Points clés
- Un suivi continu des prestataires critiques nécessite une combinaison d'évaluations périodiques formelles et de surveillance en temps réel des signaux de sécurité.
- Ce suivi doit être structuré autour d'un registre des prestataires critiques, d'indicateurs de surveillance définis, et d'un processus d'escalade documenté.
- Les plateformes TPRM (Third Party Risk Management) automatisent la collecte et l'agrégation des informations de sécurité des prestataires, permettant une surveillance à l'échelle.
- DORA impose une évaluation au minimum annuelle des prestataires ICT critiques, avec documentation des résultats et des actions correctives.
- Le Gartner Magic Quadrant for IT Vendor Risk Management 2023 identifie les capacités de surveillance continue comme le critère de différenciation principal entre les solutions matures.
Structurer un suivi continu des prestataires critiques est un défi organisationnel autant que technique. Les organisations disposent généralement de centaines, voire de milliers de prestataires. En identifier les critiques, définir les indicateurs de surveillance pertinents pour chacun, et maintenir ce suivi dans la durée requiert des processus, des outils et des ressources dédiées.
La clé d'un suivi efficace est la proportionnalité : concentrer les ressources de surveillance sur les prestataires présentant le risque le plus élevé — ceux qui ont accès à des données sensibles, qui maintiennent des accès permanents, ou dont la défaillance aurait un impact significatif sur l'activité.
Le registre des prestataires critiques
Le registre des prestataires critiques est le point de départ d'un programme de suivi structuré. Ce registre recense, pour chaque prestataire critique : les services fournis, les données traitées, les accès accordés, le niveau de criticité attribué, le dernier résultat d'évaluation de sécurité, et les actions correctives en cours. Ce registre est un document vivant, maintenu à jour à chaque changement significatif dans la relation prestataire.
DORA impose aux entités financières de maintenir ce registre et de le mettre à la disposition des autorités compétentes sur demande. Les Autorités Européennes de Supervision (EBA, ESMA, EIOPA) peuvent en exiger la communication dans le cadre de leurs activités de supervision.
Les indicateurs de surveillance continue
Plusieurs indicateurs permettent un suivi continu de la posture de sécurité des prestataires critiques. Les Cyber Risk Ratings (BitSight, SecurityScorecard) offrent un score quotidien basé sur des signaux publics — sans coopération du prestataire. Les alertes sur les incidents et vulnérabilités publiés concernant le prestataire — via des flux d'intelligence sur les menaces sectorielles — permettent une réaction rapide. Le suivi des certifications (dates d'expiration ISO 27001, SOC 2) garantit que les preuves de conformité restent valides. Les résultats des questionnaires annuels et des audits périodiques complètent la vision.
Le processus d'escalade
La valeur d'un programme de surveillance continue repose sur la qualité du processus d'escalade : que se passe-t-il lorsqu'un signal d'alerte est détecté ? Ce processus doit définir les niveaux d'alerte, les responsables de chaque niveau, les délais de réponse et les actions disponibles (contact immédiat du prestataire, audit d'urgence, suspension des accès, résiliation du contrat). Un programme de surveillance sans processus d'escalade documenté est un programme qui produit des informations sans les utiliser.
Microsoft a développé un programme TPRM couvrant plus de 10 000 prestataires, classifiés en plusieurs niveaux de criticité. Les prestataires de niveau critique sont soumis à une surveillance continue via SecurityScorecard, des évaluations annuelles approfondies et des audits biennaux sur site. Microsoft publie annuellement des métriques sur son programme TPRM dans son rapport de sécurité, dont le taux de prestataires avec un score de risque élevé et le délai moyen de résolution des lacunes identifiées. Ce reporting transparent est cité comme référence de maturité en gestion du risque tiers.
L'ENISA a publié en 2023 un guide de bonnes pratiques pour la gestion du risque tiers applicable aux entités NIS2. Ce guide définit un cadre de suivi continu en cinq étapes : inventaire et classification des prestataires, évaluation initiale, surveillance continue, révision périodique, et gestion des incidents prestataires. Il recommande l'utilisation de plateformes TPRM pour les organisations ayant plus de 50 prestataires critiques, et définit des indicateurs de performance du programme de gestion du risque tiers.
Standard Chartered Bank a présenté lors du Sibos 2022 son programme de surveillance continue des prestataires critiques, couvrant 1 200 fournisseurs dans 60 pays. Le programme utilise une combinaison de Cyber Risk Ratings automatisés, de questionnaires trimestriels pour les prestataires de niveau 1, et d'audits annuels sur site pour les prestataires les plus critiques. Le programme a conduit à l'identification de 47 prestataires avec un risque élevé en 2021, dont 12 ont fait l'objet d'un plan de remédiation accompagné et 3 ont été remplacés.