Le processus de gestion des risques fournisseurs : 6 étapes pour 2026
Guide pratique du processus de gestion des risques fournisseurs — de l'identification et du scoring des fournisseurs à la diligence raisonnable, la surveillance continue et le départ. Avec alignement NIS2 et DORA.
Le processus de gestion des risques fournisseurs : 6 étapes pour 2026
La gestion des risques fournisseurs n'est pas une activité annuelle. Avec une moyenne de 286 prestataires tiers en 2026 — contre 237 en 2024 — et NIS2, DORA et ISO 27001 exigeant tous des contrôles de chaîne d'approvisionnement démontrables, un processus documenté et reproductible est une exigence opérationnelle de base, pas une bonne pratique optionnelle.
Ce guide décrit les six étapes du processus de gestion des risques fournisseurs, avec des conseils pratiques sur les activités à chaque étape, la profondeur variable selon le niveau de risque, et les exigences réglementaires de l'UE (NIS2 article 21, DORA articles 28–30).
Points clés à retenir
- Le processus VRM comprend six étapes : identification → classification des risques → diligence raisonnable → gouvernance contractuelle → surveillance continue → départ.
- La profondeur du processus varie selon le niveau de risque : les fournisseurs critiques nécessitent des évaluations annuelles complètes et une surveillance continue.
- L'article 21(2)(d) de NIS2 et les articles 28–30 de DORA exigent des processus VRM documentés et systématiques.
- 49 % des organisations indiquent que leur méthode actuelle ne peut pas évaluer les risques à chaque étape du cycle de vie.
- Pour l'infrastructure organisationnelle : voir notre Guide du programme de gestion des risques fournisseurs.
Processus vs. programme : une distinction essentielle
- Un programme VRM est l'infrastructure organisationnelle : politiques, propriété, appétit pour le risque, gouvernance et reporting.
- Un processus VRM est le flux de travail opérationnel : la séquence spécifique d'étapes exécutées pour chaque relation fournisseur.
Le processus nécessite le programme pour être efficace — sans gouvernance et standards documentés, les étapes du processus produisent des résultats incohérents sans piste d'audit.
Les 6 étapes du processus de gestion des risques fournisseurs
Étape 1 : Identification et inventaire des fournisseurs
Ce qui n'est pas cartographié ne peut être géré. La première étape consiste à construire et maintenir un registre complet et précis de toutes les relations fournisseurs.
Activités clés :
- Consolider les données fournisseurs depuis au moins trois sources : finances/achats, IT et juridique
- Pour chaque fournisseur, capturer : nom et entité légale, services fournis, niveau d'accès aux données, intégration système, responsable métier, échéance contractuelle
- Identifier le shadow IT : outils SaaS achetés par carte bancaire sans enregistrement IT
Erreur courante : Construire l'inventaire depuis une seule source. Les systèmes d'achats manquent les outils SaaS payés par carte bancaire. Les systèmes IT manquent les contrats de conseil avec accès aux données.
Note réglementaire : L'ANSSI, l'ACPR et les autorités compétentes NIS2 attendent un registre documenté et maintenu — pas une liste assemblée lors de la préparation d'un audit.
Étape 2 : Classification et catégorisation des risques
La classification des risques applique une méthodologie cohérente pour classer chaque fournisseur par niveau de risque inhérent :
| Facteur | Faible (1) | Moyen (2) | Élevé (3) | Critique (4) |
|---|---|---|---|---|
| Sensibilité des données | Publiques uniquement | Données internes | Confidentielles / personnelles | Catégories spéciales / réglementées |
| Volume des données | Aucun | Limité | Modéré | Traitement à grande échelle |
| Accès aux systèmes | Aucun | Lecture seule | Accès en écriture | Admin / accès privilégié |
| Criticité du service | Accessoire | Support opérationnel | Important | Mission-critique |
Attribution des niveaux :
| Score total | Niveau | Profondeur d'évaluation |
|---|---|---|
| 4–7 | Niveau 3 — Risque faible | Liste de contrôle légère (~20 points) |
| 8–11 | Niveau 2 — Standard | Questionnaire standard (40–60 questions + revue documentaire) |
| 12–16 | Niveau 1 — Élevé / Critique | Évaluation complète (80+ questions + revue documentaire + vérification des preuves) |
Étape 3 : Diligence raisonnable préalable à l'engagement
Avant d'intégrer tout nouveau fournisseur, effectuez une évaluation structurée calibrée au niveau de risque du fournisseur. Identifier un risque critique avant la signature d'un contrat est bien moins coûteux que de le gérer une fois la relation établie.
