Qu'est-ce qu'une evaluation des risques fournisseurs ?

Une evaluation des risques fournisseurs est une evaluation structuree des risques de securite, de conformite et operationnels qu'un fournisseur tiers introduit dans votre organisation. Elle examine les controles de securite du fournisseur, ses pratiques de traitement des donnees, sa conformite reglementaire, sa stabilite financiere et ses capacites de continuite d'activite afin de determiner si le risque de travailler avec lui est acceptable.

Quand faut-il realiser une evaluation des risques fournisseurs ?

Realisez une evaluation des risques fournisseurs avant l'integration de tout nouveau fournisseur qui accede a vos donnees ou systemes (due diligence pre-contractuelle), lors des cycles de revue reguliers pour les fournisseurs existants (generalement annuellement pour les fournisseurs critiques, tous les deux ans pour les fournisseurs standards), apres un incident de securite ou une violation de donnees chez un fournisseur, lorsque le perimetre d'acces ou de services d'un fournisseur change significativement, et lorsque de nouvelles exigences reglementaires entrent en vigueur (par exemple la mise en oeuvre de NIS2 ou DORA).

Quelle est la difference entre une evaluation des risques fournisseurs et un questionnaire de securite ?

Un questionnaire de securite est une donnee d'entree de l'evaluation des risques fournisseurs, pas l'evaluation elle-meme. Une evaluation des risques fournisseurs est le processus complet d'evaluation — elle combine les reponses au questionnaire avec une verification independante (certifications, rapports d'audit, resultats de tests d'intrusion), un scoring des risques et une decision formelle d'acceptation du risque. Un questionnaire demande quels controles le fournisseur pretend avoir ; l'evaluation determine si ces affirmations sont credibles et si le risque residuel est acceptable.

Que doit inclure une evaluation des risques fournisseurs ?

Une evaluation complete des risques fournisseurs doit evaluer : (1) Les controles de securite de l'information — chiffrement, gestion des acces, reponse aux incidents, gestion des vulnerabilites ; (2) La conformite et les certifications — statut de conformite ISO 27001, SOC 2, RGPD, NIS2 ; (3) Le traitement des donnees — quelles donnees sont accedees, ou elles sont stockees, comment elles sont protegees, pratiques de retention et de suppression ; (4) La continuite d'activite — reprise apres sinistre, procedures de sauvegarde, garanties SLA ; (5) La stabilite financiere — risque d'insolvabilite du fournisseur affectant la continuite du service ; (6) Le risque sous-traitant — si le fournisseur externalise a des tiers supplementaires.

L'evaluation des risques fournisseurs est-elle obligatoire pour ISO 27001 ?

Oui. Le controle A.5.19 de l'annexe A d'ISO 27001:2022 (Securite de l'information dans les relations avec les fournisseurs) exige que les organisations identifient et gerent les risques de securite de l'information associes a l'utilisation des produits et services des fournisseurs. Le controle A.5.20 (Prise en compte de la securite de l'information dans les accords fournisseurs) exige que des exigences de securite soient etablies et convenues avec chaque fournisseur. Le controle A.5.21 (Gestion de la securite de l'information dans la chaine d'approvisionnement TIC) etend cette exigence a l'ensemble de la chaine d'approvisionnement.

Que requiert NIS2 en matiere d'evaluation des risques fournisseurs ?

L'article 21(2)(d) de NIS2 exige que les entites essentielles et importantes mettent en oeuvre la « securite de la chaine d'approvisionnement, incluant les aspects lies a la securite concernant les relations entre chaque entite et ses fournisseurs ou prestataires directs ». Cela signifie que les organisations doivent evaluer la securite de leurs fournisseurs, prendre en compte les vulnerabilites specifiques a chaque fournisseur et evaluer la qualite globale des produits et des pratiques de cybersecurite des fournisseurs.

A quelle frequence les evaluations des risques fournisseurs doivent-elles etre mises a jour ?

