Plus d'un tiers des violations de données proviennent désormais de fournisseurs tiers. Avec l'entrée en application de DORA le 17 janvier 2025 et la transposition imminente de NIS2 en France, la gestion des risques liés aux prestataires devient une obligation réglementaire majeure. Ce guide rassemble les statistiques clés, le cadre réglementaire complet et les méthodologies éprouvées pour structurer un programme Third-Party Risk Management efficace, destiné aux RSSI, directeurs conformité et responsables achats des entreprises françaises.
14 min de lecture
35,5%
des violations proviennent de tiers en 2024
4,91M$
Coût moyen d'une compromission tiers
241j
Délai moyen de détection d'une brèche
9%
des organisations avec TPRM avancé
1. Pourquoi le TPRM devient critique : chiffres clés 2025
L'année 2024-2025 marque un tournant dans la menace supply chain. Le rapport SecurityScorecard 2025 révèle que 35,5% des violations de données proviennent de compromissions de tiers, en hausse de 6,5 points par rapport à l'année précédente. Le Verizon DBIR 2025 confirme cette tendance : la part des incidents impliquant des tiers a doublé en un an, passant de 15% à 30%.
L'Europe affiche un taux supérieur à la moyenne mondiale avec 38,8% de violations liées aux fournisseurs. La France se positionne en tête des pays européens avec 10 incidents supply chain documentés sur les 27 recensés au premier semestre 2025 selon Cyble.
1.1 L'impact financier des compromissions tiers
Le coût moyen d'une compromission impliquant un tiers atteint 4,91 millions de dollars selon IBM, plaçant ce vecteur d'attaque parmi les plus coûteux, juste derrière les attaques par initié malveillant. En France, le CESIN rapporte que 47% des entreprises ont subi une cyberattaque majeure en 2024, tandis que la CNIL a enregistré 5 629 violations de données, soit une augmentation de 20% par rapport à 2023.
Temps de détection alarmant
Le délai moyen d'identification d'une brèche atteint 241 jours selon IBM en 2025, avec un cycle complet identification-containement de 258 jours. Les attaques utilisant des identifiants compromis présentent le cycle le plus long : 292 jours. Mandiant observe que 54% des organisations découvrent les compromissions via des sources externes.
1.2 Cas emblématiques : MOVEit et les compromissions françaises
L'exploitation de la vulnérabilité MOVEit Transfer en mai 2023 illustre les risques systémiques des attaques supply chain. Le groupe Cl0p a exploité une faille zero-day (CVE-2023-34362, score CVSS 9.8) touchant 2 700 organisations et 93,3 millions d'individus. En France, Pôle emploi figure parmi les victimes avec potentiellement 10 millions de personnes concernées.
L'année 2024 a été marquée par des violations massives en France :
Viamedis et Almerys (février 2024) : données de santé de plus de 30 millions de Français exposées
France Travail (février-mars 2024) : 43 millions d'individus affectés par compromission de comptes
Free (octobre 2024) : 19 millions d'abonnés touchés, 5 millions d'IBAN exposés
Affaire Snowflake : 165 organisations ciblées, 500 millions d'individus affectés par absence de MFA
Leçon clé de l'affaire Snowflake
L'absence d'authentification multifacteur reste la faille la plus exploitée. Le groupe UNC5537 a utilisé des identifiants volés via infostealers, certains datant de 2020, pour accéder aux instances cloud de clients sans MFA. La racine du problème : identifiants non renouvelés depuis quatre ans.
2. Le cadre réglementaire : NIS2, DORA et obligations françaises
L'environnement réglementaire 2025 impose une accélération immédiate des programmes TPRM. Deux textes européens majeurs structurent désormais les obligations de gestion des risques tiers.
2.1 NIS2 : le nouveau cadre européen pour la sécurité supply chain
La directive NIS2 (UE) 2022/2555 étend considérablement le champ d'application par rapport à NIS1. En France, le nombre d'entités concernées passera de 300-500 opérateurs à 10 000 à 20 000 entités. À l'échelle européenne, 150 000 à 160 000 organisations seront assujetties.
