Gestion des risques tiers (TPRM).

Discipline de bout en bout pour identifier, évaluer, contractualiser, surveiller puis sortir des tiers afin que les risques cyber, opérationnels et de conformité qu'ils introduisent restent dans l'appétence. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.

Discipline de bout en bout pour identifier, évaluer, contractualiser, surveiller puis sortir des tiers afin que les risques cyber, opérationnels et de conformité qu'ils introduisent restent dans l'appétence.

Le TPRM couvre toutes les relations où l'organisation dépend d'un tiers - fournisseurs, prestataires, plateformes cloud, partenaires fintech, fournisseurs de rang n - pour livrer des résultats métier. Un cycle type comprend la catégorisation par risque inhérent, la due diligence (questionnaires sécurité, SOC 2, ISO 27001, audits sur site), les protections contractuelles (droit d'audit, notification de violation, clauses de données), la surveillance continue (notations, threat intel, attestations), le traitement des incidents et l'offboarding. Les régulateurs de la finance (DORA, OCC, FFIEC), de la santé (HIPAA) et de la vie privée (RGPD) imposent des exigences de plus en plus prescriptives. Les programmes modernes intègrent le TPRM à l'ERM, aux achats, au juridique et aux opérations cyber, en surveillant la concentration et la chaîne d'approvisionnement.

Les défenses contre Gestion des risques tiers (TPRM) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : TPRM, Risque cyber tiers.