Le questionnaire annuel ne dit pas ce qui se passe vraiment.
Vos tiers répondent à votre questionnaire en mars. En septembre, leur certificat TLS expire, un nouveau port s'ouvre sur leur API publique, un de leurs sous-domaines est victime d'un takeover. Vous l'apprenez en novembre, après l'incident, par le rapport de l'année suivante. FortaRisks change cette mécanique. Nous observons ce que vos tiers exposent réellement, en continu, sans leur coopération initiale.
Trois capacités. Une posture continue par tiers.
Du premier tiers ajouté à la première alerte : 7 jours.
Pas de boîte noire. Chaque score tiers est décomposable en ses contributions par dimension.
Trois mises en situation. Trois résultats mesurables.
Cas 1
Finance (DORA, OSFI B-13)
Une banque canadienne de 1 200 employés, 60 fournisseurs critiques de TIC (cloud, SaaS, services managés). Audit DORA imminent. Avant FortaRisks : questionnaires DORA envoyés en mars, taux de retour 60 %, qualité variable, exploitable en septembre. Avec FortaRisks TPRM : 60 fournisseurs onboardés en 5 jours. Score initial pour 100 % des tiers en moins de 7 jours. Détection en continu de la dégradation TLS, des nouveaux ports exposés, des CVE critiques sur les services Internet-facing. Rapport DORA généré en 1 jour, preuves d'évaluation continue exportables.
Cas 2
Santé (Loi 25, HDS, ransomware ciblé)
Un groupe de cliniques au Quebec, 800 employés, 25 fournisseurs manipulant des renseignements personnels (PHI). Cible historique ransomware. Avant FortaRisks : aucune visibilité continue sur la posture des fournisseurs, dépendance à leur déclaration Loi 25. Avec FortaRisks TPRM : observation continue des 25 fournisseurs critiques. Détection automatique d'un fournisseur dont le sous-domaine est tombé sous control via subdomain takeover (Webflow non configuré), 48 heures après l'événement. Action : suspension de l'accès en 24 heures, négociation contractuelle activée.
Cas 3
Manufacturier OT
Un industriel de 1 500 employés, 12 sites, 80 fournisseurs incluant 15 fournisseurs OT (automatisme, capteurs, supervision). Avant FortaRisks : zéro visibilité sur la surface OT exposée par les fournisseurs (Modbus / S7 accidentellement exposés sur Internet). Avec FortaRisks TPRM : scanner OT/ICS appliqué aux 15 fournisseurs OT. Détection d'un automate Siemens S7 d'un fournisseur de capteurs accessible sur Internet via une mauvaise configuration NAT. Notification au fournisseur. Correction en 72 heures. Aucun incident.
TPRM n'est pas une silo. Les 4 autres piliers le nourrissent.
Le TPRM continu n'a de valeur que parce que les 4 autres piliers existent. C'est ce qui le distingue d'un produit standalone TPRM (BitSight, SecurityScorecard) ou d'un module TPRM ajouté à une GRC (OneTrust). Chaque pilier alimente une dimension différente de l'observation tiers.
EASM → TPRM
Les 100+ types de findings EASM (Asset Discovery, Email, System, Reputation, Disclosure) sont appliqués au périmètre de chaque tiers. Le scanner OT/ICS natif est appliqué aux fournisseurs industriels. Le moteur de détection de subdomain takeover sur 83 services est appliqué aux assets exposés des tiers. Aucun coût d'ingestion supplémentaire.
CTI → TPRM
Les 50+ sources CTI agrégées et 1 500+ acteurs trackés sont filtrés par secteur d'activité du tiers. Si BlackBasta cible le secteur santé et qu'un de vos fournisseurs santé a une CVE critique exposée, vous le voyez immédiatement, avant l'attaque.
Posture → TPRM
Les 1 342 contrôles SCF mappés sur 16+ cadres servent de référence pour la dérive d'alignement. Si un tiers se déclare SOC 2, FortaRisks observe les signes externes de cet alignement (TLS, MTA-STS, headers de sécurité) et alerte sur la dérive vs déclaration.
AI Risk Engine → TPRM
Le score tiers contribue au score de risque global de votre organisation. La priorisation cross-pilier prend en compte vos tiers : un CVE critique sur un de vos tiers critiques est priorisé devant un CVE moyen sur un de vos assets directs non exposés.
FAQs
1/ Quelle est la différence entre TPRM continu et un score externe type BitSight ou SecurityScorecard ?
Un score externe type BitSight ou SecurityScorecard est calculé selon une méthodologie propriétaire fermée. Vous voyez un grade, pas la décomposition. Le tiers évalué conteste souvent le score sans pouvoir argumenter sur la méthode. FortaRisks expose chaque finding qui contribue au score du tiers, par dimension (Surface, CTI, Cadres). Le tiers évalué peut contester point par point. Vous pouvez défendre votre décision commerciale (suspension, négociation, monitoring renforcé) avec une preuve technique.
2/ Avez-vous besoin que le tiers coopère pour l'évaluation initiale ?
Non. L'évaluation initiale se base uniquement sur ce qui est observable depuis Internet (surface d'attaque, signaux CTI publics, signes externes d'alignement aux cadres). Aucune coopération du tiers requise. Si le tiers souhaite ensuite enrichir l'évaluation par des preuves internes (attestations SOC 2, rapports d'audit), c'est possible via le module de partage de preuves, mais pas requis.
3/ Le scanner OT/ICS s'applique-t-il aux tiers ?
Oui. Si vous catégorisez un tiers comme « OT / industriel » à l'onboarding, le scanner OT/ICS natif (Modbus, S7, BACnet, EtherNet/IP, IEC-104, DNP3, OPC UA, Niagara Fox — 15 ports industriels) est inclus dans le scan continu de la surface tiers. Mode read-only systématique, rate limiting adapté.
4/ Que se passe-t-il quand un tiers conteste son score ?
Vous pouvez exporter la décomposition complète du score en PDF (par finding, par dimension, par poids). Le tiers reçoit un document qui détaille chaque contribution. Si le tiers démontre une remédiation (par exemple, ferme un port exposé), le prochain scan le détecte automatiquement et le score se met à jour dans les 24 h. Aucune négociation manuelle requise.