Modèle gratuit de questionnaire de sécurité fournisseurs (2026) — Excel
Published 14 juil. 2026
By Orbiq Team

Modèle gratuit de questionnaire de sécurité fournisseurs (2026) — Excel

Questionnaire de sécurité fournisseurs UE gratuit (XLSX, PDF, MD) : 67 questions par niveaux couvrant RGPD art. 28, chaîne d'approvisionnement NIS2, DORA et résidence des données.

Sécurité fournisseurs
Questionnaire de sécurité
RGPD
NIS2
DORA
Modèles

Télécharger ce modèle

Version 1.0 · Mis à jour le 14 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en français (à défaut : anglais)

Questionnaire de sécurité fournisseurs UE : modèle gratuit

Un questionnaire de sécurité fournisseurs est l'ensemble structuré de questions qu'un acheteur envoie à ses fournisseurs pour évaluer leur posture de sécurité — et pour les acheteurs européens en 2026, il doit poser davantage de questions que les standards rédigés aux États-Unis. Ce modèle gratuit contient 67 questions réparties en 10 sections, classées par criticité du fournisseur, couvrant les clauses de sous-traitance de l'article 28 du RGPD, les preuves de chaîne d'approvisionnement de l'article 21(2)(d) de NIS2, les champs prestataires TIC de DORA, ainsi que les questions de résidence des données et de CLOUD Act que SIG et CAIQ ne posent pas.

La plupart des modèles de questionnaire sont écrits depuis l'univers de conformité américain : SOC 2 en priorité, muets sur l'article 28(3), aveugles à la souveraineté des données. Mais si vous achetez du logiciel en tant qu'entreprise européenne, c'est vous qui portez la responsabilité juridique — pour vos sous-traitants au titre du RGPD, pour vos fournisseurs directs au titre de NIS2, pour vos prestataires TIC au titre de DORA. Ce modèle — disponible en XLSX, PDF et en fichier Markdown lisible par machine pour les agents IA (les fichiers téléchargeables sont en anglais) — pose exactement ce que ces obligations exigent, aux côtés des fondamentaux de sécurité dont tout questionnaire a besoin. C'est le compagnon sortant de notre guide du questionnaire de sécurité, qui couvre le côté répondant du même échange.

Points clés

  • 67 questions, 10 sections, 3 niveaux — les fournisseurs critiques (T1) répondent à tout, les fournisseurs standard (T2) répondent à 46, les fournisseurs à faible risque (T3) répondent à un jeu allégé de 23 questions. La proportionnalité est intégrée.
  • Native de l'UE par conception : clauses DPA de l'article 28(3), options d'hébergement UE/EEE uniquement, mécanismes de transfert, exposition au CLOUD Act / FISA 702, fenêtres de notification d'incidents compatibles NIS2, et un addendum DORA pour les acheteurs entités financières.
  • Chaque question nomme sa preuve. Certificats avec périmètre, synthèses exécutives de tests d'intrusion, clauses DPA, registres de sous-traitants — les réponses sans artefacts sont des auto-déclarations, pas une assurance.
  • Les acteurs établis ne couvrent pas ce terrain : SIG est sous licence et de cadre américain ; le CAIQ v4 est gratuit mais axé cloud (261 questions). Aucun ne pose ce dont les régulateurs européens vous tiennent vous pour responsable.
  • Un questionnaire est une entrée, pas la décision. Associez-le à un cadre de notation — notre modèle d'évaluation des risques fournisseurs — et à un suivi des preuves dans le temps.

Ce que contient le modèle

Le fichier XLSX contient quatre feuilles : un registre des fournisseurs (fournisseur, juridiction, société mère, niveau, issue de la revue), une grille de niveaux (quatre dimensions notées avec une règle de décision), le questionnaire lui-même (67 questions avec des demandes de preuves par question, des listes déroulantes de réponse Oui/Partiel/Non/N.A. et une colonne d'évaluation par le relecteur), et une feuille d'instructions. Le PDF reproduit la banque de questions pour les réunions de revue ; la variante Markdown porte la structure complète avec des métadonnées YAML et des énumérations, de sorte qu'un agent IA peut mener une revue fournisseur de bout en bout.

