Qu'est-ce qu'une évaluation des risques fournisseurs ?

Une évaluation des risques fournisseurs est une évaluation structuree des risques de sécurité, de conformité et opérationnels qu'un fournisseur tiers introduit dans votre organisation. Elle examine les contrôles de sécurité du fournisseur, ses pratiques de traitement des données, sa conformité réglementaire, sa stabilite financiere et ses capacités de continuite d'activité afin de determiner si le risque de travailler avec lui est acceptable.

Quand faut-il realiser une évaluation des risques fournisseurs ?

Realisez une évaluation des risques fournisseurs avant l'integration de tout nouveau fournisseur qui accede a vos données ou systemes (due diligence pre-contractuelle), lors des cycles de revue reguliers pour les fournisseurs existants (generalement annuellement pour les fournisseurs critiques, tous les deux ans pour les fournisseurs standards), apres un incident de sécurité ou une violation de données chez un fournisseur, lorsque le perimetre d'accès ou de services d'un fournisseur change significativement, et lorsque de nouvelles exigences réglementaires entrent en vigueur (par exemple la mise en oeuvre de NIS2 ou DORA).

Quelle est la difference entre une évaluation des risques fournisseurs et un questionnaire de sécurité ?

Un questionnaire de sécurité est une donnee d'entree de l'évaluation des risques fournisseurs, pas l'évaluation elle-meme. Une évaluation des risques fournisseurs est le processus complet d'évaluation — elle combine les réponses au questionnaire avec une verification independante (certifications, rapports d'audit, resultats de tests d'intrusion), un scoring des risques et une décision formelle d'acceptation du risque. Un questionnaire demande quels contrôles le fournisseur pretend avoir ; l'évaluation determine si ces affirmations sont credibles et si le risque residuel est acceptable.

Que doit inclure une évaluation des risques fournisseurs ?

Une évaluation complete des risques fournisseurs doit évaluer : (1) Les contrôles de sécurité de l'information — chiffrement, gestion des accès, réponse aux incidents, gestion des vulnerabilites ; (2) La conformité et les certifications — statut de conformité ISO 27001, SOC 2, RGPD, NIS2 ; (3) Le traitement des données — quelles données sont accedees, ou elles sont stockees, comment elles sont protégées, pratiques de retention et de suppression ; (4) La continuite d'activité — reprise apres sinistre, procedures de sauvegarde, garanties SLA ; (5) La stabilite financiere — risque d'insolvabilite du fournisseur affectant la continuite du service ; (6) Le risque sous-traitant — si le fournisseur externalise a des tiers supplementaires.

L'évaluation des risques fournisseurs est-elle obligatoire pour ISO 27001 ?

Oui. Le contrôle A.5.19 de l'annexe A d'ISO 27001:2022 (Sécurité de l'information dans les relations avec les fournisseurs) exige que les organisations identifient et gerent les risques de sécurité de l'information associes a l'utilisation des produits et services des fournisseurs. Le contrôle A.5.20 (Prise en compte de la sécurité de l'information dans les accords fournisseurs) exige que des exigences de sécurité soient etablies et convenues avec chaque fournisseur. Le contrôle A.5.21 (Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC) etend cette exigence a l'ensemble de la chaîne d'approvisionnement.

Que requiert NIS2 en matiere d'évaluation des risques fournisseurs ?

L'article 21(2)(d) de NIS2 exige que les entites essentielles et importantes mettent en oeuvre la « sécurité de la chaîne d'approvisionnement, incluant les aspects lies à la sécurité concernant les relations entre chaque entite et ses fournisseurs ou prestataires directs ». Cela signifie que les organisations doivent évaluer la sécurité de leurs fournisseurs, prendre en compte les vulnerabilites specifiques a chaque fournisseur et évaluer la qualite globale des produits et des pratiques de cybersecurite des fournisseurs.

A quelle frequence les évaluations des risques fournisseurs doivent-elles etre mises à jour ?

