What is third-party risk management?

Third-party risk management (TPRM) is the process of identifying, assessing, and monitoring risks introduced by vendors, suppliers, and partners who have access to your systems, data, or critical operations. Regulations such as DORA and NIS2 require formal, evidence-backed TPRM programmes for regulated entities in the EU.

Does DORA apply to my organisation?

DORA applies to all EU-regulated financial entities: banks, investment firms, insurers, payment institutions, and e-money institutions, plus ICT third-party service providers designated as critical by ESAs. Swiss firms with EU subsidiaries or branches are also in scope. Enforcement began January 2025.

How much does TPRM software cost?

Mid-market TPRM tools in Europe typically cost €25k–€80k per year before professional services. Enterprise GRC suites can exceed €250k. Acuna GRC (which includes the Supplier Shield TPRM module) starts from CHF 5,388/year with no per-user fees. See our GRC pricing benchmark for a full comparison.

What is the difference between TPRM and GRC?

TPRM (Third-Party Risk Management) focuses specifically on risks from external vendors and suppliers. GRC (Governance, Risk and Compliance) is a broader framework covering internal governance, enterprise risk, and regulatory compliance across the whole organisation. Supplier Shield is the TPRM module inside Acuna GRC, the full GRC platform.

Is Supplier Shield part of Acuna GRC?

Yes. Supplier Shield is the TPRM module of Acuna GRC, the AI-native GRC platform built by Acuna SA in Morges, Switzerland. The Supplier Shield brand remains the editorial and advisory identity; Acuna GRC is the product delivery platform. Existing Supplier Shield customers migrate to Acuna at no additional cost.

What's changing with the move to Acuna GRC?

Supplier Shield remains the editorial brand while the platform is now Acuna GRC.

Is Supplier Shield free to read?

Yes. The newsroom and most research are free.

TPRM · GRC · AI

Nous avons étudié tous les outils TPRM
et construit quelque chose de mieux.

Même équipe, mission affinée. Nous devenons Acuna GRC — regardez notre présentation de 45 secondes sur ce qui change, ce qui reste, et ce que cela signifie pour votre programme TPRM et vos priorités GRC.

Découvrir Acuna Nous contacter

Supplier Shield

A cloud platform for third-party risk

Visibility·Monitoring·Control

3rd-party · 64th-party · 4

Like a mind map for your vendors

See every vendor.
Map every dependency.
In one view.

Continuous monitoringRisk scoring4th-party visibility

A note from our team

For years we've solved
third-party risk.

Quietly, we've been building
something bigger.

Now available in every Supplier Shield account

Introducing

Acuna.

The AI-native GRC platform.

Supplier Shield

Acuna

Supplier Shield is now a module of Acuna.

Acuna · 8 modules

One login · One data layer

TPRM01

Supplier Shield

OSINT · A-F grades · live monitoring

● THIS IS US

Privacy02

Data Protection

GDPR · DPIA · ROPA · nDSG

Risk03

Enterprise Risk

Heatmaps · taxonomies · KRIs

Resilience04

Business Continuity

BIA · DRP · tabletop

Audit05

Internal Audit

Workpapers · evidence · findings

AI06

Aiko Agents

Ask · order · brainstorm

Trust07

Trust Center · RBAC

Public attestations · roles

Scanner08

Breach Scanner

D&B credit · darknet exposure

Supplier Shield · A module of Acuna

One operating system
for risk, privacy & compliance.

50+

Frameworks

Swiss

Engineered

100%

Practitioner-built

∞

Customization

acunagrc.ai→

00:00

00:45

Ils font confiance à Supplier ShieldVous êtes entre de bonnes mains dès le premier jour.

Vous êtes venu pour le TPRM. Voici le tableau complet.

La plateforme résout le problème. Les conseillers accélèrent. La formation pérennise.

Plateforme · Acuna GRCDès CHF 5’388 / an

Supplier Shield : TPRM d’abord. GRC complet quand vous en avez besoin.

