TPRM : La Gestion des Risques Fournisseurs avec Beareye
En 2025, 35 % des cyberattaques significatives subies par les grandes entreprises françaises provenaient d'un tiers, et ce chiffre grimpe à 43 % dans les grands groupes. Le coût moyen d'une brèche via la supply chain atteint 4,91 millions de dollars, avec un délai de détection de 267 jours. Face à l'explosion des risques liés aux tiers, au durcissement du cadre réglementaire européen, NIS2, DORA, RGPD, et à la multiplication des attaques supply chain, le Third Party Risk Management (TPRM) est devenu un impératif stratégique pour les RSSI, DSI et directions générales. Découvrez comment structurer un programme de gestion des risques fournisseurs efficace et comment la plateforme Beareye vous permet d'industrialiser cette démarche en toute souveraineté.
16 min de lecture
30 %
des violations mondiales impliquent un tiers en 2025 (x2 vs 2024)
4,91 M$
Coût moyen d'une brèche via la supply chain, 2e vecteur le plus coûteux
267 j
Délai médian d'identification et de containment d'une attaque supply chain
75 %
de réduction du risque tiers avec une approche combinée EASM + TPRM (Forrester)
1. L'explosion des attaques supply chain : chiffres clés 2025
Les données convergent vers un constat alarmant : les attaques via la chaîne d'approvisionnement connaissent une escalade sans précédent. Le rapport Verizon DBIR 2025, qui analyse 12 195 violations confirmées dans 139 pays, le dataset le plus vaste jamais constitué, a mis en évidence un doublement des incidents impliquant un tiers en un an, passant de 15 % à 30 %. La prédiction de Gartner en 2021, selon laquelle 45 % des organisations auraient subi une attaque supply chain d'ici 2025, a été largement dépassée : une enquête BlackBerry de 2024 révèle que 75 % des organisations ont déjà subi ce type d'attaque.
1.1 Un vecteur d'attaque particulièrement coûteux et long à détecter
Selon le rapport IBM Cost of a Data Breach 2025 (600 organisations dans 16 pays), la compromission de la supply chain représente environ 15 % de l'ensemble des violations et constitue le deuxième vecteur d'attaque le plus coûteux avec 4,91 millions de dollars en moyenne, juste derrière les attaques par insiders malveillants (4,92 M$). La durée médiane de détection et de containment de ce type de brèche est de 267 jours, la plus longue de tous les vecteurs analysés, créant une fenêtre d'exposition particulièrement dangereuse pour les données et les systèmes de l'organisation victime.
Le rapport SecurityScorecard 2025 établit quant à lui que 35,5 % de l'ensemble des violations en 2024 impliquaient un tiers, en hausse de 6,5 points. Plus alarmant encore, 41,4 % des attaques par ransomware démarrent désormais via un fournisseur, le groupe cybercriminel Cl0p étant le principal responsable de cette tendance. L'exploitation de vulnérabilités dans les équipements périphériques (VPN, firewalls) exposés chez les tiers a bondi de 3 % à 22 % des violations, soit une multiplication par près de huit.
Marché TPRM : une croissance à deux chiffres
Le marché mondial des solutions TPRM est estimé entre 7,4 et 9 milliards de dollars en 2024-2025, avec une croissance annuelle de 14 à 17 % projetée pour atteindre 19 à 21 milliards de dollars d'ici 2030. Gartner parle d'une « tempête parfaite » pour l'adoption des solutions TPRM.
1.2 La France en première ligne
Le 11e baromètre CESIN (janvier 2026, 397 RSSI et directeurs cybersécurité sondés) dresse un tableau préoccupant : 40 % des entreprises françaises déclarent avoir subi au moins une cyberattaque significative en 2025, et 81 % des victimes rapportent un impact réel sur leur activité. Les attaques indirectes via un tiers constituent le troisième vecteur d'attaque en France (35 %), derrière le phishing (55 %) et l'exploitation de failles (41 %).
