Qu'est-ce qu'une évaluation des risques fournisseurs tiers ?

Une évaluation des risques fournisseurs tiers est un processus structuré permettant d'évaluer la sécurité informatique, la conformité, la stabilité financière et la résilience opérationnelle des fournisseurs — avant leur intégration et à intervalles réguliers pendant la relation commerciale. Elle combine une auto-évaluation par questionnaire, l'examen de documents (certifications, rapports d'audit, résultats de tests d'intrusion) et une notation du risque pour aboutir à une décision formelle : approbation, approbation conditionnelle ou rejet.

Combien de temps dure une évaluation des risques fournisseurs tiers ?

La durée dépend du niveau du fournisseur. Une évaluation complète de niveau 1 (fournisseurs critiques) prend généralement 2 à 4 semaines : 1 semaine pour compléter le questionnaire, 1 à 2 semaines pour l'examen des documents et les demandes de précision, et 1 semaine pour la notation et l'approbation. Une évaluation standard de niveau 2 prend 1 à 2 semaines. Une évaluation allégée de niveau 3 peut être réalisée en 1 à 3 jours. Les outils d'automatisation réduisent ces délais de 60 à 80 %.

Que doit couvrir une évaluation des risques fournisseurs ?

Une évaluation complète doit couvrir : (1) les contrôles de sécurité informatique — gestion des accès, chiffrement, gestion des correctifs, réponse aux incidents ; (2) les certifications et la conformité — ISO 27001, SOC 2 Type II, RGPD, statut NIS2/DORA ; (3) le traitement des données — localisation, sous-traitants, conservation et suppression ; (4) la continuité d'activité — reprise après sinistre, RTO/RPO, garanties SLA ; (5) la stabilité financière — assurance, viabilité, dépendances aux personnes clés ; (6) le risque lié aux sous-traitants — comment le fournisseur gère sa propre chaîne d'approvisionnement.

L'évaluation des risques fournisseurs tiers est-elle obligatoire ?

Oui, pour de nombreuses organisations. NIS2 Article 21(2)(d) exige des mesures de gestion des risques pour la sécurité de la chaîne d'approvisionnement, y compris l'évaluation des relations avec les tiers. DORA Articles 28 à 30 imposent aux entités du secteur financier de réaliser des évaluations de risque avant de recourir à des prestataires TIC. ISO 27001:2022 Annexe A Contrôles 5.19 à 5.21 exigent la gestion de la sécurité des fournisseurs. L'Article 28 du RGPD impose une évaluation lors du traitement de données personnelles.

Comment noter le risque fournisseur ?

La notation utilise une matrice à deux axes : le risque inhérent (basé sur la sensibilité des données, le volume, le niveau d'accès aux systèmes et la criticité du service) et l'efficacité des contrôles (basée sur les certifications détenues, les rapports d'audit examinés et la vérification indépendante). Risque inhérent × lacunes de contrôle = risque résiduel. Le risque résiduel détermine la décision d'approbation : Faible = approbation automatique, Moyen = approbation conditionnelle, Élevé = approbation de la direction requise, Critique = rejet ou plan de remédiation requis.

Évaluation des risques tiers : guide pratique + modèle gratuit (2026)

2026-03-23

By Orbiq Team

Évaluation des risques tiers : guide pratique + modèle gratuit (2026)

Comment réaliser une évaluation des risques fournisseurs tiers étape par étape. Couvre ce qu'il faut évaluer, comment noter le risque, les exigences NIS2 et DORA, et un modèle gratuit.

risque-fournisseur

risque-tiers

evaluation-risque

nis2

dora

iso-27001

Évaluation des risques fournisseurs tiers : guide pratique + modèle gratuit (2026)

L'évaluation des risques fournisseurs tiers est le processus structuré qui détermine si un fournisseur peut être approuvé pour accéder à vos données, systèmes ou services — et quels contrôles doivent être vérifiés avant la signature du contrat. Ce guide explique comment mener une évaluation du début à la fin, ce qu'il faut examiner à chaque étape et comment noter le risque de manière cohérente sur l'ensemble de votre portefeuille fournisseurs.