Commencez par les risques fournisseurs. Ajoutez conformité, audit et rapports assistés par IA au fil de votre croissance ; tout sur une seule plateforme, hébergée en Suisse.

–Fini les formulaires de 200 questionsQuestionnaires adaptatifs ; les fournisseurs répondent une seule fois, les référentiels réutilisent les réponses
–Identifiez vos fournisseurs critiquesSegmentation par criticité, accès aux données et périmètre réglementaire
–Prêt pour l’audit à tout momentBibliothèque de preuves, suivi des constats et exports audit-ready ; tout au même endroit
–50+ référentiels supportésDORA, NIS2, ISO 27001, FINMA, RGPD et plus ; cartographiez une fois, réutilisez sur toutes les évaluations

Modules Acuna GRC :Supplier Shield TPRMConformité & AuditGestion des risquesProtection des donnéesContinuité d’activitéAudit interne

Découvrir Acuna GRC Dès CHF 5’388 / an · voir tous les plans

Conseil

Services de conseil

Praticiens seniors. Tarif fixe ou abonnement. Sans commercial.

–Conception et audit de programme TPRM
–Évaluations de maturité DORA, NIS2, ISO 27001
–Accompagnement due diligence et questionnaires fournisseurs
–Missions CISO / DPO intérimaires

Parler à un conseiller

Formation

Abilene Academy

Seul partenaire PECB Titanium en Suisse. 99 % de taux de réussite aux examens.

2 500+ professionnels formés · 120+ pays · abileneacademy.ch

Voir les formations

§ 01 · Produit

Nous avons aussi construit la plateforme.

Produit associé · Acuna GRCVisiter acunagrc.ai

Lire sur le TPRM est une chose. Le piloter en est une autre. Acuna GRC est la plateforme que nos praticiens utilisent : intégration fournisseurs, surveillance continue, collecte de preuves et rapports prêts pour l’audit, en un seul endroit.

248K

Fournisseurs surveillés

14M+

Signaux de risque/jour

Référentiels cartographiés

94 %

Taux de réussite aux audits

Essayer Acuna GRC Réserver une démo

app.acunagrc.ai/dashboard

Workspace

Dashboard

Vendors

Assessments

Evidence

Frameworks

Reports

Vendor risk overviewLive

Total

2,481

Critical

Pending

128

Stripe Inc.● Critical

Datadog● Healthy

Snowflake● Watch

OpenAI● Watch

§ 02 · Fil des incidents

Le fil des incidents.

Mis à jour le 5 mai 2026 · Prochain refresh ~19 mai 2026

$4.88M

Coût moyen mondial d’une violation de données (2024)

Source: IBM

$16.6B

Pertes liées à la cybercriminalité déclarées (2024)

Source: FBI IC3

859,532

Plaintes pour cybercriminalité déposées (2024)

Source: FBI IC3

Secteurs représentés dans ce cycle

Source: Supplier Shield Threat Intel

Incidents vérifiés dans ce cycle

Source: Supplier Shield Threat Intel

Tri : Plus récent ↓7 of 7

Divulgué / Niv.FournisseurSecteurPaysDivulgation

2026-04-28CRIT

Checkmarx (via Trivy)

96 Go de données de dépôt interne

Sécurité applicative / DevSec

US / IL

Confirmé. Compromission initiale via une attaque supply-chain sur Trivy le 23 mars 2026 par TeamPCP ; les identifiants ont permis d'accéder au GitHub de Checkmarx. LAPSUS$ a publié une archive d'extorsion de 96 Go le 25 avril ; Checkmarx a confirmé l'origine le 28 avril. Les données clients ne seraient pas stockées dans le dépôt affecté. Schéma : outil open source → éditeur de sécurité → rayon d'impact aval.

