Points clés
- Le risque tiers évolue tout au long de la relation avec un prestataire : chaque phase — sélection, contractualisation, opération, évolution, sortie — génère des risques spécifiques.
- Une gestion mature du risque tiers couvre l'intégralité de ce cycle de vie, sans se concentrer uniquement sur la phase d'évaluation initiale.
- Les phases de transition — onboarding d'un nouveau prestataire et offboarding d'un prestataire sortant — sont statistiquement les plus risquées selon le SANS Institute Third-Party Risk Survey 2023.
- DORA structure explicitement la gestion du risque tiers en phases correspondant au cycle de vie : pré-contractuelle, contractuelle et post-contractuelle.
- Les changements significatifs chez un prestataire existant — acquisition, incident majeur, changement de direction technique — doivent déclencher une réévaluation du risque.
La gestion du risque tiers est souvent réduite à une activité de sélection initiale : évaluer les prestataires avant de signer le contrat. Cette réduction est une source de failles structurelles. Le risque évolue en permanence tout au long de la relation — la posture de sécurité d'un prestataire peut se dégrader, sa chaîne de sous-traitance peut changer, un incident peut modifier son niveau d'exposition — et seule une gestion sur tout le cycle de vie permet de maintenir une vision à jour de ce risque.
La notion de cycle de vie du risque tiers est la structure conceptuelle qui permet de passer d'une gestion réactive — réagir aux incidents — à une gestion proactive — anticiper et prévenir les risques à chaque phase de la relation.
La phase de sélection
La phase de sélection est la plus critique car elle définit les fondamentaux de la relation. Elle doit inclure une évaluation de sécurité proportionnée au niveau de criticité du service (questionnaire pour les prestataires à risque faible, audit approfondi pour les prestataires critiques), une vérification des références de sécurité (certifications, historique d'incidents), et la définition des exigences contractuelles de sécurité avant signature. Les décisions de sécurité prises en phase de sélection sont les plus faciles à imposer : le prestataire a besoin du contrat.
La phase opérationnelle
Pendant la phase opérationnelle, le risque tiers doit être surveillé en continu. Les Cyber Risk Ratings fournissent un suivi automatisé de la posture externe. Les revues annuelles permettent une évaluation approfondie incluant l'évolution des certifications et les changements dans la chaîne de sous-traitance. Les incidents survenus chez le prestataire — même s'ils ne l'affectent pas directement — doivent être analysés pour évaluer leur impact potentiel sur la relation.
Les changements significatifs chez le prestataire — acquisition, changement de direction, incident majeur, modification de son infrastructure technique — doivent déclencher une réévaluation ad hoc plutôt que d'attendre le prochain cycle annuel.
La phase de sortie
La phase de sortie est souvent négligée jusqu'à ce qu'elle devienne urgente. Un processus de sortie bien géré assure la continuité du service pendant la transition, la récupération complète des données dans des formats réutilisables, la révocation de tous les accès accordés au prestataire, et la destruction certifiée des données de l'organisation restées chez le prestataire. Ces actions, documentées dans le plan de sortie, doivent être réalisées dans un ordre défini et avec une traçabilité de chaque étape.
GE a développé un programme de gestion du cycle de vie des prestataires (Supplier Lifecycle Management) couvrant plus de 2 000 fournisseurs IT et industriels. Ce programme définit des processus standardisés pour chaque phase : due diligence pré-contractuelle (Security Assessment Questionnaire standardisé), suivi opérationnel (score de performance incluant des indicateurs de sécurité), et processus de sortie (checklist de déprovisionnement avec validation de chaque étape). Le programme a réduit les incidents liés à des accès prestataires résiduels de 70 % en trois ans.
DORA structure explicitement la gestion du risque tiers selon un cycle de vie en trois phases pour les entités financières. La phase pré-contractuelle impose une due diligence documentée avant toute contractualisation. La phase contractuelle impose un monitoring continu et des évaluations périodiques. La phase post-contractuelle impose un plan de sortie documenté et la vérification de la récupération des données et de la révocation des accès. Ce cadre, détaillé dans les Regulatory Technical Standards publiés par les AES en 2024, est la référence pour les institutions financières européennes.
Après avoir identifié lors d'un audit interne plusieurs prestataires avec des accès résiduels non révoqués, DBS Bank a développé un processus d'offboarding des prestataires structuré et automatisé. Ce processus, déclenché par la fin de contrat, génère automatiquement des workflows de révocation des accès dans les systèmes IAM, de suppression des comptes partenaires, et de récupération des données. Un rapport de clôture est généré pour chaque prestataire sortant, attestant de la complétude du processus. Ce système a éliminé les accès résiduels non intentionnels.