L'ANSSI, dans son Panorama de la cybermenace 2024 (publié en mars 2025), a traité 4 386 événements de sécurité (+15 % vs 2023), dont 1 361 incidents confirmés. L'agence constate officiellement « la poursuite des attaques visant la chaîne d'approvisionnement ». Alain Bouillé, directeur général du CESIN, résume : « Nous avons observé tout au long de l'année des attaques ciblées réussies et perturbantes qui étaient pour beaucoup liées à des tiers. À chaque fois on se rend compte que les fournisseurs n'avaient pas très bien protégé les données confiées. »
L'Observatoire TPRM 2025 (Board of Cyber / CESIN, 171 organisations françaises) révèle que si 81,8 % des entreprises considèrent le risque fournisseur comme important ou très important, 50 % n'évaluent pourtant que moins de 20 fournisseurs par an, une couverture dramatiquement faible au regard de la taille réelle des écosystèmes fournisseurs (286 fournisseurs en moyenne selon Whistic, en hausse de 21 % par an).
2. Incidents emblématiques : ce que la France et le monde ont subi
Les cas concrets d'attaques supply chain de 2024-2025 constituent autant de cas d'école pour tout programme TPRM. Ils illustrent l'ampleur des dégâts lorsque la gestion des risques liés aux tiers n'est pas au rendez-vous, et fournissent des arguments imparables pour convaincre les directions générales d'investir dans ce domaine.
2.1 En France : des brèches systémiques aux conséquences massives
L'incident le plus emblématique reste la compromission de Viamedis et Almerys en février 2024. Ces deux opérateurs de tiers payant pour les complémentaires santé ont été simultanément compromis, exposant les données de plus de 33 millions d'assurés français, soit près de la moitié de la population. État civil, numéro de sécurité sociale, nom de l'assureur : la CNIL a qualifié cette fuite « d'ampleur inédite ».
France Travail a subi deux compromissions majeures via ses partenaires : en mars 2024 (43 millions de comptes exposés via un tiers) puis en juillet 2025 via son prestataire Kairos (340 000 personnes touchées). En novembre 2025, Itelis, réseau de soins partenaire d'AXA, AG2R La Mondiale et Matmut, a exposé des données personnelles et médicales. En décembre 2025, le ministère des Sports a vu 3,5 millions de foyers touchés via une plateforme tierce de gestion du Pass'Sport. La CNIL a enregistré 5 629 notifications de violations de données en 2024 (+20 %), le nombre de violations touchant plus d'un million de personnes ayant doublé.
La compromission ANSSI d'une ESN : un cas d'école
En octobre 2024, un affilié du ransomware Qilin a compromis une entreprise d'infogérance, menant au chiffrement et à l'exfiltration des données d'une trentaine de ses clients. Un seul fournisseur compromis, des dizaines d'organisations impactées simultanément, c'est précisément le scénario que le TPRM vise à prévenir.
2.2 À l'international : des milliards de dollars de dommages
L'année 2024 a vu des attaques supply chain d'une ampleur sans précédent à l'international. Change Healthcare (UnitedHealth, février 2024) a vu 100 millions de dossiers médicaux compromis par ransomware. CDK Global (juin 2024) a entraîné la paralysie de 15 000 concessionnaires automobiles nord-américains, avec des pertes estimées à plus d'un milliard de dollars. La campagne Salt Typhoon (décembre 2024), attribuée aux services chinois, a pénétré AT&T, Verizon, T-Mobile et Lumen, qualifiée par le sénateur Mark Warner de « pire piratage télécom de l'histoire ».
La panne CrowdStrike du 19 juillet 2024, bien que non malveillante, est devenue un cas d'école en TPRM : une mise à jour défectueuse du Falcon Sensor a provoqué le crash de 8,5 millions de machines Windows mondiales, avec des pertes directes de 5,4 milliards de dollars pour le Fortune 500. Delta Air Lines seule a subi 500 millions de dollars de dommages. Cet incident illustre de manière spectaculaire le risque de concentration fournisseur, un risque au cœur de toute démarche TPRM sérieuse.