SOURCE : Checkmarx security advisorySTATUT : En cours d'investigation

2026-04-24CRIT

Medtronic

9M (revendiqués par ShinyHunters ; non confirmés par la société)

Dispositifs médicaux

Accès non autorisé confirmé aux systèmes informatiques de l'entreprise. La société indique que les réseaux liés aux dispositifs médicaux, à la fabrication, à la distribution et aux clients hospitaliers sont cloisonnés et non affectés. La revendication de ~9M de dossiers par ShinyHunters n'a pas été confirmée par Medtronic.

SOURCE : Medtronic disclosure / The RegisterSTATUT : En cours d'investigation

2026-04-20HIGH

ADT

Limité (société) ; 10M+ revendiqués par l'acteur malveillant

Sécurité grand public / IoT

Divulgué via le formulaire SEC 8-K. Accès non autorisé à certains environnements cloud ; ADT confirme uniquement un accès limité aux données de clients et prospects. ShinyHunters revendique 10M+ enregistrements et menace une fuite publique, revendication non confirmée par ADT. Les systèmes de paiement et l'infrastructure de surveillance sécurisée sont signalés comme non affectés.

SOURCE : SEC 8-K / ADT filingSTATUT : En cours d'investigation

2026-04-19HIGH

Vercel (via Context.ai)

Variables d'environnement internes (périmètre limité)

IA / Infrastructure cloud

Compromission de l'outil IA tiers Context.ai via OAuth Google Workspace (autorisation « Allow All » accordée par un employé Vercel). L'attaquant a accédé à des variables d'environnement non sensibles dans certains environnements Vercel. Aucun accès aux valeurs chiffrées au repos n'a été constaté. Plusieurs autres clients de Context.ai sont également concernés.

SOURCE : Vercel security incident pageSTATUT : Corrigé

2026-04-22HIGH

Rituals

DCP clients/membres (périmètre à confirmer)

Commerce de détail / Grande consommation

Exposition de données clients : nom complet, e-mail, téléphone, date de naissance, genre, adresse postale. Notifié à l'Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) en vertu de l'art. 33 du RGPD. Mesures de confinement mises en œuvre.

SOURCE : Bitdefender / vendor disclosureSTATUT : Contenu

2026-04-28HIGH

Vimeo (via Anodot)

Données utilisateurs et clients, volume exact non divulgué

SaaS vidéo

Exposition indirecte via le fournisseur d'analytique tiers Anodot compromis. Les types de données exposées comprennent des métadonnées de compte, des titres de vidéos et, dans certains cas, des adresses e-mail. L'intégration Anodot a été supprimée, les identifiants désactivés et les autorités judiciaires notifiées. Schéma classique d'exposition télémetrique via un fournisseur de 4e rang.

SOURCE : SecurityWeek / Vimeo disclosureSTATUT : En cours d'investigation

2026-04-15MED

Autovista Group

Perturbation opérationnelle (UE + AU)

Données automobiles / Analytique

Ransomware identifié le 11 avril, divulgué le 15 avril. Perturbation des gammes de produits Eurotax, Glass's, Schwacke et Rodboka en Europe et en Australie. Experts légistes externes mobilisés. Au 4 mai, la restauration progresse de façon continue. Aucun acteur malveillant n'a revendiqué la responsabilité.

SOURCE : Autovista service updateSTATUT : En cours de restauration

Source · Supplier Shield Threat Intel · 14 CSIRT partenaires · Dernier refresh 5 mai 2026

§ 03 · Bureau de recherche · T2 2026

État du
risque fournisseur
Rapport annuel 2026.

Nous construisons le benchmark annuel. Rejoignez la liste préliminaire et soyez le premier à recevoir le rapport dès sa publication.

Livraison prévue : fin d’année
Référence pratique pour les responsables de risques fournisseurs
Accès prioritaire par e-mail pour les premiers abonnés

Pas de spam, uniquement les alertes de publication.

SUPPLIER SHIELD · YEAR-ENDIN PRODUCTION

State of
Vendor
Risk

RELEASE WINDOW
END OF YEAR
EARLY ACCESS

Statut du rapport

En cours

Les recherches primaires sont en cours de compilation. Les abonnés reçoivent un accès prioritaire à la publication.

