Blog of cyber
Le TPRM (Third-Party Risk Management) s’inscrit dans une démarche proactive de surveillance et de contrôle des risques liés à la défaillance d’un fournisseur. Dans un contexte où les entreprises et administrations s’appuient massivement sur des partenaires externes (prestataires IT, éditeurs SaaS, cabinets RH…), l’évaluation des tiers devient essentielle.
Le TPRM désigne l’ensemble des pratiques visant à identifier, évaluer et gérer les risques associés aux fournisseurs, sous-traitants ou partenaires externes. Son périmètre s’étend aux risques de cybersécurité, de conformité (juridique et légale) mais aussi financiers et technologiques.
Ce sont principalement les risques cyber qui sont suivis. Rien qu’en France, l’ANSSI (Agence nationale de sécurité des systèmes d’information) a traité plus 4 300 évènements de sécurité en 2024, soit une augmentation de 15 % par rapport à 2023. Une faille chez un tiers peut compromettre la sécurité, la conformité ou la réputation de la marque et mettre à l’arrêt son activité.
Pour toutes ces raisons, définir et déployer une démarche TPRM devient indispensable. Cette approche implique une méthodologie et des outils de suivi et de contrôle.
La première étape d’un programme TPRM consiste à recenser l’ensemble des tiers impliqués dans l’activité de l’entreprise. Il peut s’agir de fournisseurs, sous-traitants, partenaires technologiques ou prestataires de services. Cette cartographie ne se limite pas au domaine technologique. Le recensement inclut les ressources humaines, la finance, le juridique, la chaîne de production et d'approvisionnement et bien sûr la direction des systèmes d'information.
La gestion des risques liés aux tiers s’attache à analyser les dépendances afin de comprendre :
Les outils de gestion des fournisseurs permettent de centraliser les informations contractuelles, techniques et juridiques, exploitables dans le cadre du TPRM.
Il existe différentes typologies de risques liés au tiers :
Cette évaluation peut s’appuyer sur des questionnaires, des audits ou des plateformes de notation cyber. Elle doit également s'accompagner d'un monitoring constant des tiers.
Tous les fournisseurs ne présentent pas le même niveau de risque. Le programme TPRM doit permettre de segmenter les tiers selon leur niveau de criticité :
Cette classification conditionne ensuite le niveau de contrôle à appliquer.
Une stratégie TPRM repose sur le contrôle et le monitoring des différents tiers. Cette démarche implique des mesures de prévention en fonction du niveau de criticité définit pour chaque fournisseur. Il s'agit de s'assurer que le fournisseur ne bascule pas dans un niveau de criticité supérieur, ce qui impliquerait un renforcement de l'évaluation et de la classification de ce tiers.
Pour cela, différentes mesures peuvent être mises en place :
Cette démarche de contrôle dans le cadre du TPRM doit aboutir à la formalisation des exigences au sein d'un contrat bilatéral. Si le périmètre d'intervention doit évoluer, une révision du cadre contractuel peut alors être réalisée.
Un programme TPRM n’est pas figé. Il doit évoluer avec le contexte, les menaces et les incidents. Le suivi continu permet d’assurer un pilotage en temps réel de la relation fournisseur et de mieux anticiper les défaillances. La mise en place d'audits réguliers, sur place ou à distance, permet de garder un œil constant sur ses tiers. Les rapports d'audit permettent d'identifier les zones de progrès et d'organiser avec le fournisseur une correction des risques identifiés.
La démarche TPRM implique une posture proactive au travers de l'anticipation des failles ou des attaques. Les systèmes d'alertes automatisées permettent de prévenir un changement de situation chez un fournisseur, liés par exemple à une baisse de la notation et une augmentation de la criticité. Ces systèmes de monitoring permettent à la fois d'assurer un suivi quotidien des tiers les plus à risque et de déployer des plans de remédiation pour corriger les non-conformités.
Le Third-Party Risk Management repose sur une démarche structurée et impose le déploiement d'outils technologiques afin d'automatiser, fluidifier et sécuriser les process liés à la gestion des tiers.
Le premier enjeu est de recenser des centaines de fournisseurs. Il implique de dresser la liste de tous les tiers, et ce, dans l’ensemble des services internes (RH, marketing, production, IT…). Le véritable challenge est de passer de 10 à des milliers de fournisseurs suivis, sans multiplier les questionnaires ou effectuer le travail deux fois.
L'usage de tableurs permet de collecter toutes ces informations mais constitue un véritable risque et une perte de temps (informations manquantes, multiples manipulations, envois par e-mail…).