En 2025, la compromission Salesloft/Drift (août 2025), surnommée « le SolarWinds du SaaS », a démontré les limites des évaluations périodiques : le groupe UNC6395 a détourné des tokens OAuth via une intégration Salesforce, touchant plus de 700 organisations dont Google, Cloudflare, Palo Alto Networks et CyberArk, entre deux cycles d'évaluation annuelle. Patrick Opet, CISO de JPMorgan Chase, a alerté : « Le modèle SaaS moderne permet discrètement aux cyberattaquants de créer une vulnérabilité substantielle qui fragilise le système économique mondial. »
Incident
Vecteur tiers
Impact
Coût estimé
Viamedis / Almerys (FR, 2024)
Opérateurs tiers payant
33 millions d'assurés
N/C (CNIL)
Change Healthcare (US, 2024)
Ransomware via fournisseur IT
100 M de dossiers médicaux
> 870 M$
CDK Global (US, 2024)
Prestataire SaaS automobile
15 000 concessionnaires
> 1 Mrd $
CrowdStrike (mondial, 2024)
MAJ logicielle défectueuse
8,5 M machines Windows
5,4 Mrd $
Salesloft/Drift (mondial, 2025)
Intégration SaaS compromise
700+ organisations
N/C
Scattered Spider / M&S (UK, 2025)
Prestataire IT tiers
46 jours d'interruption
> 300 M£
3. Le cadre réglementaire : NIS2, DORA et RGPD font du TPRM une obligation
L'émergence d'un corpus réglementaire européen dense transforme la gestion des risques liés aux tiers d'une bonne pratique optionnelle en obligation légale. Trois textes structurent désormais cette obligation pour les organisations françaises, avec des exigences concrètes, des délais de conformité précis et des sanctions substantielles.
La directive NIS2 (Directive (EU) 2022/2555) aurait dû être transposée avant le 17 octobre 2024. La France a manqué cette échéance, un avis motivé de la Commission européenne a été émis en mai 2025 pour défaut de transposition. Le véhicule législatif est la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dite « loi Résilience »), adoptée par le Sénat le 12 mars 2025, dont la promulgation est attendue au premier trimestre 2026, avec un délai de conformité de trois ans.
Le périmètre est sans précédent : 15 000 à 20 000 entités françaises seront concernées (contre ~300 sous NIS1), réparties en entités essentielles (EE) et entités importantes (EI) sur 18 secteurs. L'article 21(2)(d) impose explicitement la sécurité de la chaîne d'approvisionnement comme mesure de cybersécurité obligatoire, incluant l'évaluation des vulnérabilités spécifiques à chaque fournisseur et la qualité des pratiques cybersécurité des prestataires. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.
NIS2
Art. 21(2)(d)
Sécurité de la chaîne d'approvisionnement obligatoire. Évaluation des fournisseurs exigée. 15 000 à 20 000 entités françaises concernées. Sanctions : 10 M€ ou 2 % du CA.
DORA
Chap. V - Art. 28-44
Registre obligatoire de tous les prestataires TIC. Due diligence précontractuelle. Clauses contractuelles imposées. Surveillance des CTPPs. Applicable depuis jan. 2025.
RGPD
Art. 28
Garanties suffisantes exigées pour les sous-traitants. Obligations contractuelles en cascade. 87 sanctions CNIL en 2024 pour 55,2 M€. 1 éditeur condamné à 1,7 M€.
3.2 DORA : le régime le plus prescriptif pour le secteur financier
Le règlement DORA (Regulation (EU) 2022/2554), directement applicable depuis le 17 janvier 2025, constitue le cadre le plus prescriptif en matière de TPRM. Il s'applique à 20 catégories d'entités financières et à leurs prestataires de services TIC. Le chapitre V (articles 28 à 44) établit un régime complet qui impose notamment :
Un registre d'information obligatoire (article 28(3)) de tous les arrangements contractuels avec des prestataires TIC, distinguant ceux qui soutiennent des fonctions critiques. Le premier registre a été transmis aux autorités en avril 2025.
