TPRM : 40 % des perturbations proviennent de tiers — DORA et NIS2 imposent une gestion formelle

La gestion des risques liés aux tiers (TPRM) est le processus systématique d'identification, d'évaluation, de surveillance et de réduction des risques posés par les fournisseurs, prestataires technologiques et autres parties externes ayant accès aux systèmes, données ou processus critiques d'une organisation. Dans le contexte réglementaire européen, DORA (Digital Operational Resilience Act, applicable depuis janvier 2025) impose des obligations spécifiques de TPRM aux entités financières concernant leurs prestataires ICT critiques, incluant des clauses contractuelles obligatoires, une due diligence renforcée et des exigences de notification des incidents. NIS2 (transposée en droit espagnol) exige également des entités des secteurs essentiels et importants qu'elles évaluent et gèrent les risques de cybersécurité de leurs chaînes d'approvisionnement numériques.

Notre équipe de gestion des risques liés aux tiers combine l’expertise en due diligence d’entreprise avec la connaissance de la cybersécurité, de la réglementation numérique et de la gestion contractuelle des prestataires technologiques critiques.

Ce service s’inscrit dans notre services aux entreprises.

Pourquoi la dépendance aux tiers est la source de risque opérationnel à la croissance la plus rapide

La dépendance aux tiers est une caractéristique structurelle de l’entreprise moderne. Les entreprises externalisent des fonctions critiques — traitement des données, infrastructure technologique, logistique, gestion de la paie — qui étaient il y a vingt ans des capacités contrôlées en interne. Cette externalisation génère de l’efficacité, mais elle transfère aussi le risque : lorsque le fournisseur échoue, ses clients en subissent les conséquences. L’effondrement d’un prestataire cloud, une attaque par rançongiciel sur un processeur de paiements, ou l’insolvabilité d’un partenaire logistique peuvent paralyser les opérations tout aussi sévèrement qu’une catastrophe interne — avec la difficulté supplémentaire que l’entreprise dispose de bien moins de contrôle direct sur l’incident.

Le fait que 40 % des perturbations graves proviennent de défaillances de tiers n’est pas un chiffre que les entreprises peuvent se permettre d’ignorer, particulièrement sous DORA pour les entités financières et NIS2 pour les entités essentielles et importantes. Les deux réglementations exigent une documentation formelle et une gestion des risques de la chaîne d’approvisionnement, avec possibilité de sanction en cas de non-conformité. Le scénario typique : une entreprise dépend d’un prestataire cloud pour son ERP, le prestataire subit une panne de 24 heures, et en révisant le contrat l’entreprise découvre que le SLA ne garantit que 99,5 % de disponibilité mensuelle (équivalent à 3,6 heures de panne acceptable par mois sans compensation), qu’il n’y a pas de clauses de continuité, et que le prestataire n’a aucune obligation de notifier les incidents.

Notre programme TPRM : de l’inventaire à la surveillance continue

La première étape est toujours la visibilité. La plupart des organisations ne disposent pas d’un inventaire complet et actualisé de leurs fournisseurs critiques : elles connaissent leurs principaux fournisseurs, mais n’ont pas de classification systématique de ceux dont la défaillance aurait un impact sévère sur les opérations ou la conformité réglementaire. Construire cet inventaire — avec classification par criticité, accès aux systèmes et données, et niveau de risque réglementaire — est le fondement de tout programme TPRM efficace.

Nos professionnels mettent en œuvre le programme TPRM en trois phases. La première est la visibilité : nous construisons l’inventaire complet des tiers ayant accès aux systèmes, données ou processus critiques, et les classons par niveau de criticité (critique, important, ordinaire). La deuxième est l’évaluation : pour les fournisseurs critiques, nous conduisons une due diligence structurée avec questionnaire de sécurité, revue des certifications (ISO 27001, SOC2, ENS) et évaluation de la capacité de continuité. La troisième est la protection : nous révisons et renforçons les contrats avec les fournisseurs critiques (clauses d’audit, notification des incidents sous 24 heures, SLA avec pénalités, clauses de sortie et transition) et mettons en œuvre le système de surveillance continue avec alertes de risque en temps réel.

