Aller au contenu
FortaRisks
Tous les outilsRisque tiers · TPRM

Diagnostic de gestion du risque tiers

Évaluez la maturité de votre programme de gestion du risque tiers, et repartez avec vos priorités.

≈ 5 minutes · sans inscription

Un questionnaire fournisseur ne suffit pas. Répondez aux 18 énoncés ci-dessous : tout est calculé dans votre navigateur, aucune réponse n'est enregistrée.

Répondez à chaque énoncé selon votre situation réelle. Votre score et vos priorités s'affichent instantanément dans votre navigateur. Aucune donnée n'est transmise.

Progression0 / 18 répondu

1.Inventaire des tiers

Vous tenez un inventaire à jour de tous vos tiers.

Vous tenez un inventaire à jour de tous vos tiers.

Vous savez quelles données et quels systèmes chaque tiers touche.

Vous savez quelles données et quels systèmes chaque tiers touche.

Chaque tiers a un responsable interne identifié.

Chaque tiers a un responsable interne identifié.

2.Hiérarchisation

Vous classez vos tiers selon l'impact d'une compromission.

Vous classez vos tiers selon l'impact d'une compromission.

Chaque tiers reçoit un niveau de risque.

Chaque tiers reçoit un niveau de risque.

L'effort d'évaluation est proportionné à la criticité.

L'effort d'évaluation est proportionné à la criticité.

3.Évaluation et preuve

Vous évaluez la sécurité des tiers au-delà d'un questionnaire déclaratif.

Vous évaluez la sécurité des tiers au-delà d'un questionnaire déclaratif.

Vous vous appuyez sur des preuves externes (surface d'attaque, incidents, notations).

Vous vous appuyez sur des preuves externes (surface d'attaque, incidents, notations).

Vous tenez compte des certifications des tiers (SOC 2, ISO 27001).

Vous tenez compte des certifications des tiers (SOC 2, ISO 27001).

4.Contrats

Vos contrats comportent des exigences de sécurité.

Vos contrats comportent des exigences de sécurité.

Vos contrats imposent la notification des incidents et des brèches.

Vos contrats imposent la notification des incidents et des brèches.

Vous disposez d'un droit d'audit et de conditions de sortie claires.

Vous disposez d'un droit d'audit et de conditions de sortie claires.

5.Surveillance continue

Vous surveillez la posture de sécurité des tiers en continu.

Vous surveillez la posture de sécurité des tiers en continu.

Les tiers sont réévalués selon leur criticité, pas seulement à l'entrée.

Les tiers sont réévalués selon leur criticité, pas seulement à l'entrée.

Vous tenez compte du risque de quatrième partie et de concentration.

Vous tenez compte du risque de quatrième partie et de concentration.

6.Cycle de vie

L'intégration d'un tiers suit un processus de diligence défini.

L'intégration d'un tiers suit un processus de diligence défini.

Vous savez réagir à un incident touchant un tiers.

Vous savez réagir à un incident touchant un tiers.

À la fin d'une relation, les accès sont révoqués et les données récupérées ou détruites.

À la fin d'une relation, les accès sont révoqués et les données récupérées ou détruites.

Répondez à tous les énoncés pour afficher votre score.

FAQ

Qu'est-ce que la gestion du risque tiers ?

La gestion du risque tiers (TPRM) regroupe les pratiques qui permettent d'identifier, d'évaluer et de surveiller les risques introduits par vos fournisseurs, prestataires et partenaires.

Pourquoi est-ce essentiel ?

Une part croissante des incidents provient de tiers. Vos fournisseurs étendent votre surface d'attaque à des systèmes que vous ne contrôlez pas directement.

Un questionnaire ne suffit-il pas ?

Non. Un questionnaire est déclaratif et vite périmé. Il doit être combiné à des preuves externes et à une surveillance continue.

Qu'est-ce que le risque de quatrième partie ?

Vos tiers ont eux-mêmes des tiers. Le risque de quatrième partie et la concentration sur quelques prestataires communs peuvent vous exposer sans visibilité directe.

Ce diagnostic est-il un programme complet ?

Non. C'est un point de départ pour situer votre maturité et prioriser vos actions, pas un programme complet.