Pourquoi la gestion des risques tiers est-elle importante ?

Les organisations s'appuient sur des dizaines, voire des centaines de tiers ayant acces a leurs systemes, donnees ou processus. Une violation de securite chez un fournisseur peut impacter votre organisation — des fuites de donnees aux perturbations de service en passant par les sanctions reglementaires. Des reglementations comme NIS2, DORA et ISO 27001 exigent desormais explicitement des programmes documentes de gestion des risques tiers.

Quelle est la difference entre la TPRM et la gestion des risques fournisseurs ?

Les termes sont souvent utilises de maniere interchangeable, mais la gestion des risques fournisseurs se concentre generalement sur les fournisseurs IT et technologiques, tandis que la gestion des risques tiers couvre un perimetre plus large incluant les prestataires, sous-traitants, partenaires, sous-traitants ulterieurs et toute entite externe affectant votre posture de risque. La TPRM englobe egalement les risques de conformite, operationnels, financiers et reputationnels au-dela de la seule cybersecurite.

Que requiert NIS2 en matiere de gestion des risques tiers ?

L'article 21(2)(d) de NIS2 exige que les organisations mettent en oeuvre des mesures de securite de la chaine d'approvisionnement, incluant les aspects lies a la securite concernant les relations entre chaque entite et ses fournisseurs ou prestataires directs. Cela implique des processus documentes d'evaluation des fournisseurs, des exigences contractuelles de securite et une surveillance continue de la posture de securite des fournisseurs. NIS2 requiert egalement la notification des incidents lorsque des incidents chez des tiers affectent vos services.

Que requiert DORA pour la gestion des risques tiers TIC ?

Les articles 28 a 44 de DORA etablissent des exigences completes de gestion des risques tiers TIC pour les entites financieres. Les exigences cles incluent : la tenue d'un registre des prestataires de services TIC tiers, la realisation d'evaluations des risques pre-contractuelles, l'inclusion de dispositions contractuelles specifiques (localisation des donnees, droits d'audit, strategies de sortie) et la surveillance continue. DORA introduit egalement la supervision reglementaire directe des prestataires TIC critiques.

Comment evaluer les risques tiers ?

Une evaluation pratique des risques tiers implique : (1) Categoriser les fournisseurs par criticite — acces aux donnees, dependance metier et impact reglementaire ; (2) Mener une due diligence — examiner les certifications de securite, les politiques et l'historique des incidents ; (3) Evaluer les risques specifiques — cybersecurite, conformite, continuite operationnelle et protection des donnees ; (4) Definir le traitement du risque — accepter le risque residuel, exiger une remediation ou mettre fin a la relation ; (5) Etablir une surveillance — continue ou periodique selon le niveau de risque.

A quelle frequence les risques tiers doivent-ils etre reevalues ?

La frequence d'evaluation doit etre basee sur le risque : les fournisseurs critiques (acces aux donnees sensibles, services essentiels) doivent etre evalues annuellement et surveilles en continu ; les fournisseurs a haut risque tous les 12 a 18 mois ; les fournisseurs a risque moyen tous les 2 ans ; les fournisseurs a faible risque tous les 3 ans ou en cas de changements importants. Tous les fournisseurs doivent etre reevalues lors de changements significatifs — fusions, violations ou modifications majeures de service.

Qu'est-ce que la surveillance continue en TPRM ?

La surveillance continue remplace les evaluations ponctuelles par une veille permanente de la posture de securite des fournisseurs. Elle comprend le suivi des notes de securite des fournisseurs, la surveillance des violations et incidents affectant vos fournisseurs, la validation du maintien des certifications et l'alerte en cas de changement du profil de risque. Cette approche detecte les risques entre les cycles d'evaluation plutot que de les decouvrir lors des revues periodiques.

Gestion des risques tiers (TPRM) : le guide complet pour 2026

Published 7 mars 2026

By Emre Salmanoglu

Gestion des risques tiers (TPRM) : le guide complet pour 2026

Q: Qu'est-ce que la gestion des risques tiers ?

La gestion des risques tiers (TPRM) est le processus d'identification, d'evaluation, de surveillance et d'attenuation des risques lies au travail avec des fournisseurs, prestataires et sous-traitants externes. Elle couvre l'ensemble du cycle de vie du fournisseur — de la due diligence avant l'integration a la surveillance continue pendant la relation jusqu'a la fin de collaboration securisee.