La due diligence fournisseur va bien au-delà de la revue des certifications. Évaluer la posture réelle de cybersécurité d’un fournisseur — non pas seulement s’il détient ISO 27001, mais comment il gère réellement les incidents, comment il segmente les accès aux systèmes de ses clients, ce qui arrive aux données de l’entreprise si le fournisseur est acquis — requiert des questionnaires détaillés, une revue technique, et dans les cas les plus critiques, des audits sur site. Pour les entités financières soumises à DORA, ce processus est encadré par des exigences contractuelles minimales spécifiques que nous gérons de bout en bout. Nous intégrons la surveillance des tiers avec le registre des risques du cadre ERM d’entreprise pour garantir que les risques fournisseurs ont une visibilité au niveau de la direction et du conseil d’administration.

Ce qu’inclut notre service TPRM

Le service couvre l’inventaire et la classification de tous les tiers ayant accès aux systèmes ou données critiques, la due diligence structurée sur les fournisseurs critiques (questionnaire de sécurité, revue des certifications, évaluation de la continuité, rapport de risque avec recommandations), la révision et le renforcement du cadre contractuel avec clauses de sécurité, d’audit, de SLA et de sortie, le système de surveillance continue avec alertes de risque, la révision annuelle des évaluations des fournisseurs critiques, l’intégration avec le registre des risques ERM d’entreprise, et pour les entités financières, la conformité avec les exigences spécifiques de DORA en matière de gestion des prestataires ICT.

Résultats concrets en gestion des risques liés aux tiers

Les entreprises qui mettent en œuvre le programme TPRM avec notre équipe identifient en moyenne entre trois et huit fournisseurs critiques dont les contrats manquent de clauses de protection minimales en cas de défaillance ou d’incident de sécurité. La renégociation de ces contrats génère des protections concrètes : SLA avec pénalités réelles, clauses de notification des incidents sous 24 heures, et droits d’audit. Le délai de détection d’un problème chez un fournisseur critique est réduit de jours ou semaines à quelques heures grâce au système de surveillance continue. Et pour les entités soumises à DORA ou NIS2, la mise en œuvre du programme TPRM élimine le risque de sanction réglementaire pour non-conformité aux exigences de gestion des risques de la chaîne d’approvisionnement.

Cadre Réglementaire : DORA, NIS2 et Obligations Espagnoles

DORA (Digital Operational Resilience Act, Règlement UE 2022/2554) — applicable depuis le 17 janvier 2025 à toutes les entités financières régulées dans l’UE (banques, assureurs, entreprises d’investissement, gestionnaires d’actifs, prestataires de paiement, etc.). Le règlement impose : (1) un registre de tous les arrangements contractuels avec des prestataires ICT ; (2) l’identification des prestataires ICT critiques ou importants ; (3) une due diligence renforcée sur ces prestataires avant contractualisation et en continu ; (4) des clauses contractuelles minimales obligatoires (droits d’audit, notification d’incidents sous 48 heures, plans de sortie documentés) ; (5) la participation aux cadres de supervision directe des prestataires ICT systémiques. Les sanctions pour non-conformité peuvent atteindre 2 % du chiffre d’affaires annuel total.

NIS2 (Directive UE 2022/2555) — transposée en droit espagnol via la modification de la Ley de Seguridad de las Redes y Sistemas de Información. Elle s’applique aux entités essentielles (énergie, eau, transport, banque, santé, infrastructure numérique, administrations) et aux entités importantes (services postaux, gestion des déchets, fabrication de certains produits, services numériques). L’article 21 de la directive exige des entités concernées qu’elles prennent des mesures de gestion des risques de cybersécurité incluant explicitement la sécurité de la chaîne d’approvisionnement — évaluation des risques des fournisseurs directs, clauses de cybersécurité dans les contrats, et gestion de la vulnérabilité des systèmes connectés aux fournisseurs. Sanctions pour les entités essentielles : jusqu’à 10 M€ ou 2 % du CA mondial annuel.

Ley Orgánica de Protección de Datos (LOPDGDD, Ley Orgánica 3/2018) — toute relation avec un fournisseur traitant des données personnelles au nom de l’entreprise constitue un traitement par un sous-traitant régi par les art. 28-30 RGPD et doit faire l’objet d’un accord de traitement des données (DPA) formel. L’absence de DPA est une violation autonome des obligations RGPD, indépendamment de tout incident de données.

