‹‹ Retour

Les 8 règlementations à connaitre pour réussir sa démarche TPRM

Les 8 règlementations à connaitre pour réussir sa démarche TPRM

Selon l’Observatoire TPRM 2025 réalisé par le CESIN et Board of Cyber, 82 % des répondants considèrent aujourd’hui le risque cyber lié aux fournisseurs comme “important” ou “très important” – un signal clair que la chaîne d’approvisionnement numérique reste un point de fragilité majeur. Autre indicateur révélateur : 60 % des organisations impliquent désormais leur direction juridique dans la gestion du risque tiers, contre seulement 11 % en 2024, une progression spectaculaire qui s’explique notamment par le renforcement continu des réglementations (NIS 2, DORA, RGPD, ISO 27001, directives sectorielles…). Ces évolutions montrent que la conformité devient un moteur central de la gouvernance cyber : elle structure les arbitrages, oriente les budgets et accélère la professionnalisation des dispositifs TPRM.

L’augmentation des interconnexions entre systèmes, services et partenaires — couplée à la multiplication des fournisseurs et sous-traitants — impose une gouvernance renforcée des relations externes. La démarche de Third-Party Risk Management (TPRM) vise à garantir non seulement la conformité réglementaire des prestataires (RGPD pour les sous-traitants, LPM pour les OIV, DORA pour les acteurs financiers…), mais aussi une supervision proactive de leurs pratiques de sécurité.

8 règlementations à connaitre lorsque vous lancez une démarche TPRM

Pour répondre aux exigences de conformité et structurer efficacement votre démarche TPRM, voici un aperçu synthétique des principales régulations à connaître, avec leur périmètre d’application, leurs obligations spécifiques et leur impact concret sur la gestion des risques tiers. Pour aller plus loin, chaque règlementation fait l’objet d’un article dédié permettant d’en approfondir les enjeux et les exigences opérationnelles.

RGPD (Art. 28)

Entré en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) encadre les relations entre responsables de traitement et sous-traitants.

L’article 28 impose la signature d’un Data Processing Agreement (DPA), précisant les mesures de sécurité, les audits autorisés et les règles de transfert de données hors UE.

Toutes les organisations manipulant des données personnelles sont concernées, quel que soit leur secteur.

En matière de due diligence, le RGPD impose de vérifier la conformité des prestataires avant tout traitement, notamment via des audits, certifications ou preuves de conformité.

Sur le plan contractuel, il structure les obligations autour de la confidentialité, de la sécurité et du droit d’audit.

Enfin, le RGPD a instauré une culture du reporting et de la traçabilité, où chaque traitement et incident doivent être documentés pour prouver la conformité en cas de contrôle.

NIS 2

La directive NIS 2, adoptée fin 2022, est en cours de déploiement dans l’ensemble de l’Union européenne. Plusieurs pays, dont la Belgique et l’Italie, ont déjà mis en application ces directives, tandis que la transposition nationale par l’ANSSI reste en attente en France à la fin de l’année 2025.

Le périmètre est toutefois clarifié : 18 secteurs d’activité publics et privés sont concernés (énergie, santé, transport, numérique, finance, administration, etc.), avec un élargissement massif par rapport à NIS1.

Selon l’Observatoire TPRM 2025 (CESIN & Board of Cyber), 64 % des entreprises interrogées évoluent déjà sous le cadre NIS2, ce qui en fait la réglementation à laquelle le plus grand nombre d’organisations répondantes sont soumises — devant l’AI Act et DORA. L’étude montre également que la réglementation est devenue le principal moteur des démarches de conformité, un phénomène particulièrement marqué dans les secteurs critiques.

NIS 2 introduit un changement profond dans le TPRM, en imposant une évaluation continue des fournisseurs, des plans de gestion des risques, ainsi que des accords de niveau de service (SLAs) encadrant les exigences de sécurité, de disponibilité et de supervision opérationnelle.

Elle exige également une notification rapide d’incident, un droit d’audit, et des tests réguliers de résilience, afin de renforcer la supervision de l’ensemble de la chaîne d’approvisionnement.

Dans les faits, cette directive pousse les entreprises à cartographier leurs dépendances critiques, à mesurer la maturité cybersécurité de leurs tiers, et à documenter les preuves de conformité pour être “audit-ready” dès la publication de la transposition française.