La frequence d'evaluation doit etre basee sur le risque : les fournisseurs critiques (acces aux donnees sensibles, services essentiels) doivent etre reevalues annuellement et apres tout incident de securite. Les fournisseurs a haut risque doivent etre reevalues tous les 12 a 18 mois. Les fournisseurs standards tous les 2 ans. Les fournisseurs a faible risque peuvent n'etre reevalues que tous les 3 ans ou lors du renouvellement du contrat. La surveillance continue (notations de securite, notifications de violations, statut des certifications) complete les reevaluations periodiques.

Evaluation des risques fournisseurs : comment evaluer la securite des tiers en 2026

Published 7 mars 2026

By Emre Salmanoglu

Evaluation des risques fournisseurs : comment evaluer la securite des tiers en 2026

Q: Comment noter le risque fournisseur ?

Le scoring du risque fournisseur utilise generalement une matrice combinant deux dimensions : (1) Le risque inherent — base sur le type et le volume de donnees accedees, la criticite du service et la sensibilite reglementaire (note Faible/Moyen/Eleve/Critique) ; (2) L'efficacite des controles — basee sur les controles de securite du fournisseur, ses certifications et ses resultats d'audit (notee Forte/Adequate/Faible/Insuffisante). La combinaison produit un score de risque residuel qui determine le niveau d'approbation requis, la frequence de surveillance et les controles supplementaires necessaires.

Guide pratique de l'evaluation des risques fournisseurs — ce que c'est, quand la realiser, quoi evaluer, comment noter le risque fournisseur et comment repondre aux exigences ISO 27001, NIS2 et DORA en matiere de tiers.

evaluation des risques fournisseurs

risques tiers

ISO 27001

NIS2

DORA

securite de la chaine d'approvisionnement

due diligence

Evaluation des risques fournisseurs : comment evaluer la securite des tiers en 2026

Une evaluation des risques fournisseurs evalue les risques de securite, de conformite et operationnels qu'un fournisseur tiers introduit dans votre organisation. C'est le processus qui determine si vous pouvez confier a un fournisseur vos donnees, les donnees de vos clients ou l'acces a vos systemes — et quels controles sont necessaires pour gerer le risque si vous le faites.

Chaque referentiel de conformite majeur l'exige : ISO 27001 (annexe A 5.19-5.21), NIS2 (article 21(2)(d)), DORA (articles 28-30) et SOC 2 (CC9.2). Mais au-dela de la conformite, les evaluations des risques fournisseurs empechent que la securite de votre organisation ne soit aussi solide que votre maillon le plus faible.

Ce guide couvre comment realiser des evaluations des risques fournisseurs, quoi evaluer, comment noter le risque et comment construire un processus qui passe a l'echelle.

Pourquoi l'evaluation des risques fournisseurs est importante

Le probleme de la chaine d'approvisionnement

Votre perimetre de securite ne s'arrete pas a votre pare-feu. Chaque fournisseur ayant acces a vos donnees ou systemes etend votre surface d'attaque. Le schema est bien etabli :

Les fournisseurs disposant d'acces privilegies deviennent des points d'entree pour les attaquants
Les donnees partagees avec les fournisseurs sont soumises a leurs controles de securite, pas aux votres
Les interruptions de service des fournisseurs deviennent les votres lorsque les services sont etroitement integres
Les lacunes de conformite des fournisseurs deviennent les votres lorsque les regulateurs examinent votre chaine d'approvisionnement

Pression reglementaire

Les reglementations europeennes ont rendu l'evaluation des risques fournisseurs obligatoire :

Article 21(2)(d) de NIS2 — La securite de la chaine d'approvisionnement est l'une des dix mesures obligatoires de gestion des risques
Articles 28-30 de DORA — Exigences detaillees pour la gestion des risques tiers TIC, incluant l'evaluation des risques avant la contractualisation
Annexe A 5.19-5.21 d'ISO 27001 — Trois controles specifiquement dedies a la securite des fournisseurs
Article 28 du RGPD — Les responsables de traitement ne doivent utiliser que des sous-traitants offrant des garanties suffisantes en matiere de mesures techniques et organisationnelles appropriees

Quand realiser une evaluation des risques fournisseurs

Pre-contractuelle (due diligence)

