SE-A08·Intermédiaire·12 min

Gestion des risques fournisseurs et sous-traitants

Evaluer et gerer les risques de securite lies aux fournisseurs, sous-traitants et partenaires : questionnaires, clauses contractuelles, monitoring.

👤 Dirigeants · Managers · IT Admin
Objectifs d'apprentissage
  • Evaluer la posture securite d'un fournisseur avant de lui confier des donnees ou des acces
  • Inclure les clauses de securite et de confidentialite essentielles dans les contrats
  • Monitorer en continu les risques associes aux fournisseurs critiques

Pourquoi les fournisseurs sont un vecteur de risque

Les attaques par chaine d'approvisionnement (supply chain attacks) compromettent une organisation en passant par un de ses fournisseurs qui a acces a ses systemes. L'attaque SolarWinds (2020) a compromis 18 000 organisations via une mise a jour d'un logiciel de gestion IT. Les fournisseurs a risque : prestataires IT avec acces administrateur, fournisseurs de logiciels installes en interne, sous-traitants qui traitement des donnees personnelles (obligation Loi 25 d'avoir un contrat de sous-traitance), et fournisseurs cloud critiques.

🔔 À retenir : La Loi 25 exige que vous ayez un contrat de sous-traitance avec tout fournisseur qui traite des donnees personnelles pour vous. Sans ce contrat, vous etes responsable de toute violation de donnees causee par votre sous-traitant.

Evaluer la securite des fournisseurs

Methodes d'evaluation : questionnaire de securite (envoye avant signature du contrat), consultation des certifications (SOC 2, ISO 27001, CyberSecure Canada), notation via des plateformes comme SecurityScorecard ou BitSight, et verification des references clients sur les incidents passes. Pour les fournisseurs les plus critiques : demander le rapport de pentest annuel ou le rapport d'audit de securite. Les petits fournisseurs sans certification peuvent se voir demander un questionnaire simplifie.

⚠ Attention : Un questionnaire de securite fournisseur n'a pas besoin d'etre long : 20 questions couvrant les controles essentiels (MFA, sauvegardes, politique de securite, formation employes, gestion des incidents) donne une vue suffisante pour la plupart des PME.

Clauses contractuelles et monitoring continu

Les clauses contractuelles essentielles : obligation de notification en cas d'incident dans un delai defini (72 heures), droit d'audit, exigences de securite minimales (MFA, chiffrement des donnees), conformite a la Loi 25 et responsabilite en cas de violation, et droit de resiliation en cas de manquement securite. Le monitoring continu surveille la posture securite du fournisseur entre les evaluations : alertes sur les violations publiques, suivi des certifications, et revue annuelle.

Checklist pratique

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

  • SolarWinds 2020 : 18 000 organisations compromises via un fournisseur IT — la chaine d'approvisionnement est un vecteur reel
  • Loi 25 : contrat de sous-traitance obligatoire avec tout fournisseur traitant des donnees personnelles
  • Clause de notification 72 heures : aligner sur la Loi 25 et le RGPD dans les contrats fournisseurs
  • SOC 2 / ISO 27001 / CyberSecure Canada : certifications qui attestent d'un niveau de securite audite