Que doit contenir un modèle d'évaluation des risques fournisseurs ?

Un modèle complet doit couvrir six domaines : (1) Mesures de sécurité de l'information — gestion des accès, chiffrement, gestion des vulnérabilités, réponse aux incidents ; (2) Conformité et certifications — ISO 27001, SOC 2, RGPD, NIS2/DORA ; (3) Traitement des données — localisation, sous-traitants, conservation et suppression ; (4) Continuité d'activité — reprise après sinistre, sauvegardes, garanties SLA ; (5) Stabilité financière et opérationnelle — assurance, risque de dépendance personnelle, viabilité du fournisseur ; (6) Risque lié aux sous-traitants — liste des sous-traitants et processus d'évaluation.

Comment calculer le score d'une évaluation des risques fournisseurs ?

La notation utilise une matrice à deux dimensions : le risque inhérent (basé sur la sensibilité des données, le volume, les accès systèmes et la criticité du service — noté Faible/Moyen/Élevé/Critique) combiné avec l'efficacité des contrôles (basée sur les certifications, rapports d'audit et contrôles vérifiés — notée Forte/Adéquate/Faible/Insuffisante). La combinaison donne le niveau de risque résiduel.

L'évaluation des risques fournisseurs est-elle obligatoire pour ISO 27001 ?

Oui. ISO 27001:2022 Annexe A Mesures 5.19, 5.20 et 5.21 exigent que les organisations gèrent la sécurité de l'information dans les relations avec les fournisseurs, établissent des exigences de sécurité avec eux et gèrent la sécurité de la chaîne d'approvisionnement TIC. Des évaluations documentées sont des preuves obligatoires pour les audits de certification.

Quelle est la fréquence recommandée des évaluations des risques fournisseurs ?

La fréquence doit être basée sur le risque : fournisseurs critiques annuellement (plus surveillance continue), fournisseurs à risque élevé tous les 12 à 18 mois, fournisseurs standards tous les 2 ans, fournisseurs à faible risque tous les 3 ans ou au renouvellement du contrat. Une réévaluation est également requise après un incident de sécurité, un changement significatif de services ou de nouvelles exigences réglementaires.

Que requiert NIS2 en matière d'évaluation des fournisseurs ?

L'article 21(2)(d) de NIS2 impose aux entités essentielles et importantes des mesures de sécurité de la chaîne d'approvisionnement, incluant l'évaluation des pratiques de sécurité des fournisseurs directs et de leurs vulnérabilités. Les infractions peuvent entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel.

Modèle d'évaluation des risques fournisseurs : Checklist gratuite 2026

2026-03-17

By Orbiq Team

Modèle d'évaluation des risques fournisseurs : Checklist gratuite 2026

Modèle gratuit d'évaluation des risques fournisseurs avec checklist complète pour la sécurité, la conformité, la gestion des données et la continuité d'activité — couvrant ISO 27001, NIS2 et DORA.

risque-fournisseur

modele

risque-tiers

iso-27001

nis2

dora

Modèle d'évaluation des risques fournisseurs : Checklist gratuite 2026

L'évaluation des risques fournisseurs est le processus structuré qui détermine si un tiers peut se voir confier vos données, systèmes ou services — et dans quelles conditions. Cette page propose un modèle complet et prêt à l'emploi couvrant les six domaines d'évaluation, un cadre de notation et des conseils d'utilisation.

Le modèle est conçu pour répondre aux exigences d'ISO 27001 (Annexe A 5.19–5.21), NIS2 (Article 21(2)(d)) et DORA (Articles 28–30).

