La gestion du risque de tiers s’affirme comme un enjeu majeur de maîtrise des dépendances externes, et les exigences réglementaires telles que DORA en ont fait une priorité opérationnelle.
L’enjeu ne se limite pas à l’évaluation initiale du prestataire. Il consiste à identifier et piloter, dans la durée, les tiers qui concentrent une exposition significative (fournisseurs, partenaires, prestataires cloud) ainsi que les dépendances opérationnelles, techniques et organisationnelles qu’ils induisent.
Dans de nombreuses organisations, le risque ne vient pas nécessairement du fournisseur lui-même, mais de ce qu’il concentre :
- L’accès à des données sensibles
- L’intervention sur une fonction critique
- L’hébergement d’un composant essentiel
- Le recours à des sous-traitants
- Des dépendances techniques difficilement réversibles
La chaîne de sous-traitance est centrale : elle complexifie la lecture de l’exposition réelle aux risques. Plus la prestation est imbriquée dans les processus métier ou IT, plus la cartographie des dépendances doit être fine.
Dans la pratique, plusieurs angles morts subsistent : vision incomplète des sous-traitants de rang 2 et 3, clauses contractuelles peu exploitables, gouvernance encore fragmentée entre achats, métiers, conformité, sécurité et risques.
Trois conditions permettent de réduire ces angles morts :
- Une segmentation claire des tiers selon leur criticité réelle
- Des mécanismes de surveillance continus pour détecter les signaux faibles
- Une gouvernance unifiée, articulant résilience opérationnelle, cybersécurité et continuité d’activité
La maturité d’un dispositif de maîtrise des tiers se mesure à sa capacité à passer d’une logique de contrôle formel à une logique de pilotage effectif des dépendances.