Critère
NIS1
NIS2
Entités concernées (France)
300-500 OSE
10 000 - 20 000 entités
Secteurs couverts
7 secteurs
18 secteurs (11 + 7)
Exigence supply chain
✗ Implicite
✓ Article 21(2)(d) explicite
Sanctions maximales
Variable par État
10M€ ou 2% CA mondial
Responsabilité dirigeants
✗ Non
✓ Personnelle
L'article 21(2)(d) impose explicitement la sécurité de la chaîne d'approvisionnement, incluant les aspects sécuritaires des relations avec les fournisseurs directs. L'article 21(3) précise les obligations de due diligence : évaluation des vulnérabilités spécifiques à chaque fournisseur, analyse de la qualité globale des produits et pratiques de cybersécurité.
Transposition française en cours
La France accuse un retard significatif : le projet de loi « Résilience » est en cours d'examen parlementaire, avec une adoption attendue mi-2025. L'ANSSI a annoncé une période de grâce de trois ans durant laquelle les organisations non conformes ne feront pas l'objet de sanctions immédiates.
2.2 DORA : obligations renforcées pour le secteur financier
Le règlement DORA (UE) 2022/2554 est entré en application le 17 janvier 2025, sans nécessiter de transposition nationale. Il couvre 21 catégories d'entités financières : établissements de crédit, entreprises d'investissement, assureurs, établissements de paiement, prestataires crypto-actifs.
01
Registre TIC obligatoire
Article 28(3) : documentation de tous les arrangements contractuels avec distinction fonctions critiques/autres. Templates RT.01 à RT.06. Première soumission ACPR : 15 avril 2025.
02
Due diligence précontractuelle
Article 28(4) : évaluation de tous les risques pertinents dont le risque de concentration avant chaque nouvel arrangement. La responsabilité reste intégralement chez l'entité financière.
03
Notification sous 4 heures
Articles 17-23 : notification initiale sous 4h après classification incident majeur, rapport intermédiaire sous 72h, rapport final sous un mois.
Les exigences contractuelles (article 30) imposent des clauses minimales : description des services, localisations de traitement, niveaux de service quantifiés, droits de résiliation. Pour les fonctions critiques, des provisions additionnelles s'imposent : plans de continuité, droits d'audit et d'inspection, stratégies de sortie testées.
2.3 Autres réglementations structurantes
Plusieurs textes français complètent le cadre européen :
RGPD article 28 : contrat écrit obligatoire avec sous-traitants de données personnelles, sanctions jusqu'à 10M€ ou 2% CA
Loi Sapin 2 : procédures d'évaluation des tiers pour les entreprises de plus de 500 salariés et 100M€ de CA
Loi sur le devoir de vigilance : plan de vigilance couvrant sous-traitants et fournisseurs, sanctions jusqu'à 30M€
Opportunité de rationalisation
La convergence des exigences NIS2, DORA, RGPD, Sapin 2 et devoir de vigilance offre une opportunité : une gouvernance TPRM unifiée peut adresser simultanément cybersécurité, protection des données, anticorruption et droits humains.
3. Méthodologies de référence pour un programme TPRM efficace
Plusieurs frameworks internationaux et nationaux fournissent des méthodologies éprouvées pour structurer un programme de gestion des risques tiers.
3.1 NIST SP 800-161 Rev. 1 : l'approche à trois niveaux
Le NIST SP 800-161 Rev. 1 (novembre 2024) propose une approche structurée pour la gestion des risques cyber de la supply chain (C-SCRM) :
N1
Niveau Entreprise
Définition de la stratégie et des politiques C-SCRM au niveau exécutif, alignement avec la gouvernance globale des risques.
N2
Niveau Mission/Métier
Développement de stratégies opérationnelles par domaine métier, déclinaison des politiques par ligne d'activité.
N3
Niveau Opérationnel
Exécution granulaire des plans C-SCRM, gestion quotidienne des relations fournisseurs et contrôles.
Le framework couvre les scénarios de risques majeurs : influence gouvernementale étrangère sur les fournisseurs, contrefaçons télécoms, espionnage industriel, insertion de code malveillant.
3.2 ISO 27001:2022 : contrôles spécifiques fournisseurs
L'ISO 27001:2022 intègre des contrôles spécifiques pour la sécurité des relations fournisseurs dans son Annexe A :
A.5.19 : Maintien des niveaux de sécurité convenus avec les fournisseurs
A.5.20 : Exigences contractuelles de sécurité de l'information
A.5.21 : Gestion de la sécurité de la chaîne d'approvisionnement TIC
A.5.22 : Monitoring et revue des services fournisseurs
A.5.23 (nouveau 2022) : Sécurité des services cloud
Limite de la certification ISO 27001
L'ANSSI précise qu'une certification ISO 27001 ne couvre que 2 des 20 objectifs de sécurité définis pour les entités essentielles NIS2. La certification seule ne suffit pas à démontrer la conformité réglementaire.
