Évaluation de sécurité des fournisseurs
Qu'est-ce que Évaluation de sécurité des fournisseurs ?
Évaluation de sécurité des fournisseursÉvaluation structurée des contrôles, politiques et pratiques de sécurité d'un fournisseur tiers, avant et pendant la relation commerciale, afin de mesurer le risque qu'il introduit.
L'évaluation de sécurité des fournisseurs est le processus consistant à examiner la posture de sécurité de l'information d'un fournisseur pour décider si son engagement est acceptable et fixer les modalités de surveillance. Elle débute généralement par un tri du risque inhérent (sensibilité des données, accès aux systèmes, criticité métier) qui détermine la profondeur de l'évaluation, puis recueille des preuves au moyen de questionnaires de sécurité (SIG, CAIQ), de rapports d'audit (SOC 2 Type II, certificats ISO/IEC 27001), de synthèses de tests d'intrusion, de notations de sécurité et, parfois, d'une validation technique ou sur site. Les constats sont notés, les écarts suivis jusqu'à leur remédiation, et les résultats alimentent les clauses contractuelles, l'acceptation du risque ou le rejet. Les évaluations sont répétées périodiquement et après des changements majeurs, formant le moteur de collecte de preuves des programmes plus larges de gestion des risques fournisseurs et tiers.
● Exemples
- 01
Une banque envoie un questionnaire SIG et exige un rapport SOC 2 Type II en cours de validité avant d'intégrer un nouveau prestataire de paiement.
- 02
Un acheteur de SaaS commande une synthèse de test d'intrusion et réexamine chaque année la notation de sécurité du fournisseur lors du renouvellement du contrat.
● Questions fréquentes
Qu'est-ce que Évaluation de sécurité des fournisseurs ?
Évaluation structurée des contrôles, politiques et pratiques de sécurité d'un fournisseur tiers, avant et pendant la relation commerciale, afin de mesurer le risque qu'il introduit. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Évaluation de sécurité des fournisseurs ?
Évaluation structurée des contrôles, politiques et pratiques de sécurité d'un fournisseur tiers, avant et pendant la relation commerciale, afin de mesurer le risque qu'il introduit.
Comment se défendre contre Évaluation de sécurité des fournisseurs ?
Les défenses contre Évaluation de sécurité des fournisseurs combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Évaluation de sécurité des fournisseurs ?
Noms alternatifs courants : Évaluation de sécurité des tiers, Revue de sécurité des fournisseurs.