Cas Pratique Chiffré : Entité Financière et Conformité DORA

Une société de gestion d’actifs espagnole (2,4 Md€ AUM, 85 employés) est soumise à DORA depuis janvier 2025. Situation initiale : 47 fournisseurs identifiés informellement par les équipes IT, sans classification formelle, sans registre centralisé, contrats de 8 fournisseurs critiques sans clauses DORA-conformes.

Mise en œuvre du programme TPRM DORA (4 mois) :

Phase 1 — Inventaire et classification (6 semaines) : identification de 61 fournisseurs (14 de plus qu’estimé initialement), classification en 8 critiques, 18 importants, 35 ordinaires. Les 8 critiques incluent le gestionnaire de cloud AWS, le système de gestion de portefeuille (PMS), le prestataire de données de marché, et le processeur de transactions.

Phase 2 — Due diligence sur les 8 critiques (6 semaines) : questionnaires de sécurité détaillés, revue des certifications (ISO 27001, SOC2 Type II), évaluation de la continuité (RTO/RPO documentés), analyse de concentration (3 des 8 critiques hébergés chez AWS — risque de concentration évalué comme élevé).

Phase 3 — Renforcement contractuel (6 semaines) : 5 des 8 contrats nécessitaient une renégociation substantielle pour inclure les clauses DORA obligatoires. Un fournisseur a refusé d’inclure les droits d’audit → identification d’une alternative et plan de migration.

Phase 4 — Registre et surveillance continue (ongoing) : mise en place du registre des arrangements contractuels ICT, intégration avec le système de surveillance continue, procédure de révision annuelle des évaluations des fournisseurs critiques.

Résultat : Conformité DORA complète documentée avant le premier audit réglementaire. Découverte d’une vulnérabilité de sécurité chez le fournisseur PMS lors de la due diligence (cloisonnement insuffisant des données clients) — corrigée avant tout incident. Un fournisseur non-conforme remplacé préventivement. Économie estimée sur coûts de sanction réglementaire potentielle : significative.

Secteurs les Plus Exposés au Risque Tiers en Espagne

Services financiers — exposition maximale via DORA. Processeurs de paiement, core banking systems, prestataires cloud, fournisseurs de données de marché. Une défaillance peut déclencher des obligations de notification réglementaire dans les 4 heures (DORA art. 19).

Santé et pharmaceutique — dépendance aux systèmes d’information clinique (HIS/EMR), laboratoires sous-traitants, plateformes de télémédecine. Données de santé soumises au RGPD avec exigences de sécurité renforcées.

Énergie et utilities — secteur essentiel NIS2, dépendance aux systèmes SCADA (supervision industrielle) souvent fournis par des prestataires tiers avec accès à distance aux infrastructures critiques.

Grande distribution et logistique — dépendance aux systèmes WMS (gestion entrepôt), TMS (transport), et aux partenaires logistiques comme tiers essentiels à la continuité commerciale. Une défaillance 48 heures en période de pointe peut générer des pertes de plusieurs millions.

Industrie manufacturière avancée — systèmes MES (Manufacturing Execution Systems), maintenance prédictive via prestataires IoT, accès à distance des fournisseurs de machines-outils : autant de vecteurs d’attaque via la chaîne d’approvisionnement.

Cinq Erreurs Fréquentes dans la Gestion des Risques Tiers

1. Inventaire incomplet des fournisseurs critiques — Les entreprises connaissent leurs principaux fournisseurs IT, mais ignorent souvent que le prestataire de nettoyage a un accès badge à la salle serveur, ou que le consultant externe utilise son propre laptop avec accès VPN. L’inventaire doit couvrir TOUS les tiers ayant accès physique ou logique aux systèmes critiques.

2. Confondre certification ISO et sécurité réelle — Une certification ISO 27001 atteste que le fournisseur a un système de management de la sécurité à la date d’audit, pas qu’il est immunisé contre les incidents. La due diligence TPRM va au-delà des certifications : elle évalue la gestion réelle des incidents, la segmentation des accès clients, et les pratiques de sécurité opérationnelle.

3. Contrats sans clauses de protection minimales — La majorité des contrats de prestataires IT sont rédigés par le fournisseur et protègent ses intérêts. Les clauses de SLA, de notification des incidents, d’audit et de sortie sont soit absentes, soit insuffisantes. Normaliser les contrats avec les fournisseurs critiques est l’une des actions à plus fort ROI en matière de TPRM.

