Nouveau
Découvrez notre nouvelle page de  fonctionnalités

Gestion du risque tiers (TPRM) : guide pratique pour PME et ETI

Si votre prestataire informatique est piraté et que vos systèmes tombent en panne, c’est votre problème. Si votre prestataire de paie laisse fuiter les données de vos salariés, c’est votre problème. Le fait que quelqu’un d’autre en soit à l’origine ne change rien à celui qui en assume la perte.

C’est l’idée centrale derrière la gestion du risque tiers : le risque vous appartient, même lorsqu’il prend sa source ailleurs. Ce guide explique comment les PME et les ETI peuvent aborder le TPRM de manière pratique et proportionnée.

Les points à retenir :
  • Le risque tiers est un risque propre avec un déclencheur externe. Lorsque votre prestataire informatique est piraté ou que votre gestionnaire de paie divulgue des données d'employés, les pertes atterrissent sur votre compte de résultat, peu importe où l'incident a commencé. Le raisonnement "c'est quelqu'un d'autre qui l'a causé" est une illusion dangereuse.
  • Tous les fournisseurs ne présentent pas le même risque, concentrez-vous sur ceux qui pourraient paralyser votre activité. Les fournisseurs qui comptent le plus sont ceux qui ont accès à vos systèmes générateurs de revenus, à vos données sensibles ou à votre infrastructure. Un prestataire de services managés compromis avec des accès privilégiés peut causer plus de dommages qu'une dizaine de fournisseurs détenant des informations moins critiques.
  • Les questionnaires fournisseurs créent une trace documentaire, ils ne créent pas de sécurité. Les réponses sont auto-déclarées, la vérification se produit rarement, et tout le monde sait que l'objectif principal est de satisfaire un audit. Ce qui réduit réellement votre exposition, c'est ce que vous contrôlez de votre côté : la segmentation réseau, l'authentification multifacteur sur toutes les connexions externes, et des permissions d'accès délimitées qui limitent ce qu'un fournisseur compromis peut atteindre.
Explorez davantage avec l'IA :
Claude
Perplexity
ChatGPT

Pourquoi le risque tiers est en réalité votre risque

Des événements tiers, des pertes pour vous

Les événements tiers produisent des pertes qui sont les vôtres. Le risque se matérialise dans votre compte de résultat, vos opérations, vos relations clients. L’étiquette « tiers » peut créer un faux sentiment de distance : l’impression qu’il s’agit du problème d’un autre. Ce n’est pas le cas. Le risque tiers n’est rien d’autre que votre propre risque, déclenché de l’extérieur.

Ce changement de perspective est important parce qu’il modifie ce que vous cherchez à faire. Vous n’essayez pas d’auditer vos fournisseurs jusqu’à une sécurité parfaite. Vous cherchez à comprendre quelle part de la valeur de votre propre entreprise est exposée à travers ces relations et ce que cela vous coûterait si quelque chose tournait mal.

Pourquoi les ETI sont plus exposées qu’elles ne le pensent

Les incidents tiers peuvent être surmontables ou existentiels et pour une ETI, la frontière entre les deux est plus mince que la plupart des dirigeants ne l’imaginent.

Lorsque Marks & Spencer a perdu environ 300 millions de livres de bénéfice à la suite d’un incident tiers, ce fut douloureux. L’affaire a fait la une. Mais Marks & Spencer existe toujours. Considérez maintenant l’autre versant de cette dynamique. Lorsque Jaguar Land Rover a été touché, beaucoup des petits fournisseurs de son écosystème, des entreprises dont une trop grande part du chiffre d’affaires était concentrée sur cette unique relation, n’ont pas survécu.

Les pertes sont peut-être plus faibles en valeur absolue, mais les conséquences peuvent être existentielles. Une start-up logicielle dont la plateforme de développement laisse fuiter sa propriété intellectuelle n’a plus d’activité. Une petite société d’e-commerce dont l’hébergeur tombe 48 heures peut ne jamais récupérer ni le chiffre d’affaires perdu, ni la confiance de ses clients.

Les ETI fonctionnent par ailleurs souvent à effectifs et ressources réduits. Quand un incident survient, votre rétablissement dépend de moyens qui, tout simplement, peuvent ne pas être disponibles.