La frequence d'évaluation doit etre basee sur le risque : les fournisseurs critiques (accès aux données sensibles, services essentiels) doivent etre reevalues annuellement et apres tout incident de sécurité. Les fournisseurs a haut risque doivent etre reevalues tous les 12 a 18 mois. Les fournisseurs standards tous les 2 ans. Les fournisseurs a faible risque peuvent n'etre reevalues que tous les 3 ans ou lors du renouvellement du contrat. La surveillance continue (notations de sécurité, notifications de violations, statut des certifications) complete les reevaluations periodiques.

Évaluation des risques fournisseurs : comment évaluer la sécurité des tiers en 2026

Published 7 mars 2026

By Emre Salmanoglu

Évaluation des risques fournisseurs : comment évaluer la sécurité des tiers en 2026

Q: Comment noter le risque fournisseur ?

Le scoring du risque fournisseur utilise generalement une matrice combinant deux dimensions : (1) Le risque inherent — base sur le type et le volume de données accedees, la criticite du service et la sensibilite réglementaire (note Faible/Moyen/Eleve/Critique) ; (2) L'efficacite des contrôles — basee sur les contrôles de sécurité du fournisseur, ses certifications et ses resultats d'audit (notee Forte/Adequate/Faible/Insuffisante). La combinaison produit un score de risque residuel qui determine le niveau d'approbation requis, la frequence de surveillance et les contrôles supplementaires nécessaires.

Guide pratique de l'évaluation des risques fournisseurs — ce que c'est, quand la realiser, quoi évaluer, comment noter le risque fournisseur et comment repondre aux exigences ISO 27001, NIS2 et DORA en matiere de tiers.

évaluation des risques fournisseurs

risques tiers

ISO 27001

NIS2

DORA

sécurité de la chaîne d'approvisionnement

due diligence

Évaluation des risques fournisseurs : comment évaluer la sécurité des tiers en 2026

Une évaluation des risques fournisseurs evalue les risques de sécurité, de conformité et opérationnels qu'un fournisseur tiers introduit dans votre organisation. C'est le processus qui determine si vous pouvez confier a un fournisseur vos données, les données de vos clients ou l'accès a vos systemes — et quels contrôles sont nécessaires pour gerer le risque si vous le faites.

Chaque référentiel de conformité majeur l'exige : ISO 27001 (annexe A 5.19-5.21), NIS2 (article 21(2)(d)), DORA (articles 28-30) et SOC 2 (CC9.2). Mais au-dela de la conformité, les évaluations des risques fournisseurs empechent que la sécurité de votre organisation ne soit aussi solide que votre maillon le plus faible.

Ce guide couvre comment realiser des évaluations des risques fournisseurs, quoi évaluer, comment noter le risque et comment construire un processus qui passe à l'échelle.

Pourquoi l'évaluation des risques fournisseurs est importante

Le probleme de la chaîne d'approvisionnement

Votre perimetre de sécurité ne s'arrete pas a votre pare-feu. Chaque fournisseur ayant accès a vos données ou systemes etend votre surface d'attaque. Le schema est bien etabli :

Les fournisseurs disposant d'accès privilegies deviennent des points d'entree pour les attaquants
Les données partagees avec les fournisseurs sont soumises a leurs contrôles de sécurité, pas aux votres
Les interruptions de service des fournisseurs deviennent les votres lorsque les services sont etroitement integres
Les lacunes de conformité des fournisseurs deviennent les votres lorsque les regulateurs examinent votre chaîne d'approvisionnement

Pression réglementaire

Les reglementations europeennes ont rendu l'évaluation des risques fournisseurs obligatoire :

Article 21(2)(d) de NIS2 — La sécurité de la chaîne d'approvisionnement est l'une des dix mesures obligatoires de gestion des risques
Articles 28-30 de DORA — Exigences detaillees pour la gestion des risques tiers TIC, incluant l'évaluation des risques avant la contractualisation
Annexe A 5.19-5.21 d'ISO 27001 — Trois contrôles specifiquement dedies à la sécurité des fournisseurs
Article 28 du RGPD — Les responsables de traitement ne doivent utiliser que des sous-traitants offrant des garanties suffisantes en matiere de mesures techniques et organisationnelles appropriees

Quand realiser une évaluation des risques fournisseurs

Pre-contractuelle (due diligence)