Une due diligence précontractuelle obligatoire : évaluation des risques de concentration TIC, vérification de l'adéquation des prestataires, identification des conflits d'intérêts (article 29).
Des clauses contractuelles obligatoires (article 30) : localisation des données, SLA quantitatifs, stratégies de sortie, droits d'audit, délais de notification d'incidents (24-72h).
Un cadre de surveillance des prestataires TIC critiques (CTPPs) (articles 31-44) avec une première liste des CTPPs désignés publiée fin 2025 par l'EBA, l'EIOPA et l'ESMA.
Les sanctions DORA peuvent atteindre 2 % du chiffre d'affaires mondial annuel pour les entités financières et 5 millions d'euros pour les prestataires TIC critiques désignés. Mylène Jarossay, présidente du CESIN, le résume : « Le fait d'avoir signé un contrat avec un tiers n'empêche évidemment pas l'incident d'arriver. »
Anticipez dès maintenant
Avec la loi Résilience attendue au T1 2026 et un délai de conformité de trois ans, les entités concernées doivent dès maintenant cartographier leur écosystème fournisseurs et initier les chantiers de mise en conformité NIS2. Les coûts de mise en conformité sont estimés entre 100 000 € et 200 000 € pour les entités importantes, et 450 000 € à 880 000 € pour les entités essentielles.
4. Méthodologies et frameworks TPRM à maîtriser
Un programme de gestion des risques liés aux tiers efficace repose sur des référentiels reconnus, des méthodologies d'évaluation structurées et une classification rigoureuse des fournisseurs. Voici les éléments incontournables pour les équipes sécurité françaises.
4.1 Les frameworks de référence
Le NIST SP 800-161 Rev. 1 (mise à jour décembre 2025, 326 pages) constitue la référence mondiale pour le C-SCRM (Cybersecurity Supply Chain Risk Management). Structuré en trois niveaux, entreprise, métier, opérationnel, il fournit un jeu enrichi de contrôles supply chain basé sur le NIST SP 800-53 Rev. 5. Le NIST CSF 2.0 (février 2024) a ajouté une sixième fonction GOVERN incluant la catégorie GV.SC dédiée au C-SCRM, avec 10 sous-catégories, la catégorie la plus détaillée du framework entier. La sous-catégorie GV.SC-09 appelle explicitement à la surveillance continue des pratiques de sécurité de la chaîne d'approvisionnement.
La série ISO/IEC 27036 (parties 1 à 4) traite spécifiquement de la sécurité des relations fournisseurs, alignée sur ISO 27001. En France, la méthodologie EBIOS RM de l'ANSSI intègre explicitement l'analyse de l'écosystème et de la supply chain dans sa roue des parties prenantes. Le framework TIBER-EU de la BCE est devenu le bras opérationnel de DORA pour les tests de résilience, les périmètres de test incluant explicitement les systèmes externalisés chez des tiers.
4.2 Les trois piliers méthodologiques
L'approche la plus efficace en matière de third party risk management combine trois piliers complémentaires :
Le premier pilier est celui des questionnaires standardisés. Le SIG (Shared Assessments) propose 850+ questions en version Core, indexées sur 35+ normes, avec une version allégée pour les fournisseurs à faible risque. Le CAIQ de la CSA (v4.0.2, ~300 questions) est orienté spécifiquement cloud. Ces outils permettent d'auditer les pratiques déclaratives des fournisseurs, mais leur principal défaut est de reposer sur l'auto-déclaration.
Le deuxième pilier est le scoring de sécurité externe (cyber-ratings). Des plateformes comme BitSight, SecurityScorecard, Panorays, Black Kite et UpGuard fournissent une notation continue basée sur l'analyse de la surface d'attaque externe d'un fournisseur, sans sa coopération. Ce scoring permet un monitoring en temps réel, indépendant de la bonne volonté du fournisseur à répondre aux questionnaires.