Ce cadre s'aligne sur ISO 27001:2022 (Annexe A 5.19–5.21), NIS2 Article 21(2)(d) et DORA Articles 28–30.

Pourquoi l'évaluation des risques tiers est essentielle

Votre posture de sécurité n'est aussi solide que votre maillon le plus faible. Selon le Verizon Data Breach Investigations Report 2024, 15 % de toutes les violations de données impliquaient un tiers — et les incidents liés aux tiers progressent plus vite que les attaques directes. Les régulateurs ont réagi.

Le problème central : la plupart des organisations traitent encore les évaluations fournisseurs comme des événements ponctuels à l'intégration, classent les résultats et ne les revisitent jamais. Un fournisseur qui a réussi une évaluation en 2022 peut être très différent en 2026 — avec de nouveaux sous-traitants, un nouveau propriétaire ou une infrastructure présentant des vulnérabilités connues.

Une évaluation efficace des risques tiers est :

Proportionnée — les fournisseurs critiques font l'objet d'évaluations complètes ; les fournisseurs à faible risque reçoivent des listes de contrôle allégées
Basée sur des preuves — certifications et rapports d'audit, pas seulement des réponses à un questionnaire
Continue — surveillance permanente, pas seulement des instantanés ponctuels
Documentée — auditeurs et régulateurs attendent des traces écrites

Étape 1 : Classifier le fournisseur avant l'évaluation

Avant d'appliquer un modèle, déterminez la profondeur d'évaluation justifiée. Envoyer le même questionnaire de 80 questions au prestataire de maintenance de la machine à café et au fournisseur d'infrastructure cloud est contre-productif pour les deux parties.

Facteurs de risque inhérent

Notez chaque facteur de 1 à 4 (Faible / Moyen / Élevé / Critique) :

Facteur	Faible (1)	Moyen (2)	Élevé (3)	Critique (4)
Sensibilité des données	Données publiques uniquement	Données internes	Données confidentielles/personnelles	Données de catégories spéciales / réglementées
Volume de données	Aucun	Limité	Modéré	Grande échelle
Accès aux systèmes	Aucun accès	Accès en lecture seule	Accès en écriture	Accès admin / privilégié
Criticité du service	Accessoire	Support opérationnel	Important pour l'activité	Critique pour l'entreprise

Attribution du niveau selon le score total :

4–7 : Niveau 3 — évaluation allégée (liste de 20 à 30 points)
8–11 : Niveau 2 — évaluation standard (40 à 60 questions + examen documentaire)
12–16 : Niveau 1 — évaluation complète (80+ questions + examen documentaire + visite sur site ou audit tiers)

Étape 2 : Envoyer le questionnaire d'évaluation

Le questionnaire recueille l'auto-déclaration du fournisseur sur ses contrôles. Il constitue un élément d'entrée de l'évaluation — pas l'évaluation elle-même.

Domaines principaux du questionnaire

Domaine 1 : Contrôles de sécurité informatique

Disposez-vous d'une politique de sécurité informatique documentée, révisée au cours des 12 derniers mois ?
Quels mécanismes de contrôle d'accès sont en place pour les systèmes traitant nos données ?
Décrivez vos standards de chiffrement pour les données au repos et en transit.
Comment les comptes privilégiés sont-ils gérés et surveillés ?
Quel est votre cycle de gestion des correctifs pour les vulnérabilités critiques ?
Décrivez vos capacités de détection et de réponse aux incidents.
Réalisez-vous des tests d'intrusion ? À quelle fréquence et par qui ?

