Retour au blog

TPRM : maîtriser les risques tiers au-delà de la conformité

Le TPRM comme processus de risque — pas d'achat : cycle de vie en 8 étapes, livrables utiles vs cosmétiques, gouvernance et angles morts.

·Lecture : 11 min·Pour Achats, risques, RSSI, conformité
Cycle de vie du risque tiers TPRM

Le TPRM (Third Party Risk Management) est un processus de gestion du risque, pas un processus d'achat.

Externaliser transfère l'exécution, pas la responsabilité. L'entreprise reste responsable des impacts, même lorsque le service est opéré par un tiers.

Dépendances et chaînes de prestataires

Pourquoi le TPRM ?

Risque Manifestation
Opérationnel Indisponibilité, dégradation de service
Cyber Incident, fuite, propagation
Réglementaire Non-conformité, défaut de contrôle des tiers
Dépendance / concentration Perte de marge de manœuvre
Systémique Effets en cascade via la sous-traitance

DORA n'introduit pas ces risques : il impose de les rendre visibles, traçables et gouvernables.

Cycle de vie en 8 étapes

1. Définition du besoin externalisé

Clarifier le service attendu, les activités concernées, ce que l'entreprise n'assurera plus. On définit le périmètre du risque, pas encore son évaluation.

2. Qualification initiale du risque

Type de service et données, dépendance opérationnelle, criticité métier. Cette étape fixe le niveau d'exigence pour tout le cycle.

3. Présélection des fournisseurs

Écarter les options risquées avant le détail. Intégrer le risque de concentration dès le départ — avant l'analyse sécurité fine.

4. Évaluation précontractuelle

Maturité sécurité/résilience, capacité de supervision et de coopération, qualité des preuves. Les échanges et la qualité des réponses comptent autant que les documents.

5. Décision de risque

Acceptation · acceptation sous conditions (mesurables) · refus. Toute condition non suivie devient une dette de risque.

6. Contractualisation

Transformer le risque en obligations opposables : sécurité, incidents, audit, accès à l'information. Le contrat est un outil de maîtrise, pas un cadre juridique décoratif. Voir clauses article 30.

7. Suivi dans le temps

Incidents, changements techniques/organisationnels, M&A. Le TPRM est vivant, pas une validation ponctuelle.

8. Sortie / réversibilité

Récupération des données, continuité, migration. La capacité à sortir est un indicateur clé de maîtrise. Voir plan de sortie DORA.

Messages clés

  • Le TPRM commence avant le contrat et se termine après la sortie
  • Le rang 2 concentre souvent plus de risques que le rang 1
  • La maturité d'un fournisseur ne neutralise pas un risque de concentration
  • Une acceptation de risque non suivie devient une dette
  • La réversibilité non préparée est un risque latent
  • Le TPRM est un levier de résilience, pas une simple conformité

Gouvernance

La gouvernance doit voir le risque résiduel, pas le détail opérationnel.

À faire remonter : tiers critiques · risques résiduels élevés · situations de concentration · incidents fournisseurs majeurs.

Livrables utiles vs cosmétiques

Utiles : évaluation argumentée · dossier de preuves maintenable · clauses testables · cartographie R1/R2 · plans de remédiation suivis.

Cosmétiques : questionnaires sans analyse · certifications non contextualisées · clauses génériques · registres sans criticité.

Points de contrôle critiques

  • Substituabilité réelle du service
  • Maîtrise effective des rangs 2+
  • Capacité de notification rapide en cas d'incident
  • Applicabilité concrète des clauses
  • Risque de concentration intra-SI et intra-écosystème
  • Alignement exigences / capacités opérationnelles
  • Traçabilité des décisions d'acceptation

Acteurs & angles morts

Fonction Angle Angle mort typique
Métier Service & délais Sous-estime l'impact d'indisponibilité
Achats Sourcing & coût Vision limitée de la criticité
RSSI Sécurité Peut sous-estimer les risques non techniques
Conformité / Risques Cadre Intervention trop tardive
Juridique Clauses Applicabilité rarement testée
Sous-traitants R2+ Souvent le principal facteur non maîtrisé

Le TPRM repose sur l'alignement des lectures du risque, pas sur l'empilement des contrôles.

Le rôle d'Axenia. Axenia consolide questionnaires, preuves, clauses, criticité et dépendances pour une vision unique du risque tiers — du précontractuel à la sortie.