Points clés
- Évaluer réellement la sécurité d'un partenaire va au-delà de la collecte de questionnaires auto-déclaratifs : elle nécessite des preuves objectives et vérifiables.
- Les méthodes d'évaluation vont du questionnaire de sécurité (le moins rigoureux) à l'audit sur site avec tests de pénétration (le plus rigoureux), avec plusieurs niveaux intermédiaires.
- ISO 27001 certifié par un organisme accrédité est le standard d'évaluation le plus reconnu mondialement pour la sécurité des prestataires.
- Les plateformes de Cyber Risk Rating (BitSight, SecurityScorecard, RiskRecon) offrent une évaluation continue et automatisée de la posture de sécurité externe d'un prestataire.
- DORA impose une évaluation formelle de la sécurité des prestataires ICT critiques avant contractualisation et à intervalles réguliers pendant la relation.
Évaluer la sécurité d'un partenaire est une démarche qui doit être proportionnée au risque que représente ce partenaire pour l'organisation. Un prestataire de nettoyage des locaux ne nécessite pas le même niveau d'évaluation qu'un prestataire hébergeant des données de clients ou maintenant un accès permanent au SI. La clé est de définir une classification des prestataires par niveau de risque et d'adapter le niveau d'évaluation en conséquence.
Les directions qui ne disposent pas d'un programme d'évaluation des prestataires structuré font face au même problème que les organisations sans classification de leurs actifs : elles ne savent pas ce qu'elles ne savent pas. Un prestataire critique peut présenter des vulnérabilités graves sans que l'organisation cliente en soit informée.
La gradation des méthodes d'évaluation
Les méthodes d'évaluation de la sécurité des prestataires se structurent en niveaux de rigueur croissants. Le questionnaire de sécurité (SIG — Standardized Information Gathering, ou CAIQ pour le cloud) est le niveau minimal : il recueille des déclarations du prestataire sur ses pratiques, sans vérification indépendante. La revue de certifications (ISO 27001, SOC 2 Type II) apporte une validation indépendante par un auditeur tiers. L'évaluation automatisée de la posture externe (Cyber Risk Rating via BitSight ou SecurityScorecard) fournit une analyse continue de l'exposition publique du prestataire. L'audit sur site ou à distance, avec revue de documentation et entretiens, offre une vision plus complète. Le test de pénétration sur les systèmes partagés est le niveau le plus rigoureux.
Les Cyber Risk Ratings comme outil de surveillance continue
Les plateformes de Cyber Risk Rating évaluent en continu la posture de sécurité externe d'une organisation en analysant des signaux publics : certificats SSL expirés, ports ouverts exposés sur Internet, historique de fuites de données documentées, présence d'IP sur des listes noires, vulnérabilités connues dans des composants accessibles depuis Internet. Ces signaux sont agrégés en un score (généralement sur 850 ou 100) permettant de comparer et de suivre l'évolution de la sécurité d'un portefeuille de prestataires.
Ces plateformes ne remplacent pas les audits approfondis mais permettent une surveillance continue et scalable de centaines de prestataires — un niveau de couverture impossible à atteindre avec des audits manuels.
Les critères d'évaluation prioritaires
Quelle que soit la méthode retenue, certains critères d'évaluation sont particulièrement déterminants pour la sécurité de la chaîne d'approvisionnement. La gestion des correctifs — délai moyen d'application des patches critiques — est le premier indicateur de maturité opérationnelle. La gestion des accès privilegiés — existence d'une solution PAM, politique MFA, revues d'accès — est le second. La capacité de détection et de réponse aux incidents — existence d'un SOC, MTTD/MTTR documentés — est le troisième. La gestion des sous-traitants du prestataire (ses propres fournisseurs de rang 2) est souvent négligée mais constitue une dimension de risque significative.
JPMorgan Chase gère un programme d'évaluation des prestataires reconnu comme l'un des plus rigoureux du secteur financier. Ce programme classe les prestataires en quatre niveaux de criticité, avec des exigences d'évaluation proportionnées : questionnaire pour les prestataires à risque faible, certification ISO 27001 + SOC 2 pour les prestataires à risque moyen, audit annuel sur site pour les prestataires critiques. JPMorgan utilise également BitSight pour la surveillance continue de plus de 3 000 prestataires. Ce programme est régulièrement cité par la Fed comme modèle sectoriel.
DORA impose aux entités financières d'évaluer leurs prestataires ICT selon un processus documenté incluant : due diligence avant contractualisation, évaluations périodiques pendant la relation (au minimum annuelles pour les prestataires critiques), et évaluation spécifique lors de changements significatifs. Les autorités compétentes peuvent demander à consulter ces évaluations lors des inspections. Les prestataires classifiés Critical Third-Party Providers (CTPPs) par les Autorités Européennes de Supervision font l'objet d'une supervision directe.
La MAS Singapore a publié des guidelines détaillées sur la gestion du risque tiers pour les institutions financières, incluant des critères d'évaluation spécifiques selon le niveau de criticité du prestataire. Pour les prestataires de services cloud critiques, la MAS impose une due diligence sur la résilience opérationnelle, la protection des données, la gestion des incidents et les pratiques de sous-traitance. Des inspections sur site des prestataires critiques sont autorisées par les institutions financières dans le cadre de leurs contrats.