Domaine 2 : Conformité et certifications

Quelles certifications détenez-vous actuellement ? (ISO 27001, SOC 2 Type II, ISO 27701, PCI-DSS, etc.)
Fournissez le certificat le plus récent avec les dates de validité.
Êtes-vous soumis aux exigences NIS2 ou DORA ? Quel est votre statut de conformité ?
À quand remonte votre dernier audit externe ? Fournissez un résumé ou un rapport de direction.

Domaine 3 : Traitement des données et confidentialité

Dans quels pays vos données sont-elles stockées et traitées ?
Fournissez la liste complète des sous-traitants accédant à nos données.
Quelles sont vos procédures de conservation et de suppression des données ?
Décrivez votre processus et délai de notification d'une violation de données.
Réalisez-vous des AIPD pour les activités de traitement à risque élevé ?

Domaine 4 : Continuité d'activité

Quel est votre Objectif de Temps de Reprise (RTO) en cas d'interruption totale du service ?
Quel est votre Objectif de Point de Reprise (RPO) ?
À quand remonte votre dernier test BCP/DR ? Fournissez un résumé des résultats.
Disposez-vous d'une redondance géographique pour les systèmes traitant nos données ?

Domaine 5 : Stabilité financière et opérationnelle

Fournissez vos états financiers audités les plus récents ou des preuves équivalentes.
Êtes-vous couvert par une assurance cyber-responsabilité ? Quel est le montant de la couverture ?
Décrivez les dépendances aux personnes clés dans votre fonction de sécurité.

Domaine 6 : Sous-traitants et risque de chaîne d'approvisionnement

Listez tous les sous-traitants ayant accès à nos données ou systèmes.
Décrivez comment vous évaluez et surveillez vos propres sous-traitants.
Avez-vous une clause de droit d'audit dans vos accords de sous-traitance ?

Étape 3 : Examiner les documents justificatifs

Les réponses au questionnaire doivent être vérifiées. Un fournisseur déclarant une certification ISO 27001 sans produire le certificat ne fournit aucune base pour une décision de risque. Demandez et examinez ces documents :

Déclaration	Preuve requise
Certifié ISO 27001	Certificat en cours de validité d'un organisme accrédité (vérifier expiration + périmètre)
SOC 2 Type II	Rapport SOC 2 complet (pas seulement la lettre de synthèse)
Tests d'intrusion réalisés	Résumé exécutif d'un testeur indépendant + journal de remédiation
Conforme au RGPD	Modèle de DPA, liste des sous-traitants, mécanisme de transfert de données
BCP/DR testé	Rapport de test avec date, scénario et résultats
Financièrement stable	Rapport annuel ou comptes audités (récents)

Signaux d'alerte lors de l'examen documentaire :

Le périmètre du certificat ISO 27001 exclut les systèmes qui traiteront vos données
Le rapport SOC 2 est de Type I (pas Type II) — teste uniquement la conception, pas l'efficacité opérationnelle
Le test d'intrusion a été réalisé il y a plus de 18 mois sans suivi
Le certificat provient d'un organisme inconnu ou non accrédité
La liste des sous-traitants est incomplète ou indisponible (« confidentielle »)

Étape 4 : Noter le risque

Combinez le risque inhérent (Étape 1) et l'efficacité des contrôles pour calculer le risque résiduel.

Notation de l'efficacité des contrôles

Après examen des réponses au questionnaire et des documents, notez les contrôles du fournisseur :

Solides — certifié, audité récemment, les preuves correspondent aux déclarations, aucune observation significative
Adéquats — certifié ou audité, lacunes mineures identifiées, plan de remédiation en place
Faibles — auto-déclaré uniquement, lacunes identifiées, aucune preuve de remédiation
Insuffisants — aucune certification, rapport d'audit indisponible, lacunes importantes