Ce que vous recevez

01Alerte de publication en premier
02Résumé exécutif par e-mail
03Aucun e-mail hors sujet
04À tout moment

Liste ouverte

§ 04 · Registre des pertes

Ce que coûtent les défaillances TPRM.

Dernier refresh : 5 mai 2026 · Prochain : 19 mai 2026Méthodologie complète →

Pertes tiers vérifiées 2026 YTD · en cours

$799M

1 divulgation vérifiée · UnitedHealth Group / Change Healthcare

Violations vérifiées · 2025

136

719 victimes identifiées + ~26 000 sociétés en aval

Ratio en cascade · 2025

5.28×

Victimes en aval par violation · record historique

Fenêtre silencieuse · délai de divulgation

117 days

Délai moyen fournisseur-client

Classé par coût divulgué

01Santé

$799M

Cas ancre : UnitedHealth / Change Healthcare

02Secteur public

$32.2M

Cas ancre : Maximus / MOVEit

03Tech / SaaS

$22.6M

Cas ancres : Capita, Advanced Computer Software, Mobius/Optimove

Seules les lignes avec coûts vérifiés par source primaire.

Pertes tiers vérifiées · 2025 + 2026 YTDSources primaires uniquement

N°VictimeFournisseur / CauseSecteurPaysCoût divulgué

1UnitedHealth GroupChange Healthcare (ransomware ALPHV/BlackCat)SantéUS$799M

2Maximus, Inc.Progress Software (zero-day MOVEit)Secteur publicUS$32.2M

3Capita plc + CPSLDéfaillance d'infrastructure Capita (processeur)Tech / SaaSUK£14M ≈ $17.6M

4Advanced Computer Software GroupAdvanced Health and Care (absence de MFA)Tech / SaaSUK£3.08M ≈ $3.9M

5Mobius Solutions Ltd (Optimove)Env. de staging non autorisé Mobius (données Deezer)Tech / SaaSFR€1M ≈ $1.05M

Conversion au taux en vigueur à la date de divulgation. Le montant en devise d'origine est la valeur de référence du régulateur ou déclarant.

Méthodologie : Coûts divulgués uniquement ; règlements, amendes réglementaires, dépenses de remédiation (SEC 8-K, avis RGPD/FCA, dossiers judiciaires et HHS OCR). Mis à jour mensuellement. Jamais issu des données membres ou clients.

Sources & registre complet →

Méthodologie complète

Nombre d'incidents vérifiés (Secteur / Pays) : Issu du Black Kite 2026 Third-Party Breach Report (3 mars 2026), couvrant du 1er janvier au 31 décembre 2025. Le rapport analyse 136 événements de violation vérifiés, 719 victimes nommées, environ 26 000 sociétés en aval non identifiées et 433 millions de personnes touchées.

Coûts divulgués (tableau des incidents principaux) : Issus exclusivement de documents primaires : dépôts SEC sur EDGAR, avis de sanction de régulateurs (ICO, CNIL), résultats trimestriels et dossiers judiciaires. Aucune déclaration d'acteur malveillant, estimation journalistique ou total issu d'agrégateurs n'est utilisé.

Critères d'inclusion : Une perte est retenue si (1) l'impact financier est divulgué publiquement dans une source primaire, (2) la cause racine est causalement liée à un tiers, et (3) la divulgation est intervenue entre le 1er janvier 2025 et aujourd'hui.

Devise : Les équivalents USD utilisent les taux en vigueur à la date de divulgation. Le montant en devise d'origine est la valeur de référence du déclarant ou régulateur.

Mis à jour mensuellement. Jamais issu des données membres ou clients.

§ 05 · Vidéos et podcasts

Sushi Talks, épisodes phares.

Voir le dernier

En coursAudio

Épisode à la une · Spotify

The hidden risks of AI: What businesses can learn from AI cheating in chess

Regardez ou écoutez sur la plateforme d’origine.

