Au-delà du questionnaire : le guide de référence du RSSI pour auditer les fournisseurs à haut risque au regard de NIS2 et DORA
Le rapport arriva sur le bureau de Maria Valen, RSSI, avec un bruit sourd qui ressemblait davantage à une alarme qu’à un simple dossier. Il s’agissait de l’évaluation préalable à l’audit pour leur prochaine revue de conformité DORA, et une ligne était surlignée en rouge vif : « Assurance insuffisante pour le prestataire tiers critique CloudSphere. »
CloudSphere n’était pas un fournisseur comme les autres. Il constituait l’épine dorsale de la nouvelle plateforme bancaire numérique de l’entreprise, qui traitait des millions de transactions chaque jour. Maria disposait de son certificat ISO/IEC 27001:2022. Elle avait aussi son questionnaire de sécurité complété, un document volumineux de 200 questions. Mais les pré-auditeurs indiquaient clairement que, pour un fournisseur critique à haut risque, la conformité par cases cochées ne suffisait plus. Les règles avaient changé.
Avec l’entrée en pleine application de la directive NIS2 et du règlement sur la résilience opérationnelle numérique (DORA), les autorités de régulation ne se satisfont plus d’une simple piste documentaire. Elles exigent des éléments probants tangibles attestant la diligence raisonnable, la surveillance continue et une gouvernance robuste sur l’ensemble de la chaîne d’approvisionnement. Le défi de Maria est celui de nombreux RSSI : comment dépasser le questionnaire pour auditer et sécuriser réellement les fournisseurs les plus critiques ? Cela impose un changement stratégique : passer d’une validation passive à une assurance active fondée sur des éléments probants.
La faille du questionnaire statique dans un environnement dynamique
Pendant des années, le questionnaire de sécurité a été la pierre angulaire de la gestion des risques liés aux tiers. Mais il ne fournit qu’une photographie statique dans un paysage de menaces en évolution permanente. Le profil de risque d’un fournisseur n’est pas figé ; il évolue à chaque nouvelle menace, changement système ou sous-traitant intégré. S’appuyer uniquement sur une auto-attestation pour un fournisseur critique comme CloudSphere revient à naviguer dans une tempête avec la carte météo de l’an dernier.
La directive NIS2 appelle explicitement à une approche fondée sur les risques et exige que les mesures de sécurité soient proportionnées aux risques réels. Un questionnaire uniforme est donc fondamentalement inadapté aux attentes réglementaires actuelles. L’époque où un certificat ou une liste de contrôle complétée pouvait remplacer les éléments probants est révolue. Le véritable risque se situe au-delà de la piste documentaire.
C’est là qu’une approche structurée, fondée sur le cycle de vie, devient indispensable. Il ne s’agit pas d’abandonner les questionnaires, mais de les compléter par des vérifications plus approfondies et plus intrusives pour les fournisseurs qui comptent réellement. C’est le principe central intégré dans la Politique de sécurité des tiers et des fournisseurs de Clarysec. L’un de ses objectifs fondamentaux consiste à :
« Exiger une diligence raisonnable formelle et des appréciations des risques documentées avant d’engager de nouveaux fournisseurs ou de renouveler des accords de services à haut risque. »
- Extrait de la section « Objectifs », clause de politique 3.3
Cette clause fait passer la démarche d’une simple vérification à une investigation formelle, première étape essentielle pour construire un programme défendable face à l’examen des autorités de régulation.
Risque fournisseur au titre de NIS2 et DORA : les nouvelles attentes
NIS2 comme DORA exigent des organisations qu’elles identifient, évaluent et surveillent en continu les risques sur l’ensemble de leur portefeuille fournisseurs. Elles font passer la gestion des fournisseurs d’une fonction achats à un pilier central de la résilience opérationnelle et de la sécurité de l’information.
Le nouveau contexte réglementaire exige des cadres clairs, étroitement alignés sur des normes établies comme ISO/IEC 27001:2022. Voici une synthèse de haut niveau des attentes de ces cadres vis-à-vis de votre programme de gouvernance des fournisseurs :
| Exigence | NIS2 | DORA | Mesures ISO/IEC 27001:2022 |
|---|---|---|---|
| Appréciation des risques fournisseurs | Article 21(2)(d) | Articles 28–30 | 5.19, 5.21 |
| Clauses contractuelles de sécurité | Article 21(3), Article 22 | Article 30 | 5.20 |
| Surveillance continue | Article 21, Article 22 | Articles 30, 31 | 5.22 |
| Gestion des vulnérabilités et réponse aux incidents | Article 23 | Article 9, 11 | 5.29, 8.8 |
Un programme robuste d’audit des fournisseurs n’a pas besoin d’être créé ex nihilo. Le cadre ISO/IEC 27001:2022, en particulier les mesures de son Annexe A, fournit un schéma directeur solide. Chez Clarysec, nous accompagnons les clients dans la construction de leur programme autour de trois mesures interdépendantes qui forment un cycle de vie complet de la gouvernance des fournisseurs.