Avant de signer tout contrat avec un fournisseur qui va :

Acceder, traiter ou stocker vos donnees
Se connecter a vos systemes ou reseaux internes
Fournir des services critiques pour vos operations
Traiter des donnees personnelles pour votre compte

Revue periodique

Durant la relation fournisseur :

Fournisseurs critiques — Annuellement
Fournisseurs a haut risque — Tous les 12 a 18 mois
Fournisseurs standards — Tous les 2 ans
Fournisseurs a faible risque — Tous les 3 ans ou au renouvellement du contrat

Revue declenchee

Lors de changements significatifs :

Le fournisseur subit un incident de securite ou une violation de donnees
Le perimetre d'acces ou de services du fournisseur change
Le fournisseur fait l'objet d'une fusion, acquisition ou changement organisationnel significatif
De nouvelles exigences reglementaires entrent en vigueur
Le statut de certification ou d'audit du fournisseur change

Quoi evaluer

1. Controles de securite de l'information

Evaluez les mesures de securite techniques et organisationnelles du fournisseur :

Domaine	Quoi evaluer
Gestion des acces	Methodes d'authentification, acces base sur les roles, controles des acces privilegies, revues d'acces
Chiffrement	Donnees au repos, donnees en transit, gestion des cles, normes de chiffrement utilisees
Securite reseau	Segmentation, politiques de pare-feu, detection d'intrusion, protection DDoS
Gestion des vulnerabilites	Frequence des analyses, delais de mise a jour des correctifs, cadence des tests d'intrusion
Reponse aux incidents	Plan de reponse, delais de notification, procedures de communication
Journalisation et surveillance	Retention des journaux d'audit, capacites de surveillance, detection des anomalies

2. Conformite et certifications

Verifiez la posture de conformite du fournisseur :

Certifications — ISO 27001, SOC 2 Type II, ISO 27701
Rapports d'audit — Rapport SOC 2 le plus recent, resultats de l'audit de surveillance ISO 27001
Conformite reglementaire — Statut RGPD, NIS2, DORA
Resultats des tests d'intrusion — Date du dernier test, perimetre et statut de remediation
Ecarts de conformite — Non-conformites connues ou plans de remediation

3. Traitement des donnees

Comprenez comment le fournisseur gere vos donnees :

Classification des donnees — Comment il categorise et protege les differents types de donnees
Localisation des donnees — Ou les donnees sont stockees et traitees (regions, centres de donnees)
Residence des donnees — Si les donnees restent dans les juridictions requises (UE, pays specifiques)
Sous-traitance — Si le fournisseur partage des donnees avec des tiers supplementaires
Retention et suppression — Combien de temps les donnees sont conservees et comment elles sont supprimees de maniere securisee
Portabilite — Comment les donnees peuvent etre exportees lorsque la relation prend fin

4. Continuite d'activite

Evaluez la resilience du fournisseur :

Reprise apres sinistre — Objectifs de temps de reprise et de point de reprise (RTO/RPO)
Procedures de sauvegarde — Frequence, tests, distribution geographique
Redondance — Redondance de l'infrastructure, capacites de basculement
Garanties SLA — Engagements de disponibilite et consequences en cas de non-respect
Strategie de sortie — Support a la migration des donnees, assistance a la transition, delais de preavis

5. Stabilite financiere et operationnelle

Evaluez la viabilite du fournisseur :

Sante financiere — Tendances du chiffre d'affaires, statut de financement, indicateurs de rentabilite
Position sur le marche — Base de clients, reputation dans l'industrie, positionnement concurrentiel
Maturite operationnelle — Taille de l'equipe, dependances aux personnes cles, maturite des processus
Assurance — Couverture et limites de l'assurance cyber-responsabilite

6. Risque sous-traitant

Evaluez la propre chaine d'approvisionnement du fournisseur :

Liste des sous-traitants — De qui le fournisseur depend pour les services critiques
Evaluation des sous-traitants — Comment le fournisseur evalue ses propres fournisseurs
Processus de notification — Comment vous etes informe des changements de sous-traitants
Transfert contractuel — Si les exigences de securite s'etendent aux sous-traitants

