Décrivez-moi comment vous évaluez et gérez le risque lié aux tiers (fournisseurs).
Réponse courte
Traitez le risque fournisseur comme un cycle de vie, pas comme un questionnaire ponctuel. Inventoriez vos tiers et classez-les par criticité et sensibilité des données. Menez une due diligence proportionnelle au niveau — examinez les rapports SOC 2 / ISO 27001, les questionnaires de sécurité, les synthèses de pentest, ainsi que les données et accès concernés. Inscrivez les contrôles dans le contrat (exigences de sécurité, droit d'audit, notification de violation, traitement des données, sous-traitants). Surveillez ensuite en continu, pas seulement à l'onboarding, et prévoyez un processus d'offboarding propre pour révoquer les accès et récupérer ou détruire les données. Le risque de quatrième partie (sous-traitant) compte aussi.
La plupart des violations ont désormais une dimension chaîne d'approvisionnement, si bien que la gestion des risques fournisseurs est une compétence GRC fondamentale. Les recruteurs posent cette question pour voir si vous la traitez comme un programme vivant ou comme une corvée administrative annuelle.
Classer par criticité
Vous ne pouvez pas évaluer chaque fournisseur avec la même profondeur. Commencez par un inventaire, puis classez les fournisseurs selon ce à quoi ils touchent : la sensibilité des données, les accès qu'ils détiennent et leur criticité pour les opérations. Un prestataire de paie qui manipule des données personnelles ne présente pas le même risque qu'un abonnement à une banque d'images.
Due diligence proportionnelle
Adaptez la rigueur au niveau. Pour les fournisseurs de haut niveau, examinez les assurances indépendantes — certificats SOC 2 Type II ou ISO 27001, synthèses de tests d'intrusion, questionnaires de sécurité (SIG/CAIQ) et leur historique de violations. Regardez le flux de données réel et l'intégration, pas seulement la brochure.
Contractualiser la sécurité
Le contrat est l'endroit où le risque s'impose. Exigez des exigences de sécurité, des délais de notification de violation, le traitement et la résidence des données, un droit d'audit, et de la visibilité sur les sous-traitants (quatrièmes parties).
Surveiller en continu
Le risque ne se fige pas à l'onboarding. Recourez à une surveillance continue — notations de sécurité, alertes de violation, expiration de certificats, réévaluation périodique — afin de repérer toute dégradation entre les revues annuelles.
Offboarder proprement
Lorsque la relation prend fin, révoquez les accès, récupérez ou confirmez la destruction des données, et clôturez les intégrations. Un accès fournisseur résiduel est un chemin d'attaque oublié classique.
Pourquoi c'est important
Une réponse solide présente le risque fournisseur comme un cycle de vie complet et mentionne le risque de quatrième partie. Cela montre que vous comprenez que signer un PDF SOC 2 une fois ne constitue pas un programme.
Questions de suivi probables
- Comment gérez-vous le risque de quatrième partie (sous-traitant) dans la chaîne d'approvisionnement d'un fournisseur ?
- Quelles clauses contractuelles exigez-vous pour un fournisseur qui traite des données sensibles ?
- Comment maintenez-vous une surveillance pertinente entre les réévaluations annuelles ?