Pourquoi un modèle structuré est indispensable

Les évaluations ad hoc produisent des résultats incohérents : le même fournisseur évalué par deux membres d'équipe différents peut recevoir des niveaux de risque totalement différents. Un modèle standardisé garantit :

Cohérence — chaque fournisseur est évalué selon les mêmes critères
Traçabilité — les évaluations documentées satisfont aux exigences des auditeurs et des régulateurs
Scalabilité — les processus reproductibles peuvent être délégués et automatisés
Comparabilité — les données structurées permettent de comparer les profils de risque des fournisseurs dans le temps

Selon le rapport Bitsight sur la gestion des risques tiers 2025, seulement un tiers des organisations surveillent en continu toutes leurs relations avec des tiers pour les risques cyber [1]. La majorité s'appuie sur des évaluations ponctuelles — un modèle rigoureux constitue donc le minimum indispensable.

Pour les entreprises françaises — en particulier les groupes du CAC 40 et les ETI soumises à NIS2, ou les établissements financiers assujettis à DORA — un processus d'évaluation structuré n'est plus une bonne pratique : c'est une obligation légale. Les recommandations de l'ANSSI sur la sécurité des prestataires soulignent également la nécessité d'une approche documentée et proportionnée au risque.

Étape préliminaire : Classer le fournisseur

Avant d'appliquer le modèle complet, classez le fournisseur pour déterminer la profondeur d'évaluation requise.

Classification du risque inhérent

Facteur	Faible	Moyen	Élevé	Critique
Sensibilité des données	Données publiques uniquement	Données internes	Données confidentielles	Données personnelles réglementées
Volume de données	Minimal	Modéré	Significatif	Traitement à grande échelle
Accès systèmes	Aucun accès direct	Lecture seule	Lecture/écriture	Administrateur/accès privilégié
Criticité du service	Accessoire	Support	Important	Critique/essentiel
Remplaçabilité	Facile à remplacer	Quelques efforts	Difficile	Fort risque de lock-in

Niveau de risque inhérent global : Faible / Moyen / Élevé / Critique

Niveau d'évaluation

Risque inhérent	Niveau d'évaluation	Sections requises
Critique	Niveau 1 — Complet	Les six sections + vérification indépendante
Élevé	Niveau 1 — Complet	Les six sections
Moyen	Niveau 2 — Standard	Sections 1 à 4
Faible	Niveau 3 — Allégé	Résumé section 1 + section 2

Le Modèle

Section 1 : Mesures de sécurité de l'information

Évaluer chaque domaine : ✅ Vérifié / ⚠️ Partiel / auto-attesté / ❌ Absent / N/A

1.1 Gestion des accès

Mesure	Statut	Notes / Preuves
Authentification multifacteur imposée pour tous les comptes
Contrôle d'accès basé sur les rôles (RBAC) mis en place
Gestion des accès à privilèges (PAM) en place
Revues des accès réalisées (au moins annuellement)
Processus entrées/mutations/sorties documenté
Accès aux données clients limité au besoin d'en connaître

1.2 Chiffrement

Mesure	Statut	Notes / Preuves
Données au repos chiffrées (AES-256 ou équivalent)
Données en transit chiffrées (TLS 1.2+ imposé)
Processus de gestion des clés documenté
Clés de chiffrement gérées par le client disponibles

1.3 Gestion des vulnérabilités

Mesure	Statut	Notes / Preuves
Analyses de vulnérabilités régulières effectuées
Correctifs critiques appliqués dans le SLA défini
Test d'intrusion réalisé dans les 12 derniers mois
Résultats du test d'intrusion et mesures correctives disponibles
Programme de divulgation responsable / bug bounty

1.4 Réponse aux incidents

Mesure	Statut	Notes / Preuves
Plan de réponse aux incidents documenté
SLA de notification d'incident de sécurité défini
Processus de notification des clients en cas de violation
Processus de revue post-incident en place
Capacité de surveillance et d'opérations de sécurité

1.5 Sécurité réseau et infrastructure

Mesure	Statut	Notes / Preuves
Segmentation réseau mise en place
Pare-feux et systèmes de détection d'intrusion
Protection DDoS en place
Journaux d'audit conservés (minimum 12 mois)
Processus de gestion des changements documenté

Résumé Section 1 :

Mesures vérifiées : ___ / 24
Lacunes critiques identifiées : ___
Efficacité des contrôles : Forte / Adéquate / Faible / Insuffisante