Avant de signer tout contrat avec un fournisseur qui va :

Acceder, traiter ou stocker vos données
Se connecter a vos systemes ou réseaux internes
Fournir des services critiques pour vos operations
Traiter des données personnelles pour votre compte

Revue periodique

Durant la relation fournisseur :

Fournisseurs critiques — Annuellement
Fournisseurs a haut risque — Tous les 12 a 18 mois
Fournisseurs standards — Tous les 2 ans
Fournisseurs a faible risque — Tous les 3 ans ou au renouvellement du contrat

Revue declenchee

Lors de changements significatifs :

Le fournisseur subit un incident de sécurité ou une violation de données
Le perimetre d'accès ou de services du fournisseur change
Le fournisseur fait l'objet d'une fusion, acquisition ou changement organisationnel significatif
De nouvelles exigences réglementaires entrent en vigueur
Le statut de certification ou d'audit du fournisseur change

Quoi évaluer

1. Contrôles de sécurité de l'information

Evaluez les mesures de sécurité techniques et organisationnelles du fournisseur :

Domaine	Quoi évaluer
Gestion des accès	Methodes d'authentification, accès base sur les roles, contrôles des accès privilegies, revues d'accès
Chiffrement	Données au repos, données en transit, gestion des cles, normes de chiffrement utilisees
Sécurité réseau	Segmentation, politiques de pare-feu, detection d'intrusion, protection DDoS
Gestion des vulnerabilites	Frequence des analyses, delais de mise à jour des correctifs, cadence des tests d'intrusion
Réponse aux incidents	Plan de réponse, delais de notification, procedures de communication
Journalisation et surveillance	Retention des journaux d'audit, capacités de surveillance, detection des anomalies

2. Conformité et certifications

Verifiez la posture de conformité du fournisseur :

Certifications — ISO 27001, SOC 2 Type II, ISO 27701
Rapports d'audit — Rapport SOC 2 le plus recent, resultats de l'audit de surveillance ISO 27001
Conformité réglementaire — Statut RGPD, NIS2, DORA
Resultats des tests d'intrusion — Date du dernier test, perimetre et statut de remediation
Ecarts de conformité — Non-conformites connues ou plans de remediation

3. Traitement des données

Comprenez comment le fournisseur gere vos données :

Classification des données — Comment il categorise et protege les differents types de données
Localisation des données — Ou les données sont stockees et traitees (regions, centres de données)
Residence des données — Si les données restent dans les juridictions requises (UE, pays specifiques)
Sous-traitance — Si le fournisseur partage des données avec des tiers supplementaires
Retention et suppression — Combien de temps les données sont conservees et comment elles sont supprimees de manière securisee
Portabilite — Comment les données peuvent etre exportees lorsque la relation prend fin

4. Continuite d'activité

Evaluez la resilience du fournisseur :

Reprise apres sinistre — Objectifs de temps de reprise et de point de reprise (RTO/RPO)
Procedures de sauvegarde — Frequence, tests, distribution geographique
Redondance — Redondance de l'infrastructure, capacités de basculement
Garanties SLA — Engagements de disponibilite et consequences en cas de non-respect
Strategie de sortie — Support a la migration des données, assistance a la transition, delais de preavis

5. Stabilite financiere et opérationnelle

Evaluez la viabilite du fournisseur :

Sante financiere — Tendances du chiffre d'affaires, statut de financement, indicateurs de rentabilite
Position sur le marche — Base de clients, reputation dans l'industrie, positionnement concurrentiel
Maturite opérationnelle — Taille de l'équipe, dependances aux personnes cles, maturité des processus
Assurance — Couverture et limites de l'assurance cyber-responsabilite

6. Risque sous-traitant

Evaluez la propre chaîne d'approvisionnement du fournisseur :

Liste des sous-traitants — De qui le fournisseur depend pour les services critiques
Évaluation des sous-traitants — Comment le fournisseur evalue ses propres fournisseurs
Processus de notification — Comment vous etes informe des changements de sous-traitants
Transfert contractuel — Si les exigences de sécurité s'etendent aux sous-traitants

