Points clés
- Intégrer les prestataires dans la gouvernance de sécurité signifie les soumettre aux mêmes exigences, contrôles et processus de reporting que les risques internes de même niveau.
- Cette intégration nécessite une collaboration entre les équipes achats, IT, sécurité et juridique — des équipes qui ont souvent des objectifs et des cultures différentes.
- La gouvernance de la sécurité prestataire doit être formalisée dans une politique, validée par la direction, et révisée annuellement.
- DORA et NIS2 imposent que la politique de sécurité de la chaîne d'approvisionnement soit approuvée par l'organe de direction et intégrée dans le cadre global de gestion des risques ICT.
- Les organisations dont le programme TPRM est intégré dans la gouvernance globale ont un MTTD des incidents prestataires 60 % inférieur à celles avec un programme isolé selon une étude Gartner 2023.
Un programme de gestion du risque tiers qui fonctionne en silo — sans connexion avec la gouvernance globale de la sécurité, sans partage d'information avec les équipes chargées de la gestion des incidents, sans intégration dans le reporting de direction — est un programme qui produit des documents sans produire de résilience.
L'intégration des prestataires dans la gouvernance de sécurité requiert de traiter le risque tiers comme une catégorie de risque à part entière dans le cadre global de gestion des risques — avec une ownership claire, des processus documentés, des indicateurs régulièrement revus, et une escalade vers les niveaux de décision appropriés.
La collaboration inter-équipes comme prérequis
La gestion du risque prestataire nécessite la contribution de plusieurs équipes dont les objectifs peuvent être en tension. Les achats cherchent à optimiser les coûts et à maintenir de bonnes relations commerciales avec les prestataires. La sécurité cherche à imposer des exigences qui peuvent être perçues comme des obstacles à la relation commerciale. Le juridique cherche à limiter l'exposition contractuelle. L'IT cherche à maintenir la continuité des services.
La résolution de ces tensions nécessite une gouvernance qui définit clairement les responsabilités de chaque équipe, les arbitrages possibles entre elles, et les escalades vers la direction lorsqu'un arbitrage dépasse le niveau opérationnel.
L'intégration dans le cadre de gestion des risques
Le risque tiers doit être intégré dans le cadre global de gestion des risques de l'organisation — pas traité comme un risque à part géré par un programme isolé. Cette intégration signifie que les risques identifiés chez les prestataires critiques alimentent la cartographie des risques globale, sont évalués selon la même méthodologie que les risques internes (probabilité × impact), et font l'objet des mêmes processus de traitement : acceptation documentée, plan de remédiation, ou transfert du risque via l'assurance.
Cette intégration permet également de comparer les risques prestataires avec les autres risques de l'organisation et d'arbitrer les investissements de réduction du risque en conséquence.
La politique de sécurité de la chaîne d'approvisionnement
Une politique formalisée de sécurité de la chaîne d'approvisionnement est le document de référence qui aligne toutes les équipes sur les exigences applicables aux prestataires. Cette politique définit : les critères de classification des prestataires, les exigences de sécurité par niveau de criticité, les processus d'évaluation et de surveillance, les conditions de contractualisation, et les procédures de gestion des incidents prestataires. Approuvée par la direction, révisée annuellement, et communiquée à l'ensemble des équipes concernées, elle est la base d'une gestion cohérente du risque tiers.
Amazon a développé un cadre de sécurité de la chaîne d'approvisionnement intégré dans sa gouvernance globale de la sécurité. Ce cadre inclut des processus d'évaluation formels pour tous les fournisseurs d'AWS (hardware, software, services), des audits réguliers des prestataires critiques, et une intégration des résultats dans la cartographie des risques globale d'Amazon. Amazon publie ses exigences de sécurité fournisseurs dans ses politiques commerciales, permettant aux candidats prestataires de s'auto-évaluer avant de postuler.
L'ANSSI a publié un guide sur la sécurité de la chaîne d'approvisionnement numérique, recommandant une intégration de la gestion du risque prestataire dans la politique de sécurité globale des organisations. Ce guide définit les niveaux d'exigence selon la criticité des prestataires et les types de services fournis, fournit des questionnaires d'évaluation types, et recommande des clauses contractuelles spécifiques. Il est utilisé comme référence par les entités essentielles françaises pour structurer leur programme TPRM en conformité avec NIS2.
Temasek Holdings a intégré la gestion du risque tiers dans son cadre global de gouvernance des risques, géré par un comité de risque au niveau du conseil d'administration. Ce comité supervise simultanément les risques d'investissement, les risques opérationnels et les risques liés aux prestataires de services (IT, juridique, audit). L'intégration dans le même cadre de gouvernance permet des arbitrages cohérents entre catégories de risques et une vision globale de l'exposition de l'organisation au risque tiers.