Construire un cadre d’audit défendable : le cycle de vie ISO 27001:2022
Pour mettre en place un programme satisfaisant aux attentes des autorités de régulation, vous devez adopter une approche structurée, ancrée dans une norme mondialement reconnue. Les mesures de sécurité des fournisseurs d’ISO/IEC 27001:2022 fournissent un cycle de vie pour gérer le risque lié aux tiers depuis l’entrée en relation jusqu’à la fin du contrat. Voyons comment Maria peut s’appuyer sur ce cycle de vie pour élaborer un plan d’audit défendable pour CloudSphere.
Étape 1 : le socle — sécurité de l’information dans les relations avec les fournisseurs (5.19)
La mesure 5.19 constitue le point de départ stratégique. Elle exige d’établir des processus formels pour identifier, évaluer et gérer les risques de sécurité de l’information associés à l’ensemble de votre écosystème fournisseurs. C’est à ce stade que vous définissez ce que « haut risque » signifie pour votre organisation et que vous fixez les règles du jeu.
Le guide Zenith Controls : le guide de conformité croisée de Clarysec fournit une analyse détaillée de 5.19 et illustre son rôle de point central de la gouvernance des fournisseurs. Cette mesure est intrinsèquement liée à des mesures connexes, comme 5.21 (Sécurité de l’information dans la chaîne d’approvisionnement TIC), qui couvre les composants matériels et logiciels, et 5.14 (Transfert de l’information), qui encadre l’échange sécurisé de données. Il est impossible de gérer efficacement une relation fournisseur sans contrôler également la technologie fournie et les données partagées.
Pour Maria, cela signifie que l’audit de CloudSphere doit dépasser le niveau de sécurité global de l’entreprise et examiner la sécurité de la plateforme effectivement fournie. Le guide Zenith Controls souligne qu’une mise en œuvre solide de 5.19 soutient directement la conformité aux principales réglementations :
- NIS2 (Article 21(2)(d)) : impose aux organisations de gérer les risques liés à la chaîne d’approvisionnement comme une composante centrale de leur cadre de sécurité.
- DORA (Articles 28–30) : impose un cadre robuste de gestion des risques liés aux tiers prestataires de services TIC, incluant la classification de la criticité et la diligence raisonnable précontractuelle.
- GDPR (Article 28) : exige que les responsables du traitement ne fassent appel qu’à des sous-traitants offrant des garanties suffisantes en matière de protection des données.
Cette mesure impose la hiérarchisation des fournisseurs par niveau de risque, la surveillance continue et la révocation des accès en temps utile. Son objectif est de faire en sorte que la sécurité soit intégrée au cycle de vie fournisseur, et non ajoutée après coup.
Étape 2 : l’application — prise en compte de la sécurité de l’information dans les accords conclus avec les fournisseurs (5.20)
Une exigence de sécurité absente du contrat n’est qu’une recommandation. La mesure 5.20 est le point où la gouvernance devient juridiquement opposable. Pour un fournisseur à haut risque, le contrat est votre outil d’audit le plus puissant.
Comme le souligne Zenith Controls, ces accords doivent être explicites. Les promesses vagues de « sécurité conforme aux meilleures pratiques du secteur » n’ont aucune valeur opérationnelle. Pour un fournisseur comme CloudSphere, Maria doit vérifier que le contrat comprend des clauses spécifiques et mesurables donnant à son organisation une capacité réelle de supervision :
- Droit d’audit : clause accordant explicitement à son organisation le droit de mener des évaluations techniques, de revoir les éléments probants ou de mandater un tiers pour auditer pour son compte.
- Délais de notification des violations : délais précis et exigeants, par exemple dans les 24 heures suivant la découverte, pour notifier à son entreprise un incident de sécurité, et non une formule vague du type « sans retard injustifié ».