Guide pratique de la gestion des risques tiers — ce que c'est, pourquoi c'est important, comment construire un programme TPRM, les referentiels et reglementations cles (NIS2, DORA, ISO 27001), et comment passer des evaluations manuelles a des operations de confiance evolutives.

gestion des risques tiers

TPRM

risques fournisseurs

securite de la chaine d'approvisionnement

NIS2

DORA

ISO 27001

Qu'est-ce que la gestion des risques tiers ?

Chaque organisation depend de fournisseurs, prestataires et sous-traitants externes. Chacun d'entre eux introduit un risque — du fournisseur cloud hebergeant vos donnees a la plateforme RH traitant les informations des employes. La gestion des risques tiers est le processus structure d'identification, d'evaluation et de surveillance de ces risques tout au long du cycle de vie du fournisseur.

Ce guide couvre ce qu'implique la TPRM, ce que les reglementations exigent et comment construire un programme qui depasse les tableurs et les questionnaires annuels.

Qu'est-ce que la gestion des risques tiers ?

La gestion des risques tiers (TPRM) est le processus de gestion des risques lies au travail avec des entites externes. Elle couvre :

Due diligence — Evaluer la securite, la conformite et la stabilite du fournisseur avant l'integration
Evaluation des risques — Categoriser les fournisseurs par criticite et identifier les risques specifiques
Controles contractuels — Integrer des exigences de securite, des droits d'audit et des dispositions de responsabilite dans les accords
Surveillance continue — Veille permanente de la posture de securite et du statut de conformite des fournisseurs
Gestion des incidents — Traiter les evenements de securite provenant de tiers ou les affectant
Desengagement — Fin securisee des relations fournisseurs, incluant la restitution et la suppression des donnees

Sans TPRM structuree, les organisations ne decouvrent les risques tiers que lorsqu'ils se materialisent — par une violation chez un fournisseur, un echec d'audit ou une sanction reglementaire.

Pourquoi la TPRM est essentielle aujourd'hui

Trois forces rendent la gestion des risques tiers incontournable :

1. Les attaques de la chaine d'approvisionnement augmentent

Les attaquants ciblent les fournisseurs car compromettre un seul prestataire peut donner acces a des centaines d'organisations en aval. Les attaques de la chaine d'approvisionnement ne necessitent pas de franchir directement vos defenses — elles exploitent la confiance que vous accordez a vos fournisseurs.

2. Les reglementations l'exigent

L'article 21(2)(d) de NIS2 exige des mesures de securite de la chaine d'approvisionnement incluant des evaluations de securite des fournisseurs
Les articles 28 a 44 de DORA etablissent des exigences completes de gestion des risques tiers TIC
L'annexe A 5.19-5.23 d'ISO 27001 couvre les relations avec les fournisseurs et la securite de l'information
L'article 28 du RGPD exige des accords de traitement des donnees et une due diligence des sous-traitants

3. Les attentes des acheteurs l'imposent

Les acheteurs entreprise exigent de plus en plus la preuve que votre organisation gere les risques fournisseurs. Les questionnaires de securite posent regulierement des questions sur les processus d'evaluation des fournisseurs, et de nombreux acheteurs n'iront pas plus loin sans preuve d'un programme TPRM structure.

Le cycle de vie de la TPRM

Phase 1 : Inventaire des fournisseurs

Vous ne pouvez pas gerer des risques que vous ne connaissez pas. Commencez par un inventaire complet :

Qui sont vos tiers ? Fournisseurs, sous-traitants ulterieurs, partenaires, prestataires, outils SaaS
A quelles donnees accedent-ils ? Donnees personnelles, donnees financieres, propriete intellectuelle, identifiants systeme
Quels services fournissent-ils ? Critique pour l'activite vs. commodite, remplacable vs. source unique
Ou sont-ils localises ? La juridiction affecte les obligations de protection des donnees et l'exposition reglementaire

Phase 2 : Categorisation des risques

Tous les fournisseurs ne presentent pas le meme risque. Categorisez selon :