Les dix sections, avec un exemple de question pour chacune :

SectionQuestionsExemple de question
A — Entreprise & gouvernance6Détenez-vous un certificat ISO/IEC 27001:2022 en cours de validité couvrant le service que nous achetons ?
B — RGPD & protection des données (art. 28)10Proposez-vous un DPA contenant toutes les clauses obligatoires de l'article 28(3) ?
C — Résidence & souveraineté des données8Votre structure d'entreprise est-elle soumise à une juridiction hors UE pouvant contraindre à la divulgation au titre du US CLOUD Act ?
D — Contrôle d'accès & identité7Le MFA est-il imposé pour tous les accès du personnel à la production et aux données clients ?
E — Infrastructure & exploitation8Le service fait-il l'objet d'un test d'intrusion annuel, et en partagerez-vous la synthèse exécutive ?
F — Gestion des incidents6Quelle est votre fenêtre contractuelle (en heures) pour nous notifier les incidents affectant notre service ou nos données ?
G — Continuité d'activité & PRA5Les sauvegardes sont-elles chiffrées, géographiquement séparées et testées en restauration ?
H — Développement sécurisé6Le code est-il analysé (SAST/DAST/dépendances) avant tout déploiement en production ?
I — Sous-traitants & chaîne d'approvisionnement6Nous notifierez-vous à l'avance les changements de sous-traitants, avec un droit d'objection ?
J — Addendum DORA (entités financières)5Pouvez-vous fournir les champs dont nous avons besoin pour notre Registre d'informations DORA ?

Comment l'utiliser

Étape 1 — Classez le fournisseur par niveau. La grille note quatre dimensions : la sensibilité des données, l'accès aux systèmes, la criticité du service (y compris le fait qu'une défaillance du fournisseur créerait pour vous une exposition NIS2 ou DORA) et la substituabilité. Les fournisseurs critiques reçoivent l'ensemble complet ; un outil banalisé sans accès aux données reçoit 23 questions. Envoyer 850 questions à un prestataire de newsletter, c'est ainsi que les achats s'enlisent et que la qualité des réponses s'effondre.

Étape 2 — Envoyez le sous-ensemble du niveau, exigez des preuves. Chaque question nomme l'artefact à joindre. C'est le plus grand levier de qualité dans la revue de sécurité fournisseurs : les orientations de l'ENISA sur la chaîne d'approvisionnement insistent sur l'évaluation de la qualité des pratiques d'un fournisseur, pas sur l'existence d'un formulaire rempli — le même principe qui sous-tend notre checklist de demande de preuves fournisseurs NIS2, le pendant de suivi des preuves de ce questionnaire.

Étape 3 — Évaluez, décidez et consignez. Marquez chaque réponse Adéquate, Suivi requis ou Insuffisante ; consignez les suivis ; enregistrez l'issue au registre. Le questionnaire collecte ; la décision appartient à votre processus de gestion des risques fournisseurs, où les réponses se combinent à une vérification indépendante et à une notation du risque.

Étape 4 — Relancez selon une cadence. T1 annuellement, T2 tous les 12 à 18 mois, T3 au renouvellement — avec des déclencheurs événementiels (un incident chez un fournisseur, un changement de sous-traitant, un certificat en expiration) qui priment sur le calendrier. Les questionnaires ponctuels vieillissent vite ; ce sont la cadence et les déclencheurs qui transforment un formulaire en surveillance.

Base juridique

Trois régimes européens façonnent l'ensemble des questions. Le RGPD — le règlement (UE) 2016/679 — rend les relations de sous-traitance contractuelles par la loi : l'article 28(3) prescrit le contenu obligatoire du DPA (instructions documentées, confidentialité, mesures de sécurité de l'article 32, autorisation des sous-traitants ultérieurs, assistance aux droits des personnes concernées, appui en cas de violation, suppression ou restitution en fin de contrat, droits d'audit), et la section B du questionnaire vérifie chacun de ces points. Parce que l'article 33 vous accorde 72 heures pour notifier une violation à votre autorité de contrôle, la question B7 vérifie que la propre fenêtre de notification du fournisseur vous laisse la marge de vous conformer.

