Le TPRM (Third-Party Risk Management) s’inscrit dans une démarche proactive de surveillance et de contrôle des risques liés à la défaillance d’un fournisseur. Dans un contexte où les entreprises et administrations s’appuient massivement sur des partenaires externes (prestataires IT, éditeurs SaaS, cabinets RH…), l’évaluation des tiers devient essentielle.

Le TPRM en quelques mots

Définition et principe de la gestion des risques tiers

Le TPRM désigne l’ensemble des pratiques visant à identifier, évaluer et gérer les risques associés aux fournisseurs, sous-traitants ou partenaires externes. Son périmètre s’étend aux risques de cybersécurité, de conformité (juridique et légale) mais aussi financiers et technologiques.

Ce sont principalement les risques cyber qui sont suivis. Rien qu’en France, l’ANSSI (Agence nationale de sécurité des systèmes d’information) a traité plus 4 300 évènements de sécurité en 2024, soit une augmentation de 15 % par rapport à 2023. Une faille chez un tiers peut compromettre la sécurité, la conformité ou la réputation de la marque et mettre à l’arrêt son activité.

Pourquoi déployer une démarche TPRM ?

• Adopter une posture cyber : face à la multitude de cyberattaques, les entreprises privées comme publiques doivent adopter une démarche proactive en matière de cybersécurité. Cela passe nécessairement par une meilleure évaluation de leurs tiers et des risques associés.
• Garantir la résilience opérationnelle : il s’agit de mesurer la dépendance de l'entreprise à ses tiers, les risques liés à une potentielle défaillance et l'impact sur l'activité (chaîne de production, risques technologiques…).
• Être en conformité : les nouvelles règles en matière de cybersécurité et de protection des données imposent aux entreprises une vigilance particulière. Les réglementations se durcissent et obligent les organisations à multiplier les audits et contrôles internes pour rester en conformité.

Les étapes clés d’un programme TPRM

Pour toutes ces raisons, définir et déployer une démarche TPRM devient indispensable. Cette approche implique une méthodologie et des outils de suivi et de contrôle.

1. Identification des tiers et cartographie des dépendances

La première étape d’un programme TPRM consiste à recenser l’ensemble des tiers impliqués dans l’activité de l’entreprise. Il peut s’agir de fournisseurs, sous-traitants, partenaires technologiques ou prestataires de services. Cette cartographie ne se limite pas au domaine technologique. Le recensement inclut les ressources humaines, la finance, le juridique, la chaîne de production et d'approvisionnement et bien sûr la direction des systèmes d'information.

La gestion des risques liés aux tiers s’attache à analyser les dépendances afin de comprendre :

• les flux de données entre l’entreprise et le tiers ;
• les services ou processus impactés en cas d’incident ;
• les éventuelles interdépendances entre plusieurs fournisseurs.

Les outils de gestion des fournisseurs permettent de centraliser les informations contractuelles, techniques et juridiques, exploitables dans le cadre du TPRM.

Il existe différentes typologies de risques liés au tiers :

• Risques cyber : évaluer le risque en matière de cybersécurité. L'entreprise peut consulter l'historique des incidents, les rapports d'audit de sécurité informatique et les documents attestant de la conformité aux standards (ISO 27001, NIS2, DORA …) ainsi que les protocoles en cas d'attaque avérée.
• Risques liés aux données : analyser la typologie et la sensibilité des données qui transitent entre le tiers et l'entreprise. Une attention particulière peut être faite sur les protocoles d'échange, l'intégrité et la confidentialité des données et le respect des exigences du RGPD.
• Risques réputationnels : mesurer l'impact en cas de défaillance d’un fournisseur sur la réputation de l'entreprise. Il s'agit donc de mesurer la portée d'une attaque sur l'image de l'entreprise, surtout auprès de ses clients. Le risque réputationnel peut aussi porter sur les pratiques éthiques, l'exposition médiatique ou des liens supposés avec des partis politiques.
• Risques opérationnels : identifier la dépendance critique à l'activité de l'entreprise. Pour certains tiers, l'arrêt de leur activité peut également mettre en difficulté toute la chaîne de production. Pour ces fournisseurs, un plan de reprise ou de poursuite d'activités doit être défini et activé.

Cette évaluation peut s’appuyer sur des questionnaires, des audits ou des plateformes de notation cyber. Elle doit également s'accompagner d'un monitoring constant des tiers.

