Gestion des risques fournisseurs
Qu'est-ce que Gestion des risques fournisseurs ?
Gestion des risques fournisseursSous-ensemble du TPRM axé sur l'évaluation et la supervision des fournisseurs directs, en particulier leurs pratiques de sécurité, vie privée et résilience opérationnelle.
La gestion des risques fournisseurs (VRM) est le cœur opérationnel du TPRM appliqué aux fournisseurs avec lesquels l'organisation contracte directement. Elle combine généralement inventaire des fournisseurs, classification du risque inhérent (sensibilité des données, criticité, périmètre d'accès), évaluations précontractuelles, obligations contractuelles, réévaluations périodiques et gestion d'incidents. Les outils incluent questionnaires (SIG, CAIQ), revues SOC 2 / ISO 27001, notations de sécurité et audits sur site ou à distance. La VRM contribue à la résilience en réduisant le risque de concentration, en garantissant des clauses de notification de violation et en vérifiant que le fournisseur respecte les obligations de confidentialité, financières et réglementaires. Le TPRM est plus large (n-tiers, partenaires, entités groupe), mais la VRM concentre l'essentiel de l'activité côté achats.
● Exemples
- 01
Questionnaire SIG Lite annuel et revue SOC 2 pour les SaaS de niveau 1.
- 02
Revue trimestrielle avec le fournisseur cloud couvrant KPI sécurité et incidents.
● Questions fréquentes
Qu'est-ce que Gestion des risques fournisseurs ?
Sous-ensemble du TPRM axé sur l'évaluation et la supervision des fournisseurs directs, en particulier leurs pratiques de sécurité, vie privée et résilience opérationnelle. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Gestion des risques fournisseurs ?
Sous-ensemble du TPRM axé sur l'évaluation et la supervision des fournisseurs directs, en particulier leurs pratiques de sécurité, vie privée et résilience opérationnelle.
Comment fonctionne Gestion des risques fournisseurs ?
La gestion des risques fournisseurs (VRM) est le cœur opérationnel du TPRM appliqué aux fournisseurs avec lesquels l'organisation contracte directement. Elle combine généralement inventaire des fournisseurs, classification du risque inhérent (sensibilité des données, criticité, périmètre d'accès), évaluations précontractuelles, obligations contractuelles, réévaluations périodiques et gestion d'incidents. Les outils incluent questionnaires (SIG, CAIQ), revues SOC 2 / ISO 27001, notations de sécurité et audits sur site ou à distance. La VRM contribue à la résilience en réduisant le risque de concentration, en garantissant des clauses de notification de violation et en vérifiant que le fournisseur respecte les obligations de confidentialité, financières et réglementaires. Le TPRM est plus large (n-tiers, partenaires, entités groupe), mais la VRM concentre l'essentiel de l'activité côté achats.
Comment se défendre contre Gestion des risques fournisseurs ?
Les défenses contre Gestion des risques fournisseurs combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Gestion des risques fournisseurs ?
Noms alternatifs courants : VRM, Gestion des fournisseurs.
● Termes liés
- compliance№ 1144
Gestion des risques tiers (TPRM)
Discipline de bout en bout pour identifier, évaluer, contractualiser, surveiller puis sortir des tiers afin que les risques cyber, opérationnels et de conformité qu'ils introduisent restent dans l'appétence.
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 383
Gestion des risques d'entreprise (ERM)
Approche intégrée et transversale d'identification, de gouvernance et de traitement des risques stratégiques, financiers, opérationnels, de conformité et cyber, alignée sur les objectifs métier.
- compliance№ 1063
SOC 2
Norme d'attestation de l'AICPA dans laquelle un auditeur indépendant évalue les contrôles d'une organisation de services au regard des Trust Services Criteria.
- compliance№ 557
ISO/IEC 27001
Norme internationale qui spécifie les exigences d'un Système de Management de la Sécurité de l'Information (SMSI) et permet une certification formelle des organisations.