3.3 Référentiels ANSSI
L'ANSSI propose des guides adaptés au contexte français :
PA-022 (3ème révision, mai 2021) : 12 recommandations spécifiques aux prestataires tiers, dont la R61 imposant une sécurisation à l'état de l'art des postes d'administrateurs tiers
SecNumCloud : référentiel de sécurité pour les prestataires cloud adressant les enjeux de souveraineté européenne des données
4. Construire sa matrice de criticité et tiering fournisseurs
La classification des fournisseurs repose sur un système de tiering à trois niveaux, déterminant la profondeur de due diligence et la fréquence de réévaluation requises.
4.1 Système de tiering à trois niveaux
Niveau
Criticité
Due Diligence
Réévaluation
Tier 1
Haute
Complète + audits sur site
Annuelle
Tier 2
Moyenne
Évaluations standards
Biennale
Tier 3
Faible
Questionnaire simplifié
Triennale
4.2 Critères d'évaluation de la criticité
Les critères d'évaluation couvrent quatre dimensions principales :
Accès aux données
Données personnelles, données de santé, informations commerciales sensibles, propriété intellectuelle.
Fournisseur unique, impact sur la continuité d'activité, difficulté de remplacement, valeur contractuelle.
Facteurs additionnels
Localisation géographique, historique de conformité, incidents passés, stabilité financière.
4.3 Calcul du risque inhérent et résiduel
Le calcul du risque inhérent détermine la profondeur de due diligence requise avant l'application des contrôles. La matrice combine la probabilité de matérialisation du risque et la sévérité des conséquences pour attribuer un tier.
Le risque résiduel, calculé après implémentation des contrôles, détermine l'intensité du monitoring continu nécessaire.
5. Du point-in-time au monitoring continu
Les évaluations ponctuelles présentent des limites structurelles : elles fournissent un instantané qui devient rapidement obsolète face à l'évolution rapide des menaces.
5.1 Limites des évaluations ponctuelles
L'ENISA rapporte que seulement 46% des organisations corrigent les vulnérabilités critiques dans le mois suivant leur découverte, et que 76% ne disposent pas de rôles dédiés à la sécurité supply chain. Ces chiffres illustrent l'insuffisance d'une approche ponctuelle.
Critère
Évaluation ponctuelle
Monitoring continu
Fréquence
✗ Annuelle/biennale
✓ Temps réel
Détection des incidents
✗ Rétrospective
✓ Proactive
Données utilisées
◐ Déclaratives
✓ Observables
Conformité DORA
✗ Partielle
✓ Complète
5.2 Composantes du monitoring continu
Le monitoring continu apporte une visibilité temps réel sur la posture de sécurité des fournisseurs via des données observables de l'extérieur :
Indicateurs de compromission : détection précoce des incidents
Configuration SSL/TLS : qualité du chiffrement des communications
Santé DNS : détection des configurations à risque
Cadence de patching : réactivité face aux vulnérabilités
L'ENISA note que 43% des organisations utilisent des services de notation de sécurité et 61% exigent des certifications de sécurité de leurs fournisseurs.
5.3 Intégration de la threat intelligence
L'intégration de la threat intelligence enrichit les profils de risque fournisseurs avec :
Notifications de compromission en temps réel
Flux de menaces sectoriels
Monitoring d'exposition via des tiers de niveau 4 (fourth-party)
6. Clauses contractuelles et feuille de route d'implémentation
6.1 Clauses contractuelles indispensables
Les contrats fournisseurs doivent intégrer des clauses de sécurité essentielles structurées autour de cinq piliers :
01
Standards de sécurité
Conformité framework (ISO 27001, NIST), exigences de chiffrement, contrôles d'accès, protection des données RGPD article 28, vérifications des antécédents du personnel.
02
Droit d'audit
Périmètre (documents, systèmes, processus), fréquence annuelle, préavis 10-30 jours, accès aux rapports SOC, conservation des documents minimum 3 ans post-terminaison.
03
Notification d'incident
Délai maximal « sans délai indu » ou « sous 24-72 heures », contenu requis, canaux de communication directs, obligations de coopération, exigences de remédiation.
04
Sortie et terminaison
Période de transition minimale, format et délai de restitution des données, certification de destruction, transfert de connaissance, support post-terminaison.
