Les erreurs fréquentes dans la gestion des relations tiers

Les erreurs dans la gestion des relations tiers partagent une caractéristique commune : elles résultent rarement d'une ignorance des risques, mais plus souvent d'un compromis organisationnel — entre la commodité et la sécurité, entre la rapidité d'intégration d'un prestataire et la rigueur de son évaluation, entre le maintien d'une relation commerciale et la gestion des risques qu'elle génère.

Identifier ces erreurs dans sa propre organisation est la première étape d'une amélioration. Les organisations qui ont le mieux progressé dans la gestion du risque tiers sont celles qui ont réalisé un audit honnête de leurs pratiques existantes, sans chercher à justifier les compromis passés.

L'absence de classification par niveau de risque

La première erreur est de traiter tous les prestataires de la même manière. Une organisation peut avoir des centaines de fournisseurs, dont la grande majorité n'a pas accès à ses systèmes ou données sensibles. Appliquer les mêmes procédures d'évaluation à un prestataire de nettoyage et à un hébergeur de données clients est inefficace : les ressources sont diluées et les prestataires véritablement critiques ne reçoivent pas l'attention qu'ils méritent.

La solution est une classification formelle des prestataires selon leur criticité — fondée sur le niveau d'accès aux systèmes, la sensibilité des données traitées, et l'impact d'une défaillance du prestataire sur l'activité. Cette classification détermine ensuite le niveau d'évaluation et de surveillance applicable à chaque prestataire.

L'évaluation ponctuelle sans surveillance continue

Évaluer un prestataire lors du contrat initial et ne pas réviser cette évaluation pendant des années est une erreur fréquente. La posture de sécurité d'un prestataire évolue dans le temps : des incidents surviennent, des vulnérabilités sont découvertes, des changements organisationnels affectent les pratiques de sécurité. Une évaluation de sécurité n'est valide que pour la période à laquelle elle a été réalisée.

La surveillance continue — via des Cyber Risk Ratings, des revues annuelles, des alertes sur les incidents publiés concernant le prestataire — est la réponse à cette erreur.

Le défaut de déprovisionnement en fin de relation

L'une des erreurs les plus exploitées est l'absence de processus formel de déprovisionnement à la fin d'une relation prestataire. Des comptes de prestataires obsolètes, des accès VPN jamais révoqués, des tokens API jamais invalidés restent actifs des mois ou des années après la fin de la relation commerciale. Ces accès dormants constituent des cibles de choix pour des attaquants qui les découvrent lors de la reconnaissance d'un réseau cible.

Le processus de déprovisionnement des accès prestataires doit être aussi rigoureux que le processus d'offboarding des employés : révocation de tous les accès, récupération des équipements prêtés, invalidation des tokens et certificats, suppression des comptes de service associés.

Études de cas

États-Unis — Accès residuel Tesla (2020)
Un ancien sous-traitant d'une entreprise fournissant des services à Tesla a utilisé ses accès résiduels — jamais révoqués après la fin de son contrat — pour accéder aux systèmes internes et tenter un sabotage du réseau de production de l'usine de Sparks, Nevada. L'accès avait été accordé pour un projet spécifique. Le contrat avait pris fin six mois auparavant mais l'accès n'avait pas été révoqué. L'incident a été détecté et stoppé avant de causer des dommages majeurs, mais il illustre le risque des accès résiduels non gérés.

Europe — NHS Wales Vendor Management Failure (2019)
Un audit du National Audit Office Wales a révélé que le NHS Wales maintenait des accès actifs pour 56 prestataires dont les contrats avaient expiré depuis plus de six mois. Parmi ces accès, 12 permettaient l'accès à des systèmes contenant des données de santé de patients. L'audit a également révélé que 78 % des contrats prestataires en cours ne contenaient pas de clause de sécurité spécifique sur la gestion des données de santé. Ces conclusions ont conduit à une révision complète des processus de gestion des prestataires du NHS Wales.

Asie — Grab Third-Party Data Exposure (2019)
Un prestataire de gestion de données marketing de Grab, la super-app d'Asie du Sud-Est, a exposé accidentellement des données de conducteurs et de passagers via un bucket de stockage cloud mal configuré. L'investigation a révélé que le prestataire avait reçu plus de données que nécessaire pour sa mission de marketing — une erreur de périmètre des données partagées — et que les droits d'accès n'avaient pas été révisés depuis deux ans. La PDPC Singapore a ouvert une enquête et sanctionné à la fois Grab et le prestataire.