VORN°clarity before control
Retour aux ressources
Cheat Sheet

Third Party Risk Management

Maîtriser les risques tiers : opérationnels, cyber, réglementaires et systémiques

Third Party Risk Management

Maîtriser les risques tiers : opérationnels, cyber, réglementaires et systémiques

VORN°

Cycle de vie TPRM

Le TPRM est un processus de gestion du risque, pas un processus d'achat.

1
Définition du besoin externalisé

Clarifier ce qui est réellement confié à un tiers.

Le service attendu
Les activités concernées
Ce que l'entreprise n'assurera plus elle-même

Cette étape consiste à définir le périmètre du risque, pas encore à l'évaluer.

2
Qualification initiale du risque

Qualifier le niveau de risque.

Type de service et données traitées
Dépendance opérationnelle
Criticité métier

Cette étape fixe le niveau d'exigence pour tout le cycle TPRM.

3
Présélection des fournisseurs

Écarter les options risquées avant d'entrer dans le détail.

Identifier des fournisseurs compatibles avec le niveau de risque
Intégrer le risque de concentration dès le départ

Le risque de concentration doit être évalué avant l'analyse sécurité détaillée.

4
Évaluation précontractuelle

Mesurer la capacité réelle du fournisseur à maîtriser le risque.

Maturité sécurité et résilience
Capacité de supervision et de coopération
Qualité des preuves fournies

Les échanges et la qualité des réponses sont aussi importants que les documents.

5
Décision de risque

Assumer, encadrer ou refuser le risque identifié.

Acceptation du risque
Acceptation sous conditions (avec exigences mesurables)
Refus si le risque est jugé non acceptable

Toute condition non suivie devient une dette de risque.

6
Contractualisation

Transformer le risque en obligations opposables.

Sécurité et résilience
Gestion et notification des incidents
Audit et accès à l'information

Le contrat est un outil de maîtrise du risque, pas un simple cadre juridique.

7
Suivi dans le temps

Adapter la gestion du risque à l'évolution de la relation.

Incidents
Changements techniques ou organisationnels
Opérations de fusion/acquisition

Le TPRM est un processus vivant, pas une validation ponctuelle.

8
Sortie / réversibilité

Préserver la capacité à reprendre la main.

Récupération des données
Continuité de service
Migration ou remplacement du fournisseur

La capacité à sortir est un indicateur clé de maîtrise du risque.

Pourquoi le TPRM ?

Externaliser un service expose l'entreprise à des risques qu'elle ne maîtrise plus directement. Le TPRM existe parce que l'externalisation transfère l'exécution, pas la responsabilité.

L'entreprise reste responsable des impacts, même lorsque le service est opéré par un tiers.

Risque opérationnelIndisponibilité, dégradation de service
Risque cyberIncident sécurité, fuite de données, propagation
Risque réglementaireNon-conformité, défaut de contrôle des tiers
Risque dépendance/concentrationPerte de marge de manœuvre
Risque systémiqueEffets en cascade via la sous-traitance

DORA n'introduit pas ces risques. Il impose de les rendre visibles, traçables et gouvernables.

Messages clés

Le TPRM commence avant le contrat et se termine après la sortie
Le rang 2 concentre souvent plus de risques que le rang 1
La maturité d'un fournisseur ne neutralise pas un risque de concentration
Une acceptation de risque non suivie devient une dette
La réversibilité non préparée est un risque latent
Le TPRM est un levier de résilience, pas une simple conformité

Gouvernance

La gouvernance doit voir le risque résiduel, pas le détail opérationnel

À faire remonter :

Tiers critiquesRisques résiduels élevésSituations de concentrationIncidents fournisseurs majeurs

Livrables

Utiles

  • Évaluation de risque argumentée
  • Dossier de preuves maintenable
  • Clauses contractuelles testables
  • Cartographie des dépendances R1 / R2
  • Plans de remédiation suivis

Cosmétiques

  • Questionnaires sans analyse
  • Certifications non contextualisées
  • Clauses génériques non opposables
  • Registres fournisseurs sans criticité

Points de contrôle critiques

Ils conditionnent la maîtrise réelle du risque tiers.

Substituabilité réelle du service
Maîtrise effective des rangs 2+
Capacité de notification rapide en cas d'incident
Applicabilité concrète des clauses contractuelles
Risque de concentration intra-SI et intra-écosystème
Alignement exigences sécurité / capacités opérationnelles
Traçabilité des décisions d'acceptation de risque

Acteurs & angles morts

Chaque fonction a une lecture partielle du risque tiers.

MétierService & délais

Sous-estime l'impact en cas d'indisponibilité

AchatsSourcing & coût

Vision limitée de la criticité opérationnelle

RSSISécurité & contrôles

Peut sous-estimer les risques non techniques

Conformité / RisquesCadre & exigences

Intervention parfois trop tardive

JuridiqueClauses contractuelles

Applicabilité réelle rarement testée

Sous-traitants (R2+)Principal facteur de risque

Non maîtrisé

Le TPRM repose sur l'alignement des lectures du risque, pas sur l'empilement des contrôles

Besoin d'accompagnement sur le TPRM ?

VORN° accompagne les organisations dans la structuration de leur gestion des risques tiers, au-delà de la conformité réglementaire.

Prendre contact