DORA

Le Digital Operational Resilience Act, applicable depuis janvier 2025, s’adresse aux établissements financiers et à leurs prestataires technologiques.

Il vise à renforcer la résilience opérationnelle numérique du secteur face aux cybermenaces, en imposant la tenue d’un registre détaillé des fournisseurs ICT, la réalisation de tests de résilience (TLPT) et un suivi continu des prestataires critiques.

Dans une démarche TPRM, DORA est particulièrement structurant : il encadre la sélection initiale des prestataires (due diligence fondée sur le risque), définit les clauses contractuelles minimales (notification d’incident, droit d’audit, réversibilité), et impose des mécanismes de reporting régulier auprès des autorités de supervision.

Comme la réglementation touche principalement les grandes institutions financières, les organisations concernées sont souvent précurseures dans la mise en conformité. Elles ont déjà initié des chantiers avancés de gouvernance fournisseurs, de suivi continu et de documentation prête pour audit, tirant vers le haut les pratiques du secteur.

DORA transforme ainsi le TPRM en un dispositif vivant et mesurable, intégrant des KPIs de suivi (fréquence des incidents, temps de remédiation, performance des contrôles) et un pilotage renforcé de l’exposition aux risques numériques.

ISO/IEC 27001:2022

Révisée en 2022, la norme ISO/IEC 27001 modernise le Système de Management de la Sécurité de l’Information (SMSI) en intégrant de nouveaux contrôles liés au cloud, au DevSecOps, à la résilience opérationnelle et à la gestion des fournisseurs.

Les organisations certifiées avaient jusqu’au 31 octobre 2025 pour finaliser leur transition vers cette version. Depuis cette échéance, les organismes de certification ne reconnaissent plus l’ancienne version, et les entreprises qui n’ont pas encore migré doivent désormais réaliser une mise à niveau complète avant tout audit de renouvellement ou tout nouveau cycle de certification.

Dans le cadre du TPRM, ISO 27001:2022 devient un référentiel clé pour évaluer la maturité sécurité des fournisseurs : elle permet d’harmoniser les exigences contractuelles, d’objectiver les contrôles, et de comparer les pratiques entre partenaires sur la base d’un standard international reconnu.

Elle favorise également une évaluation continue via des indicateurs de performance et de conformité, et permet d’harmoniser les audits et reporting entre les parties prenantes.

Son adoption facilite la création de grilles de scoring normalisées, unifiant les pratiques de contrôle à l’échelle de la supply chain.

AI Act

Le Règlement européen sur l’Intelligence Artificielle, entré en vigueur à l’été 2024, se déploiera progressivement jusqu’en 2027.

Il s’applique aux fournisseurs et utilisateurs de systèmes d’IA opérant dans l’UE, en classant les usages selon leur niveau de risque.

Dans le cadre du TPRM, l’AI Act ajoute une nouvelle dimension de due diligence algorithmique : les entreprises doivent évaluer leurs fournisseurs selon leur gestion des données, leurs processus de supervision et la transparence de leurs modèles.

Les clauses contractuelles devront intégrer des obligations de documentation, de contrôle de performance et de gouvernance des données.

Cette régulation impose aussi une traçabilité complète des systèmes IA, soutenant la préparation aux audits et le contrôle des risques liés à l’automatisation.

Cyber Resilience Act (CRA)

Adopté fin 2024, le Cyber Resilience Act introduit des obligations de sécurité applicables à tous les produits comportant des éléments numériques : logiciels, objets connectés, équipements industriels, etc.

Sa mise en application complète est prévue pour décembre 2027, mais les entreprises anticipent déjà ses effets.

Le CRA modifie la due diligence technique en imposant aux organisations de vérifier le respect des principes “secure by design” et “secure by default”.

Il rend obligatoire le suivi des mises à jour, patchs de sécurité et cycles de vie produit, tout en introduisant des clauses de maintenance et de réversibilité dans les contrats fournisseurs.

Cette approche favorise des contrôles continus sur la qualité logicielle et la gestion des vulnérabilités, renforçant la transparence et la responsabilité partagée au sein de la chaîne numérique.