Le troisième pilier est la classification par niveaux de risque (tiering), généralement en trois tiers selon la criticité du service, le niveau d'accès aux données sensibles et l'impact potentiel sur le business. Cette classification détermine la profondeur d'évaluation requise et la fréquence de réévaluation : évaluation complète annuelle pour les fournisseurs critiques, questionnaire allégé biannuel pour les fournisseurs importants, monitoring automatisé pour les fournisseurs standard.
4.3 Les défis persistants à surmonter
Les principaux obstacles identifiés par les praticiens sont bien documentés. Selon Ponemon 2025, 43 % des organisations manquent d'un inventaire exhaustif de leurs fournisseurs. La fatigue des questionnaires est réelle : les grands fournisseurs reçoivent des dizaines voire des centaines de questionnaires quasi identiques chaque année. Un membre d'équipe TPRM consacre en moyenne 24 heures par semaine aux évaluations, et les réponses fournisseurs prennent en moyenne 12 jours. Whistic rapporte que 94 % des entreprises ne parviennent pas à évaluer tous les fournisseurs qu'elles souhaiteraient évaluer, faute de ressources.
Le risque de quatrième rang et au-delà (nth parties) constitue un défi particulier : ces sous-traitants de sous-traitants avec lesquels l'organisation n'a aucun lien contractuel direct sont pratiquement invisibles dans une approche manuelle. Enfin, le phénomène de shadow IT, exacerbé par l'adoption rapide d'outils SaaS et d'IA générative non approuvés, complique la maîtrise complète de l'écosystème tiers.
5. Tendances 2025-2026 : IA, EASM et monitoring continu
Le TPRM traverse une période de transformation accélérée sous l'effet de trois grandes tendances convergentes : l'intelligence artificielle comme accélérateur de l'évaluation, l'intégration de l'EASM pour une vue externe continue, et la transition vers le monitoring en temps réel. Ces évolutions redéfinissent profondément ce qu'est une solution de gestion des risques fournisseurs mature en 2026.
5.1 L'IA : de l'accélérateur au superviseur de risque
L'intelligence artificielle s'impose comme le principal levier de transformation du third party risk management. Selon Whistic (2025), 57 % des entreprises utilisent déjà l'IA dans leurs processus d'évaluation des tiers, et 59 % estiment que l'IA aura le plus grand impact sur l'avenir du TPRM. Les cas d'usage se multiplient : analyse automatisée des questionnaires et des preuves documentaires, scoring prédictif des risques, cartographie automatique des dépendances de quatrième rang (nth parties), et rédaction assistée de rapports d'évaluation.
Gartner anticipe que l'IA embarquée deviendra un différenciateur compétitif pour les plateformes TPRM. Paradoxalement, l'IA générative crée elle-même un nouveau vecteur de risque tiers : le baromètre CESIN 2026 révèle que 75 % des RSSI français considèrent la shadow IA comme un risque, et 66 % jugent l'usage de services d'IA non approuvés comme un risque élevé à très élevé. L'ENISA Threat Landscape 2025 constate que plus de 80 % des e-mails de phishing utilisaient l'IA entre septembre 2024 et février 2025. Gartner place la supervision de l'IA agentique parmi ses tendances cybersécurité prioritaires pour 2026.
5.2 La convergence EASM + TPRM : voir le risque depuis l'extérieur
L'intégration de l'External Attack Surface Management (EASM) avec le TPRM constitue la tendance structurante la plus significative. L'EASM permet d'évaluer la surface d'attaque externe d'un fournisseur sans sa coopération, en répliquant la perspective d'un attaquant : découverte d'actifs exposés, identification de vulnérabilités non patchées, détection de shadow IT dans l'écosystème tiers, exposition de credentials. Selon une étude Forrester TEI commandée par BitSight, l'approche combinée EASM+TPRM permet une réduction de 45 % du risque de brèche sur l'ensemble du portefeuille tiers, et de 75 % pour les risques tiers spécifiquement.
KuppingerCole (2025) confirme que les capacités TPRM sont désormais « un composant crucial de l'ASM », la surface d'attaque englobant quatre domaines : EASM, CAASM, TPRM et DRP. Forrester (Q4 2025) observe que les plateformes de cyber-ratings (adoptées par 78 % des professionnels du risque) convergent vers les marchés adjacents du TPRM et de l'EASM, créant des plateformes intégrées de gestion de l'exposition.