Domaines d'évaluation pour le Niveau 1 :
- Contrôles de sécurité de l'information (gestion des accès, chiffrement, gestion des correctifs, réponse aux incidents)
- Certifications de conformité (ISO 27001, SOC 2 Type II, RGPD, NIS2, statut DORA)
- Traitement des données (localisation, sous-traitants, conservation et suppression)
- Continuité d'activité (DR/PCA, RTO/RPO, redondance géographique)
- Stabilité financière (assurance, solvabilité, dépendances aux personnes clés)
- Risque de quatrième partie (chaîne de sous-traitance)
Note spécifique DORA : L'article 28 de DORA exige une évaluation des risques préalable au contrat pour tous les prestataires ICT. Pour les tiers ICT critiques désignés par l'ABE/EIOPA/ESMA, une diligence renforcée est obligatoire et peut déclencher des obligations de notification.
Pour le modèle complet d'évaluation : Modèle d'évaluation des risques fournisseurs.
Étape 4 : Gouvernance contractuelle et obligations de risque
La diligence raisonnable identifie les risques ; les contrats créent des obligations exécutoires pour les gérer. Un constat d'évaluation sans exigence contractuelle correspondante est un constat sans remède.
Exigences minimales pour tous les contrats fournisseurs :
- DPA (accord de traitement des données) : exigé par l'article 28 du RGPD pour tout fournisseur traitant des données personnelles
- Obligations de sécurité : standards de sécurité minimaux que le fournisseur doit maintenir
- Signalement d'incidents : le fournisseur doit vous notifier dans un délai défini (généralement 24–72 heures)
- Droits d'audit : votre droit d'auditer les contrôles de sécurité du fournisseur ou d'exiger des rapports d'audit tiers
Clauses renforcées pour les fournisseurs de Niveau 1 :
- Droits d'approbation des sous-traitants ultérieurs
- Divulgation des risques de concentration
- Dispositions de sortie avec restitution et suppression des données
- Délais de remédiation pour les lacunes de sécurité identifiées
Exigences contractuelles spécifiques DORA (articles 28–30) :
- Exigences de niveau de service et obligations de reporting
- Dispositions de continuité d'activité et de reprise après sinistre
- Clauses complètes d'accès aux données et d'auditabilité
- Stratégies de sortie préservant la résilience opérationnelle
- Exigences de divulgation des sous-traitants (identification de la société mère ultime)
Étape 5 : Surveillance continue
Les évaluations ponctuelles expirent le jour de leur réalisation. Un fournisseur qui a passé votre évaluation il y a 18 mois a peut-être depuis perdu sa certification ISO 27001, subi une violation de données ou été acquis par une entité plus risquée.
Activités de surveillance par niveau :
| Activité | Niveau 1 (Critique) | Niveau 2 (Standard) | Niveau 3 (Faible) |
|---|---|---|---|
| Évaluation complète | Annuelle | Tous les 18–24 mois | Tous les 3 ans / au renouvellement |
| Surveillance expiration certifications | Continue | Au renouvellement | Au renouvellement |
| Veille sécurité / violations | Continue | Trimestrielle | En cas de besoin |
| Revue changements sous-traitants | Tous changements | Changements matériels | Non requis |
| Vérification santé financière | Annuelle | Au renouvellement | Non requis |
Déclencheurs de réévaluation liés à des événements (indépendamment du cycle planifié) :
- Le fournisseur signale un incident de sécurité affectant vos données
- Acquisition ou fusion du fournisseur
- Changement significatif des services, de l'accès aux données ou de l'infrastructure
- Perte d'une certification clé
- Rapports publics de violation, détresse financière ou mesure réglementaire
Sous NIS2 et DORA, la surveillance continue n'est pas optionnelle — les autorités attendent une supervision permanente. Seulement 14 % des équipes achats utilisent actuellement des outils de surveillance continue pour l'oversight des fournisseurs.