Comment noter le risque fournisseur

Etape 1 : Determiner le risque inherent

Le risque inherent est le niveau de risque avant la prise en compte des contrôles du fournisseur. Il est base sur la nature de la relation :

Facteur	Faible	Moyen	Eleve	Critique
Sensibilite des données	Données publiques uniquement	Données internes	Données confidentielles	Données personnelles reglementees
Volume de données	Minimal	Modere	Significatif	Traitement a grande echelle
Accès aux systemes	Aucun accès direct	Accès en lecture seule	Accès en lecture-ecriture	Accès administrateur
Criticite du service	Confort	Important	Critique pour l'activité	Operations essentielles
Remplacabilite	Facile a changer	Quelques efforts	Difficile	Risque de dependance

Etape 2 : Evaluer l'efficacite des contrôles

L'efficacite des contrôles mesure la capacite du fournisseur a attenuer le risque inherent :

Forte — Certifie (ISO 27001, SOC 2 Type II), rapports d'audit positifs, processus matures
Adequate — Bons contrôles en place, quelques certifications, tests reguliers
Faible — Contrôles basiques, pas de certifications, preuves limitees
Insuffisante — Lacunes significatives, aucune preuve de contrôles, non receptif aux demandes

Etape 3 : Calculer le risque residuel

Le risque residuel combine le risque inherent avec l'efficacite des contrôles :

	Contrôles forts	Contrôles adequats	Contrôles faibles	Contrôles insuffisants
Inherent critique	Eleve	Eleve	Critique	Critique
Inherent eleve	Moyen	Eleve	Eleve	Critique
Inherent moyen	Faible	Moyen	Eleve	Eleve
Inherent faible	Faible	Faible	Moyen	Eleve

Etape 4 : Determiner les actions

Chaque niveau de risque residuel declenche des actions specifiques :

Faible — Approuver, surveillance standard, revue periodique
Moyen — Approuver avec conditions, contrôles supplementaires potentiellement requis, surveillance reguliere
Eleve — Approbation de la direction requise, contrôles supplementaires obligatoires, surveillance frequente
Critique — Approbation de la direction generale requise, envisager des alternatives, surveillance continue, risque devant etre formellement accepte

Construire un processus evolutif

Approche d'évaluation par niveaux

Tous les fournisseurs n'ont pas besoin de la meme profondeur d'évaluation. Utilisez une approche par niveaux :

Niveau 1 — Évaluation complete (fournisseurs critiques et a haut risque)

Questionnaire de sécurité complet
Verification independante (rapports d'audit, certifications, resultats de tests d'intrusion)
Évaluation sur site ou virtuelle si justifiee
Scoring des risques et acceptation formelle du risque

Niveau 2 — Évaluation standard (fournisseurs a risque moyen)

Questionnaire de sécurité
Verification de la conformité et des certifications
Scoring des risques

Niveau 3 — Évaluation legere (fournisseurs a faible risque)

Checklist de sécurité basique
Examen des informations publiques de conformité

Sources de preuves

Ne vous fiez pas uniquement a l'auto-declaration du fournisseur. Utilisez plusieurs sources de preuves :

Questionnaires de sécurité — Les propres réponses du fournisseur (donnee d'entree de base)
Certifications — Certificats ISO 27001, rapports SOC 2 (verification independante)
Trust Centers — Documentation de sécurité publiee et preuves de conformité
Notations de sécurité — Services de scoring des risques externes
Dispositions contractuelles — Clauses de sécurité, SLA, accords de traitement des données
Surveillance continue — Évaluation permanente entre les revues periodiques