Identifier les tiers qui mettent réellement votre entreprise en risque

Chiffre d’affaires, données et infrastructure

Toutes les relations fournisseurs ne portent pas le même risque. Les fournisseurs qui comptent le plus dans votre programme de gestion du risque tiers sont ceux qui ont un accès significatif à ce qui fait tourner votre activité. Trois catégories méritent d’être examinées.

  1. Sources de revenus : ce fournisseur exploite-t-il ou héberge-t-il les systèmes qui génèrent vos revenus ?
    S’il tombe ou est compromis, votre entreprise cesse-t-elle de générer du revenu ? Les fournisseurs ayant un accès direct à la manière dont vous gagnez de l’argent constituent vos relations les plus exposées.
  1. Données : quelles données sensibles ce fournisseur détient-il, traite-t-il ou transmet-il ?
    Une fuite de données personnelles clients peut déclencher des sanctions réglementaires, des obligations de notification et une atteinte durable à la confiance des clients, souvent simultanément. La perte de propriété intellectuelle peut être pire encore : selon votre activité, elle peut anéantir entièrement votre avantage concurrentiel.
  1. Infrastructure : ce fournisseur a-t-il accès à vos systèmes et à vos réseaux, même s’il ne détient pas directement de données sensibles ?
    Les prestataires d’infogérance, les centres de support externalisés et les outils de supervision à distance disposent souvent d’accès privilégiés, ce qui en fait une cible de grande valeur, même lorsqu’ils ne détiennent eux-mêmes rien de sensible.

L’incident Marks & Spencer est éclairant à ce sujet. Le tiers impliqué dans leur compromission était un prestataire de services managés exploitant le centre de support. Il ne stockait pas de données clients sensibles. Mais il avait accès aux systèmes. Un fournisseur « point d’entrée » n’a pas besoin de détenir vos données les plus sensibles pour les mettre en péril.

La question clé pour chaque fournisseur de votre écosystème est simple : si cette relation était compromise, combien cela coûterait-il réellement à mon entreprise ? C’est par cette question que votre évaluation du risque chaîne d’approvisionnement doit commencer.

Pourquoi les questionnaires fournisseurs ne suffisent pas

La plupart des organisations abordent la gestion du risque tiers comme un exercice de conformité : on envoie un questionnaire, le fournisseur répond, on archive la réponse. La case est cochée.

Si votre propre entreprise a déjà eu à en remplir un, vous en connaissez déjà les limites :

  • Les réponses dépendent de la personne qui le remplit
  • Les questions sont souvent génériques et les réponses déclaratives
  • La vérification a rarement lieu
  • Tous les acteurs comprennent que l’objectif premier est de satisfaire une exigence d’audit, non de dresser une image fidèle du risque

Cela ne signifie pas que les questionnaires sont inutiles. Ils constituent une trace documentaire, posent des attentes de base et peuvent faire émerger des lacunes évidentes. Mais ils vous disent ce qu’un fournisseur déclare, pas ce qu’il fait réellement.

Le complément le plus productif à un questionnaire consiste à se concentrer sur ce que vous pouvez maîtriser de votre côté. Comment limitez-vous les accès des fournisseurs ? Comment segmentez-vous votre réseau ? Quelles mesures compensatoires avez-vous en place pour qu’un fournisseur compromis ne puisse pas atteindre vos actifs les plus critiques ?

Construire un programme de gestion du risque tiers proportionné

Un programme de risque tiers n’est pas un audit ponctuel. C’est un cycle de vie qui s’applique dès le moment où vous envisagez un nouveau fournisseur jusqu’à celui où vous mettez fin à la relation.

Inventaire des fournisseurs et hiérarchisation des risques

On ne peut pas gérer ce que l’on n’a pas identifié. La première étape consiste à dresser l’inventaire de vos tiers ayant accès à vos systèmes, à vos données ou à vos opérations critiques.

Une fois cet inventaire constitué, la discipline la plus importante est la hiérarchisation du risque : reconnaître que tous les fournisseurs ne présentent pas le même niveau de risque, et répartir votre attention en conséquence.

La manière dont vous classez chaque fournisseur déterminera la façon dont vous ajusterez vos propres mesures de sécurité internes. Concentrer vos efforts sur les fournisseurs qui représentent un risque véritablement matériel est plus efficace que d’appliquer la même évaluation à chaque fournisseur de votre liste.

