PolicyForge
Tous les articles
5 min

Comment rédiger une politique de sécurité des fournisseurs

Une politique de sécurité des fournisseurs encadre l'évaluation et le suivi des tiers qui accèdent à vos données. Voici quoi inclure — due diligence, DPA, suivi — avec un modèle gratuit.

Pourquoi le risque tiers est désormais central

La plupart des compromissions passent aujourd'hui par un fournisseur. Une politique de sécurité des fournisseurs définit comment vous évaluez, contractualisez et surveillez les tiers qui traitent vos données ou opèrent vos systèmes critiques — et les régulateurs (NIS2, DORA) l'exigent de plus en plus.

Quoi inclure

  1. Périmètre — quels fournisseurs sont concernés, classés selon le risque qu'ils portent.
  2. Due diligence — questionnaires de sécurité, certifications (ISO 27001, SOC 2), revue avant intégration.
  3. Contrats — clauses de sécurité, accord de traitement (DPA, article 28 RGPD), obligations de notification de violation et droit d'audit.
  4. Classification du risque — examen renforcé pour les fournisseurs ayant accès à des données sensibles ou à des opérations critiques.
  5. Suivi continu — réévaluation périodique, pas un contrôle unique à la signature.
  6. Sortie — restitution ou suppression des données, et révocation des accès en fin de contrat.
  7. Registre — tenir un inventaire à jour des fournisseurs et de leur risque.

Erreurs fréquentes

  • Évaluer un fournisseur une seule fois à la signature, jamais ensuite.
  • Aucun DPA avec les sous-traitants, un manquement RGPD direct.
  • Aucun registre des fournisseurs, donc personne ne sait qui accède à quoi.

Alignement référentiels

Correspond à l'Annexe A 5.19–5.22 d'ISO 27001:2022 (relations avec les fournisseurs), aux critères SOC 2, et soutient les exigences de risque tiers de NIS2 et DORA.

Générez-la en quelques minutes

Voir un exemple de politique de sécurité des fournisseurs ou générez la vôtre gratuitement.