Matrice du risque résiduel

Risque inhérent	Contrôles solides	Contrôles adéquats	Contrôles faibles	Contrôles insuffisants
Faible	Faible	Faible	Moyen	Moyen
Moyen	Faible	Moyen	Moyen	Élevé
Élevé	Moyen	Élevé	Élevé	Critique
Critique	Élevé	Élevé	Critique	Critique

Décision selon le risque résiduel

Risque résiduel	Décision	Exigences
Faible	Approbation automatique	Contrat standard + DPA
Moyen	Approbation conditionnelle	Clauses contractuelles supplémentaires, calendrier de remédiation
Élevé	Approbation de la direction requise	Acceptation de risque signée + surveillance renforcée
Critique	Rejet ou escalade	Le fournisseur doit remédier avant approbation ou trouver une alternative

Étape 5 : Documenter l'évaluation

Chaque évaluation doit produire une trace écrite. Les régulateurs NIS2 et DORA exigent des organisations qu'elles démontrent leur gestion des risques de la chaîne d'approvisionnement — ce qui signifie de la documentation, pas seulement de bonnes intentions.

Le dossier d'évaluation doit inclure :

Nom du fournisseur, classification et périmètre des services
Date de l'évaluation et évaluateur
Version du questionnaire utilisé
Documents justificatifs examinés (avec dates)
Scores de risque : risque inhérent, efficacité des contrôles, risque résiduel
Décision d'approbation et nom de l'approbateur
Conditions, exigences de remédiation ou acceptations de risque
Date de la prochaine révision planifiée

Conservez les évaluations dans un système centralisé accessible aux équipes conformité et juridique — pas dans des fils d'e-mails individuels ou des tableurs.

Exigences NIS2 et DORA pour les évaluations tiers

NIS2 (Article 21(2)(d))

Les organisations concernées par NIS2 doivent mettre en œuvre des mesures de gestion des risques relatives à la sécurité de la chaîne d'approvisionnement :

Évaluation préalable à l'engagement — documentée avant l'intégration des fournisseurs critiques
Exigences de sécurité contractuelles — les standards de sécurité minimaux doivent figurer dans les contrats
Surveillance continue — pas seulement ponctuelle ; surveillance continue des fournisseurs critiques
Notification d'incident — les fournisseurs doivent vous notifier des incidents de sécurité pertinents

L'ANSSI et les autorités compétentes NIS2 s'attendent à ce que les organisations maintiennent un inventaire documenté des fournisseurs avec leurs classifications de risque.

DORA (Articles 28–30)

Les entités financières sous DORA font face à des exigences plus strictes pour le risque lié aux tiers TIC :

Évaluation de risque précontractuelle requise pour tous les prestataires TIC
Évaluation du risque de concentration — évaluer si vous dépendez trop d'un seul prestataire
Stratégie de sortie — documenter comment vous pourriez mettre fin à la relation si le fournisseur échoue
Droit d'audit — les contrats doivent inclure des droits d'audit pour l'entité et les régulateurs
Prestataires TIC critiques — diligence renforcée et obligations de notification à l'EBA/ESA

L'ACPR et l'AMF supervisent l'application de DORA pour les entités financières françaises.

Surveillance continue après l'évaluation

L'approbation n'est pas la fin du processus — c'en est le début. Le risque fournisseur évolue en permanence.

Activités de surveillance par niveau de fournisseur :

Activité	Niveau 1 (Critique)	Niveau 2 (Standard)	Niveau 3 (Faible risque)
Réévaluation	Annuelle	18 à 24 mois	3 ans ou renouvellement de contrat
Surveillance des certifications	Continue	Au renouvellement	Au renouvellement
Veille actualité sécurité	Continue	Trimestrielle	Si nécessaire
Examen des notifications d'incident	Tout incident	Incidents significatifs	Incidents critiques uniquement
Examen des changements de sous-traitants	Tous les changements	Changements significatifs	Non requis

Événements déclencheurs imposant une réévaluation immédiate, indépendamment du calendrier :

Le fournisseur signale un incident de sécurité affectant vos données
Le fournisseur est acquis par un nouveau propriétaire
Changement significatif dans les services ou l'infrastructure couverts
Le fournisseur perd une certification clé
Articles de presse sur une violation, des difficultés financières ou des actions réglementaires

Erreurs courantes à éviter

Traiter le questionnaire comme une évaluation. Un questionnaire capture ce que le fournisseur affirme. Sans examen documentaire et vérification indépendante, vous n'avez aucune base pour une décision de risque.