LPM

La Loi de Programmation Militaire (LPM) n’est pas une nouvelle loi : en vigueur depuis plusieurs décennies, elle est révisée périodiquement. La programmation 2024–2030 introduit toutefois plusieurs évolutions importantes, notamment un renforcement des obligations de cybersécurité pour les Opérateurs d’Importance Vitale (OIV), une extension du périmètre des entités concernées, ainsi que des exigences accrues en matière de supervision, de contrôle, de remontée d’incidents et de souveraineté numérique dans les secteurs sensibles (énergie, transport, santé, télécommunications, eau, défense).

Pour le TPRM, la LPM exige une surveillance renforcée des prestataires intervenant sur ces systèmes stratégiques, incluant des obligations d’homologation préalable, une traçabilité complète des opérations (journalisation, contrôle des accès), des audits réguliers, ainsi qu’un reporting étroit avec l’ANSSI pour tout incident ou intervention critique.

Les contrats doivent intégrer des clauses spécifiques, telles que l’encadrement strict des accès techniques, le chiffrement des échanges, les protocoles de gestion d’incident, la continuité des services essentiels ou encore l’obligation d’hébergement souverain pour certaines données.

La LPM impose enfin une logique d’audit permanent, où les organisations doivent être capables de démontrer à tout moment leur niveau de conformité, de supervision et de contrôle de leur chaîne de prestataires.

HDS

Le nouveau référentiel Hébergeur de Données de Santé (HDS), entré en application en novembre 2024, s’aligne sur les exigences du RGPD tout en renforçant la sécurité des environnements cloud et SaaS dans le secteur médical.

Les prestataires (hôpitaux, fournisseurs d’appareils médicaux et de médicaments) disposent d’une période de transition jusqu’à novembre 2026 pour se conformer.

Dans une approche TPRM, la certification HDS constitue un critère déterminant de sélection des prestataires de santé.

Elle impose une due diligence rigoureuse sur la gestion des accès, la localisation des données, et les conditions d’audit et de supervision.

La règlementation facilite aussi le reporting auprès des autorités sanitaires et permet d’assurer une conformité continue vis-à-vis des exigences de sécurité et de confidentialité des données sensibles.

3 conseils pour aller plus loin

Pour réussir votre démarche TPRM (Third-Party Risk Management), il est important de prendre en compte les éléments règlementaires suivants , qui guideront la gestion des risques cyber liés aux fournisseurs et prestataires.

  • Exigences tiers (due diligence, monitoring, clauses, notification)

La simple conformité des fournisseurs n’est plus suffisante : il est désormais nécessaire de mettre en place des processus approfondis de due diligence, un suivi continu, l’intégration systématique de clauses de sécurité dans les contrats, ainsi qu’un dispositif efficace de notification d’incident. Les obligations découlant de certaines régulations telles que DORA et NIS 2 accentuent la nécessité d’un monitoring continu des risques tiers et d’une gestion proactive de la relation avec vos sous-traitants.

  • Socle documentaire (PSSI, DPA RGPD, preuves ISO 27001)

Votre socle documentaire est, en quelque sorte, la base solide sur laquelle repose toute votre conformité réglementaire. Il doit inclure une Politique de Sécurité des Systèmes d’Information (PSSI) structurée et alignée sur les bonnes pratiques ISO 27001, ainsi qu’un Data Processing Agreement (DPA) conforme au RGPD pour tout sous-traitant manipulant des données personnelles. L’ensemble de ces documents doit être centralisé, versionné et sécurisé : les conserver dans un simple fichier Word sur un Cloud non protégé expose l’organisation à des risques de fuite, de perte de preuves ou d’accès non autorisé. Des outils spécialisés existent pour gérer ce socle documentaire (portails TPRM, plateformes GRC, gestionnaires de preuves de conformité), garantissant un stockage chiffré, des contrôles d’accès stricts et une traçabilité complète des mises à jour, indispensables en cas d’audit ou de demande du régulateur.

  • Boîte à outils TPRM (grille, plans de remédiation, suivi continu)

La constitution d’une boîte à outils TPRM ne se fait pas en un claquement de doigts : c’est un chantier progressif, qui se construit par étapes et qui mobilise plusieurs équipes (SSI, Achats, Juridique, Conformité, Opérations). Concrètement, une boîte à outils TPRM efficace s’appuie sur des grilles d’évaluation standardisées, des procédures de due diligence, des plans de remédiation structurés et un suivi continu permettant d’actualiser la note de risque. L’objectif : disposer d’un reporting clair et exploitable pour les comités de risque et les régulateurs, sans complexifier la gestion opérationnelle.

