Aller au contenu
FortaRisks
Retour au glossaireRisque tiers et chaîne d'approvisionnement

TPRM (gestion du risque tiers)

Le TPRM (Third-Party Risk Management) est la discipline qui consiste à identifier, évaluer et surveiller en continu les risques cyber, opérationnels, financiers et de conformité que font peser les fournisseurs, prestataires et partenaires d'une organisation. C'est aujourd'hui l'un des principaux vecteurs de brèche.

Mis à jour le 2 juillet 2026

Qu'est-ce que le TPRM ?

Le TPRM, ou gestion du risque tiers, désigne l'ensemble des processus par lesquels une organisation évalue et maîtrise les risques introduits par les entités externes avec lesquelles elle travaille : fournisseurs de logiciels, hébergeurs, sous-traitants, prestataires de paiement, cabinets partenaires, et tout autre tiers ayant accès à ses systèmes, ses données ou ses locaux.

Chaque tiers étend la surface d'attaque de l'organisation. Une faille chez un fournisseur peut devenir la vôtre, sans que vous ayez commis la moindre erreur en interne.

Pourquoi c'est important pour votre organisation

Une part croissante des incidents majeurs trouve son origine chez un tiers plutôt que dans le périmètre direct de la victime. Les attaquants ciblent délibérément les fournisseurs les moins bien protégés pour atteindre leurs clients en cascade.

Le TPRM n'est pas qu'une exigence de sécurité : c'est aussi une obligation réglementaire montante. NIS2, DORA et de nombreux référentiels imposent désormais explicitement d'évaluer et d'encadrer le risque fournisseur.

Les composantes d'un programme TPRM

  • Inventaire des tiers : recenser tous les fournisseurs et ce à quoi ils ont accès.
  • Classification par criticité : hiérarchiser selon l'impact d'une défaillance ou d'une compromission.
  • Diligence raisonnable : évaluer la posture de sécurité avant l'engagement (questionnaires, preuves, certifications).
  • Clauses contractuelles : notification d'incident, droit d'audit, exigences de sécurité, réversibilité.
  • Surveillance continue : suivre la posture externe et les signaux de risque tout au long de la relation, pas seulement à l'entrée.
  • Plan de sortie : prévoir la récupération des données et la fin de service.

Où les organisations pèchent le plus souvent

Le piège classique est de traiter le TPRM comme une formalité d'achat : un questionnaire rempli une fois, jamais revu. Les vulnérabilités tierces qui comptent sont souvent invisibles aux questionnaires : dépendances logicielles non déclarées, accès résiduels, fournisseurs de fournisseurs. Un programme mature passe de l'évaluation ponctuelle à la surveillance continue.

Questions fréquentes

Quelle différence entre TPRM et gestion du risque de la chaîne d'approvisionnement ?

Le TPRM se concentre sur les relations directes avec vos fournisseurs et prestataires (vos tiers). La gestion du risque de la chaîne d'approvisionnement est plus large et inclut les fournisseurs de vos fournisseurs, appelés « quatrièmes parties » (fourth parties), ainsi que les dépendances logicielles et matérielles en amont.

Un questionnaire de sécurité suffit-il pour gérer le risque tiers ?

Non. Un questionnaire est une photo à un instant donné, souvent auto-déclarée et vite périmée. Un programme TPRM efficace combine l'évaluation initiale avec une surveillance continue de la posture externe, une classification des fournisseurs par criticité et des clauses contractuelles de notification et d'audit.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.