2. Evaluation des risques et classification des fournisseurs

Tous les fournisseurs ne présentent pas le même niveau de risque. Le programme TPRM doit permettre de segmenter les tiers selon leur niveau de criticité :

• Critique : fournisseurs ayant un impact direct sur la production ou la sécurité
• Important : services métiers essentiels mais non vitaux
• Modéré : partenaires de support ou d’accompagnement
• Faible : prestataires sans accès aux ressources stratégiques

Cette classification conditionne ensuite le niveau de contrôle à appliquer.

3. Contrôle des risques tiers et contractualisation adaptée

Une stratégie TPRM repose sur le contrôle et le monitoring des différents tiers. Cette démarche implique des mesures de prévention en fonction du niveau de criticité définit pour chaque fournisseur. Il s'agit de s'assurer que le fournisseur ne bascule pas dans un niveau de criticité supérieur, ce qui impliquerait un renforcement de l'évaluation et de la classification de ce tiers.

Pour cela, différentes mesures peuvent être mises en place :

• Contrôles de sécurité : il s'agit de vérifier les protocoles d'authentification, la gestion des accès et la protection des données qui circulent avec le fournisseur.
• Clauses contractuelles : une vérification des SLA est nécessaire ainsi que la vérification des plans de remédiation ou des procédures de notification en cas d'incident. Les contrôles contractuels impliquent également d'apprécier les conditions d'audit du tiers.
• Engagements réglementaires : l’évaluation des risques oblige à vérifier la conformité du tiers au RGPD mais également à contrôler les conditions d'hébergement des données et la présence de certifications et qualifications.

Cette démarche de contrôle dans le cadre du TPRM doit aboutir à la formalisation des exigences au sein d'un contrat bilatéral. Si le périmètre d'intervention doit évoluer, une révision du cadre contractuel peut alors être réalisée.

4. Suivi continu, audit cybersécurité et remédiation

Un programme TPRM n’est pas figé. Il doit évoluer avec le contexte, les menaces et les incidents. Le suivi continu permet d’assurer un pilotage en temps réel de la relation fournisseur et de mieux anticiper les défaillances. La mise en place d'audits réguliers, sur place ou à distance, permet de garder un œil constant sur ses tiers. Les rapports d'audit permettent d'identifier les zones de progrès et d'organiser avec le fournisseur une correction des risques identifiés.

La démarche TPRM implique une posture proactive au travers de l'anticipation des failles ou des attaques. Les systèmes d'alertes automatisées permettent de prévenir un changement de situation chez un fournisseur, liés par exemple à une baisse de la notation et une augmentation de la criticité. Ces systèmes de monitoring permettent à la fois d'assurer un suivi quotidien des tiers les plus à risque et de déployer des plans de remédiation pour corriger les non-conformités.

Bonnes pratiques et outils pour automatiser le TPRM

Le Third-Party Risk Management repose sur une démarche structurée et impose le déploiement d'outils technologiques afin d'automatiser, fluidifier et sécuriser les process liés à la gestion des tiers.

Centraliser les audits cybersécurité et la collecte d’informations

Le premier enjeu est de recenser des centaines de fournisseurs. Il implique de dresser la liste de tous les tiers, et ce, dans l’ensemble des services internes (RH, marketing, production, IT…). Le véritable challenge est de passer de 10 à des milliers de fournisseurs suivis, sans multiplier les questionnaires ou effectuer le travail deux fois.

L'usage de tableurs permet de collecter toutes ces informations mais constitue un véritable risque et une perte de temps (informations manquantes, multiples manipulations, envois par e-mail…).

L'analyse en continu et non intrusive des actifs de l'organisation facilite ce recensement. Elle offre une vision exhaustive de la maturité cyber de l'entreprise. Au travers de tableaux de bord, les RSSI identifient les zones de progrès chez leurs tiers. Dès la phase de contractualisation, un process de due diligence fournisseur permet d'assurer un contrôle des fournisseurs, dans une démarche proactive.

Enfin, les outils technologiques de mesure de la performance cyber permettent de mutualiser la démarche à l'ensemble des entreprises ou business units d'un grand groupe ou d'un fonds d'investissement.

Utiliser des plateformes de notation cyber pour le TPRM

Les entreprises s’appuient sur des outils de notation en continu. Ces plateformes agrègent des données publiques ou issues d’infrastructures de cybersurveillance :

• Présence de ports ouverts ou mal configurés
• Certificats SSL expirés
• Failles connues non corrigées
• Historique d’attaques, fuites ou compromissions

Ces plateformes attribuent une note globale, évaluant le performance cyber d'une organisation. La note permet de suivre en temps réel les risques auxquels l'entreprise est exposée et de corriger les vulnérabilités.