L'analyse en continu et non intrusive des actifs de l'organisation facilite ce recensement. Elle offre une vision exhaustive de la maturité cyber de l'entreprise. Au travers de tableaux de bord, les RSSI identifient les zones de progrès chez leurs tiers. Dès la phase de contractualisation, un process de due diligence fournisseur permet d'assurer un contrôle des fournisseurs, dans une démarche proactive.
Enfin, les outils technologiques de mesure de la performance cyber permettent de mutualiser la démarche à l'ensemble des entreprises ou business units d'un grand groupe ou d'un fonds d'investissement.
Les entreprises s’appuient sur des outils de notation en continu. Ces plateformes agrègent des données publiques ou issues d’infrastructures de cybersurveillance :
Ces plateformes attribuent une note globale, évaluant le performance cyber d'une organisation. La note permet de suivre en temps réel les risques auxquels l'entreprise est exposée et de corriger les vulnérabilités.
Ce monitoring externe renforce la visibilité sur la posture de sécurité des fournisseurs et alerte en cas de dérive.
Dans une démarche TPRM, la détection des vulnérabilités doit être proactive. La mise en place d'alertes en temps réel permet d'informer d'un changement de situation critique chez un tiers. Les équipes RSSI peuvent alors identifier la vulnérabilité et enclencher les protocoles et corrections.
Il s'agit également d'être informé instantanément d'un incident public, d'une attaque ou d'une fuite de données connue. L'évaluation d'un fournisseur concerne aussi son écart en matière de conformité cybersécurité. Les plateformes de monitoring permettent de suivre les évolutions réglementaires et d'indiquer les impacts chez les tiers.
La finalité est d'anticiper un changement de posture cyber tout au long de l'année sans attendre l'audit de sécurité informatique annuel.
Les outils de TPRM proposent une consolidation des données au travers de tableaux de bord :
Ainsi, les équipes disposent d’une vue claire pour arbitrer, documenter et reporter auprès de la direction, des risques tiers identifiés. Ces rapports sont automatisés et générés à la demande et disponibles pour tous les services de l'entreprise et notamment la direction des achats.
Une démarche TPRM impose des prérequis minimums :
De nombreuses équipes RSSI entament des stratégies de Third-Party Risk Management mais peinent à s’équiper d’outils efficaces et dédiés par manque de budget. Un temps passé à effectuer des tâches manuelles et non à piloter les risques en temps réel. L'usage de solutions digitales de cybersécurité permet :
Board of cyber accompagne les organisations dans l'évaluation et l'amélioration de leur posture cyber. En s'appuyant sur l'intelligence artificielle et l'automatisation, nos solutions SaaS simplifient le suivi et le monitoring des fournisseurs. À chaque étape du TPRM, Board of cyber fournit les solutions adéquates pour piloter le risque lié aux tiers.
Notre solution Trust HQ intègre un module d'audit des fournisseurs. Il permet de réaliser une cartographie des tiers et de créer les questionnaires qui seront adressés aux prestataires, le tout dans un environnement SecNumCloud. Ainsi, les RSSI peuvent industrialiser leurs évaluations et ce quel que soit le nombre et la typologie de fournisseurs et réaliser les allers-retours avec leurs tiers. Cet audit s’accompagne d’un dépôt de preuves obligatoire afin que l’entreprise s’assure de la véracité des informations indiquées.
Trust HQ gère également la gouvernance cybersécurité. Créée par les RSSI, elle centralise toutes les règles et pratiques cyber et évite ainsi la circulation de fichiers Excel. En véritable outil de pilotage pratique, Trust HQ s'assure de la conformité à la PSSI et au bon respect des règlementations comme DORA, NIS2, RGPD… En cas d'écart, l'outil propose un plan d’actions de corrections.
En complément, notre solution Security rating aide les RSSI à être plus efficace dans le recensement, la notation et l'évaluation des fournisseurs à l'échelle de l'entreprise et de ses filiales. Security Rating analyse les actifs de l'organisation, sans être intrusif, et mesure la maturité cyber du fournisseur. Une notation en continu permet de garder un œil quotidien sur la posture cyber des entreprises au travers d’un score de 0 à 1000. Véritables outils de monitoring, les tableaux de bord fournissent en temps réel les évolutions de la notation et déclenchent des alertes en cas de criticité forte. Pour les équipes techniques, Security Rating offre un pilotage fin des risques tiers et le déclenchement des actions de remédiation.**