En mars 2020, une mise à jour corrompue du logiciel de monitoring SolarWinds Orion a permis aux attaquants d'infiltrer 18 000 organisations dans le monde, dont des agences gouvernementales américaines et des sociétés du Fortune 500. En avril 2024, XZ Utils — une bibliothèque de compression Linux maintenue par deux contributeurs bénévoles — a failli compromettre des millions de serveurs après qu'un acteur malveillant a pris le contrôle du projet sur plusieurs mois. Dans les deux cas, la brèche est entrée par la chaîne d'approvisionnement. NIS2 Article 21(2)(d) et DORA Articles 28 à 44 ont tiré les conclusions réglementaires de ces incidents. Leurs exigences sur la gestion des risques tiers sont désormais contraignantes — avec des contrôles en cours dès 2025. Voici les trois angles morts qui exposent encore la majorité des organisations.
Le cadre réglementaire a rattrapé la réalité
NIS2, applicable depuis octobre 2024, introduit à son article 21(2)(d) une obligation explicite de gérer les risques liés à la chaîne d'approvisionnement, incluant "les aspects de sécurité concernant les relations entre les entités et leurs fournisseurs directs et prestataires de services". DORA, applicable depuis janvier 2025, va plus loin avec une section entière dédiée au TPRM (Articles 28-44) : registre des accords contractuels, évaluation des prestataires critiques, stratégie de sortie, reporting au régulateur.
L'ENISA Threat Landscape 2024 observe que 67 % des entités entrant dans le scope NIS2 ne disposent pas encore d'un registre formalisé des tiers critiques. Ce chiffre est en décalage direct avec l'état du droit : les premières inspections ANSSI sur la conformité TPRM ont débuté au premier trimestre 2025. La phase de bienveillance initiale est terminée. Ce qui était hier une bonne pratique recommandée est aujourd'hui une obligation vérifiable.
Angle mort 1 : l'illusion du périmètre de premier rang
La quasi-totalité des programmes TPRM évaluent les fournisseurs directs — ce qu'on appelle le Tier 1. C'est nécessaire. C'est insuffisant.
L'incident XZ Utils en illustre la limite structurelle. Une bibliothèque de compression utilisée dans presque toutes les distributions Linux majeures, maintenue en dehors de tout périmètre d'évaluation TPRM standard, a failli devenir un vecteur de compromission systémique. Votre fournisseur principal de cloud utilise des dizaines de bibliothèques open-source similaires — et aucune ne figure dans votre registre fournisseurs.
Un exemple que nous observons régulièrement en mission : une ETI industrielle avait conduit des évaluations rigoureuses de ses vingt-deux prestataires IT directs. En cartographiant les dépendances de second niveau, nous avons identifié que quatre d'entre eux externalisaient leurs sauvegardes au même prestataire offshore — qui n'avait jamais été évalué. Un incident chez ce prestataire aurait simultanément affecté 35 % de la surface IT critique de l'ETI, sans apparaître dans aucun registre.
L'erreur à éviter : considérer le questionnaire Tier 1 comme l'horizon de votre programme. Ce que font les organisations matures : cartographier les dépendances critiques de leurs 10 à 15 fournisseurs les plus exposants — pas l'ensemble du périmètre, mais là où le risque agrégé est concentré.
Angle mort 2 : le questionnaire mesure l'intention, pas la capacité
Un fournisseur qui remplit votre questionnaire NIS2 en quinze minutes avec toutes les cases cochées vous a signalé une chose : il comprend ce que vous voulez entendre. Il ne vous a pas démontré qu'il l'implémente.
Une enquête Gartner de 2024 sur les pratiques TPRM montre que 78 % des organisations utilisant les questionnaires comme contrôle primaire n'ont observé aucune réduction statistique des incidents liés aux tiers sur les douze mois suivant la mise en place de ces questionnaires. La corrélation entre score de questionnaire et résilience réelle des fournisseurs est faible.
Ce qui mesure réellement la capacité : l'exercice effectif des droits d'audit — pas simplement leur présence dans le contrat ; les demandes de preuves concrètes (rapport de test d'intrusion récent, SOC 2 Type II, certificat ISO 27001 en cours de validité) ; et le suivi des SLA avec pénalités contractuelles réelles, pas symboliques.
DORA Article 30 impose explicitement que les contrats avec les prestataires ICT critiques incluent "des droits d'audit, d'inspection et d'accès". Dans la pratique, la majorité des contrats existants ne les prévoient pas — et les renégociations prennent entre six et dix-huit mois.
L'erreur à éviter : avoir les droits d'audit dans le contrat et ne jamais les exercer. C'est la configuration la plus fréquente — et la plus vulnérable.
Angle mort 3 : le risque de concentration n'est pas la faute d'un seul fournisseur
La dernière zone aveugle n'est pas liée à la qualité sécurité d'un fournisseur spécifique. Elle est liée à la structure même de vos dépendances.
L'EBA a publié en 2024 que 65 % des institutions financières de l'EEE dépendaient de trois fournisseurs cloud ou moins pour leurs fonctions critiques. Une perturbation majeure chez l'un des hyperscalers européens affecterait simultanément une proportion systémique du secteur. Ce n'est pas un scénario théorique : un incident de disponibilité AWS us-east-1 en 2021 a mis hors ligne des dizaines de milliers de services en cascade, plusieurs heures durant.
DORA l'adresse explicitement sous la notion d'"ICT concentration risk" (Article 29). NIS2 impose la résilience opérationnelle, ce qui implique d'identifier les points de défaillance unique dans votre chaîne de tiers.
Ce que ça implique en pratique : si plus de 40 à 50 % d'une fonction critique repose sur un seul prestataire, c'est un risque de concentration qui doit figurer dans votre registre et dans votre plan de continuité d'activité — pas dans un tableau Excel isolé dans un dossier compliance, mais dans un document opérable en cas d'incident.
Évaluer votre maturité TPRM en trois questions
Avant d'investir dans un outil ou de lancer un chantier, posez-vous ces trois questions :
Pouvez-vous lister vos vingt tiers critiques avec leur niveau de criticité actualisé en moins de dix minutes ? Pour vos cinq fournisseurs les plus exposants, disposez-vous d'une preuve de leur posture réelle au-delà du questionnaire complété ? Pour vos trois premières dépendances ICT, connaissez-vous les dépendances critiques de vos propres fournisseurs ?
Si aucune réponse n'est "oui", le registre des tiers est votre chantier prioritaire. Presidio intègre nativement un module TPRM : registre des tiers, scoring automatique de criticité, workflows de questionnaires, alertes contractuelles et visualisation du risque de concentration.
Ce que ça change pour votre organisation
Trois insights à retenir : NIS2 et DORA ont fait de la TPRM une obligation légale avec des contrôles en cours depuis le premier semestre 2025 — la phase d'adaptation est terminée ; les questionnaires mesurent l'intention et non la capacité réelle, les droits d'audit contractuels doivent être exercés pour valoir quelque chose ; le risque de concentration systémique est l'angle mort que la majorité des programmes TPRM ne détectent pas avant qu'un incident le révèle.
Les organisations qui sortiront en avance sur leurs pairs ne sont pas celles avec le plus grand programme TPRM — ce sont celles qui savent en moins d'une heure où se situe leur dépendance critique et quel serait l'impact si elle venait à céder.
Et dans votre contexte : si votre principal fournisseur ICT était indisponible demain matin, en combien de temps sauriez-vous mesurer l'impact et activer votre plan de continuité ? La réponse à cette question est votre vrai score TPRM. Parlons-en.