Contrats, mesures techniques et surveillance continue

Les contrats créent des obligations juridiques. Des exigences de sécurité non formalisées contractuellement ne sont pas opposables. Au minimum, les contrats des fournisseurs critiques devraient comporter :

  • Les standards de sécurité que le fournisseur doit maintenir
  • Une obligation de notification en cas d’incident avec un délai défini
  • Votre droit d’audit
  • Des restrictions sur les sous-traitants accédant à vos données
  • Des exigences de restitution ou de suppression des données à l’échéance du contrat

Les mesures techniques limitent ce qui est possible en cas de compromission d’une relation fournisseur. La segmentation du réseau garantit que les accès distants d’un fournisseur ne portent que sur ce qui lui est nécessaire. La MFA sur chaque connexion externe élimine l’essentiel du risque d’intrusion par identifiants. Des permissions d’accès cadrées et régulièrement revues évitent la dérive des privilèges. La journalisation de toute activité fournisseur sur vos systèmes est de plus en plus exigée par les régulateurs et indispensable à toute investigation d’incident.

La surveillance maintient une image à jour. La posture de sécurité d’un fournisseur à la signature du contrat peut évoluer fortement en quelques mois. Les réévaluations doivent être planifiées selon le niveau de risque (plus fréquemment pour les fournisseurs critiques) et déclenchées par des événements significatifs : un fournisseur annonce une violation, est racheté, introduit de nouveaux sous-traitants ou montre des signes de difficultés financières. Lorsqu’une relation fournisseur prend fin, révoquez immédiatement tous les accès.

Par où commencer avec le TPRM

Si vous n’avez pas aujourd’hui de programme TPRM structuré, le chemin à suivre est plus simple qu’il n’y paraît. Vous n’avez pas besoin d’auditer chaque fournisseur ni d’obtenir une visibilité parfaite dès le premier jour. Vous devez commencer par les relations qui pourraient porter une atteinte matérielle à votre entreprise.

  • Constituez votre inventaire fournisseurs. Listez chaque tiers ayant accès à vos systèmes ou à vos données. Notez ce à quoi il accède et pourquoi. Révoquez tout ce qui n’est plus nécessaire.
  • Hiérarchisez vos fournisseurs. Appliquez le test en trois questions : exposition au chiffre d’affaires, sensibilité des données, accès à l’infrastructure. Attribuez à chaque fournisseur un niveau de risque.
  • Évaluez d’abord vos fournisseurs critiques. Vérifiez que les accords de traitement des données sont en place, demandez les preuves de certifications, et examinez si vos contrats contiennent ne serait-ce que des obligations de sécurité.
  • Corrigez les lacunes les plus évidentes. Vérifiez que la MFA est imposée sur toutes les connexions externes. Identifiez les contrats sans clauses de sécurité et marquez-les pour renouvellement ou avenant.
  • Instaurez un pilotage et une cadence. Désignez un référent interne pour chaque relation fournisseur critique. Inscrivez les réévaluations dans le calendrier. Faites-en un processus, pas un projet ponctuel.

Voilà un véritable programme TPRM, proportionné. Il ne couvrira pas tout immédiatement. Mais il vous donnera de la visibilité sur vos expositions les plus significatives et c’est précisément là que la gestion du risque tiers doit commencer.

Article suivant : Plan de continuité d’activité
TPRM

Comment C-Trust peut vous aider

Comprendre votre risque tiers commence par comprendre votre propre entreprise : sur quels actifs elle s’appuie, comment elle génère son chiffre d’affaires, et ce qui ferait le plus mal en cas de compromission. C’est exactement là que commence une évaluation C-Trust.

Nous regardons d’abord votre contexte métier, vos actifs numériques, vos dépendances clés et votre environnement réglementaire, et nous utilisons ces éléments pour bâtir une vision financièrement étayée de l’endroit où se situe votre exposition réelle, y compris à travers vos relations avec vos tiers. Le résultat est un plan d’action priorisé sur lequel votre équipe peut réellement agir, pas un rapport de conformité à archiver.

Si vous voulez comprendre ce que vos relations fournisseurs vous coûtent en termes de risque, commencez par un échange.

In progress Completed edit Not started In progress

Prêt à élaborer votre stratégie de cybersécurité ?

C-Trust vous fournit un plan d'action priorisé, adapté à votre entreprise, vous savez ainsi exactement par où commencer et quoi faire ensuite.

Demander une démo →