'UE doivent documenter leurs évaluations des risques fournisseurs, ce qui entraîne une forte augmentation du volume de questionnaires dans les chaînes d'approvisionnement européennes.

Ce guide couvre tout ce dont vous avez besoin pour bâtir un programme de questionnaires de sécurité efficace : répondre plus vite, réduire le volume entrant, mettre en oeuvre l'automatisation IA et satisfaire aux exigences NIS2 et DORA en matière de sécurité de la chaîne d'approvisionnement.

Points clés

NIS2 et DORA font croître le volume des questionnaires — les entités réglementées doivent à la fois envoyer ET recevoir des questionnaires dans le cadre de la conformité de leur chaîne d'approvisionnement
Délai de réponse moyen sans automatisation : 5 à 15 jours ouvrés — les outils IA réduisent ce délai à 2 à 4 heures pour les types de questions récurrents
60 à 87 % d'économies de temps avec l'automatisation IA
Les Trust Centers réduisent le volume entrant de 40 à 70 % — la divulgation proactive est plus rentable que de répondre aux mêmes questions à répétition
SIG, CAIQ et VSA sont les trois formats standard dominants — les questionnaires personnalisés représentent 70 à 80 % du volume mais se recoupent largement avec les standards
Angle français et européen : l'ANSSI recommande l'évaluation des fournisseurs dans son guide d'hygiène informatique ; la CNIL exige des garanties sur les sous-traitants (Article 28 du RGPD) ; les établissements financiers français sont soumis à DORA via l'ACPR

Pourquoi le volume de questionnaires augmente en 2026

Trois forces réglementaires provoquent une croissance sans précédent du volume des questionnaires de sécurité :

NIS2 (Directive UE 2022/2555)

L'article 21(2)(d) exige que les entités essentielles et importantes dans 18 secteurs mettent en oeuvre des mesures de sécurité de la chaîne d'approvisionnement. Cela crée un effet en cascade : chaque organisation soumise à NIS2 doit :

Envoyer des questionnaires à ses fournisseurs critiques pour démontrer sa diligence raisonnable
Répondre aux questionnaires de ses propres clients, eux aussi soumis à NIS2
Documenter le processus d'évaluation comme preuve pour les autorités de contrôle

NIS2 est entrée en vigueur le 16 janvier 2023 ; les États membres devaient la transposer avant le 17 octobre 2024. Les sanctions administratives peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel total, le montant le plus élevé étant retenu.

DORA (Règlement UE 2022/2554)

Les articles 28 à 44 de DORA imposent la gestion des risques liés aux tiers ICT pour les entités financières — banques, assureurs, sociétés d'investissement, prestataires de services sur crypto-actifs. Les obligations clés incluent :

Des évaluations des risques complètes avant l'intégration des prestataires ICT tiers
Des exigences contractuelles précisant les normes de sécurité
Une surveillance continue et des réévaluations périodiques
Un registre de toutes les dépendances ICT tierces

DORA est applicable depuis le 17 janvier 2025. Les établissements financiers français supervisés par l'ACPR utilisent les questionnaires de sécurité comme principal outil d'évaluation des fournisseurs ICT.

ISO 27001:2022

L'Annexe A d'ISO 27001 inclut les contrôles A.5.19 à A.5.22 couvrant les relations avec les fournisseurs. Les organisations certifiées ou en cours de certification doivent démontrer un processus documenté d'évaluation de la sécurité des fournisseurs — ce qui implique généralement des questionnaires.

Angle UK et Norvège

Le UK Cyber Security and Resilience Bill (attendu 2025-2026) introduira des exigences de sécurité de la chaîne d'approvisionnement équivalentes à NIS2. En Norvège, l'Autorité nationale de sécurité (NSM) publie des recommandations sur la sécurité de la chaîne d'approvisionnement ICT alignées sur NIS2 dans le cadre de l'accord EEE.

Les quatre formats standard de questionnaires

1. SIG (Standardized Information Gathering)

Développé par Shared Assessments. Format dominant dans les services financiers sous DORA.

SIG Core : plus de 800 questions couvrant 19 domaines de risque — le format le plus complet disponible
SIG Lite : environ 150 questions pour les fournisseurs à risque moindre
Domaines couverts : contrôle des accès, sécurité applicative, continuité d'activité, conformité réglementaire, confidentialité des données, sécurité des terminaux, gestion des incidents, sécurité réseau, sécurité de la chaîne d'approvisionnement

2. CAIQ (Consensus Assessments Initiative Questionnaire)

Développé par la Cloud Security Alliance (CSA). Axé sur les fournisseurs cloud et SaaS.

Environ 260 questions organisées autour de la Cloud Controls Matrix (CCM)
Mappé aux principaux référentiels : ISO 27001, NIST CSF, RGPD, SOC 2
Les réponses peuvent être publiées dans le registre CSA STAR — réduisant les demandes individuelles

3. VSA (Vendor Security Alliance)

Format moderne et concis, populaire auprès des entreprises technologiques.

Environ 100 questions couvrant les domaines de sécurité essentiels
Plus efficace à compléter que le SIG ou le CAIQ
Axé sur les contrôles pratiques plutôt que sur une documentation exhaustive

4. Questionnaires personnalisés

La majorité des questionnaires reçus par les fournisseurs sont créés en interne — souvent adaptés de SIG ou CAIQ, avec des questions spécifiques à l'entreprise.

