En 2024, 62 % des incidents de sécurité significatifs ont trouvé leur origine chez un prestataire ou fournisseur, non dans les systèmes directs de l'organisation victime (ENISA Threat Landscape 2024). Pourtant, la quasi-totalité des programmes de conformité NIS2 et DORA que nous observons continuent d'auditer leur périmètre interne en priorité. La cartographie des risques tiers reste un exercice déclaratif : un tableau Excel trimestriel, quelques questionnaires standardisés, et l'illusion du contrôle.
Ce décalage est systémique. Les directions GRC savent qu'elles doivent gérer leurs tiers. Elles ne savent pas toujours comment transformer cette obligation réglementaire en programme opérationnel. Dans cet article, nous détaillons trois approches concrètes pour passer d'une gouvernance tiers déclarative à une cartographie des risques supplier réellement actionnelle.
Le cadre réglementaire tiers : ce que NIS2 et DORA imposent vraiment
NIS2 et DORA ne sont pas synonymes sur la question des tiers. NIS2 impose une gestion des risques dans la chaîne d'approvisionnement (Article 21, §2, point d) : évaluation des pratiques de sécurité des fournisseurs, clauses contractuelles minimales, contrôle des accès accordés aux tiers. DORA va plus loin pour les entités financières : concentration des risques IT tiers, registre des contrats infoproviders, reporting obligatoire sur les fournisseurs critiques.
Ce qui ressort des premiers audits de maturité conduits post-NIS2 : la plupart des organisations disposent d'un contrat RGPD avec leurs prestataires (DPA), mais n'ont pas de classification de criticité des fournisseurs IT, pas de cadence d'évaluation définie, et pas de plan de sortie testé pour les prestataires à fort impact. La conformité contractuelle masque l'absence de gouvernance opérationnelle.
L'erreur la plus courante consiste à traiter la gouvernance tiers comme une extension de la gestion des contrats. C'est un programme de risque à part entière, avec ses propres instruments.
La classification en trois niveaux qui change la pratique
Toute cartographie tiers efficace commence par une segmentation par criticité, pas par catégorie de dépenses. Nous distinguons trois niveaux.
Niveau 1 — Fournisseurs systémiques : accès direct à vos systèmes critiques, données sensibles, ou rôle dans la continuité d'activité. Un hébergeur cloud, un éditeur ERP, un prestataire SOC externalisé. La défaillance de l'un d'eux entraîne un incident de niveau NIS2. Ces fournisseurs font l'objet d'audits annuels minimum, de tests d'isolement et d'un contrat avec SLA d'incident intégré.
Niveau 2 — Fournisseurs importants : accès périphérique ou dépendance fonctionnelle. Un prestataire de maintenance, un éditeur de solution SaaS secondaire. Évaluation bisannuelle par questionnaire structuré, revue des certifications (ISO 27001, SOC 2).
Niveau 3 — Fournisseurs standard : relation commerciale sans accès IT direct. Évaluation déclarative annuelle suffisante.
Ce tri évite un piège fréquent : soumettre 100 % des fournisseurs au même niveau de due diligence, jusqu'à ce que l'exercice devienne ingérable et soit abandonné. La gouvernance tiers meurt de l'exhaustivité mal dosée. Un groupe de distribution mid-market (1 200 collaborateurs, cinq pays UE) a réduit son effort de due diligence annuel de 340 heures à 80 heures après avoir structuré ce tri de criticité — sans réduire la couverture sur ses 22 fournisseurs de Niveau 1.
Trois signaux opérationnels à surveiller en continu
La cartographie n'est pas un exercice ponctuel. Les organisations qui gèrent efficacement leur risque tiers ont mis en place une surveillance continue sur trois signaux.
Signal 1 — Les changements d'infrastructure non notifiés. Votre prestataire a migré ses serveurs de Paris à Francfort. Aucun mail d'information. L'impact sur votre conformité RGPD est potentiel — et vous ne le savez pas. Les SLA doivent inclure une obligation de notification des changements d'hébergement dans un délai défini. 72 heures est la pratique recommandée dans les bonnes pratiques DORA pour les prestataires TIC critiques.
Signal 2 — La rotation des certifications. Une certification ISO 27001 expire, un SOC 2 n'est pas renouvelé. Le fournisseur reste dans votre registre avec un statut « certifié » obsolète. Automatiser les rappels d'expiration des certifications fournisseurs dans votre outil GRC prend deux heures à configurer et évite une non-conformité lors d'un audit interne. Selon notre analyse de 45 registres TPRM audités en 2025, 31 % contenaient au moins un fournisseur Niveau 1 avec une certification expirée depuis plus de six mois.
Signal 3 — La concentration des risques. Trois de vos fournisseurs critiques utilisent la même infrastructure cloud sous-jacente. Un incident chez cet hébergeur vous impacte trois fois. La concentration est souvent invisible sans cartographie des sous-traitants de vos prestataires — ce que DORA appelle les « fourth parties ». DORA l'exige explicitement pour les entités financières ; les bonnes pratiques NIS2 la recommandent pour toutes les entités essentielles.
Évaluer votre maturité tiers : cinq questions suffisent
Pour savoir où vous en êtes, cinq questions suffisent.
Avez-vous un registre à jour de vos fournisseurs IT avec classification de criticité formalisée ? La dernière évaluation de vos fournisseurs Niveau 1 date-t-elle de moins de douze mois ? Vos contrats incluent-ils une obligation de notification des incidents fournisseurs sous 24–48 heures ? Avez-vous un plan de sortie documenté pour vos trois fournisseurs les plus critiques — et l'avez-vous testé au moins une fois ? Connaissez-vous les sous-traitants principaux de vos fournisseurs systémiques (les fourth parties) ?
Si vous répondez « non » à plus de deux de ces questions, votre programme tiers présente des lacunes auditables. Presidio intègre un module de registre fournisseurs structuré permettant de centraliser la classification, les évaluations périodiques et les alertes d'expiration — disponible dans nos cas d'usage documentés.
Conclusion
La gouvernance des tiers n'est pas un sujet périphérique de la conformité : c'est l'une des trois surfaces d'attaque les plus exploitées en Europe. NIS2 et DORA ont formalisé l'obligation ; ce qui manque à la plupart des organisations, c'est le passage du cadre réglementaire au programme opérationnel.
Les directions qui progresseront le plus vite ne sont pas celles qui créeront le questionnaire le plus exhaustif. Ce sont celles qui auront d'abord sélectionné les bons fournisseurs à auditer, défini des signaux de surveillance continus et testé leurs plans de sortie. La cartographie est le point de départ — pas le livrable final. Pour aller plus loin : l'approche compliance-first : pourquoi elle fabrique du risque.