Soixante-sept pour cent des violations de données impliquent au moins un acteur tiers — un fournisseur, un sous-traitant, un prestataire cloud (Verizon DBIR 2025). Pourtant, dans la majorité des organisations mid-market, le programme de gouvernance des tiers se résume encore à un questionnaire annuel envoyé par email et à une promesse de certification SOC 2 dont personne ne vérifie l'expiration. NIS2 et DORA ont changé le cadre : la gestion du risque tiers est désormais une obligation explicite, auditée, et contractualisée. Dans cet article, vous découvrirez les quatre angles morts structurels d'un programme TPRM — et les actions que vous pouvez engager dès maintenant, sans attendre un audit.
Ce que NIS2 et DORA exigent réellement
L'article 21 de NIS2 impose aux entités essentielles et importantes une gestion active des risques liés à la chaîne d'approvisionnement. Ce n'est pas une obligation de résultat sur les fournisseurs — c'est une obligation de moyens sur l'organisation elle-même : cartographie des tiers, évaluation des risques, clauses contractuelles, révision périodique.
DORA va plus loin pour le secteur financier. Les articles 28 à 30 imposent un registre exhaustif des prestataires ICT tiers, une analyse de concentration pour identifier les dépendances critiques sur une même entité ou infrastructure, et un cadre contractuel minimal — droits d'audit, conditions de sortie, niveaux de service. Les superviseurs (BCE, ACPR, EIOPA) peuvent demander communication de ce registre à tout moment.
La tension est réelle : NIS2 et DORA présupposent un niveau de maturité TPRM que peu d'organisations ont atteint. Selon une étude Prevalent (2024), une organisation mid-market interagit en moyenne avec 182 fournisseurs tiers — mais seules 34 % disposent d'un programme TPRM structuré. L'écart n'est pas un problème de budget : c'est un problème de méthode et de priorisation.
Angle mort 1 : la surface réelle contre le périmètre déclaré
La question à poser à votre équipe n'est pas « avez-vous une liste de fournisseurs ? » — c'est « d'où vient cette liste ? ». Dans la majorité des cas, elle provient de la comptabilité fournisseurs : les entités qui facturent. Or, la surface réelle d'exposition est bien plus large.
Les dépendances cachées les plus fréquentes : éditeurs logiciels dont les bibliothèques open-source sont embarquées dans vos outils (votre CRM utilise des dizaines de packages tiers non audités) ; services SaaS souscrits directement par les équipes métier sans validation IT (shadow IT) ; API de tiers appelées depuis vos applications sans inventaire centralisé.
Une organisation qui déclare 40 fournisseurs en découvre souvent 120 à 160 après un audit de flux réseau et d'inventaire logiciel. La règle pratique : toute entité externe qui traite, transmet ou stocke des données — même de façon transitoire — est un tiers à cartographier. Le bon point de départ n'est pas la liste comptable : ce sont les flux.
Angle mort 2 : la concentration silencieuse
DORA nomme explicitement le risque de concentration comme une préoccupation réglementaire de premier ordre. Exemple typique : cinq fournisseurs critiques dont les services SaaS sont tous hébergés sur la même région cloud. Une panne ou une défaillance sécurité affecte les cinq simultanément. Votre cartographie des fournisseurs directs ne révèle pas ce risque — la concentration est invisible au niveau 1.
C'est ce que les praticiens appellent le risque quatrième niveau (4th party risk) : les sous-traitants de vos sous-traitants. DORA impose une analyse de concentration au niveau direct et recommande une visibilité sur les niveaux suivants pour les prestataires ICT critiques.
L'erreur courante : traiter la concentration comme un problème de cloudification. C'est plus systémique. La concentration touche aussi les CDN (Cloudflare gère environ 20 % du trafic internet mondial), les autorités de certification TLS, les éditeurs de sécurité endpoint. La méthode : après l'inventaire direct, demander à chaque prestataire critique la liste de ses principaux sous-traitants hébergeant des traitements en votre nom. Les résultats surprennent régulièrement.
Angle mort 3 : l'héritage contractuel pré-réglementaire
La majorité des contrats signés avant 2023 ne contiennent pas les clauses minimales exigées par NIS2 et DORA. Concrètement : pas de droit d'audit contractualisé (vous ne pouvez pas faire inspecter un fournisseur sans son accord préalable) ; pas de clause d'incident (obligation de notification sous 24h en cas de brèche) ; pas de droit de résiliation pour manquement sécurité ; pas de niveau de service minimum pour la continuité d'activité.
Ce n'est pas une défaillance de vos équipes juridiques à l'époque — ces clauses n'étaient pas encore obligatoires. Aujourd'hui elles le sont, et un régulateur peut vous sanctionner pour un contrat tiers non conforme, même en l'absence d'incident. Les contrats à risque sont identifiables rapidement : une revue ciblée des contrats ICT critiques prend deux à trois jours avec une grille de lecture adaptée. Les clauses contractuelles DORA Article 28 sont documentées dans notre analyse de juin 2026.
Angle mort 4 : le scoring déclaratif sans signaux comportementaux
Le questionnaire TPRM annuel mesure ce que vos fournisseurs disent faire, pas ce qu'ils font réellement. Un fournisseur peut répondre positivement à toutes les questions sur son patch management tout en ayant des services exposés non corrigés depuis six mois. Ce n'est pas de la mauvaise foi : les équipes qui remplissent les questionnaires ne sont souvent pas celles qui gèrent les systèmes.
Les signaux comportementaux complémentaires : présence de credentials du fournisseur dans des bases de données de fuites ; domaines utilisés pour du typosquatting ; délai moyen de correction des CVE publiées. Ces signaux permettent un scoring continu plutôt qu'un snapshot annuel. Pour les prestataires ICT critiques, c'est la différence entre une conformité de papier et une gestion réelle du risque.
Comment évaluer votre maturité TPRM
Avant de lancer un programme complet, trois diagnostics rapides permettent de situer votre organisation. Avez-vous un inventaire des fournisseurs tiers qui traitent des données sensibles, construit à partir des flux et pas seulement des factures ? Savez-vous, pour vos cinq prestataires ICT les plus critiques, dans quelle infrastructure ils hébergent vos données ? Combien de vos contrats actifs contiennent un droit d'audit et une clause de notification d'incident ?
Si l'une de ces trois questions est difficile à répondre, vous avez identifié votre priorité. Presidio intègre un module TPRM qui centralise le registre fournisseurs, automatise le scoring, et alerte sur les contrats non conformes avant leur renouvellement. Pour un état des lieux de votre périmètre actuel, un échange de 30 minutes suffit. Voir aussi notre analyse sur la résilience opérationnelle sous DORA.
Conclusion
Trois points à retenir. La surface réelle dépasse toujours le périmètre déclaré : partez des flux, pas des factures. Le risque de concentration est invisible à l'inventaire direct — il faut un niveau supplémentaire chez chaque prestataire critique. L'héritage contractuel crée une exposition réglementaire concrète, même sans incident : les contrats non conformes sont identifiables en quelques jours. Les organisations qui progressent sur le TPRM ne visent pas l'exhaustivité : elles visent la criticité. Vingt fournisseurs correctement cartographiés, évalués et contractualisés valent plus que deux cents entrées dans un registre qu'on ne consulte plus. Dans votre contexte : quel est le fournisseur critique le moins bien cerné ?