Gestion des fournisseurs
Évaluez et surveillez les risques de sécurité des tiers.
Vue d'ensemble
La Gestion des fournisseurs vous aide à :
- Suivre tous les fournisseurs tiers
- Évaluer la posture de sécurité des fournisseurs
- Surveiller le risque fournisseur en continu
- Gérer la documentation fournisseur
- Répondre aux exigences de conformité pour le risque tiers
Naviguez vers Fournisseurs dans la barre latérale.
Inventaire des fournisseurs
Fiche fournisseur
Chaque fournisseur inclut :
| Champ | Description |
|---|---|
| Nom | Nom de l'entreprise fournisseur |
| Catégorie | Catégorie de service |
| Criticité | Niveau de criticité métier |
| Niveau de risque | Niveau de risque évalué |
| Statut | Actif, Inactif, En examen |
| Responsable | Propriétaire de la relation interne |
| Fin de contrat | Date d'expiration du contrat |
| Accès aux données | Types de données accessibles |
Catégories de fournisseurs
Organiser les fournisseurs par type de service :
- Infrastructure cloud : AWS, Azure, GCP
- Applications SaaS : Logiciels métier
- Outils de développement : CI/CD, dépôts de code
- Services de sécurité : Test d'intrusion, SOC
- Services professionnels : Consultants
- Services IT : MSP, support
- RH/Paie : Systèmes employés
- Financier : Processeurs de paiement
Ajout de fournisseurs
Saisie manuelle
- Aller à Fournisseurs → Ajouter un fournisseur
- Entrer les détails du fournisseur :
- Nom de l'entreprise
- Catégorie
- Contact principal
- Services fournis
- Niveau d'accès aux données
- Cliquer sur Créer
Import groupé
Importer plusieurs fournisseurs :
- Cliquer sur Importer
- Télécharger le modèle CSV
- Remplir les données fournisseur
- Téléverser le fichier
- Examiner et confirmer
Depuis les intégrations
Fonctionnalité Professionnelle
La découverte automatique de fournisseurs nécessite le plan Professionnel ou Entreprise.
Auto-découvrir les fournisseurs depuis :
- Marketplaces de fournisseurs cloud
- Catalogues d'applications des fournisseurs SSO
- Systèmes de gestion des dépenses
Évaluation des risques
Niveaux de risque
Catégoriser les fournisseurs par niveau de risque :
| Niveau | Description | Fréquence de revue |
|---|---|---|
| Niveau 1 (Critique) | Accès aux données sensibles, critique pour l'activité | Trimestrielle |
| Niveau 2 (Élevé) | Accès modéré aux données, services importants | Semestrielle |
| Niveau 3 (Moyen) | Accès limité aux données, remplaçable | Annuelle |
| Niveau 4 (Faible) | Pas d'accès aux données, commoditisé | Tous les 2 ans |
Évaluation de criticité
Évaluer la criticité du fournisseur selon :
- Accès aux données : Quelles données peuvent-ils accéder ?
- Impact métier : Que se passe-t-il s'ils sont indisponibles ?
- Périmètre de conformité : Sont-ils dans le périmètre d'audit de conformité ?
- Profondeur d'intégration : Quelle est la profondeur d'intégration ?
- Remplaçabilité : Quelle facilité de remplacement ?
Évaluation de sécurité
Évaluer la sécurité du fournisseur :
- Ouvrir la fiche fournisseur
- Cliquer sur l'onglet Évaluations
- Cliquer sur Démarrer l'évaluation
- Compléter le questionnaire ou téléverser les réponses du fournisseur
- Examiner et noter
Questionnaire d'évaluation
Le questionnaire intégré couvre :
- Sécurité de l'information : Politiques, contrôles
- Gestion des accès : Authentification, autorisation
- Protection des données : Chiffrement, traitement
- Réponse aux incidents : Notification de violation
- Continuité d'activité : PRA, sauvegardes
- Conformité : Certifications, audits
Signaux de confiance
Rassembler les preuves de sécurité du fournisseur :
| Signal | Poids | Exemple |
|---|---|---|
| Rapport SOC 2 | Élevé | SOC 2 Type II |
| ISO 27001 | Élevé | Certification ISO |
| Rapport test intrusion | Moyen | Test d'intrusion annuel |
| Politique de sécurité | Moyen | Politique publiée |
| Questionnaire | Faible | SIG complété |
Notation de risque
Calcul automatique du score de risque :
Fournisseur : Fournisseur cloud X
Facteurs de risque :
- Accès aux données : DCP client (Élevé)
- Criticité : Critique pour l'activité (Élevé)
- Sécurité : SOC 2 Type II (Risque faible)
- Conformité : Dans le périmètre (Élevé)
Score de risque : 68/100 (Moyen)
Niveau recommandé : Niveau 2Due diligence
Évaluation initiale
Pour les nouveaux fournisseurs :
- Collecter les informations de base
- Déterminer le niveau de criticité
- Demander la documentation de sécurité
- Compléter l'évaluation de risque
- Examiner avec les parties prenantes
- Approuver ou rejeter
Collecte de documentation
Suivre les documents requis :
| Document | Requis pour | Statut | Expire |
|---|---|---|---|
| Rapport SOC 2 | Niveau 1-2 | Reçu | Déc 2026 |
| Certificat d'assurance | Niveau 1-3 | Reçu | Juin 2026 |
| Test intrusion | Niveau 1 | En attente | - |
| DPA | Tous | Reçu | - |
| BAA | HIPAA | Reçu | - |
Portail de demandes
Fonctionnalité Professionnelle
Le portail libre-service fournisseur nécessite le plan Professionnel ou Entreprise.