- Gestion des sous-traitants de quatrième partie : clause imposant au fournisseur d’appliquer les mêmes exigences de sécurité à ses propres sous-traitants critiques et de notifier tout changement. Cette clause est essentielle pour gérer le risque aval.
- Stratégie de sortie sécurisée : obligations claires de restitution ou de destruction certifiée des données à la fin du contrat.
DORA est particulièrement prescriptif sur ce point. Article 30 énumère les stipulations contractuelles obligatoires, notamment l’accès sans entrave pour les auditeurs et les autorités de régulation, les informations précises sur les lieux de prestation des services et des stratégies de sortie complètes. Les auditeurs sélectionneront des contrats de fournisseurs à haut risque et vérifieront directement la présence de ces clauses.
Étape 3 : la boucle continue — surveillance, revue et gestion des changements des services fournisseurs (5.22)
La dernière composante du cycle de vie est la mesure 5.22, qui transforme la supervision des fournisseurs d’un contrôle ponctuel en un processus continu. Un audit ne doit pas être un événement inattendu, mais un point de validation au sein d’une relation continue fondée sur la transparence.
C’est souvent là que les organisations échouent. Elles signent le contrat puis l’archivent. Or, pour les fournisseurs à haut risque, le véritable travail commence après l’intégration. Le guide Zenith Controls relie 5.22 à des processus opérationnels critiques comme 8.8 (Gestion des vulnérabilités techniques) et 5.29 (Sécurité de l’information pendant une perturbation). Une surveillance efficace va donc bien au-delà d’une réunion annuelle de revue. Elle comprend notamment :
- Revue des éléments probants fournis par les tiers : obtenir et analyser activement leurs rapports SOC 2 Type II, les résultats des audits de surveillance ISO 27001 ou les synthèses de tests d’intrusion. L’élément clé consiste à examiner les exceptions et à suivre leur remédiation.
- Surveillance des incidents : suivre les violations divulguées publiquement ou les incidents de sécurité impliquant le fournisseur, puis évaluer formellement leur impact potentiel sur votre organisation.
- Gestion des changements : mettre en œuvre un processus dans lequel tout changement significatif du service fournisseur, comme un nouveau site de centre de données ou un nouveau sous-traitant critique, déclenche automatiquement une réévaluation des risques.
Le Zenith Blueprint : feuille de route en 30 étapes pour auditeurs de Clarysec fournit des orientations opérationnelles sur ce point, en particulier à l’étape 24, consacrée au risque lié aux sous-traitants. Il recommande :
« Pour chaque fournisseur critique, déterminez s’il utilise des sous-traitants ou sous-traitants ultérieurs susceptibles d’accéder à vos données ou systèmes. Documentez la manière dont vos exigences de sécurité de l’information sont répercutées vers ces parties… Lorsque cela est possible, demandez la liste des sous-traitants clés et assurez-vous que votre droit d’audit ou d’obtention d’une assurance s’applique également à eux. »
C’est un point crucial pour Maria. CloudSphere utilise-t-il une entreprise tierce d’analyse de données ? Son infrastructure est-elle hébergée dans un grand cloud public ? Ces dépendances aval représentent un risque significatif, souvent invisible, que son audit doit mettre en évidence.
De la théorie à l’action : le plan d’audit pratique de Maria pour CloudSphere
Forte de ce cycle de vie ISO 27001:2022, l’équipe de Maria élabore pour CloudSphere un nouveau plan d’audit qui dépasse largement le questionnaire et démontre la gouvernance mature, fondée sur les risques, attendue par les autorités de régulation.
Revue contractuelle : l’équipe commence par mettre en correspondance le contrat CloudSphere existant avec DORA Article 30 et les bonnes pratiques relatives à la mesure 5.20. Elle produit un rapport d’analyse des écarts afin d’alimenter le prochain cycle de renouvellement et de prioriser les zones de l’audit en cours.
Demande ciblée d’éléments probants : au lieu d’envoyer un questionnaire générique, l’équipe adresse une demande formelle portant sur des éléments probants précis, notamment :
- le dernier rapport SOC 2 Type II et une synthèse de la remédiation de toutes les exceptions relevées ;
- le résumé à l’attention de la direction du dernier test d’intrusion externe ;
- la liste complète de tous les sous-traitants de quatrième partie qui traiteront leurs données ou y accéderont ;
- la preuve que les exigences de sécurité sont contractuellement répercutées vers ces sous-traitants ;
- des journaux ou rapports démontrant l’application en temps utile des correctifs critiques, par exemple Log4j ou MOVEit, au cours des six derniers mois.