L’objectif de cette boîte à outils n’est pas uniquement de gérer les risques au quotidien, mais de documenter la maturité de votre organisation, de piloter la relation fournisseurs dans la durée, et de démontrer votre résilience face aux cybermenaces.

Conclusion

Comprendre les huit réglementations clés et leurs impacts sur vos processus — due diligence, contractualisation, suivi continu, reporting — n’est qu’un premier pas. Le véritable enjeu consiste à déployer ces exigences progressivement, tout en restant vigilant face à l’évolution constante de ces cadres réglementaires et à l’émergence possible de nouvelles obligations dans les années à venir, en s’appuyant sur :

  • un socle documentaire solide, régulièrement mis à jour ;
  • des outils d’automatisation capables de centraliser les preuves, accélérer les évaluations et monitorer la surface d’attaque de vos tiers ;
  • un accompagnement expert, indispensable pour structurer votre gouvernance, définir vos priorités et gagner du temps dans la mise en conformité.

Plutôt que d’attendre les audits ou les échéances réglementaires, engagez dès maintenant une démarche progressive et outillée. Vous renforcerez votre capacité à protéger vos données, à sécuriser vos systèmes, et à maîtriser durablement les risques liés à vos fournisseurs.

FAQ (PAA)

Voici quelques questions fréquentes et leurs réponses pour mieux comprendre les implications des régulations sur votre démarche TPRM.

DORA vs NIS2 : quelles différences TPRM ?

DORA et NIS2 diffèrent principalement par leur périmètre d’application et leurs objectifs. DORA cible la résilience opérationnelle numérique des entités financières, en mettant l’accent sur la gestion des risques liés aux technologies de l’information et de la communication (TIC), tandis que NIS2 vise à renforcer la cybersécurité et la résilience opérationnelle des secteurs critiques à l’échelle de l’UE.

En matière de TPRM, DORA insiste sur des tests réguliers de résilience et la surveillance des prestataires tiers critiques, alors que NIS 2 se concentre sur l’harmonisation des normes de sécurité dans les secteurs essentiels.

L’AI Act s’applique-t-il à mes fournisseurs SaaS ?

L’AI Act sera applicable aux fournisseurs SaaS si leurs systèmes d’intelligence artificielle sont classés comme "haut risque". Cela inclut des applications ayant un impact direct sur la vie des citoyens, telles que dans les domaines de la santé ou de la sécurité publique.

Les fournisseurs concernés devront satisfaire aux exigences de transparence et de conformité, incluant la fourniture de documentation appropriée et la mise en place de mécanismes de surveillance continue.

CRA : quels matériels/logiciels sont concernés ?

Le Cyber Resilience Act s’applique aux produits intégrant des éléments numériques, tels que les logiciels et matériels intelligents. Cette régulation vise à garantir que ces produits sont conçus pour être plus résistants aux cybermenaces, avec des exigences spécifiques concernant les mises à jour de sécurité et le marquage CE.

ISO 27001 est-il obligatoire ?

ISO 27001 n’est pas obligatoire légalement, mais elle est largement adoptée comme référence pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Bien qu’elle soit fortement recommandée pour démontrer une conformité reconnue internationalement, elle peut être exigée par certains contrats ou contrôles.

Que vérifier dans un DPA (RGPD) ?

Un Data Processing Agreement (DPA) RGPD doit inclure des clauses claires concernant la gestion des données personnelles, les obligations des sous-traitants, les transferts internationaux, les possibilités d’audit, ainsi que des dispositions sur la notification d’incidents et la collaboration en cas d’instructions des autorités compétentes. Ces accords doivent être formalisés et intégrés dans vos contrats pour garantir la conformité au RGPD.

Comment prouver ma conformité TPRM ?

Pour démontrer votre conformité TPRM, il est essentiel de maintenir un socle documentaire complet, incluant des preuves d’audit, des enregistrements de tests de sécurité, des plans de remédiation actualisés, ainsi que des rapports réguliers sur le suivi des KPIs de sécurité. Une documentation solide et accessible facilite la démonstration de votre conformité auprès des autorités, des clients et des partenaires.

Tendances TPRM | tprm

Cet article vous a plu ? Inscrivez-vous à notre newsletter pour ne manquer aucune nouvelle publication !

S'inscrire
Newsletter
Mentions Légales
Gérer les cookies