Envoyer aux fournisseurs un lien pour :
- Compléter le questionnaire de sécurité
- Téléverser la documentation
- Mettre à jour les informations de l'entreprise
Surveillance continue
Surveillance continue
Fonctionnalité Entreprise
La surveillance continue des fournisseurs nécessite le plan Entreprise.
Surveillance automatisée pour :
- Changements de notation de sécurité
- Alertes d'actualités (violations, incidents)
- Changements de certificats
- Mentions sur le dark web
Revues planifiées
Configurer des revues périodiques :
- Ouvrir la fiche fournisseur
- Définir la fréquence de revue selon le niveau
- Le système envoie des rappels
- Compléter la checklist de revue
- Mettre à jour l'évaluation de risque
Checklist de revue
- [ ] Vérifier que le fournisseur est toujours actif
- [ ] Vérifier les incidents de sécurité
- [ ] Examiner les certifications mises à jour
- [ ] Évaluer tout changement de service
- [ ] Mettre à jour l'inventaire des données
- [ ] Confirmer le statut du contrat
- [ ] Examiner la performance SLA
Gestion des contrats
Détails du contrat
Suivre les informations contractuelles :
- Date de début
- Date de fin
- Conditions de renouvellement automatique
- Période de préavis de résiliation
- Conditions clés
Alertes contractuelles
Recevoir des notifications pour :
- Expiration du contrat (90, 60, 30 jours)
- Dates de renouvellement automatique
- Périodes de revue requises
Suivi SLA
Surveiller la conformité SLA du fournisseur :
Fournisseur : Fournisseur d'hébergement
SLA : 99,9% de disponibilité
Performance :
Janv : 99,95% ✓
Févr : 99,92% ✓
Mars : 99,87% ✗
Avr : 99,94% ✓Mappage de conformité
Exigences de framework
Mapper les fournisseurs aux exigences de conformité :
SOC 2 CC9.2 - Gestion des fournisseurs
Requis :
- Maintenir l'inventaire des fournisseurs ✓
- Processus d'évaluation de risque ✓
- Surveillance continue ✓
- Revue contractuelle ✓
Preuves :
- Rapport d'inventaire des fournisseurs
- Questionnaires d'évaluation
- Documentation de revuePreuves d'audit
Générer des packages de preuves :
- Aller à Rapports → Rapport fournisseurs
- Sélectionner la période
- Inclure :
- Inventaire des fournisseurs
- Évaluations de risque
- Enregistrements de revue
- Exporter pour les auditeurs
Rapports
Tableau de bord fournisseurs
Vue d'ensemble des fournisseurs
Fournisseurs totaux : 45
Par niveau de risque :
Niveau 1 (Critique) ███ 3 (7%)
Niveau 2 (Élevé) ████████ 8 (18%)
Niveau 3 (Moyen) ███████████████ 15 (33%)
Niveau 4 (Faible) ███████████████████ 19 (42%)
Revues dues (30 jours) : 5
Évaluations en attente : 2
Contrats expirant : 3Rapport de risque
Voir la distribution des risques fournisseur :
| Niveau de risque | Nombre | % du total |
|---|---|---|
| Risque élevé | 4 | 9% |
| Risque moyen | 12 | 27% |
| Risque faible | 29 | 64% |
Rapport de conformité
Montrer le statut de conformité des fournisseurs :
- Fournisseurs avec SOC 2 : 28 (62%)
- Fournisseurs avec ISO 27001 : 15 (33%)
- Fournisseurs avec évaluations complètes : 40 (89%)
Accès API
bash
# Lister les fournisseurs
GET /api/v1/vendors?tier=1
# Obtenir les détails d'un fournisseur
GET /api/v1/vendors/{vendor_id}
# Créer un fournisseur
POST /api/v1/vendors
{
"name": "Fournisseur cloud Inc",
"category": "cloud_infrastructure",
"criticality": "critical",
"owner_id": "user_123"
}
# Mettre à jour une évaluation
POST /api/v1/vendors/{vendor_id}/assessments
{
"type": "security",
"score": 75,
"notes": "Forte posture de sécurité"
}
# Téléverser un document
POST /api/v1/vendors/{vendor_id}/documents
Content-Type: multipart/form-dataVoir Référence API pour la documentation complète.
Bonnes pratiques
- Inventorier tous les fournisseurs : Ne manquer aucun tiers
- Niveaux par risque : Appliquer un examen approprié par niveau
- Collecter les preuves : Rassembler SOC 2, certifications ISO
- Revues régulières : Examiner selon le calendrier de niveau
- Suivre les contrats : Surveiller les expirations
- Tout documenter : Maintenir une piste d'audit
- Impliquer les parties prenantes : Contribution de la sécurité, juridique, métier