Ce monitoring externe renforce la visibilité sur la posture de sécurité des fournisseurs et alerte en cas de dérive.

Suivre les changements de posture cyber d’un tiers

Dans une démarche TPRM, la détection des vulnérabilités doit être proactive. La mise en place d'alertes en temps réel permet d'informer d'un changement de situation critique chez un tiers. Les équipes RSSI peuvent alors identifier la vulnérabilité et enclencher les protocoles et corrections.

Il s'agit également d'être informé instantanément d'un incident public, d'une attaque ou d'une fuite de données connue. L'évaluation d'un fournisseur concerne aussi son écart en matière de conformité cybersécurité. Les plateformes de monitoring permettent de suivre les évolutions réglementaires et d'indiquer les impacts chez les tiers.

La finalité est d'anticiper un changement de posture cyber tout au long de l'année sans attendre l'audit de sécurité informatique annuel.

Piloter le TPRM via des tableaux de bord

Les outils de TPRM proposent une consolidation des données au travers de tableaux de bord :

• Niveau de conformité globale par typologie de fournisseur
• Suivi des preuves à jour ou manquantes
• Alertes en attente de traitement
• Plans de remédiation en cours
• Priorisation des actions selon la criticité

Ainsi, les équipes disposent d’une vue claire pour arbitrer, documenter et reporter auprès de la direction, des risques tiers identifiés. Ces rapports sont automatisés et générés à la demande et disponibles pour tous les services de l'entreprise et notamment la direction des achats.

Obtenir un budget pour automatiser le TPRM

Une démarche TPRM impose des prérequis minimums :

• Une équipe dédiée pour suivre et piloter la gestion des risques tiers
• Des outils de monitoring et de reporting automatisé
• La mise en place de procédures et documentations pour améliorer les usages internes

De nombreuses équipes RSSI entament des stratégies de Third-Party Risk Management mais peinent à s’équiper d’outils efficaces et dédiés par manque de budget. Un temps passé à effectuer des tâches manuelles et non à piloter les risques en temps réel. L'usage de solutions digitales de cybersécurité permet :

• d'automatiser la collecte des données, de déclencher des contrôles tout au long de l'année et de produire des rapports one shot ;
• de mieux anticiper les vulnérabilités des tiers et de réduire les risques d'incidents d'attaque ;
• de renforcer la protection IT et la posture cyber de l'entreprise ;
• d'améliorer la connaissance des fournisseurs et d'affiner le choix des prestataires sur lesquels l'entreprise s'appuie.

Les solutions Board of cyber pour accompagner votre TPRM

Board of cyber accompagne les organisations dans l'évaluation et l'amélioration de leur posture cyber. En s'appuyant sur l'intelligence artificielle et l'automatisation, nos solutions SaaS simplifient le suivi et le monitoring des fournisseurs. À chaque étape du TPRM, Board of cyber fournit les solutions adéquates pour piloter le risque lié aux tiers.

Notre solution Trust HQ intègre un module d'audit des fournisseurs. Il permet de réaliser une cartographie des tiers et de créer les questionnaires qui seront adressés aux prestataires, le tout dans un environnement SecNumCloud. Ainsi, les RSSI peuvent industrialiser leurs évaluations et ce quel que soit le nombre et la typologie de fournisseurs et réaliser les allers-retours avec leurs tiers. Cet audit s’accompagne d’un dépôt de preuves obligatoire afin que l’entreprise s’assure de la véracité des informations indiquées.

Trust HQ gère également la gouvernance cybersécurité. Créée par les RSSI, elle centralise toutes les règles et pratiques cyber et évite ainsi la circulation de fichiers Excel. En véritable outil de pilotage pratique, Trust HQ s'assure de la conformité à la PSSI et au bon respect des règlementations comme DORA, NIS2, RGPD… En cas d'écart, l'outil propose un plan d’actions de corrections.

En complément, notre solution Security rating aide les RSSI à être plus efficace dans le recensement, la notation et l'évaluation des fournisseurs à l'échelle de l'entreprise et de ses filiales. Security Rating analyse les actifs de l'organisation, sans être intrusif, et mesure la maturité cyber du fournisseur. Une notation en continu permet de garder un œil quotidien sur la posture cyber des entreprises au travers d’un score de 0 à 1000. Véritables outils de monitoring, les tableaux de bord fournissent en temps réel les évolutions de la notation et déclenchent des alertes en cas de criticité forte. Pour les équipes techniques, Security Rating offre un pilotage fin des risques tiers et le déclenchement des actions de remédiation.**