5.3 Le monitoring continu : la fin des évaluations annuelles
La transition des évaluations annuelles vers un monitoring continu est l'évolution la plus attendue, et la plus urgente. L'attaque Salesloft/Drift d'août 2025 l'a démontré de manière spectaculaire : la compromission est survenue entre deux cycles d'évaluation, dans la fenêtre aveugle que crée le modèle du questionnaire annuel. Le NIST CSF 2.0 a codifié cette approche avec la sous-catégorie GV.SC-09 qui appelle explicitement à la surveillance continue.
L'Observatoire TPRM 2025 français révèle que 80 % des entreprises sont prêtes à mutualiser leurs évaluations fournisseurs, et 50 % souhaitent que les fournisseurs deviennent acteurs de leur propre sécurisation. Ce mouvement vers des plateformes d'échange (trust exchanges), où un fournisseur complète une évaluation une seule fois pour la partager avec l'ensemble de ses clients, répond directement à l'enjeu de passage à l'échelle que rencontrent les équipes TPRM.
Critère
TPRM Traditionnel
TPRM Moderne (2026)
Évaluation fournisseurs
✗ Questionnaire annuel
✓ Monitoring continu automatisé
Couverture
✗ < 20 fournisseurs / an
✓ Portefeuille complet en temps réel
Vue externe
✗ Auto-déclaration uniquement
✓ EASM + scoring objectif
Nth parties
✗ Invisibles
✓ Cartographie automatique IA
Conformité NIS2/DORA
~ Partielle
✓ Complète et documentée
Souveraineté
✗ Solutions US soumises au CLOUD Act
✓ Hébergement France / ANSSI
6. Beareye : votre solution de gestion des risques fournisseurs souveraine
Face aux défis du TPRM moderne, couverture insuffisante, évaluations trop rares, visibilité limitée sur les nth parties, pression réglementaire croissante, la plateforme Beareye de BEAROPS apporte une réponse intégrée, souveraine et industrialisée. Conçue pour les organisations françaises soumises aux exigences de NIS2, DORA et RGPD, Beareye combine les trois piliers du TPRM moderne : EASM continu, questionnaires automatisés et scoring prédictif.
6.1 Une approche intégrée EASM + TPRM
Beareye permet d'évaluer la surface d'attaque externe de chaque fournisseur sans sa coopération, en adoptant la perspective d'un attaquant. La plateforme découvre automatiquement les actifs exposés, identifie les vulnérabilités non corrigées, détecte les fuites de credentials et cartographie les dépendances de quatrième rang (nth parties) grâce à l'IA. Cette vision externe, continue et objective complète les questionnaires déclaratifs en fournissant des preuves concrètes d'exposition, indépendamment de ce que le fournisseur déclare sur ses pratiques de sécurité.
L'intégration EASM+TPRM de Beareye permet une réduction documentée du risque tiers conforme aux conclusions de Forrester (75 % de réduction sur les risques tiers spécifiques), tout en produisant les éléments de preuve requis par NIS2 (article 21(2)(d)) et DORA (chapitres V, articles 28-44) pour démontrer la due diligence fournisseurs aux autorités de supervision.
6.2 Industrialisation et passage à l'échelle
L'un des défis les plus critiques du TPRM est le passage à l'échelle : comment évaluer 286 fournisseurs en moyenne avec une équipe de quelques personnes ? Beareye apporte une réponse concrète :
Questionnaires automatisés et adaptés : génération automatique de questionnaires calibrés selon le niveau de risque du fournisseur (tiering), avec relances automatiques et scoring instantané des réponses.
Monitoring continu 24/7 : surveillance en temps réel des indicateurs d'exposition externe de l'ensemble du portefeuille fournisseurs, avec alertes sur les changements de posture de sécurité.
Cartographie des nth parties : identification automatique des sous-traitants de vos sous-traitants grâce à l'analyse IA des relations inter-organisationnelles.