Comment noter le risque fournisseur

Etape 1 : Determiner le risque inherent

Le risque inherent est le niveau de risque avant la prise en compte des controles du fournisseur. Il est base sur la nature de la relation :

Facteur	Faible	Moyen	Eleve	Critique
Sensibilite des donnees	Donnees publiques uniquement	Donnees internes	Donnees confidentielles	Donnees personnelles reglementees
Volume de donnees	Minimal	Modere	Significatif	Traitement a grande echelle
Acces aux systemes	Aucun acces direct	Acces en lecture seule	Acces en lecture-ecriture	Acces administrateur
Criticite du service	Confort	Important	Critique pour l'activite	Operations essentielles
Remplacabilite	Facile a changer	Quelques efforts	Difficile	Risque de dependance

Etape 2 : Evaluer l'efficacite des controles

L'efficacite des controles mesure la capacite du fournisseur a attenuer le risque inherent :

Forte — Certifie (ISO 27001, SOC 2 Type II), rapports d'audit positifs, processus matures
Adequate — Bons controles en place, quelques certifications, tests reguliers
Faible — Controles basiques, pas de certifications, preuves limitees
Insuffisante — Lacunes significatives, aucune preuve de controles, non receptif aux demandes

Etape 3 : Calculer le risque residuel

Le risque residuel combine le risque inherent avec l'efficacite des controles :

	Controles forts	Controles adequats	Controles faibles	Controles insuffisants
Inherent critique	Eleve	Eleve	Critique	Critique
Inherent eleve	Moyen	Eleve	Eleve	Critique
Inherent moyen	Faible	Moyen	Eleve	Eleve
Inherent faible	Faible	Faible	Moyen	Eleve

Etape 4 : Determiner les actions

Chaque niveau de risque residuel declenche des actions specifiques :

Faible — Approuver, surveillance standard, revue periodique
Moyen — Approuver avec conditions, controles supplementaires potentiellement requis, surveillance reguliere
Eleve — Approbation de la direction requise, controles supplementaires obligatoires, surveillance frequente
Critique — Approbation de la direction generale requise, envisager des alternatives, surveillance continue, risque devant etre formellement accepte

Construire un processus evolutif

Approche d'evaluation par niveaux

Tous les fournisseurs n'ont pas besoin de la meme profondeur d'evaluation. Utilisez une approche par niveaux :

Niveau 1 — Evaluation complete (fournisseurs critiques et a haut risque)

Questionnaire de securite complet
Verification independante (rapports d'audit, certifications, resultats de tests d'intrusion)
Evaluation sur site ou virtuelle si justifiee
Scoring des risques et acceptation formelle du risque

Niveau 2 — Evaluation standard (fournisseurs a risque moyen)

Questionnaire de securite
Verification de la conformite et des certifications
Scoring des risques

Niveau 3 — Evaluation legere (fournisseurs a faible risque)

Checklist de securite basique
Examen des informations publiques de conformite

Sources de preuves

Ne vous fiez pas uniquement a l'auto-declaration du fournisseur. Utilisez plusieurs sources de preuves :

Questionnaires de securite — Les propres reponses du fournisseur (donnee d'entree de base)
Certifications — Certificats ISO 27001, rapports SOC 2 (verification independante)
Trust Centers — Documentation de securite publiee et preuves de conformite
Notations de securite — Services de scoring des risques externes
Dispositions contractuelles — Clauses de securite, SLA, accords de traitement des donnees
Surveillance continue — Evaluation permanente entre les revues periodiques

