Points clés
- Un partenaire insuffisamment sécurisé produit des signaux identifiables que les processus d'évaluation et de surveillance peuvent détecter.
- Ces signaux incluent des lacunes documentaires, des incidents historiques, des scores de Cyber Risk Rating dégradés, et des comportements contractuels défensifs.
- Un prestataire qui refuse de répondre à un questionnaire de sécurité ou de fournir ses certifications est un signal d'alerte immédiat.
- Les scores BitSight ou SecurityScorecard inférieurs à 700 sont statistiquement associés à un risque d'incident significativement plus élevé selon les études publiées par ces plateformes.
- NIS2 reconnaît la surveillance de la sécurité de la chaîne d'approvisionnement comme une obligation des entités essentielles et importantes.
Identifier un partenaire insuffisamment sécurisé avant qu'un incident ne survienne est l'objectif central d'un programme de gestion du risque tiers. Ces signaux existent — ils sont rarement totalement absents — mais ils nécessitent des processus d'évaluation structurés et une surveillance continue pour être détectés.
Les organisations qui attendent qu'un prestataire les informe spontanément de ses lacunes de sécurité attendent une information qui ne viendra souvent pas. La démarche de détection des signaux d'alerte est nécessairement proactive.
Les signaux documentaires
Plusieurs signaux documentaires révèlent une posture de sécurité insuffisante. L'absence de certifications de sécurité reconnues (ISO 27001, SOC 2 Type II) pour un prestataire qui gère des données sensibles ou accède à des systèmes critiques est le signal le plus direct. Le refus de répondre à un questionnaire de sécurité standardisé (SIG, CAIQ) ou des réponses manifestement incomplètes sont des signaux d'alerte. L'absence de politique de gestion des incidents documentée ou de processus de notification client est un signal que le prestataire n'a pas défini ses procédures de crise.
Les signaux comportementaux
Au-delà des documents, des comportements contractuels et opérationnels signalent une approche insuffisante de la sécurité. Un prestataire qui cherche à exclure contractuellement toute obligation d'audit ou de revue de sécurité révèle qu'il ne souhaite pas être évalué — ce qui est en lui-même significatif. Un prestataire qui a subi plusieurs incidents sans avoir publié de rapport post-incident transparent ne démontre pas la culture de l'apprentissage attendue d'un partenaire mature. Un prestataire dont les sous-traitants ne sont pas identifiables révèle une opacité sur sa chaîne d'approvisionnement.
Les signaux techniques et de réputation
Les Cyber Risk Ratings (BitSight, SecurityScorecard, RiskRecon) offrent des signaux techniques objectifs sur la posture externe d'un prestataire. Des ports sensibles exposés sur Internet, des certificats SSL expirés, une présence dans des bases de données de credentials compromis, ou un historique d'IP sur des listes noires sont des indicateurs d'une hygiène cyber insuffisante. Ces signaux sont accessibles sans coopération du prestataire, ce qui les rend particulièrement utiles pour la surveillance continue.
Les bases de données d'incidents publics (Have I Been Pwned, Leakix, IntelliSec) permettent également de vérifier si un prestataire a subi des incidents documentés et comment il les a communiqués.
Merck, le laboratoire pharmaceutique, a subi pour 870 millions de dollars de pertes lors de NotPetya (2017). L'enquête a révélé que NotPetya s'était propagé via les systèmes d'un fournisseur ukrainien de logiciels comptables (M.E.Doc) dont Merck utilisait les services pour ses opérations locales. Les signaux d'alerte sur ce fournisseur — absence de certifications de sécurité, pratiques de mise à jour insuffisantes — étaient détectables mais non évalués dans le cadre du programme de gestion du risque tiers de Merck.
EDF a développé, en collaboration avec l'ANSSI, un programme d'évaluation des fournisseurs d'équipements et de services pour ses installations de production d'énergie (nucléaire, hydraulique, thermique). Ce programme inclut des évaluations de sécurité avant référencement, des audits périodiques pour les fournisseurs critiques, et une surveillance continue basée sur des Cyber Risk Ratings. Les prestataires dont le score descend sous un seuil défini font l'objet d'une revue immédiate et potentiellement d'une suspension de contrat.
Suite à un incident impliquant un prestataire de services marketing, Lazada (groupe Alibaba) a développé un programme d'évaluation des prestataires tiers incluant des scans automatisés de sécurité et des questionnaires standardisés. Ce programme a identifié, lors de sa mise en place, que 23 % des prestataires actifs présentaient des signaux d'alerte significatifs (absence de MFA sur les accès partenaires, configurations cloud non sécurisées). Ces prestataires ont fait l'objet d'un programme de remédiation accompagné.