Dashboards conformité : tableaux de bord dédiés NIS2 et DORA fournissant automatiquement les éléments requis pour les registres réglementaires, les rapports Comex et les audits de l'ANSSI ou des superviseurs financiers.
Intégration SIEM/SOAR : connexion native aux outils de votre SOC pour intégrer le risque tiers dans votre chaîne de détection et de réponse globale.
6.3 Souveraineté numérique : un impératif pour les données fournisseurs
La question de la souveraineté numérique est centrale pour toute organisation française utilisant une solution TPRM. Les données traitées dans une plateforme de gestion des risques fournisseurs sont particulièrement sensibles : elles incluent des informations sur la posture de sécurité de l'ensemble de votre écosystème numérique, vos relations contractuelles, vos fournisseurs critiques et votre architecture de sécurité. Les confier à une solution américaine soumise au CLOUD Act crée un risque stratégique majeur.
Beareye est développé et hébergé en France, avec une infrastructure conforme aux recommandations de l'ANSSI. Cette souveraineté est particulièrement pertinente pour les entités classées OIV (Opérateurs d'Importance Vitale), les organisations du secteur financier soumises à DORA, et les collectivités et administrations publiques soumises aux obligations NIS2. Frank Van Caenegem (CESIN, CISO EMEA Schneider Electric) résume l'enjeu : « Le nouveau contexte réglementaire transforme profondément la gestion des risques cyber liés aux fournisseurs qui sont devenus un risque systémique. »
Beareye en chiffres
Surveillance continue de l'ensemble de votre portefeuille fournisseurs · Réduction de 75 % du risque tiers (approche EASM+TPRM, source Forrester) · Conformité NIS2 article 21(2)(d) et DORA chapitres V · Hébergement souverain France · Rapport Comex et audits prêts à l'emploi · Cartographie automatique des nth parties par IA
Évaluation continue
Scoring EASM externe en temps réel de chaque fournisseur, sans sa coopération. Alertes instantanées sur tout changement de posture de sécurité.
Conformité NIS2 / DORA
Registre des prestataires TIC DORA automatisé. Éléments de preuve NIS2 article 21(2)(d). Rapports d'audit prêts pour les autorités de supervision.
Souveraineté française
Hébergement France, hors CLOUD Act. Conforme aux recommandations ANSSI. Adapté aux OIV, entités NIS2 essentielles et secteur financier DORA.
Points clés à retenir
Les violations impliquant un tiers ont doublé en un an (15 % → 30 %, Verizon DBIR 2025), avec un coût moyen de 4,91 M$ et 267 jours de délai de détection.
NIS2 (art. 21(2)(d)) et DORA (chap. V, art. 28-44) rendent la gestion des risques fournisseurs obligatoire pour 15 000 à 20 000 entités françaises.
Les évaluations annuelles sont insuffisantes : l'attaque Salesloft/Drift (2025) a compromis 700+ organisations entre deux cycles d'évaluation.
L'approche combinée EASM + TPRM réduit de 75 % les risques tiers spécifiques selon Forrester.
L'IA permet de cartographier les nth parties et de couvrir un portefeuille fournisseurs complet là où 94 % des entreprises n'y parviennent pas manuellement.
La souveraineté numérique est un impératif : les données TPRM sont trop sensibles pour être confiées à des solutions soumises au CLOUD Act.
FAQ
Questions fréquentes sur le TPRM
Le TPRM (Third Party Risk Management), ou gestion des risques liés aux tiers, désigne l'ensemble des processus, outils et politiques permettant d'identifier, évaluer, surveiller et atténuer les risques introduits par les fournisseurs, sous-traitants, partenaires et prestataires de services d'une organisation. Il couvre les risques cyber, mais aussi opérationnels, réglementaires, financiers et de réputation. En 2025, 30 % des violations de données mondiales impliquent un tiers, ce qui fait du TPRM un enjeu stratégique majeur pour toute organisation disposant d'un écosystème fournisseurs étendu.