NIS2 — la directive (UE) 2022/2555 — fait de la sécurité de la chaîne d'approvisionnement une mesure obligatoire de gestion des risques au titre de l'article 21(2)(d), évaluée par fournisseur direct au titre de l'article 21(3). La section F vérifie qu'un incident chez un fournisseur vous parvienne assez vite pour honorer votre propre alerte précoce sous 24 heures de l'article 23, et la question I6 sécurise la répercussion des preuves qu'exigent vos obligations de documentation de la chaîne d'approvisionnement. DORA — le règlement (UE) 2022/2554 — ajoute la couche entités financières : les articles 28 à 30 régissent le risque lié aux tiers TIC, du Registre d'informations (dont les champs sont précisés par l'ITS (UE) 2024/2956) aux stipulations contractuelles obligatoires de l'article 30 et aux stratégies de sortie de l'article 28(8). La section J pose les cinq questions qui rendent ces obligations applicables avec un fournisseur — et s'associe à notre checklist de preuves prestataires TIC DORA pour la tenue du registre.

La section souveraineté reflète la réalité post-Schrems II : le US CLOUD Act atteint les données détenues par des fournisseurs sous contrôle américain quel que soit leur lieu de stockage, et la section 702 de FISA était au cœur de l'invalidation du Privacy Shield par la CJUE — c'est pourquoi les questions C4–C5 portent sur la juridiction de l'entreprise et les analyses d'impact des transferts, et non seulement sur l'emplacement des serveurs.

Au-delà de l'UE : Royaume-Uni et Norvège

Le même ensemble de questions sert les acheteurs britanniques et norvégiens avec une légère repondération. Au Royaume-Uni, le UK GDPR conserve l'article 28 dans sa substance, de sorte que la section B s'applique sans changement, et le Cyber Security and Resilience Bill — devant la Chambre des Lords à la mi-2026 — fera entrer les fournisseurs de services managés et les fournisseurs critiques désignés dans un régime de type NIS avec une notification initiale sous 24 heures, rendant les questions de notification de la section F directement pertinentes. En Norvège, la digitalsikkerhetsloven (en vigueur depuis le 1er octobre 2025, supervisée par le NSM) met en œuvre des obligations de type NIS tandis que NIS2 attend son incorporation dans l'EEE, et le Datatilsynet applique l'article 28 du RGPD en tant que droit de l'EEE — un seul questionnaire couvre la base fournisseurs dans ces trois juridictions.

Du questionnaire à l'assurance continue

Un questionnaire est un instantané ; le risque fournisseur est un flux. Relancer les réponses, re-noter les réponses et remarquer le certificat qui a expiré huit mois après le retour du formulaire — c'est là que les programmes en tableur échouent silencieusement. La plateforme de vendor assurance d'Orbiq exécute en continu les mêmes classements par niveaux, jeux de questions et collectes de preuves, avec des réponses évaluées par IA et une piste d'audit générée comme sous-produit du travail. Et si vous êtes du côté qui reçoit des questionnaires comme celui-ci, notre guide sur l'automatisation des questionnaires de sécurité couvre le côté réponse.


Sources et références

  1. Règlement (UE) 2016/679 (RGPD) — texte intégral — articles 27, 28, 32, 33.
  2. Directive (UE) 2022/2555 (NIS2) — texte intégral — articles 21(2)(d), 21(3), 23.
  3. Règlement (UE) 2022/2554 (DORA) — texte intégral — articles 19, 26–30.
  4. Règlement d'exécution (UE) 2024/2956 de la Commission — ITS sur le Registre d'informations DORA.
  5. CSA — CAIQ v4 (questionnaire de sécurité STAR Level 1) — le questionnaire gratuit axé cloud, 261 questions.
  6. ENISA — Good Practices for Supply Chain Cybersecurity — pratiques d'évaluation des fournisseurs.
  7. Gouvernement britannique — collection Cyber Security and Resilience Bill — état du régime des fournisseurs au Royaume-Uni.