Appliquer un seul niveau à tous les fournisseurs. Sur-évaluer les fournisseurs à faible risque gaspille du temps et réduit la coopération. Sous-évaluer les fournisseurs critiques crée des angles morts.

Négliger l'examen des sous-traitants. Votre risque ne s'arrête pas à votre fournisseur direct. S'il recourt à des sous-traitants aux contrôles plus faibles, ce risque devient le vôtre.

Approuver sans conditions. Les fournisseurs présentant un risque résiduel moyen ou élevé peuvent être approuvés — mais uniquement avec des conditions documentées : délais de remédiation, clauses contractuelles renforcées ou surveillance supplémentaire.

Pas de déclencheur de réévaluation. Les réévaluations basées sur un calendrier seul manquent les moments les plus dangereux : post-acquisition, post-incident et post-changement de périmètre.

Modèle de liste de contrôle pour l'évaluation des risques tiers

Utilisez cette liste de contrôle récapitulative comme dossier d'évaluation. Pour le questionnaire complet de 80 questions par domaine, consultez le Modèle d'évaluation des risques fournisseurs.

Avant l'évaluation

Fournisseur classifié (Niveau 1 / 2 / 3)
Risque inhérent noté (sensibilité des données, volume, accès, criticité)
Niveau d'évaluation confirmé avec le responsable du risque

Questionnaire et examen documentaire

Questionnaire envoyé et retourné
Certificat ISO 27001 / SOC 2 examiné (périmètre et expiration vérifiés)
Rapport de test d'intrusion examiné (date + statut de remédiation)
Liste des sous-traitants obtenue
DPA examiné (localisation des données, conservation, suppression)
Rapport de test BCP/DR examiné
Preuves de stabilité financière obtenues

Notation et décision

Efficacité des contrôles notée (Solides / Adéquats / Faibles / Insuffisants)
Risque résiduel calculé
Décision d'approbation documentée
Conditions ou exigences de remédiation enregistrées
Acceptation de risque signée (si risque résiduel élevé)
Dossier d'évaluation conservé dans le registre fournisseurs

Après approbation

DPA et clauses contractuelles de sécurité signés
Fréquence de surveillance définie
Date de prochaine réévaluation calendérisée
Processus de notification d'incident confirmé avec le fournisseur

Comment Orbiq automatise les évaluations des risques fournisseurs

Exécuter ce processus manuellement sur des dizaines ou des centaines de fournisseurs crée des goulots d'étranglement. Les équipes de sécurité passent des semaines à relancer les réponses aux questionnaires, gérer les versions de documents par e-mail et construire des scores de risque dans des tableurs.

La Plateforme Vendor Assurance d'Orbiq automatise l'ensemble du flux de travail :

Distribution automatisée des questionnaires — envoyer des paquets d'évaluation aux fournisseurs en quelques minutes
Analyse des réponses par IA — identifier les lacunes et incohérences sans revue manuelle
Surveillance des certifications — être alerté quand les certifications fournisseurs approchent de leur expiration
Registre de risques centralisé — toutes les évaluations, scores et décisions en un seul endroit
Documentation prête pour l'audit — enregistrements conformes NIS2 et DORA générés automatiquement

Pour les organisations gérant plus de 20 fournisseurs, l'automatisation réduit le temps de cycle d'évaluation de 60 à 80 % et élimine le risque de conformité lié aux processus papier.

Pour aller plus loin :