NIS2 impose via l'article 21(2)(d) la sécurité de la chaîne d'approvisionnement comme mesure obligatoire, incluant l'évaluation formelle des pratiques de sécurité des fournisseurs. Elle concerne 15 000 à 20 000 entités françaises avec des sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial. DORA (directement applicable depuis janvier 2025) exige pour le secteur financier un registre complet des prestataires TIC, une due diligence précontractuelle, des clauses contractuelles précises (droits d'audit, SLA de notification à 24-72h, stratégies de sortie) et un suivi des prestataires TIC critiques désignés. Les deux textes imposent le monitoring continu plutôt que des évaluations ponctuelles.
Le TPRM est un programme de gestion du risque couvrant l'ensemble de la relation fournisseur (évaluation, contractualisation, suivi, sortie). L'EASM (External Attack Surface Management) est un outil d'analyse technique qui cartographie les actifs exposés sur Internet depuis une perspective externe, il peut être utilisé pour évaluer la surface d'attaque d'un fournisseur sans sa coopération. Le CAASM (Cyber Asset Attack Surface Management) est orienté vers la vision interne des actifs. KuppingerCole (2025) considère que ces trois disciplines forment désormais les piliers complémentaires d'un programme de gestion de l'exposition aux menaces (CTEM), la combinaison EASM+TPRM réduisant de 75 % les risques tiers selon Forrester.
Un programme TPRM efficace repose sur six étapes clés. D'abord, constituer un inventaire exhaustif de l'ensemble des fournisseurs et prestataires. Ensuite, appliquer un tiering (classification en 3 niveaux de risque) selon la criticité du service, l'accès aux données et l'impact business. Puis conduire une due diligence adaptée au niveau de risque : questionnaire SIG/CAIQ, scoring EASM externe, audit sur site pour les fournisseurs critiques. Formaliser les clauses contractuelles de sécurité (droits d'audit, SLA de notification, stratégie de sortie). Mettre en place le monitoring continu via une plateforme combinant cyber-ratings et EASM. Enfin, documenter et rapporter aux instances de gouvernance (Comex, superviseurs réglementaires).
Les questionnaires annuels présentent trois limites fondamentales. Premièrement, ils reposent sur l'auto-déclaration : un fournisseur peut déclarer des pratiques qu'il n'applique pas réellement, sans que l'organisation puisse le vérifier objectivement. Deuxièmement, ils créent une fenêtre aveugle entre deux cycles : l'attaque Salesloft/Drift (août 2025, 700+ organisations victimes) s'est produite précisément entre deux évaluations annuelles. Troisièmement, ils ne couvrent pas les nth parties (sous-traitants des sous-traitants) qui ne répondent à aucun questionnaire. Le NIST CSF 2.0 a codifié cette évolution avec la sous-catégorie GV.SC-09 qui appelle explicitement au monitoring continu des pratiques de sécurité de la chaîne d'approvisionnement.
Beareye combine les trois piliers du TPRM moderne en une plateforme souveraine française : scoring EASM externe continu de l'ensemble du portefeuille fournisseurs (sans leur coopération), questionnaires automatisés adaptés au niveau de risque de chaque fournisseur, et cartographie IA des dépendances de quatrième rang. La plateforme produit automatiquement les éléments de conformité NIS2 (article 21(2)(d)) et DORA (chapitres V), les rapports Comex et les éléments d'audit. Hébergée en France et hors CLOUD Act, Beareye est adaptée aux OIV, entités NIS2 essentielles et organisations du secteur financier soumises à DORA. Demandez une démonstration pour découvrir comment couvrir l'ensemble de votre portefeuille fournisseurs en moins de 30 jours.
Passez à l'action
Industrialisez votre gestion des risques fournisseurs avec Beareye
30 % des violations impliquent un tiers. NIS2 et DORA imposent des obligations formelles. Les évaluations annuelles ne suffisent plus. Découvrez comment Beareye vous permet de surveiller en continu l'ensemble de votre portefeuille fournisseurs, de démontrer votre conformité réglementaire et de réduire de 75 % votre risque tiers, en toute souveraineté française.