Validation technique : l’équipe active sa clause de « droit d’audit » afin de planifier une session technique approfondie avec l’équipe de sécurité de CloudSphere. L’ordre du jour porte sur leurs procédures opérationnelles de réponse aux incidents, leurs outils de gestion de la posture de sécurité cloud (CSPM) et leurs mesures de prévention des pertes de données (DLP).
Gestion formelle des exceptions : si CloudSphere refuse de fournir certains éléments probants, Maria est préparée. Le processus de gouvernance de son organisation, défini dans la Politique de sécurité des tiers et des fournisseurs, est clair :
« Les exceptions à haut risque, par exemple les fournisseurs traitant des données réglementées ou soutenant des systèmes critiques, doivent être approuvées par le RSSI, la fonction juridique et la direction des achats, puis inscrites dans le registre des dérogations du SMSI. »
- Extrait de la section « Traitement des risques et exceptions », clause de politique 7.3
Cela garantit qu’un refus de fournir des éléments probants n’est pas simplement ignoré, mais fait l’objet d’une acceptation formelle du risque aux plus hauts niveaux de l’organisation, selon un processus reconnu par les auditeurs.
Le point de vue de l’auditeur : ce que différents auditeurs exigeront
Pour bâtir un programme réellement résilient, vous devez penser comme un auditeur. Chaque cadre d’audit apporte son propre prisme, et anticiper les questions est déterminant. Voici une vue consolidée des attentes de différents auditeurs lors de la revue de votre programme de gouvernance des fournisseurs :
| Profil de l’auditeur | Domaine d’attention et mesures clés | Éléments probants exigés |
|---|---|---|
| Auditeur ISO/IEC 27001:2022 | 5.19, 5.20, 5.22 | Inventaire des fournisseurs avec classifications de risque ; contrats échantillonnés pour les fournisseurs à haut risque afin de vérifier les clauses de sécurité ; enregistrements de diligence raisonnable et comptes rendus des réunions de revue continue. |
| Auditeur COBIT 2019 | APO10 (Gérer les fournisseurs), DSS04 (Gérer la continuité) | Éléments probants de surveillance continue de la performance au regard des accords de niveau de service ; documentation décrivant la gestion des incidents liés aux fournisseurs ; enregistrements des revues des risques fournisseurs et de la gestion des changements. |
| DORA / autorité de régulation financière | Articles 28-30 | Contrat avec le prestataire TIC critique, mis en correspondance avec les clauses obligatoires de DORA ; appréciation du risque de concentration ; éléments probants des tests ou de la revue de la stratégie de sortie. |
| Auditeur NIST SP 800-53 | SA-9 (Services de systèmes externes), famille SR (Chaîne d’approvisionnement) | Preuve du plan de gestion des risques liés à la chaîne d’approvisionnement ; enregistrements des éléments probants de conformité des fournisseurs, par exemple FedRAMP ou SOC 2 ; documentation de la visibilité sur les risques de quatrième partie. |
| ISACA / auditeur informatique | Norme de performance ITAF 2402 | Journaux prouvant que les accès du personnel fournisseur ayant quitté le périmètre ont été révoqués rapidement ; éléments probants de comptes nominatifs protégés par authentification multifacteur pour les accès des tiers ; enregistrements de réponse aux incidents. |
Cette perspective multi-référentiels montre qu’un programme robuste ne consiste pas à satisfaire une norme unique, mais à construire un cadre de gouvernance holistique produisant les éléments probants nécessaires pour répondre à toutes.
Pièges critiques : pourquoi les audits fournisseurs échouent
De nombreux programmes de supervision des fournisseurs échouent en raison d’erreurs fréquentes et évitables. Soyez particulièrement vigilant face aux pièges suivants :
- Considérer l’audit comme un événement ponctuel : s’appuyer sur des audits isolés lors de l’intégration ou du renouvellement, au lieu de mettre en œuvre une surveillance continue.
- Se reposer sur la certification : accepter un certificat ISO ou SOC 2 sans examiner le détail du rapport, son périmètre et ses exceptions.
- Contrats vagues : omettre des clauses explicites et opposables sur les droits d’audit, la notification des violations et le traitement des données.
- Gestion insuffisante de l’inventaire : ne pas être en mesure de produire un inventaire complet, hiérarchisé par niveau de risque, de tous les fournisseurs et des données auxquelles ils accèdent.