SpotifyAudio

EP. 01

The hidden risks of AI: What businesses can learn from AI cheating in chess

SpotifyAudio

EP. 02

Third Party Risk Management: Interview with Monika Atanasova on Industry Evolution & AI Impact

YouTube26:13

EP. 03

How Hackers Hijack Networks: What Businesses and Home Users Must Know

SpotifyAudio

EP. 04

Understanding Third-Party Risk Management: Essential Insights for Businesses of All Sizes

YouTube14:59

EP. 05

Why business continuity is now a legal obligation and what most leaders still don’t understand

YouTube9:13

YouTubeSpotifyTPRMBusiness ContinuityNIS2Bibliothèque complète Plus d’épisodes sur Spotify

§ 06 · Réseau

Des experts à votre service.

240+ contributeurs · 38 pays

Alexis Hirschhorn

CEO d'Acuna · Acuna

Consultant en cybersécurité et gouvernance avec plus de 20 ans d'expérience auprès de multinationales, gouvernements et organisations internationales.

Cyber et sécurité de l'informationSécurité cloudConseil en risques et gouvernanceLead Auditeur certifié

LeadershipSuisse

Henri Haenni

CEO d'Abilene Group · Abilene Group

Expert en continuité d'activité et sécurité de l'information, formateur international certifié et chargé de cours à l'Université Paris 1 Panthéon-Sorbonne.

Continuité d'activitéGestion des risquesGouvernance de la sécurité de l'informationChargé de cours à la Sorbonne

LeadershipSuisse

Laura Menetrey

Experte juridique et conformité · Abilene Advisors

Conseillère juridique stratégique en protection des données et droit de la vie privée, accompagnant les organisations dans le RGPD, NIS2, DORA et la nLPD suisse.

Droit de la protection des donnéesRGPD, NIS2, DORA, nLPDConseil en vie privée et conformité réglementaireCartographie des données et conformité

JuridiqueSuisse

Jean Munyarugerero

Expert en audit · Abilene Advisors

Formateur et auditeur SI et continuité d'activité avec une expérience couvrant la finance, le cloud, le secteur public et les ONG.

Formateur SI et continuité d'activitéAuditeur de systèmes de managementFinance, cloud, secteur public, ONG

AuditSuisse

Jean-Emmanuel Rodriguez

Expert en gouvernance cybersécurité · Abilene Advisors

Accompagne ses clients dans la gestion des risques fournisseurs, l'intégration de technologies de conformité et l'analyse d'écarts, du développement des politiques jusqu'à la mise en production.

Gouvernance de l'IAGouvernance de la sécurité de l'informationAnalyse d'écarts et mise en œuvre de référentiels

GRCSuisse

Bénédicte Sévin

Responsable de l'équipe conseil GRC · Abilene Advisors

Pilote des projets de bout en bout dans les implémentations, audits et programmes de conformité pour des organisations mondiales.

Direction de projets GRCLead Implementer ISO 27001Plus de 15 ans d'expérience internationaleCertifiée I.S.I.T. Paris

LivraisonSuisse

Programme contributeurs

Praticien du risque avec une histoire à raconter ? Partagez votre expertise avec notre communauté.

Nous accueillons les contributions bénévoles avec attribution d’auteur et crédit profil/lien.

Proposer un article

§ 07 · Formation

Abilene Academy.

Voir le catalogue

La lecture est gratuite. La formation est structurée. Abilene Academy est notre école pour praticiens, avec des cours accrédités dispenés par des CISO, responsables GRC et experts en continuité en activité.