Facteur	Critique	Eleve	Moyen	Faible
Acces aux donnees	Donnees sensibles/reglementees	Donnees internes	Donnees limitees	Aucun acces aux donnees
Dependance metier	L'interruption arrete les operations	Perturbation significative	Solutions de contournement disponibles	Impact minimal
Exposition reglementaire	Soumis a des reglementations specifiques	Exigences de conformite moderees	Exigences generales	Aucune
Remplacabilite	Mois pour remplacer	Semaines pour remplacer	Jours pour remplacer	Alternatives immediates

Phase 3 : Due diligence et evaluation

Evaluation proportionnee en fonction de la categorie de risque :

Fournisseurs critiques et a haut risque :

Examiner les certifications de securite (ISO 27001, SOC 2)
Questionnaire de securite detaille ou evaluation sur site
Examiner l'historique des incidents et les capacites de reponse
Evaluer les plans de continuite d'activite et de reprise apres sinistre
Evaluer les pratiques de protection des donnees et la chaine des sous-traitants

Fournisseurs a risque moyen :

Verifier les certifications de securite
Questionnaire de securite standard
Examiner la politique de confidentialite et les pratiques de traitement des donnees

Fournisseurs a faible risque :

Due diligence de base (immatriculation, reputation)
Examen des conditions standards

Phase 4 : Controles contractuels

Integrer les exigences de securite dans les accords fournisseurs :

Obligations de securite — Normes minimales de securite, delais de gestion des correctifs, exigences de chiffrement
Droits d'audit — Droit d'auditer ou de demander des rapports d'audit
Notification des incidents — Delais de notification des violations (NIS2 exige une notification initiale sous 24 heures)
Protection des donnees — Lieux de traitement, approbation des sous-traitants, suppression des donnees a la fin du contrat
Dispositions de sortie — Portabilite des donnees, assistance a la transition, transfert de connaissances

Phase 5 : Surveillance continue

Les evaluations ponctuelles manquent les risques qui emergent entre les revues. Mettez en place :

Surveillance des notes de securite — Suivre la posture de securite des fournisseurs via des notations externes
Surveillance des violations — Alerter lorsque des fournisseurs subissent des incidents de securite
Suivi des certifications — Verifier que les certifications restent valides
Surveillance de la conformite — Suivre les evolutions reglementaires affectant les obligations des fournisseurs
Surveillance de la performance — Respect des niveaux de service et metriques operationnelles

Phase 6 : Desengagement

Lorsque les relations fournisseurs prennent fin :

Confirmer la restitution ou la suppression des donnees avec des preuves
Revoquer tous les identifiants d'acces et permissions systeme
Decommissionner les integrations et connexions API
Mettre a jour l'inventaire des fournisseurs et le registre des risques
Archiver la documentation de conformite pour la piste d'audit

Exigences reglementaires

Securite de la chaine d'approvisionnement NIS2

L'article 21(2)(d) de NIS2 exige :

Les aspects lies a la securite des relations avec les fournisseurs et prestataires directs
La prise en compte des vulnerabilites specifiques a chaque fournisseur
La qualite globale des produits et des pratiques de cybersecurite des fournisseurs
Les resultats des evaluations coordonnees des risques de securite

Implications pratiques : Vous devez disposer de processus documentes d'evaluation des fournisseurs, d'exigences contractuelles de securite et de preuves de surveillance continue. Lors d'un audit NIS2, vous devez demontrer que la securite de la chaine d'approvisionnement fait partie de votre cadre de gestion des risques.

Risques tiers TIC selon DORA

Les articles 28 a 44 de DORA constituent les exigences TPRM les plus prescriptives de la reglementation europeenne :

Registre des prestataires TIC — Inventaire complet de tous les prestataires de services TIC tiers
Evaluation pre-contractuelle — Evaluation des risques avant la conclusion d'accords
Exigences contractuelles — Dispositions specifiques incluant la localisation des donnees, les droits d'audit, les strategies de sortie et les conditions de sous-traitance
Surveillance continue — Evaluation permanente des risques tiers TIC
Risque de concentration — Evaluation de la dependance envers des prestataires individuels
Supervision directe — Les autorites europeennes de surveillance peuvent superviser directement les prestataires TIC critiques

Securite des fournisseurs ISO 27001

Controles de l'annexe A d'ISO 27001:2022 pour les relations fournisseurs :