Erreurs courantes

Traiter l'évaluation comme un événement ponctuel. Le risque fournisseur evolue en permanence — les certifications expirent, des incidents surviennent, les fournisseurs changent de sous-traitants. Integrez des reevaluations periodiques et une surveillance continue.
Se fier uniquement aux réponses des questionnaires. L'auto-évaluation du fournisseur est nécessaire mais insuffisante. Verifiez les affirmations avec des certifications, des rapports d'audit et des preuves independantes.
Evaluer tous les fournisseurs de la meme manière. Un fournisseur SaaS traitant des données clients nécessite une évaluation differente d'un fournisseur de fournitures de bureau. L'évaluation par niveaux evite la sur-évaluation comme la sous-évaluation.
Pas de suivi des risques identifies. Trouver des risques n'est utile que si vous suivez la remediation. Documentez les ecarts identifies, les delais de remediation convenus et la verification des corrections.
Ignorer le risque sous-traitant. Les fournisseurs de vos fournisseurs font partie de votre chaîne d'approvisionnement. NIS2 et DORA exigent explicitement de considerer l'ensemble de la chaîne, pas uniquement les fournisseurs directs.

Repondre aux exigences des référentiels

ISO 27001

Les contrôles A.5.19-A.5.21 de l'annexe A exigent :

Une politique de gestion des relations fournisseurs (5.19)
Des exigences de sécurité etablies et convenues avec les fournisseurs (5.20)
La gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC (5.21)

Preuves nécessaires : enregistrements d'évaluation des fournisseurs, politiques de sécurité des fournisseurs, clauses contractuelles de sécurité, documentation des revues periodiques.

NIS2

L'article 21(2)(d) exige des mesures de sécurité de la chaîne d'approvisionnement incluant :

Les évaluations de sécurité des fournisseurs et prestataires directs
La prise en compte des vulnerabilites specifiques aux fournisseurs
L'évaluation des pratiques de cybersecurite des fournisseurs
La prise en compte des évaluations coordonnees des risques de la chaîne d'approvisionnement

DORA

Les articles 28-30 etablissent des exigences detaillees de gestion des risques tiers TIC :

Évaluation pre-contractuelle des prestataires de services TIC tiers
Dispositions contractuelles cles pour les services TIC
Surveillance continue des risques tiers TIC
Strategies de sortie pour les services TIC critiques

De l'évaluation aux preuves

Les évaluations des risques fournisseurs generent de precieuses preuves de conformité — mais uniquement si elles sont correctement documentees et accessibles :

Enregistrements d'évaluation — Questionnaires completes, scores de risque, décisions d'approbation
Documents de verification — Certificats, rapports d'audit, resumes de tests d'intrusion
Traitement du risque — Decisions documentees sur l'acceptation du risque, contrôles supplementaires requis
Enregistrements de surveillance — Resultats d'évaluation continue, notifications d'incidents, changements de statut des certifications

Un Trust Center rationalise les deux cotes de l'évaluation des fournisseurs — publiez vos propres preuves de sécurité pour les évaluations de vos clients, et accedez a la documentation des fournisseurs pour votre propre due diligence.

Comment Orbiq accompagne les évaluations des risques fournisseurs

Trust Center — Publiez votre posture de sécurité, vos certifications et vos preuves de conformité pour que vos clients puissent évaluer votre risque sans rounds manuels de questionnaires
Questionnaires alimentes par l'IA — Repondez automatiquement aux questionnaires d'évaluation fournisseurs entrants en utilisant vos preuves de conformité vérifiées
Surveillance continue — Suivez le statut des certifications des fournisseurs, les changements de sécurité et les ecarts de conformité entre les évaluations
Gestion des preuves — Centralisez la documentation d'évaluation des fournisseurs, les rapports d'audit et les enregistrements d'acceptation des risques

Pour aller plus loin

Logiciel d'évaluation des risques fournisseurs : Guide complet de l'acheteur — Comparatif des meilleures plateformes avec prix, couverture NIS2/DORA et hébergement UE pour les acheteurs 2026
Gestion des risques fournisseurs : Le guide complet — Construire un programme VRM, comparatif d'outils et exigences réglementaires UE
Gestion des risques tiers — Construire un programme TPRM complet
Politique de sécurité de l'information — Le document fondateur des exigences de sécurité fournisseurs
Sécurité de la chaîne d'approvisionnement NIS2 — Les exigences specifiques de NIS2 en matiere de chaîne d'approvisionnement
Automatisation de la conformité — Automatiser la collecte de preuves pour les évaluations fournisseurs

Ce guide est maintenu par l'équipe Orbiq. Derniere mise à jour : mars 2026.