Section 2 : Conformité et certifications

Certification / Référentiel	Statut	Expiration / Dernier audit	Rapport disponible ?
ISO 27001:2022	Certifié / En cours / Non
SOC 2 Type II	Réalisé / En cours / Non
ISO 27701 (Vie privée)	Certifié / Non
Conformité RGPD	Documentée / Partielle / Non
Mesures de conformité NIS2	Mises en œuvre / Partielles / Non
Conformité DORA (secteur financier)	Mise en œuvre / Partielle / Non
Test d'intrusion (12 derniers mois)	Oui / Non
Bug bounty / divulgation responsable	Actif / Non

Vérification des certifications : Avez-vous vérifié de manière indépendante la validité du certificat (ex. via IAF CertSearch pour ISO 27001) ? ☐ Oui ☐ Non

Résumé Section 2 :

Certifications vérifiées : ___
Lacunes de conformité importantes : ___

Section 3 : Traitement des données

Question	Réponse	Notes
Quels types de données le fournisseur accède-t-il ou traite-t-il ?
Où les données sont-elles stockées et traitées ? (pays/régions)
Les données sont-elles stockées dans l'UE/EEE ?	Oui / Non / Partiellement
Le fournisseur utilise-t-il des sous-traitants ?	Oui / Non
Liste des sous-traitants disponible ?	Oui / Non
Procédure de notification en cas de changement de sous-traitant ?	Oui / Non
Durée de conservation des données définie ?	Oui / Non — ___ jours
Processus de suppression sécurisée documenté ?	Oui / Non
Portabilité / exportation des données possible ?	Oui / Non
Contrat de traitement de données (DPA) signé ?	Oui / Non

Résumé Section 3 :

Stockage conforme RGPD (UE) : ☐ Oui ☐ Non ☐ Partiel
DPA signé : ☐ Oui ☐ Non
Risque lié aux sous-traitants : ☐ Faible ☐ Moyen ☐ Élevé

Section 4 : Continuité d'activité

Question	Réponse	Notes
Objectif de temps de reprise (RTO)		Heures
Objectif de point de reprise (RPO)		Heures
Plan de continuité d'activité documenté ?	Oui / Non
Test de reprise après sinistre réalisé (12 derniers mois) ?	Oui / Non
Fréquence des sauvegardes et distribution géographique
SLA de disponibilité		%
Remède en cas de violation du SLA défini ?	Oui / Non
Processus de sortie/transition disponible ?	Oui / Non
Assistance à la migration des données en fin de contrat ?	Oui / Non

Résumé Section 4 :

RTO/RPO acceptables pour la criticité : ☐ Oui ☐ Non
Évaluation continuité d'activité : Forte / Adéquate / Faible / Insuffisante

Section 5 : Stabilité financière et opérationnelle

(Évaluations de niveau 1 uniquement)

Question	Réponse	Notes
Âge de l'entreprise		Années
Chiffre d'affaires approximatif / stade de financement
Assurance responsabilité cyber souscrite ?	Oui / Non
Montant de la couverture d'assurance		EUR
Dépendances à des personnes clés identifiées ?	Oui / Non
Risque de concentration clients		(ex. un client > 30 % du CA ?)
Litiges en cours / sanctions réglementaires	Aucun / Oui

Résumé Section 5 :

Risque de stabilité financière : ☐ Faible ☐ Moyen ☐ Élevé

Section 6 : Risque lié aux sous-traitants et à la chaîne d'approvisionnement

(Évaluations de niveau 1 uniquement)

Question	Réponse	Notes
Le fournisseur utilise-t-il des sous-traitants TIC critiques ?	Oui / Non
Processus d'évaluation des sous-traitants documenté ?	Oui / Non
Les exigences de sécurité se transmettent-elles aux sous-traitants ?	Oui / Non
Sous-traitants critiques identifiables en cas d'incident ?	Oui / Non
Risque de concentration chez les sous-traitants évalué ?	Oui / Non