Étape 6 : Renouvellement ou départ structuré
Au renouvellement :
- Réévaluer le niveau de risque du fournisseur (la portée peut avoir changé)
- Vérifier l'actualité de l'évaluation : si la dernière évaluation pour le Niveau 1 date de plus de 12 mois, réévaluer avant signature
- Examiner les termes contractuels : NIS2 et DORA peuvent nécessiter de nouvelles clauses
Au départ :
Le départ structuré devrait commencer 90 à 180 jours avant la résiliation pour les fournisseurs de Niveau 1 :
- Révocation des accès : suppression complète de tous les accès du fournisseur
- Restitution des données : le fournisseur restitue vos données dans un format utilisable sous 30 jours
- Confirmation de suppression : confirmation écrite que toutes les données ont été supprimées de tous les systèmes, y compris les sauvegardes
- Dénouement des sous-traitants : s'assurer que l'accès via les sous-traitants du fournisseur est également révoqué
- Documentation de transition : transfert de la documentation opérationnelle avant la sortie
Exigence DORA pour le départ : L'article 28 de DORA exige des stratégies de sortie pour les prestataires ICT critiques qui préservent la résilience opérationnelle. Elles doivent être documentées avant l'intégration, pas assemblées au moment de la résiliation.
Exigences réglementaires EU pour le processus VRM
NIS2 Article 21(2)(d)
NIS2 exige que les entités concernées adressent la sécurité dans les relations de la chaîne d'approvisionnement. Le processus doit couvrir :
- Inventaire documenté des fournisseurs avec classification de criticité
- Évaluation préalable à l'engagement pour les fournisseurs avec accès aux systèmes critiques
- Exigences de sécurité minimales dans les contrats fournisseurs
- Surveillance continue des fournisseurs critiques
- Chaîne de notification d'incidents
En France, la transposition s'appuie sur la loi SREN et les décrets d'application ANSSI. L'ANSSI attend des preuves documentées d'un processus systématique.
DORA Articles 28–30
DORA impose les exigences de risque tiers les plus strictes d'Europe pour les entités financières :
- Registre de tous les contrats ICT tiers
- Évaluations des risques préalables au contrat
- Gestion du risque de concentration
- Diligence renforcée pour les tiers ICT critiques désignés
- Stratégies de sortie documentées
L'ACPR (Autorité de Contrôle Prudentiel et de Résolution) supervise la conformité DORA en France.
Royaume-Uni et Norvège
FCA PS21/3 : Les institutions financières britanniques doivent avoir des processus documentés et systématiques pour gérer les risques opérationnels tiers.
Norvège : Les organisations norvégiennes appliquent NIS2 via l'accord EEE, avec la Nasjonal sikkerhetsmyndighet (NSM) fournissant des orientations sectorielles sur la sécurité de la chaîne d'approvisionnement.
Erreurs courantes et comment les éviter
Commencer l'évaluation sans gouvernance. Sans politique d'appétit pour le risque et propriété claire, les résultats n'ont pas d'autorité décisionnelle.
Inventaire depuis une seule source. Les systèmes d'achats manquent le shadow IT. Les systèmes IT manquent les contrats de conseil.
Traiter tous les fournisseurs comme Niveau 1. Si tout est critique, rien ne reçoit la profondeur requise.
Évaluation sans exigences contractuelles. Un constat sans obligation contractuelle n'a pas de remède.
Pas de déclencheurs de surveillance liés à des événements. Les cycles calendaires manquent les changements matériels entre les évaluations.
Mauvais processus de départ. Les fournisseurs avec accès résiduel après résiliation sont un risque réglementaire et sécuritaire.
Automatiser le processus VRM
À 286 fournisseurs, le suivi manuel de chaque étape du cycle de vie sur l'ensemble du portefeuille n'est pas viable opérationnellement. Seulement 13 % des équipes TPRM disposent de capacités d'automatisation pleinement matures.
La Plateforme Vendor Assurance d'Orbiq automatise chaque étape :
- Inventaire et classification des fournisseurs
- Distribution automatisée des questionnaires et suivi des réponses
- Surveillance continue des certifications en temps réel
- Surveillance continue avec flux d'événements de sécurité
- Documentation prête pour l'audit NIS2 et DORA
→ Explorer la Plateforme Vendor Assurance → Découvrir la surveillance continue
Sources & Références
- Secureframe — 100+ statistiques sur les risques tiers 2026 — Organisation moyenne gérant 286 fournisseurs ; 49 % ne peuvent évaluer les risques à chaque étape ; 13 % ont une automatisation mature
- UpGuard — Workflow de gestion des risques fournisseurs 2026 — Guide en 6 étapes
- Panorays — VRM Guide complet 2026 — Cycle de vie et bonnes pratiques VRM
- Atlas Systems — Surveillance continue des risques fournisseurs 2026 — Seulement 14 % des équipes achats utilisent des outils de surveillance continue
- SITS — NIS2, DORA & chaîne d'approvisionnement — Exigences réglementaires EU pour la chaîne d'approvisionnement
Lectures complémentaires :