Générateur de questionnaire de sécurité fournisseur
Construisez un questionnaire de sécurité tiers sur mesure en quelques secondes, puis copiez-le ou téléchargez-le en CSV.
Vous évaluez un nouveau fournisseur ? Générez un questionnaire de sécurité adapté à sa criticité et aux thèmes pertinents, puis envoyez-le en CSV. Un point de départ prêt à l'emploi pour votre diligence tierce.
Choisissez la criticité du fournisseur, sélectionnez les thèmes concernés, puis copiez ou téléchargez le questionnaire. Rien de ce que vous sélectionnez ne quitte votre navigateur.
Votre questionnaire
23 questions
1.Gouvernance et programme de sécurité
- •Disposez-vous d'une politique de sécurité de l'information documentée et approuvée par la direction ?
- •Une personne ou une équipe est-elle responsable de la sécurité de l'information ?
- •Réalisez-vous des analyses de risques régulières des systèmes et données concernés par ce service ?
2.Contrôle d'accès et authentification
- •L'authentification multifacteur (MFA) est-elle imposée pour accéder aux systèmes traitant nos données ?
- •Appliquez-vous le principe du moindre privilège et un contrôle d'accès basé sur les rôles ?
- •Les droits d'accès sont-ils revus périodiquement et révoqués rapidement lors d'un départ ou d'un changement de poste ?
3.Protection des données et vie privée
- •Nos données sont-elles chiffrées en transit et au repos ?
- •Nos données seront-elles stockées ou traitées hors de notre pays ou région ? Si oui, où ?
- •Avez-vous une politique de conservation et de suppression sécurisée, et pouvez-vous supprimer nos données sur demande ?
- •Êtes-vous conforme aux lois sur la vie privée applicables à nos données (par exemple Loi 25, RGPD) ? Précisez.
4.Sécurité de l'infrastructure et du réseau
- •Vos systèmes sont-ils protégés par des pare-feux, une protection des postes et une segmentation réseau ?
- •Renforcez-vous la configuration de vos systèmes selon un référentiel reconnu (par exemple les CIS Benchmarks) ?
5.Sécurité applicative et du développement
- •Suivez-vous des pratiques de développement sécurisé (revue de code, SAST/DAST, tests de sécurité avant mise en production) ?
- •Maintenez-vous une nomenclature logicielle (SBOM) et suivez-vous les vulnérabilités des composants tiers ?
6.Gestion des vulnérabilités et des correctifs
- •Avez-vous un processus de gestion des correctifs avec des délais définis pour les vulnérabilités critiques ?
- •Recherchez-vous les vulnérabilités régulièrement et priorisez-vous la remédiation selon l'exploitabilité (CVSS, EPSS, CISA KEV) ?
7.Réponse à incident et notification de violation
- •Disposez-vous d'un plan de réponse à incident documenté et testé ?
- •Nous notifierez-vous d'un incident de sécurité affectant nos données, et dans quel délai ?
- •Journalisez-vous et surveillez-vous les événements de sécurité (par exemple SIEM, EDR) ?
8.Continuité d'activité et résilience
- •Maintenez-vous des sauvegardes isolées et régulièrement testées des systèmes traitant nos données ?
- •Avez-vous un plan de continuité d'activité et de reprise avec des objectifs de RTO/RPO définis ?
9.Sous-traitants et quatrièmes parties
- •Faites-vous appel à des sous-traitants qui accéderont à, stockeront ou traiteront nos données ? Listez-les.
- •Évaluez-vous la sécurité de vos propres fournisseurs (nos quatrièmes parties) ?
FAQ
Qu'est-ce qu'un questionnaire de sécurité fournisseur ?
Un questionnaire de sécurité fournisseur (ou tiers) est un ensemble de questions envoyées à un prestataire pour évaluer la façon dont il protège les données et systèmes auxquels il accédera. C'est une étape clé de la gestion du risque tiers et de la diligence raisonnable.
Comment choisir le niveau de criticité ?
Ajustez-le au risque du fournisseur : Essentiel pour les fournisseurs peu risqués, Standard pour ceux qui traitent vos données ou se connectent à vos systèmes, et Approfondi pour les fournisseurs critiques, dépendance clé ou données sensibles. Les niveaux supérieurs ajoutent des questions plus poussées.
Que faire du CSV ?
Le CSV comporte une colonne Réponse et une colonne Preuve laissées vides : envoyez-le au fournisseur pour qu'il le complète, ou importez-le dans votre outil GRC ou tableur pour suivre les réponses et les preuves.
Ce que je sélectionne est-il transmis quelque part ?
Non. Le générateur fonctionne entièrement dans votre navigateur. Vos sélections et le questionnaire ne quittent jamais votre appareil, et rien n'est stocké.
Un questionnaire n'est-il pas un instantané ponctuel ?
Si, et c'est sa limite. Un questionnaire est auto-déclaré et vite périmé. Le module TPRM de FortaRisks le complète par une surveillance continue et fondée sur des preuves de la posture externe de vos fournisseurs, pour détecter les risques qu'un questionnaire manque.
Pour aller plus loin
- Construire un programme de gestion du risque tiers
- 11 vulnérabilités tierces invisibles aux questionnaires
- TPRM : ce qu'est la gestion du risque tiers
Allez au-delà du questionnaire
Un questionnaire est un instantané ponctuel et auto-déclaré. Le module TPRM de FortaRisks note et surveille en continu la posture de sécurité réelle de vos fournisseurs, pour voir les risques qu'un questionnaire ne peut pas révéler.
Ce questionnaire est un modèle de départ fourni à titre indicatif. Adaptez-le à votre contexte ; il ne constitue pas un avis juridique ou contractuel.