La gestion des sous-traitants impose également : autorisation écrite préalable, flow-down des exigences de sécurité, notification des changements, droit d'objection, extension des droits d'audit.
6.2 Feuille de route d'implémentation TPRM
Phase
Période
Objectifs clés
Fondation
Mois 1-3
Structure de gouvernance, appétence au risque, inventaire fournisseurs, méthodologie de tiering
Évaluation
Mois 4-6
Questionnaires de risque inhérent, classification par tier, évaluations initiales Tier 1, identification lacunes contractuelles
Amélioration
Mois 7-12
Monitoring continu, mise à jour templates contractuels NIS2/DORA, workflows automatisés, mécanismes de reporting
Optimisation
Continue
Affinage des modèles de scoring, intégration threat intelligence, revues d'efficacité, alignement réglementaire
Conseil d'implémentation
Commencez par les fournisseurs Tier 1 qui présentent le risque le plus élevé. Une approche par phases permet de démontrer rapidement de la valeur tout en construisant progressivement les capacités de l'équipe.
Points clés à retenir
35,5% des violations proviennent de la supply chain en 2024-2025, coût moyen de 4,91M$
DORA est applicable depuis le 17 janvier 2025, première soumission registre TIC le 15 avril 2025
NIS2 concernera 10 000 à 20 000 entités françaises avec sanctions jusqu'à 2% du CA mondial
Le tiering fournisseurs en 3 niveaux détermine la profondeur de due diligence et la fréquence de réévaluation
Le monitoring continu remplace les évaluations ponctuelles pour une visibilité temps réel
Les clauses contractuelles doivent couvrir : sécurité, audit, notification, sortie et sous-traitants
FAQ
Questions fréquentes
Le TPRM (Third-Party Risk Management) est le processus structuré d'identification, d'évaluation et de maîtrise des risques liés aux fournisseurs et prestataires. En 2025, il devient critique car 35,5% des violations de données proviennent de la supply chain, et les réglementations DORA et NIS2 imposent désormais des obligations explicites de gestion des risques tiers avec des sanctions pouvant atteindre 2% du chiffre d'affaires mondial.
DORA s'applique spécifiquement au secteur financier (21 catégories d'entités) et impose des exigences détaillées : registre TIC obligatoire, notification sous 4 heures, stratégies de sortie testées. NIS2 couvre un périmètre plus large (18 secteurs, 10 000-20 000 entités en France) avec des exigences générales de sécurité supply chain. Le principe de lex specialis établit que DORA prime sur NIS2 pour les entités financières.
Le tiering repose sur quatre dimensions : accès aux données (personnelles, santé, commerciales), accès aux systèmes (réseau, cloud, API), criticité métier (fournisseur unique, impact continuité) et facteurs additionnels (localisation, historique, stabilité). Les fournisseurs Tier 1 (haute criticité) nécessitent une due diligence complète et une réévaluation annuelle, les Tier 2 une évaluation standard biennale, les Tier 3 un questionnaire simplifié triennal.
Les clauses essentielles couvrent cinq piliers : standards de sécurité (ISO 27001, chiffrement, contrôles d'accès), droit d'audit (périmètre, fréquence, accès rapports SOC), notification d'incident (délai 24-72h, contenu requis, coopération), sortie et terminaison (transition, restitution données, destruction certifiée), et gestion des sous-traitants (autorisation préalable, flow-down des exigences, droit d'objection).
DORA impose un régime de notification particulièrement strict : notification initiale sous 4 heures maximum après classification de l'incident comme majeur (et au plus tard 24 heures après détection), rapport intermédiaire sous 72 heures, et rapport final sous un mois. Les destinataires varient selon l'entité : ACPR pour les banques et assureurs, AMF pour les sociétés de gestion et plateformes de trading.
Le monitoring continu s'appuie sur des données observables de l'extérieur : surface d'attaque externe, indicateurs de compromission, configuration SSL/TLS, santé DNS, cadence de patching. L'intégration de la threat intelligence enrichit les profils avec notifications de compromission temps réel, flux de menaces sectoriels et monitoring du risque fourth-party. Des plateformes comme Beareye permettent d'automatiser cette surveillance et de générer des alertes proactives.
Passez à l'action
Structurez votre programme TPRM avec Beareye
Avec l'entrée en application de DORA et l'arrivée de NIS2, la gestion des risques tiers n'est plus optionnelle. Découvrez comment Beareye vous aide à inventorier vos fournisseurs, évaluer leur posture de sécurité en continu et démontrer votre conformité aux régulateurs.