Résumé Section 6 :

Risque chaîne d'approvisionnement : ☐ Faible ☐ Moyen ☐ Élevé

Calcul du risque résiduel

Étape 1 : Risque inhérent (de la classification ci-dessus)

Faible / Moyen / Élevé / Critique

Étape 2 : Efficacité des contrôles

Basée sur les résultats des Sections 1 et 2 :

Forte — Certifié ISO 27001 ou SOC 2 Type II, audit propre, tous les contrôles critiques vérifiés
Adéquate — La plupart des contrôles en place, certaines certifications, lacunes mineures
Faible — Contrôles de base uniquement, preuves limitées, lacunes significatives dans un ou plusieurs domaines
Insuffisante — Défaillances matérielles de contrôles, aucune certification, non coopératif

Étape 3 : Matrice de risque résiduel

	Contrôles forts	Contrôles adéquats	Contrôles faibles	Contrôles insuffisants
Critique inhérent	Élevé	Élevé	Critique	Critique
Élevé inhérent	Moyen	Élevé	Élevé	Critique
Moyen inhérent	Faible	Moyen	Élevé	Élevé
Faible inhérent	Faible	Faible	Moyen	Élevé

Niveau de risque résiduel : Faible / Moyen / Élevé / Critique

Étape 4 : Actions requises

Risque résiduel	Approbation requise	Contrôles supplémentaires	Fréquence de surveillance
Faible	Chef d'équipe	Aucun requis	Annuelle
Moyen	Responsable sécurité	Peut être requis	Tous les 6 mois
Élevé	RSSI / Direction	Requis — à documenter	Trimestrielle
Critique	Comité exécutif	Obligatoire ou refus du fournisseur	Continue

Finalisation de l'évaluation

Résumé de l'évaluation

Champ	Détail
Nom du fournisseur
Date de l'évaluation
Nom/rôle de l'évaluateur
Niveau d'évaluation (1/2/3)
Niveau de risque inhérent
Évaluation de l'efficacité des contrôles
Niveau de risque résiduel
Décision de risque	☐ Approuvé ☐ Approuvé sous conditions ☐ Refusé
Conditions / contrôles requis
Date de prochaine révision
Nom/rôle de l'approbateur
Date d'approbation

Checklist de documentation

Avant d'archiver l'évaluation, confirmer :

☐ Questionnaire de sécurité complété (fourni par le fournisseur)
☐ Certificat ISO 27001 (vérifié de manière indépendante) ou rapport SOC 2 Type II
☐ Contrat de traitement des données (DPA) signé
☐ Liste des sous-traitants obtenue
☐ Notation des risques finalisée et validée
☐ Conditions / actions de remédiation documentées
☐ Date de prochaine révision inscrite dans le calendrier

Couverture des exigences réglementaires

ISO 27001:2022

Mesure	Couverture par le modèle
5.19 — Sécurité de l'information dans les relations fournisseurs	Modèle complet
5.20 — Sécurité de l'information dans les accords fournisseurs	Section 3 (DPA), Section 4 (SLA), Section 6 (transmission)
5.21 — Sécurité de la chaîne d'approvisionnement TIC	Section 6 (sous-traitants), surveillance continue

Les auditeurs attendront : des dossiers d'évaluation complétés, des preuves de vérification des certifications, des décisions de risque documentées et des dates de réévaluation planifiées.

NIS2 Article 21(2)(d)

NIS2 exige des entités essentielles et importantes des mesures de sécurité de la chaîne d'approvisionnement, incluant l'évaluation des pratiques de sécurité et des vulnérabilités des fournisseurs directs. Les recommandations de l'ANSSI en matière de sécurité des prestataires soulignent l'importance d'une approche documentée et proportionnée. Les Sections 1, 2 et 6 de ce modèle répondent directement à ces exigences.