4. Absence de plan de sortie préalable — La plupart des entreprises n’ont pas de plan de sortie pour leurs fournisseurs critiques. Lorsqu’un prestataire fait défaut, elles découvrent qu’une migration prend 6 à 12 mois et que les données sont dans un format propriétaire. Préparer les plans de sortie en période calme est la différence entre une migration contrôlée et une crise opérationnelle.

5. Surveillance ponctuelle plutôt que continue — Réaliser une due diligence à l’onboarding puis ne plus revoir le fournisseur pendant 3 ans est insuffisant. Les risques évoluent : acquisition du fournisseur, changement de direction, incidents de sécurité chez des sous-traitants du fournisseur, dégradation financière. La surveillance continue est le seul moyen de détecter ces changements à temps.

Prenez contact avec notre équipe TPRM pour un inventaire rapide de vos fournisseurs critiques et une évaluation de conformité DORA ou NIS2. Nous identifions en 4 semaines les gaps prioritaires et proposons un plan d’action pragmatique. Premier diagnostic sans engagement.

Segmentation par Taille d’Organisation et Niveau de Maturité

PME et ETI non régulées (< 250 employés, hors secteurs DORA/NIS2) : Programme TPRM simplifié centré sur les fournisseurs IT critiques (ERP, cloud, données), les sous-traitants ayant accès aux données clients, et les partenaires logistiques essentiels. Objectif : inventaire de 20 à 50 fournisseurs, due diligence sur les 5 à 10 critiques, renforcement contractuel des points critiques. Délai : 6 à 10 semaines.

Entités essentielles et importantes NIS2 (secteurs énergie, eau, santé, transport, infrastructure numérique) : Programme TPRM complet avec focus sur la chaîne d’approvisionnement numérique et les fournisseurs ayant accès à des systèmes opérationnels (OT/SCADA). Intégration avec le plan de réponse aux incidents NIS2 et les obligations de notification réglementaire (signalement sous 24h au CERT). Délai : 12 à 16 semaines pour la mise en œuvre initiale.

Entités financières soumises à DORA (banques, assureurs, gestionnaires d’actifs, PSP) : Programme TPRM DORA-compliant avec registre des arrangements contractuels ICT, due diligence renforcée sur les prestataires ICT critiques ou importants, renforcement contractuel selon les clauses minimales obligatoires DORA (annexe 4 Règlement délégué), et mise en œuvre du cadre de surveillance continue. Délai : 14 à 20 semaines selon la complexité.

Grandes entreprises avec chaîne d’approvisionnement étendue (> 500 fournisseurs) : Programme TPRM par vagues, avec priorisation des fournisseurs selon la matrice criticité × probabilité de défaillance. Intégration avec les systèmes ERP existants pour l’automatisation de la collecte de données fournisseurs. Gouvernance formalisée avec un comité des risques fournisseurs et des KPIs de surveillance intégrés aux tableaux de bord direction.

Intégration avec la Continuité d’Activité et la Résilience Opérationnelle

La gestion des risques tiers est étroitement liée à la continuité d’activité. Un plan de continuité d’activité (PCA/BCP) qui ne traite pas les défaillances des fournisseurs critiques est incomplet : les statistiques montrent que la majorité des interruptions d’activité significatives ont une origine externe (fournisseur, prestataire IT, partenaire logistique) plutôt qu’interne.

Notre approche TPRM intègre systématiquement les plans de continuité pour les fournisseurs critiques : identification des alternatives viables (fournisseurs de secours préqualifiés), définition des RTO (Recovery Time Objective) et RPO (Recovery Point Objective) par fournisseur critique, documentation des procédures de bascule, et tests réguliers des plans de sortie. Cette intégration est particulièrement requise sous DORA pour les prestataires ICT des entités financières, où le règlement impose des tests de résilience opérationnelle numérique incluant des scénarios de défaillance de prestataires.

Notre service de continuité d’activité travaille en coordination avec le programme TPRM pour garantir que les plans de continuité couvrent explicitement les scénarios de défaillance fournisseurs, avec des procédures opérationnelles claires et des alternatives pré-testées.

Pour en savoir plus sur notre programme TPRM ou lancer un inventaire de vos fournisseurs critiques, prenez contact avec notre équipe. Nous vous proposerons une évaluation rapide de votre exposition actuelle et un plan d’action priorisé adapté à vos obligations réglementaires et à votre profil de risque. Premier entretien sans frais et sans engagement.