TPRM Gestion des risques tiers.

Le TPRM est la discipline qui gouverne les risques introduits par les fournisseurs, sous-traitants et prestataires de services. Diligence raisonnable à l'entrée en relation, clauses contractuelles, assurance continue, fin de relation. Imposé par NIS 2 (sécurité de la chaîne d'approvisionnement) et DORA (risque lié aux tiers ICT). La panne Crowdstrike, l'incident SolarWinds : les deux ont fait du TPRM un sujet de niveau conseil d'administration.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

La vision de Cyber Academy

Le TPRM est la discipline qui gouverne les risques introduits par les fournisseurs, sous-traitants et prestataires de services. Diligence raisonnable à l'entrée en relation, clauses contractuelles, assurance continue, fin de relation. Imposé par NIS 2 (sécurité de la chaîne d'approvisionnement) et DORA (risque lié aux tiers ICT). La panne Crowdstrike, l'incident SolarWinds : les deux ont fait du TPRM un sujet de niveau conseil d'administration.

Le Third-Party Risk Management (TPRM) traite vos fournisseurs, sous-traitants et prestataires de services comme une extension de votre propre surface d'attaque. La logique est simple : si un fournisseur traite vos données, exploite votre infrastructure ou s'insère dans votre chaîne de livraison, alors ses faiblesses deviennent vos incidents. Le TPRM est la discipline qui rend cette exposition visible, contractuelle et surveillée en continu, plutôt que découverte au moment de la compromission.

Les quatre phases que les praticiens exécutent réellement

Le TPRM n'est pas un questionnaire ponctuel. C'est un cycle de vie qui s'étend du premier contact avec un fournisseur au jour où vous l'arrêtez. La plupart des programmes matures le structurent en quatre phases :

  • Due diligence d'intégration. Avant de signer, vous évaluez le fournisseur au regard du risque qu'il introduit. Un prestataire SaaS hébergeant des données personnelles et un fournisseur de papeterie ne font pas l'objet du même examen. La hiérarchisation par criticité est ce qui empêche le programme de se noyer.
  • Clauses contractuelles. Le contrat est là où l'assurance devient exécutoire : obligations de sécurité, droits d'audit, délais de notification de violation, divulgation des sous-traitants ultérieurs, localisation des données et conditions de sortie. Si ce n'est pas dans le contrat, vous ne pouvez pas l'exiger ensuite.
  • Assurance continue. Le risque ne se fige pas à la signature. La cadence de réévaluation, le suivi des certificats (ISO 27001, SOC 2), la surveillance continue de la posture de sécurité du fournisseur et la revue des dépendances de quatrième partie maintiennent le tableau à jour.
  • Désengagement. Lorsque la relation prend fin, vous récupérez ou confirmez la destruction des données, révoquez les accès et fermez l'exposition résiduelle. C'est la phase que les équipes sautent le plus souvent, et celle qui laisse derrière elle des identifiants orphelins.

Pourquoi c'est devenu une conversation au niveau du conseil d'administration

Le TPRM relevait autrefois des achats. Il est passé au conseil d'administration parce que les défaillances majeures de la dernière décennie sont venues par la chaîne d'approvisionnement, et non par la porte d'entrée. L'incident SolarWinds a montré un attaquant atteignant des milliers d'organisations en compromettant une seule mise à jour logicielle de confiance. La panne CrowdStrike a montré qu'une mise à jour défectueuse d'un fournisseur critique pouvait paralyser les opérations de secteurs entiers d'un seul coup. Les deux ont reformulé les tiers comme un risque systémique, et non une case à cocher des achats.

La réglementation a suivi. NIS 2 fait de la sécurité de la chaîne d'approvisionnement une obligation explicite pour les entités concernées et tient les organes de direction responsables en cas de manquement. DORA va plus loin pour les entités financières, consacrant l'un de ses cinq piliers au risque lié aux prestataires tiers de TIC, imposant des exigences contractuelles spécifiques et plaçant les prestataires de TIC critiques eux-mêmes sous surveillance. Pour une entreprise réglementée, le TPRM n'est plus une bonne pratique, c'est une obligation documentée.

En quoi le TPRM diffère des disciplines voisines

Le TPRM coexiste avec la gestion des fournisseurs et la gestion des risques en général, mais il est plus étroit et plus précis que l'un comme l'autre. La gestion des fournisseurs optimise le coût, la performance et la relation commerciale. Le TPRM s'intéresse spécifiquement au risque de sécurité, de résilience, de confidentialité et de conformité qu'introduit une tierce partie. Il diffère aussi du travail interne sur le SMSI : vos contrôles s'arrêtent à votre périmètre, mais pas votre responsabilité. Vous pouvez externaliser l'activité, vous ne pouvez pas externaliser le risque. Cette asymétrie est la raison d'être même de la discipline.

Frequently asked questions

01Quelle est la différence entre le TPRM et la gestion des fournisseurs ?

La gestion des fournisseurs régit la relation commerciale : coût, niveaux de service, performance. Le TPRM se concentre spécifiquement sur le risque de sécurité, de résilience, de confidentialité et de conformité qu'introduit un fournisseur. Ils se recoupent, mais un contrat solide sur le prix ne vous dit rien sur la notification de violation ou la localisation des données.

02Le TPRM est-il obligatoire au titre de la réglementation européenne ?

Pour de nombreuses organisations, oui. NIS 2 fait de la sécurité de la chaîne d'approvisionnement une obligation explicite pour les entités concernées, et DORA consacre un pilier entier au risque lié aux prestataires tiers de TIC pour les entités financières. Les deux placent la responsabilité sur l'organe de direction plutôt que de la laisser aux achats.

03Qu'est-ce que le risque de quatrième partie ?

C'est le risque introduit par les fournisseurs de vos propres fournisseurs. Vous contractez avec la tierce partie, mais elle dépend de sous-traitants ultérieurs et de prestataires en amont que vous pourriez ne jamais voir. Le risque de concentration, lorsque de nombreux fournisseurs s'appuient sur le même cloud ou la même bibliothèque, réside à ce niveau.

04À quelle fréquence les tierces parties doivent-elles être réévaluées ?

Il n'existe pas d'intervalle unique imposé. Les programmes matures fixent la cadence selon le niveau de criticité : les prestataires les plus critiques sont revus plus fréquemment et surveillés en continu, tandis que les fournisseurs à faible risque sont réévalués moins souvent. Le principe est fondé sur le risque, pas sur le calendrier.

05Le fait qu'un fournisseur dispose d'ISO 27001 signifie-t-il que nous pouvons faire l'impasse sur la due diligence ?

Non. Un certificat est une preuve, pas un substitut à l'évaluation. Vous devez toujours confirmer que le périmètre de la certification couvre le service que vous utilisez, vérifier qu'il est en cours de validité et évaluer le risque spécifique des données et des accès que vous leur accordez.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.