Typiquement 50 à 300 questions
70 à 80 % de recoupement avec les formats standard
Formats variables : tableur, PDF, portail web, e-mail

Le problème des questionnaires de sécurité (en chiffres)

Défi	Impact
Questionnaires reçus en moyenne par an (entreprise en croissance)	50 à 200+
Délai de traitement moyen sans automatisation	5 à 15 jours ouvrés
Heures consommées pour un SIG complet	20 à 40 heures
Recoupement entre questionnaires de différents acheteurs	70 à 80 %
Économies de temps avec l'automatisation IA	60 à 87 %
Taux de remplissage automatique avec une base de connaissances mature	70 à 90 %
Réduction du volume entrant grâce à un Trust Center	40 à 70 %

Construire un programme de réponse efficace

Phase 1 : Centraliser votre base de connaissances

Le fondement d'un programme efficace est une source unique de vérité :

Documenter tous les contrôles de sécurité — leur fonctionnement, leur responsable, les preuves disponibles
Enregistrer des réponses types pour les catégories courantes (chiffrement des données, contrôle des accès, réponse aux incidents, certifications)
Mapper les réponses aux référentiels — par domaine SIG, catégorie CAIQ, critères ANSSI
Désigner des responsables de réponses — des personnes spécifiques chargées de maintenir chaque domaine à jour
Versionner vos réponses — pour savoir quand l'information a été vérifiée en dernier

Phase 2 : Établir un flux de triage et de réponse

Réception : Qui reçoit les questionnaires, comment ils sont enregistrés, accusé de réception avec SLA
Triage : Évaluer l'urgence, l'exhaustivité et l'applicabilité des réponses standard
Assignation : Orienter les questions vers les experts (sécurité, ingénierie, juridique)
Revue : L'équipe sécurité examine et approuve les réponses finales
Livraison : Retour à l'acheteur dans le format requis
Archivage : Conserver les questionnaires complétés comme preuves d'audit

Pour la conformité NIS2 et DORA, l'archive constitue la preuve. Les autorités de contrôle et les auditeurs attendent des justificatifs documentés des évaluations fournisseurs réalisées.

Phase 3 : Mettre en oeuvre l'automatisation IA

Fonctionnement :

L'IA analyse les questionnaires entrants (tableur, PDF, portail)
Chaque question est mise en correspondance sémantique avec la base de connaissances
Des projets de réponse sont générés pour révision
Les questions sans correspondance sont signalées pour traitement manuel
Les réponses approuvées sont formatées selon les préférences de l'acheteur

Ce à quoi s'attendre :

50 à 70 % de remplissage automatique lors de la première utilisation
70 à 90 % après 3 à 6 mois et 10 à 20 questionnaires complétés
60 à 87 % de réduction du temps de traitement total

Pour comparer les outils : résidence des données en UE, intégration avec votre documentation existante (Confluence, SharePoint) et support des formats standards sont des critères décisifs. Consultez notre Guide d'achat des logiciels de questionnaires de sécurité 2026 pour une comparaison complète.

Phase 4 : Réduire le volume entrant avec un Trust Center

Lancer un Trust Center — publier proactivement votre posture de sécurité, vos certifications, votre statut RGPD et votre liste de sous-traitants
Publier votre CAIQ dans le registre CSA STAR — accessibilité de la posture de sécurité cloud sans demandes individuelles
Préparer et mettre à disposition un SIG Lite — à fournir sur demande pour éviter les questionnaires personnalisés sur les sujets standard
Partager proactivement les certifications et rapports — certificat ISO 27001, rapport SOC 2 (sous NDA), synthèse de test de pénétration
Intégrer le lien Trust Center dans le processus commercial — communiquez-le dès les premières discussions avec les prospects

Satisfaire aux exigences NIS2 et DORA en matière de questionnaires

En tant qu'acheteur

En vertu de l'article 21(2)(d) de NIS2 et des articles 28-44 de DORA, vous devez :

Évaluer la posture de sécurité de vos prestataires ICT critiques et importants
Documenter le processus et les résultats de l'évaluation
Tenir un registre des évaluations et de leurs conclusions
Effectuer des réévaluations périodiques — pas seulement lors de l'intégration

En tant que fournisseur

Vos clients réglementés NIS2/DORA doivent démontrer leur diligence. Attendez-vous à :

Des questionnaires structurés (souvent basés sur SIG pour les acheteurs financiers)
Des demandes de certifications et d'attestations (ISO 27001, SOC 2)
Des questions sur votre statut de conformité NIS2/DORA
Des engagements contractuels en matière de sécurité

Sources & références

Directive NIS2 (2022/2555) — Article 21(2)(d) sécurité de la chaîne d'approvisionnement
Règlement DORA (2022/2554) — Articles 28-44 gestion des risques ICT tiers
Shared Assessments SIG — Standardized Information Gathering
Cloud Security Alliance CAIQ — Consensus Assessments Initiative Questionnaire
ANSSI — Guide d'hygiène informatique — Recommandations ANSSI sur la sécurité des fournisseurs
ACPR — Exigences DORA — Mise en oeuvre de DORA pour les établissements financiers français
NSM Norvège (2025) — Recommandations sur la sécurité de la chaîne d'approvisionnement ICT

Lectures complémentaires

Logiciels de questionnaires de sécurité : Guide d'achat 2026 — Comparer les outils IA, les prix et le support conformité UE
Guide de gestion des risques fournisseurs — Le programme global qui génère les exigences de questionnaires
Guide de conformité NIS2 — Exigences de sécurité de la chaîne d'approvisionnement sous NIS2
Qu'est-ce qu'un Trust Center ? — Comment les Trust Centers réduisent le volume des questionnaires
Guide de certification ISO 27001 — La certification la plus demandée dans les questionnaires