A.5.19 — Securite de l'information dans les relations avec les fournisseurs
A.5.20 — Prise en compte de la securite de l'information dans les accords fournisseurs
A.5.21 — Gestion de la securite de l'information dans la chaine d'approvisionnement TIC
A.5.22 — Surveillance, revision et gestion des changements des services fournisseurs
A.5.23 — Securite de l'information pour l'utilisation des services cloud

Defis courants de la TPRM

1. Fatigue des questionnaires

Les fournisseurs comme les acheteurs souffrent de la surcharge de questionnaires. Les organisations envoient et recoivent des centaines de questionnaires de securite par an, chacun avec des formats et des questions differents. Le resultat est une faible qualite des reponses et des evaluations retardees.

Solution : Les Trust Centers permettent aux fournisseurs de publier proactivement leur posture de securite, reduisant le besoin d'echanges repetitifs de questionnaires. Les referentiels standardises (SIG, CAIQ) reduisent la variation des formats.

2. Aveuglement ponctuel

Les evaluations annuelles capturent un instantane unique. Un fournisseur qui reussit une evaluation en janvier pourrait subir une violation en mars qui reste non detectee jusqu'au prochain cycle d'evaluation.

Solution : La surveillance continue complete les evaluations periodiques par une intelligence en temps reel sur les risques fournisseurs.

3. Limites de scalabilite

Les processus TPRM manuels s'effondrent a mesure que le nombre de fournisseurs augmente. Les organisations comptant des centaines de fournisseurs ne peuvent pas mener des evaluations significatives pour chacun d'entre eux avec des tableurs et des e-mails.

Solution : La categorisation basee sur le risque assure un effort d'evaluation proportionne. L'automatisation gere la collecte de preuves et la surveillance pour la longue traine des fournisseurs a faible risque.

4. Visibilite sur les sous-traitants

Vos fournisseurs utilisent egalement des fournisseurs. Une violation chez un sous-traitant a trois niveaux de profondeur peut toujours affecter vos donnees. La plupart des organisations manquent de visibilite au-dela de leurs fournisseurs directs.

Solution : Exigences contractuelles de divulgation et d'approbation des sous-traitants. Cartographie de la chaine d'approvisionnement pour les services critiques.

Des tableurs a une TPRM evolutive

La progression en maturite pour la plupart des organisations :

Niveau	Approche	Outils typiques
Ad hoc	Reagir aux problemes au fur et a mesure	E-mail, pas de documentation
Basique	Questionnaires annuels pour les fournisseurs cles	Tableurs, e-mail
Structure	Programme d'evaluation base sur le risque	Plateforme GRC, questionnaires standardises
Integre	Surveillance continue avec collecte de preuves automatisee	Plateforme TPRM, Trust Center, integrations API
Optimise	Intelligence predictive des risques avec analyse quantitative	Analytique avancee, methodologie FAIR, surveillance en temps reel

La plupart des organisations se situent au niveau basique ou structure. Atteindre le niveau integre — ou les preuves fournisseurs circulent automatiquement et la surveillance est continue — est le point ou la TPRM devient perenne.

Comment Orbiq accompagne la gestion des risques tiers

Trust Center — Publiez votre posture de securite, vos certifications et vos preuves de conformite pour que les acheteurs puissent effectuer leur due diligence en libre-service plutot que d'envoyer des questionnaires
Surveillance des risques fournisseurs — Suivez en continu la posture de securite des fournisseurs et recevez des alertes lorsque les profils de risque changent
Gestion des preuves — Collecte et organisation automatisees des preuves de conformite pour les evaluations fournisseurs
Questionnaires alimentes par l'IA — Repondez automatiquement aux questionnaires de securite entrants en utilisant vos preuves de conformite verifiees

Pour aller plus loin

Gestion des risques fournisseurs : Le guide complet — Construire un programme VRM, comparatif d'outils et exigences réglementaires UE
Securite de la chaine d'approvisionnement NIS2 — Exigences detaillees de NIS2 en matiere de chaine d'approvisionnement
Cadres de gestion des risques — Choisir le bon referentiel pour votre programme TPRM
Automatisation de la conformite — Automatiser la collecte de preuves qui soutient la TPRM

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.