Gestion des risques fournisseurs pour PME : une approche pragmatique

Chaque abonnement SaaS représente une part de risque que vous externalisez. Comment identifier lesquels, parmi vos 30 fournisseurs, méritent une attention particulière ?

Le risque fournisseur (ou risque tiers) désigne le risque qu'un fournisseur vous cause des problèmes : fuite de données, interruption de service, non-conformité. Dans une PME, il est impossible de traiter les 30 fournisseurs avec le même niveau d'attention.

Classification par niveau

• Niveau 1 — critique : traite des données personnelles ou est essentiel à l'activité. M365, comptabilité, CRM, hébergement.
• Niveau 2 — important : soutient des processus clés et accède aux données de l'entreprise. Slack, outils de design, paie.
• Niveau 3 — faible risque : outils autonomes sans données clients ni rôle essentiel. LinkedIn Premium, outil de montage vidéo.

Exigences par niveau

• Niveau 1 : rapport ISO 27001 ou SOC 2 (révision annuelle), DPA, SLA de disponibilité, accord de notification d'incident.
• Niveau 2 : DPA, attestation de sécurité de base.
• Niveau 3 : vérification de la politique de confidentialité uniquement.

Revue annuelle des fournisseurs

1. Mettez à jour la liste des fournisseurs depuis votre inventaire SaaS.
2. Revoyez les fournisseurs de niveau 1 : certification toujours active ? Nouveaux sous-traitants ? Historique d'incidents ?
3. Contrôle ponctuel du niveau 2 : le DPA est-il encore à jour ?
4. Rapport à la direction.

Lors de l'entrée d'un nouveau fournisseur

• Déterminer le niveau avant la signature du contrat.
• Fournisseurs de niveau 1 : due diligence préalable (page de confiance, questionnaire sécurité, références).
• Niveaux 2-3 : DPA standard + vérification de la politique de confidentialité.

Voir aussi : Inventaire SaaS, DPA.