Gestion des tiers ICT
TPRM : maîtriser les risques tiers au-delà de la conformité
Le TPRM comme processus de risque — pas d'achat : cycle de vie en 8 étapes, livrables utiles vs cosmétiques, gouvernance et angles morts.

Le TPRM (Third Party Risk Management) est un processus de gestion du risque, pas un processus d'achat.
Externaliser transfère l'exécution, pas la responsabilité. L'entreprise reste responsable des impacts, même lorsque le service est opéré par un tiers.

Pourquoi le TPRM ?
| Risque | Manifestation |
|---|---|
| Opérationnel | Indisponibilité, dégradation de service |
| Cyber | Incident, fuite, propagation |
| Réglementaire | Non-conformité, défaut de contrôle des tiers |
| Dépendance / concentration | Perte de marge de manœuvre |
| Systémique | Effets en cascade via la sous-traitance |
DORA n'introduit pas ces risques : il impose de les rendre visibles, traçables et gouvernables.
Cycle de vie en 8 étapes
1. Définition du besoin externalisé
Clarifier le service attendu, les activités concernées, ce que l'entreprise n'assurera plus. On définit le périmètre du risque, pas encore son évaluation.
2. Qualification initiale du risque
Type de service et données, dépendance opérationnelle, criticité métier. Cette étape fixe le niveau d'exigence pour tout le cycle.
3. Présélection des fournisseurs
Écarter les options risquées avant le détail. Intégrer le risque de concentration dès le départ — avant l'analyse sécurité fine.
4. Évaluation précontractuelle
Maturité sécurité/résilience, capacité de supervision et de coopération, qualité des preuves. Les échanges et la qualité des réponses comptent autant que les documents.
5. Décision de risque
Acceptation · acceptation sous conditions (mesurables) · refus. Toute condition non suivie devient une dette de risque.
6. Contractualisation
Transformer le risque en obligations opposables : sécurité, incidents, audit, accès à l'information. Le contrat est un outil de maîtrise, pas un cadre juridique décoratif. Voir clauses article 30.
7. Suivi dans le temps
Incidents, changements techniques/organisationnels, M&A. Le TPRM est vivant, pas une validation ponctuelle.
8. Sortie / réversibilité
Récupération des données, continuité, migration. La capacité à sortir est un indicateur clé de maîtrise. Voir plan de sortie DORA.
Messages clés
- Le TPRM commence avant le contrat et se termine après la sortie
- Le rang 2 concentre souvent plus de risques que le rang 1
- La maturité d'un fournisseur ne neutralise pas un risque de concentration
- Une acceptation de risque non suivie devient une dette
- La réversibilité non préparée est un risque latent
- Le TPRM est un levier de résilience, pas une simple conformité
Gouvernance
La gouvernance doit voir le risque résiduel, pas le détail opérationnel.
À faire remonter : tiers critiques · risques résiduels élevés · situations de concentration · incidents fournisseurs majeurs.
Livrables utiles vs cosmétiques
Utiles : évaluation argumentée · dossier de preuves maintenable · clauses testables · cartographie R1/R2 · plans de remédiation suivis.
Cosmétiques : questionnaires sans analyse · certifications non contextualisées · clauses génériques · registres sans criticité.
Points de contrôle critiques
- Substituabilité réelle du service
- Maîtrise effective des rangs 2+
- Capacité de notification rapide en cas d'incident
- Applicabilité concrète des clauses
- Risque de concentration intra-SI et intra-écosystème
- Alignement exigences / capacités opérationnelles
- Traçabilité des décisions d'acceptation
Acteurs & angles morts
| Fonction | Angle | Angle mort typique |
|---|---|---|
| Métier | Service & délais | Sous-estime l'impact d'indisponibilité |
| Achats | Sourcing & coût | Vision limitée de la criticité |
| RSSI | Sécurité | Peut sous-estimer les risques non techniques |
| Conformité / Risques | Cadre | Intervention trop tardive |
| Juridique | Clauses | Applicabilité rarement testée |
| Sous-traitants R2+ | — | Souvent le principal facteur non maîtrisé |
Le TPRM repose sur l'alignement des lectures du risque, pas sur l'empilement des contrôles.
Le rôle d'Axenia. Axenia consolide questionnaires, preuves, clauses, criticité et dépendances pour une vision unique du risque tiers — du précontractuel à la sortie.