DORA Articles 28–30

DORA impose aux entités financières de réaliser des évaluations des risques précontractuelles des prestataires tiers de services TIC avant la conclusion de contrats critiques. Le modèle complet de niveau 1 (les six sections) satisfait à l'exigence d'évaluation précontractuelle de DORA. Les Sections 3 et 4 couvrent les exigences spécifiques de DORA relatives à la localisation des données, aux droits d'audit et aux stratégies de sortie.

Automatisation des évaluations des risques fournisseurs

Les évaluations manuelles basées sur un modèle fonctionnent à petite échelle. Dès que vous gérez des dizaines de fournisseurs, le processus montre ses limites :

La coordination des questionnaires devient une charge de gestion de projet
Le stockage des preuves se fragmente entre e-mails et espaces partagés
Les dates de réévaluation périodiques sont manquées
La préparation aux audits nécessite de reconstituer des pistes documentaires

Ce que l'automatisation résout :

Point de douleur manuel	Solution automatisée
Envoi et relance des questionnaires	Distribution automatisée et rappels
Stockage des certificats et rapports d'audit	Référentiel de preuves centralisé
Cohérence de la notation des risques	Moteur de notation standardisé
Suivi des dates de réévaluation	Planification automatique des révisions
Préparation des preuves d'audit	Dossiers d'évaluation exportables
Surveillance entre évaluations	Surveillance continue des certifications et de la posture

Les plateformes VRM d'entreprise comme UpGuard Vendor Risk (à partir de ~1 599 USD/mois pour le plan Starter), Prevalent et OneTrust TPRM (tarifs très variables ; les implémentations enterprise vont généralement de 10 000 à 40 000+ USD/an selon le volume de fournisseurs et les modules) offrent une automatisation complète mais s'adressent aux organisations gérant des centaines ou des milliers de fournisseurs [2].

Pour les entreprises européennes — notamment les ETI françaises nécessitant une certification ISO 27001, la conformité NIS2 et la visibilité d'un Trust Center — une plateforme de conformité spécialisée offre les fonctionnalités essentielles d'évaluation et de surveillance sans la complexité d'implémentation des solutions entreprise.

Comment Orbiq soutient l'évaluation des risques fournisseurs

La plateforme d'assurance fournisseurs d'Orbiq rationalise les deux dimensions de la gestion des risques fournisseurs :

Sortant (vos fournisseurs) : Distribuer des évaluations, collecter les réponses aux questionnaires, stocker les certificats et rapports d'audit, et suivre les décisions de risque dans un système centralisé. Les rappels automatiques remplacent les relances manuelles.
Entrant (évaluations de vos clients sur vous) : Publiez votre posture de sécurité, certifications et preuves de conformité dans un Trust Center pour que vos clients puissent évaluer votre risque sans envoyer de questionnaires manuels.
Surveillance continue : Suivez les changements de statut des certifications fournisseurs, les notifications de violations et les lacunes de conformité entre les cycles d'évaluation formels.
Résidence des données dans l'UE : Toutes les données d'évaluation restent dans l'UE — une exigence pour les organisations soumises au RGPD, NIS2 et DORA.

Ressources complémentaires

Gestion des risques fournisseurs : Le guide définitif — guide complet du programme VRM, exigences réglementaires européennes et comparaisons d'outils
Évaluation des risques fournisseurs (Glossaire) — définition, calendrier et méthode de notation des risques
Gestion des risques tiers — construire un programme TPRM complet
Sécurité de la chaîne d'approvisionnement NIS2 — exigences spécifiques de NIS2 pour l'évaluation de la chaîne d'approvisionnement
Automatisation de la conformité — automatiser la collecte de preuves pour les évaluations fournisseurs

Sources & Références

Bitsight. (2025). Third-Party Risk Management Report. Bitsight Technologies. https://www.bitsight.com/resources/third-party-risk-management
UpGuard. (2026). Vendor Risk Pricing. https://www.upguard.com/pricing — Tarifs Prevalent TPRM issus de la documentation fournisseur ; tarifs entreprise OneTrust issus de sources analytiques.

Ce modèle est maintenu par l'équipe Orbiq. Dernière mise à jour : Mars 2026.