Erreurs courantes

Traiter l'evaluation comme un evenement ponctuel. Le risque fournisseur evolue en permanence — les certifications expirent, des incidents surviennent, les fournisseurs changent de sous-traitants. Integrez des reevaluations periodiques et une surveillance continue.
Se fier uniquement aux reponses des questionnaires. L'auto-evaluation du fournisseur est necessaire mais insuffisante. Verifiez les affirmations avec des certifications, des rapports d'audit et des preuves independantes.
Evaluer tous les fournisseurs de la meme maniere. Un fournisseur SaaS traitant des donnees clients necessite une evaluation differente d'un fournisseur de fournitures de bureau. L'evaluation par niveaux evite la sur-evaluation comme la sous-evaluation.
Pas de suivi des risques identifies. Trouver des risques n'est utile que si vous suivez la remediation. Documentez les ecarts identifies, les delais de remediation convenus et la verification des corrections.
Ignorer le risque sous-traitant. Les fournisseurs de vos fournisseurs font partie de votre chaine d'approvisionnement. NIS2 et DORA exigent explicitement de considerer l'ensemble de la chaine, pas uniquement les fournisseurs directs.

Repondre aux exigences des referentiels

ISO 27001

Les controles A.5.19-A.5.21 de l'annexe A exigent :

Une politique de gestion des relations fournisseurs (5.19)
Des exigences de securite etablies et convenues avec les fournisseurs (5.20)
La gestion de la securite de l'information dans la chaine d'approvisionnement TIC (5.21)

Preuves necessaires : enregistrements d'evaluation des fournisseurs, politiques de securite des fournisseurs, clauses contractuelles de securite, documentation des revues periodiques.

NIS2

L'article 21(2)(d) exige des mesures de securite de la chaine d'approvisionnement incluant :

Les evaluations de securite des fournisseurs et prestataires directs
La prise en compte des vulnerabilites specifiques aux fournisseurs
L'evaluation des pratiques de cybersecurite des fournisseurs
La prise en compte des evaluations coordonnees des risques de la chaine d'approvisionnement

DORA

Les articles 28-30 etablissent des exigences detaillees de gestion des risques tiers TIC :

Evaluation pre-contractuelle des prestataires de services TIC tiers
Dispositions contractuelles cles pour les services TIC
Surveillance continue des risques tiers TIC
Strategies de sortie pour les services TIC critiques

De l'evaluation aux preuves

Les evaluations des risques fournisseurs generent de precieuses preuves de conformite — mais uniquement si elles sont correctement documentees et accessibles :

Enregistrements d'evaluation — Questionnaires completes, scores de risque, decisions d'approbation
Documents de verification — Certificats, rapports d'audit, resumes de tests d'intrusion
Traitement du risque — Decisions documentees sur l'acceptation du risque, controles supplementaires requis
Enregistrements de surveillance — Resultats d'evaluation continue, notifications d'incidents, changements de statut des certifications

Un Trust Center rationalise les deux cotes de l'evaluation des fournisseurs — publiez vos propres preuves de securite pour les evaluations de vos clients, et accedez a la documentation des fournisseurs pour votre propre due diligence.

Comment Orbiq accompagne les evaluations des risques fournisseurs

Trust Center — Publiez votre posture de securite, vos certifications et vos preuves de conformite pour que vos clients puissent evaluer votre risque sans rounds manuels de questionnaires
Questionnaires alimentes par l'IA — Repondez automatiquement aux questionnaires d'evaluation fournisseurs entrants en utilisant vos preuves de conformite verifiees
Surveillance continue — Suivez le statut des certifications des fournisseurs, les changements de securite et les ecarts de conformite entre les evaluations
Gestion des preuves — Centralisez la documentation d'evaluation des fournisseurs, les rapports d'audit et les enregistrements d'acceptation des risques

Pour aller plus loin

Logiciel d'évaluation des risques fournisseurs : Guide complet de l'acheteur — Comparatif des meilleures plateformes avec prix, couverture NIS2/DORA et hébergement UE pour les acheteurs 2026
Gestion des risques fournisseurs : Le guide complet — Construire un programme VRM, comparatif d'outils et exigences réglementaires UE
Gestion des risques tiers — Construire un programme TPRM complet
Politique de securite de l'information — Le document fondateur des exigences de securite fournisseurs
Securite de la chaine d'approvisionnement NIS2 — Les exigences specifiques de NIS2 en matiere de chaine d'approvisionnement
Automatisation de la conformite — Automatiser la collecte de preuves pour les evaluations fournisseurs

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.