All categoriesBusiness Continuity and Crisis ManagementCybersecurityMicrosoft TrainingGovernance, Risk and ComplianceQuality, Health, Safety and EnvironmentInformation Security

Explorer les formations Pour les équipes

ISO 27001 Lead Implementer

Information Security

4 daysPhysical classroom · Online classroom · Self-studyEN · FR · ES · DE · PT 02

ISO 22301 Lead Implementer

Business Continuity and Crisis Management

4 daysPhysical classroom · Online classroom · Self-studyEN · FR · ES · DE · PT 03

ISO 31000 Risk Manager Certification

Governance, Risk and Compliance

3 daysPhysical classroom · Online classroom · Self-studyEN · FR · ES

§ 08 · Bibliothèque

Gratuit pour les praticiens.

Toutes les ressources

Le plus populaireCompliance

Transferts de données transfrontaliers entre la Suisse et la France : guide de conformité

Les données personnelles circulent librement entre la Suisse et la France dans les deux sens, sans CCT requises. Découvrez quand les CCT et les analyses d'impact s'imposent, comment l'art. 9 nLPD se compare à l'art. 28 RGPD, et quelles obligations sectorielles financières s'appliquent.

Jun 1, 2026Lire

Threat Intelligence

La fuite de données des employés d'Amazon révèle les dangers cachés de la chaîne d'approvisionnement numérique

Apr 29

AI & Risk

Navigateurs : le nouveau champ de bataille de l'IA et le plus grand test de sécurité de 2025

Apr 29

AI & Risk

Supprimer les lois sur la propriété intellectuelle pourrait-il booster l'IA ou exposer votre entreprise ?

Apr 29

TPRM

Gestion des risques cyber de la chaîne d'approvisionnement : combler les lacunes de visibilité pour bâtir une résilience à grande échelle

Apr 29

§ 09 · FAQ

Questions des lecteurs.

Supplier Shield reste la marque éditoriale ; la plateforme devient désormais Acuna GRC.

Oui. La salle de presse et la plupart des recherches sont gratuites.

Un score composite sur un univers de fournisseurs, pondéré par des facteurs pertinents au risque.

Nous avons étudié tous les outils TPRMet construit quelque chose de mieux.

Vous êtes venu pour le TPRM. Voici le tableau complet.

Supplier Shield : TPRM d’abord. GRC complet quand vous en avez besoin.

Services de conseil

Abilene Academy

Nous avons aussi construit la plateforme.

Le fil des incidents.

État durisque fournisseurRapport annuel 2026.

Ce que coûtent les défaillances TPRM.

Sushi Talks, épisodes phares.

The hidden risks of AI: What businesses can learn from AI cheating in chess

The hidden risks of AI: What businesses can learn from AI cheating in chess

Third Party Risk Management: Interview with Monika Atanasova on Industry Evolution & AI Impact

How Hackers Hijack Networks: What Businesses and Home Users Must Know

Understanding Third-Party Risk Management: Essential Insights for Businesses of All Sizes

How can financial risks in a supply chain be managed?

NIS2 Compliance: Are You at Risk of Personal Liability? | Supplier Shield

Supplier Risk Management: Best Practices to Safeguard Your Supply Chain

Streamlining TPRM: How to Boost Efficiency and Cut Costs

Why business continuity is now a legal obligation and what most leaders still don’t understand

Des experts à votre service.

Abilene Academy.

Gratuit pour les praticiens.

Transferts de données transfrontaliers entre la Suisse et la France : guide de conformité

La fuite de données des employés d'Amazon révèle les dangers cachés de la chaîne d'approvisionnement numérique

Navigateurs : le nouveau champ de bataille de l'IA et le plus grand test de sécurité de 2025

Supprimer les lois sur la propriété intellectuelle pourrait-il booster l'IA ou exposer votre entreprise ?

Gestion des risques cyber de la chaîne d'approvisionnement : combler les lacunes de visibilité pour bâtir une résilience à grande échelle

Questions des lecteurs.

Le brief TPRM.Chaque jour ouvré à 7h.

Nous avons étudié tous les outils TPRM
et construit quelque chose de mieux.

État du
risque fournisseur
Rapport annuel 2026.

Le brief TPRM.
Chaque jour ouvré à 7h.