TPRM : 40 % des perturbations proviennent de tiers — DORA et NIS2 imposent une gestion formelle

La gestion des risques liés aux tiers (TPRM) est le processus systématique d'identification, d'évaluation, de surveillance et de réduction des risques posés par les fournisseurs, prestataires technologiques et autres parties externes ayant accès aux systèmes, données ou processus critiques d'une organisation. Dans le contexte réglementaire européen, DORA (Digital Operational Resilience Act, applicable depuis janvier 2025) impose des obligations spécifiques de TPRM aux entités financières concernant leurs prestataires ICT critiques, incluant des clauses contractuelles obligatoires, une due diligence renforcée et des exigences de notification des incidents. NIS2 (transposée en droit espagnol) exige également des entités des secteurs essentiels et importants qu'elles évaluent et gèrent les risques de cybersécurité de leurs chaînes d'approvisionnement numériques.

Notre équipe de gestion des risques liés aux tiers combine l’expertise en due diligence d’entreprise avec la connaissance de la cybersécurité, de la réglementation numérique et de la gestion contractuelle des prestataires technologiques critiques.

Pourquoi la dépendance aux tiers est la source de risque opérationnel à la croissance la plus rapide

La dépendance aux tiers est une caractéristique structurelle de l’entreprise moderne. Les entreprises externalisent des fonctions critiques — traitement des données, infrastructure technologique, logistique, gestion de la paie — qui étaient il y a vingt ans des capacités contrôlées en interne. Cette externalisation génère de l’efficacité, mais elle transfère aussi le risque : lorsque le fournisseur échoue, ses clients en subissent les conséquences. L’effondrement d’un prestataire cloud, une attaque par rançongiciel sur un processeur de paiements, ou l’insolvabilité d’un partenaire logistique peuvent paralyser les opérations tout aussi sévèrement qu’une catastrophe interne — avec la difficulté supplémentaire que l’entreprise dispose de bien moins de contrôle direct sur l’incident.

Le fait que 40 % des perturbations graves proviennent de défaillances de tiers n’est pas un chiffre que les entreprises peuvent se permettre d’ignorer, particulièrement sous DORA pour les entités financières et NIS2 pour les entités essentielles et importantes. Les deux réglementations exigent une documentation formelle et une gestion des risques de la chaîne d’approvisionnement, avec possibilité de sanction en cas de non-conformité. Le scénario typique : une entreprise dépend d’un prestataire cloud pour son ERP, le prestataire subit une panne de 24 heures, et en révisant le contrat l’entreprise découvre que le SLA ne garantit que 99,5 % de disponibilité mensuelle (équivalent à 3,6 heures de panne acceptable par mois sans compensation), qu’il n’y a pas de clauses de continuité, et que le prestataire n’a aucune obligation de notifier les incidents.

Notre programme TPRM : de l’inventaire à la surveillance continue

La première étape est toujours la visibilité. La plupart des organisations ne disposent pas d’un inventaire complet et actualisé de leurs fournisseurs critiques : elles connaissent leurs principaux fournisseurs, mais n’ont pas de classification systématique de ceux dont la défaillance aurait un impact sévère sur les opérations ou la conformité réglementaire. Construire cet inventaire — avec classification par criticité, accès aux systèmes et données, et niveau de risque réglementaire — est le fondement de tout programme TPRM efficace.

Nos professionnels mettent en œuvre le programme TPRM en trois phases. La première est la visibilité : nous construisons l’inventaire complet des tiers ayant accès aux systèmes, données ou processus critiques, et les classons par niveau de criticité (critique, important, ordinaire). La deuxième est l’évaluation : pour les fournisseurs critiques, nous conduisons une due diligence structurée avec questionnaire de sécurité, revue des certifications (ISO 27001, SOC2, ENS) et évaluation de la capacité de continuité. La troisième est la protection : nous révisons et renforçons les contrats avec les fournisseurs critiques (clauses d’audit, notification des incidents sous 24 heures, SLA avec pénalités, clauses de sortie et transition) et mettons en œuvre le système de surveillance continue avec alertes de risque en temps réel.

La due diligence fournisseur va bien au-delà de la revue des certifications. Évaluer la posture réelle de cybersécurité d’un fournisseur — non pas seulement s’il détient ISO 27001, mais comment il gère réellement les incidents, comment il segmente les accès aux systèmes de ses clients, ce qui arrive aux données de l’entreprise si le fournisseur est acquis — requiert des questionnaires détaillés, une revue technique, et dans les cas les plus critiques, des audits sur site. Pour les entités financières soumises à DORA, ce processus est encadré par des exigences contractuelles minimales spécifiques que nous gérons de bout en bout. Nous intégrons la surveillance des tiers avec le registre des risques du cadre ERM d’entreprise pour garantir que les risques fournisseurs ont une visibilité au niveau de la direction et du conseil d’administration.

Ce qu’inclut notre service TPRM

Le service couvre l’inventaire et la classification de tous les tiers ayant accès aux systèmes ou données critiques, la due diligence structurée sur les fournisseurs critiques (questionnaire de sécurité, revue des certifications, évaluation de la continuité, rapport de risque avec recommandations), la révision et le renforcement du cadre contractuel avec clauses de sécurité, d’audit, de SLA et de sortie, le système de surveillance continue avec alertes de risque, la révision annuelle des évaluations des fournisseurs critiques, l’intégration avec le registre des risques ERM d’entreprise, et pour les entités financières, la conformité avec les exigences spécifiques de DORA en matière de gestion des prestataires ICT.

Résultats concrets en gestion des risques liés aux tiers

Les entreprises qui mettent en œuvre le programme TPRM avec notre équipe identifient en moyenne entre trois et huit fournisseurs critiques dont les contrats manquent de clauses de protection minimales en cas de défaillance ou d’incident de sécurité. La renégociation de ces contrats génère des protections concrètes : SLA avec pénalités réelles, clauses de notification des incidents sous 24 heures, et droits d’audit. Le délai de détection d’un problème chez un fournisseur critique est réduit de jours ou semaines à quelques heures grâce au système de surveillance continue. Et pour les entités soumises à DORA ou NIS2, la mise en œuvre du programme TPRM élimine le risque de sanction réglementaire pour non-conformité aux exigences de gestion des risques de la chaîne d’approvisionnement.