Qu'est-ce que le TPRM ?
Le TPRM, ou gestion du risque tiers, désigne l'ensemble des processus par lesquels une organisation évalue et maîtrise les risques introduits par les entités externes avec lesquelles elle travaille : fournisseurs de logiciels, hébergeurs, sous-traitants, prestataires de paiement, cabinets partenaires, et tout autre tiers ayant accès à ses systèmes, ses données ou ses locaux.
Chaque tiers étend la surface d'attaque de l'organisation. Une faille chez un fournisseur peut devenir la vôtre, sans que vous ayez commis la moindre erreur en interne.
Pourquoi c'est important pour votre organisation
Une part croissante des incidents majeurs trouve son origine chez un tiers plutôt que dans le périmètre direct de la victime. Les attaquants ciblent délibérément les fournisseurs les moins bien protégés pour atteindre leurs clients en cascade.
Le TPRM n'est pas qu'une exigence de sécurité : c'est aussi une obligation réglementaire montante. NIS2, DORA et de nombreux référentiels imposent désormais explicitement d'évaluer et d'encadrer le risque fournisseur.
Les composantes d'un programme TPRM
- Inventaire des tiers : recenser tous les fournisseurs et ce à quoi ils ont accès.
- Classification par criticité : hiérarchiser selon l'impact d'une défaillance ou d'une compromission.
- Diligence raisonnable : évaluer la posture de sécurité avant l'engagement (questionnaires, preuves, certifications).
- Clauses contractuelles : notification d'incident, droit d'audit, exigences de sécurité, réversibilité.
- Surveillance continue : suivre la posture externe et les signaux de risque tout au long de la relation, pas seulement à l'entrée.
- Plan de sortie : prévoir la récupération des données et la fin de service.
Où les organisations pèchent le plus souvent
Le piège classique est de traiter le TPRM comme une formalité d'achat : un questionnaire rempli une fois, jamais revu. Les vulnérabilités tierces qui comptent sont souvent invisibles aux questionnaires : dépendances logicielles non déclarées, accès résiduels, fournisseurs de fournisseurs. Un programme mature passe de l'évaluation ponctuelle à la surveillance continue.