À lire également

Télécharger ce modèle

Version 1.0 · Mis à jour le 14 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en français (à défaut : anglais)

Questions fréquentes

Qu'est-ce qu'un questionnaire de sécurité fournisseurs ?

Un questionnaire de sécurité fournisseurs est un ensemble structuré de questions qu'un acheteur envoie à un fournisseur pour évaluer sa posture de sécurité avant et pendant une relation commerciale. Il couvre des domaines tels que les certifications, les clauses de protection des données, le contrôle d'accès, la notification d'incidents, la continuité d'activité et les sous-traitants — et chaque réponse doit être étayée par une preuve, comme un certificat ISO 27001 ou une synthèse de test d'intrusion, et non par une simple auto-déclaration.

Quelles questions un questionnaire de sécurité fournisseurs doit-il inclure ?

Un questionnaire complet couvre dix domaines : entreprise et gouvernance (certifications, direction de la sécurité), clauses de sous-traitance de l'article 28 du RGPD, résidence et souveraineté des données, contrôle d'accès et identité, infrastructure et exploitation, gestion des incidents et SLA de notification, continuité d'activité et reprise après sinistre, développement sécurisé, sous-traitants et chaîne d'approvisionnement, et — pour les acheteurs entités financières — les champs prestataires TIC de DORA. Ce modèle livre les dix sections sous forme de 67 questions par niveaux, avec les preuves à demander pour chaque question.

En quoi cela diffère-t-il de SIG et CAIQ ?

SIG (Shared Assessments) est une bibliothèque sous licence rédigée aux États-Unis — l'ensemble SIG Core comporte environ 850 questions et exige un abonnement annuel. Le CAIQ v4 de la CSA est gratuit mais axé cloud (261 questions) et de cadre américain. Aucun ne pose les questions dont les acheteurs de l'UE sont légalement responsables : clauses DPA de l'article 28(3), options d'hébergement UE/EEE uniquement, exposition au CLOUD Act et à FISA 702, fenêtres de notification compatibles NIS2, ou champs du Registre d'informations DORA. Ce questionnaire est natif de l'UE, gratuit et par niveaux, de sorte que les petits fournisseurs reçoivent 23 questions plutôt que 850.

Combien de questions faut-il envoyer à chaque fournisseur ?

Classez d'abord vos fournisseurs par niveaux. Ce modèle utilise trois niveaux : les fournisseurs critiques (T1) répondent aux 67 questions, y compris l'addendum DORA lorsqu'il est pertinent ; les fournisseurs standard (T2) répondent à 46 ; les fournisseurs à faible risque (T3) répondent à un jeu allégé de 23 questions. Envoyer l'ensemble complet à chaque fournisseur ralentit les achats et produit de moins bonnes réponses — la proportionnalité vous apporte une meilleure assurance plus vite.

Quelles preuves faut-il demander avec un questionnaire de sécurité ?

Chaque question matérielle doit nommer son artefact : un certificat ISO 27001 avec déclaration de périmètre, un rapport SOC 2 Type II avec bridge letter, la dernière synthèse exécutive de test d'intrusion avec l'état de remédiation, le DPA avec les clauses de l'article 28(3), la liste publique des sous-traitants, une clause contractuelle de notification d'incidents avec un délai en heures, et les résultats des tests PCA/PRA. Les réponses sans preuve sont des auto-déclarations, pas une assurance.

Un questionnaire de sécurité équivaut-il à une évaluation des risques fournisseurs ?

Non. Le questionnaire est l'ensemble de questions sortant — ce que vous envoyez au fournisseur pour recueillir des mesures et des preuves auto-déclarées. Une évaluation des risques fournisseurs est le processus interne plus large qui combine ces réponses avec une vérification indépendante, une notation du risque et une décision formelle d'acceptation. Utilisez ce modèle pour collecter ; utilisez un cadre d'évaluation des risques fournisseurs pour noter et décider.