- Ignorer le risque aval : ne pas identifier ni gérer les risques posés par les sous-traitants critiques du fournisseur, c’est-à-dire le risque de quatrième partie.
- Gestion des vulnérabilités non vérifiée : supposer qu’un fournisseur applique les correctifs critiques sans exiger d’éléments probants.
Liste de contrôle opérationnelle pour les audits de fournisseurs à haut risque
Utilisez cette liste de contrôle, adaptée du Zenith Blueprint, pour vous assurer que votre processus d’audit de chaque fournisseur à haut risque est complet et défendable.
| Étape | Action | Éléments probants à collecter et à conserver |
|---|---|---|
| Diligence raisonnable | Réaliser et documenter une appréciation formelle des risques avant l’intégration ou le renouvellement. | Feuille d’évaluation du risque fournisseur complétée ; enregistrement de classification ; rapport de diligence raisonnable. |
| Revue contractuelle | Vérifier la présence et le caractère opposable des clauses de sécurité, de protection des données et d’audit. | Contrat signé avec clauses surlignées ; validation formelle par la fonction juridique ; accord de traitement des données. |
| Surveillance continue | Planifier et conduire des revues trimestrielles ou annuelles selon le niveau de risque. | Comptes rendus de réunion ; rapports SOC 2 / ISO 27001 revus ; synthèses des analyses de vulnérabilités. |
| Supervision des sous-traitants | Identifier et documenter tous les fournisseurs aval critiques, c’est-à-dire les quatrièmes parties. | Liste des sous-traitants ultérieurs fournie par le fournisseur ; éléments probants des clauses de répercussion des exigences de sécurité. |
| Gestion des vulnérabilités | Exiger les éléments probants d’un programme mature de gestion des vulnérabilités. | Résumé à l’attention de la direction d’un test d’intrusion récent ; exemples de rapports d’analyses de vulnérabilités ; délais d’application des correctifs. |
| Notification des incidents | Tester et valider le processus de notification des incidents du fournisseur. | Enregistrements des notifications d’incidents passées ; engagements de délai documentés pour la notification des violations. |
| Gestion des changements | Revoir tous les changements techniques ou organisationnels significatifs chez le fournisseur. | Journaux des changements du fournisseur ; rapports de réévaluation des risques déclenchés par les changements. |
| Mise en correspondance réglementaire | Mettre directement en correspondance vos mesures mises en œuvre avec les exigences NIS2, DORA et GDPR. | Tableau interne de correspondance de conformité ; journal des éléments probants destiné aux autorités de régulation. |
Conclusion : construire une chaîne d’approvisionnement résiliente et défendable
L’ère de la conformité par cases cochées pour les fournisseurs critiques est terminée. La surveillance accrue imposée par des réglementations comme NIS2 et DORA exige un changement fondamental vers un modèle d’assurance continue fondée sur des éléments probants. Les RSSI comme Maria doivent conduire leurs organisations au-delà du questionnaire statique.
En construisant un programme sur le cycle de vie éprouvé des mesures ISO/IEC 27001:2022, vous créez un cadre non seulement conforme, mais réellement efficace pour réduire les risques. Cela implique de considérer la sécurité des fournisseurs comme une discipline stratégique, d’intégrer des exigences opposables dans les contrats et de maintenir une supervision vigilante tout au long de la relation.
La sécurité de votre organisation n’est jamais plus forte que son maillon le plus faible ; dans l’écosystème interconnecté actuel, ce maillon se trouve souvent chez un tiers. Il est temps de reprendre le contrôle.
Prêt à dépasser le questionnaire ?
Les boîtes à outils intégrées de Clarysec fournissent le socle nécessaire pour bâtir un programme de gestion des risques fournisseurs de niveau international, capable de résister à tout audit.
- Téléchargez nos modèles de politiques : mettez en œuvre un cadre de gouvernance robuste avec notre Politique de sécurité des tiers et des fournisseurs de niveau entreprise et son équivalent pour les PME.
- Suivez le Zenith Blueprint : utilisez notre Zenith Blueprint : feuille de route en 30 étapes pour auditeurs pour mettre en œuvre et auditer un SMSI conforme, avec des étapes dédiées à la maîtrise du risque fournisseur.
- Exploitez Zenith Controls : demandez une démonstration de notre Zenith Controls : le guide de conformité croisée afin de mettre en correspondance les mesures applicables aux fournisseurs avec NIS2, DORA, GDPR, NIST et d’autres référentiels, et de garantir que votre plan d’audit est complet et défendable.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
