Les équipes IT et Achats gèrent le plus grand nombre de relations fournisseurs dans toute organisation. Quand ces relations ne sont pas documentées, les constats sécurité restent dans IT et les détails contractuels restent aux Achats ; aucune équipe ne peut agir sur ce que l'autre sait. Supplier Shield donne aux deux équipes une vue partagée et structurée de chaque relation fournisseur.
Approuvé par des organisations mondiales
§ The challenge
Quand les évaluations fournisseurs reposent sur des emails et des tableurs, le résultat est incohérent, les preuves sont perdues et l'équipe réagit en permanence, sans jamais avoir d'avance.
Les questionnaires partent par email. Les réponses reviennent au fil des semaines. Les réponses sont collées dans des tableurs sans logique de notation. Le cycle suivant repart de zéro. Il n'y a ni mémoire institutionnelle, ni historique de versions, ni possibilité de comparer la posture d'un fournisseur à celle d'un autre.
IT finalise une évaluation sécurité et classe les constats dans un espace partagé. Trois mois plus tard, les Achats renouvellent le contrat du même fournisseur sans savoir qu'il y a des constats non résolus. Le risque existe dans le système, mais il n'atteint jamais la décision qui aurait changé l'issue.
Après qu'une évaluation a mis en évidence un constat, un email est envoyé. Peut-être qu'un ticket est ouvert. La suite dépend entièrement de l'initiative individuelle. Quand un auditeur demande plus tard « qu'avez-vous fait concernant le constat sur le fournisseur X ? », la réponse est une fouille dans de vieux emails, pas un système d'enregistrement.
§ How we help
Intégration structurée, cycles d'évaluation automatisés, visibilité partagée sur les risques et une piste de preuves complète et versionnée ; sans implémentation de plusieurs mois ni prestation de services.
Envoyez des questionnaires alignés sur les référentiels et collectez les preuves sans relances manuelles.
Définissez vos niveaux fournisseurs, sélectionnez parmi plus de 50 modèles de référentiels prédéfinis (ISO 27001, SOC 2, NIST CSF, NIS2, DORA, PCI-DSS, CIS Controls et plus) ou créez les vôtres, puis déclenchez une communication automatisée. Les réponses sont notées, les lacunes mises en évidence et votre équipe dispose d'une file de risques priorisée, non d'une boîte de réception pleine de PDF.
Constats sécurité et statut contractuel visibles dans le même dossier fournisseur.
IT voit les scores de risque sécurité et les constats ouverts. Les Achats voient les dates de révision des contrats et les signaux commerciaux. Les deux équipes travaillent depuis le même dossier. Quand un nouveau contrat est proposé, les Achats vérifient la posture de risque en temps réel avant de signer, sans attendre un briefing IT.
Chaque constat, chaque action, chaque échéance : versionné, horodaté et exportable.
Assignez les constats à des responsables nommés. Fixez des délais de résolution. Suivez l'avancement dans la plateforme. Chaque changement de statut est enregistré avec un horodatage et l'utilisateur qui l'a effectué. Quand un régulateur, un auditeur interne ou un organisme de certification ISO demande des preuves de votre programme de remédiation, exportez le journal complet en un clic.
§ Why us
Les questionnaires par email sont ignorés parce que les fournisseurs ne veulent pas créer un nouveau compte. Supplier Shield supprime l'obstacle : les fournisseurs reçoivent un lien sécurisé et limité dans le temps, et complètent l'évaluation dans leur navigateur. Les relances automatiques assurent le suivi en votre nom ; votre équipe n'a pas à relancer.
IT n'a pas besoin d'un autre outil nécessitant des mois de services professionnels. Importez votre liste de fournisseurs, sélectionnez votre référentiel, configurez les niveaux et envoyez votre premier questionnaire, le tout en une seule session. La plupart des équipes finalisent leur registre initial et premier cycle d'évaluation en deux à quatre semaines.
La tarification de la plateforme Acuna GRC est basée sur le volume de fournisseurs, non par siège. Chaque membre de l'équipe en IT, Achats, Risques et Conformité est couvert sans surcoût. Supplier Shield TPRM est un module complémentaire sur la plateforme. Niveaux publiés sur la page Tarifs ; sans cycle commercial pour obtenir un chiffre.
§ Regulatory obligations
Supplier Shield est livré avec des modèles prédéfinis pour tous ces référentiels. Utilisez-les tels quels, modifiez-les ou combinez-les pour des cycles d'évaluation multi-référentiels.
Les clauses 5.19–5.22 de l'ISO 27001:2022 exigent des politiques et procédures documentées pour gérer le risque de sécurité de l'information dans les relations fournisseurs. Supplier Shield structure l'évaluation, la collecte de preuves et la surveillance continue requises par chaque clause.
Si votre organisation est dans le périmètre NIS2, vous devez évaluer et gérer les risques sécurité dans votre chaîne d'approvisionnement ICT de manière continue, pas seulement à la signature du contrat. Supplier Shield couvre à la fois l'évaluation initiale à l'intégration et la surveillance récurrente requise par l'Art. 21.
Pour les équipes IT d'entités financières, les articles 28–44 du DORA fixent des exigences spécifiques concernant les contrats fournisseurs ICT, l'évaluation de la criticité et la surveillance du risque de concentration. Supplier Shield couvre les trois.
Les auditeurs SOC 2 Type II et ISAE 3402 examinent votre programme de diligence raisonnable envers les tiers. Supplier Shield fournit la piste de preuves structurée : questionnaires envoyés, réponses reçues, constats remédiés.
§ Acuna GRC
Supplier Shield est le module TPRM d'Acuna GRC. Quand les évaluations IT et Achats font remonter des problèmes, ils se connectent directement au registre des risques global, aux processus d'audit interne et au programme de protection des données ; le tout sur une plateforme hébergée en Suisse.
§ Platform capabilities
Supplier Shield est le module TPRM d'Acuna GRC. Voici ce que la plateforme complète représente concrètement pour les équipes IT et Achats qui remplacent une gouvernance fournisseurs basée sur des tableurs.
Plutôt que de rechercher manuellement la posture sécurité de chaque fournisseur avant une évaluation, Acuna analyse automatiquement chaque fournisseur pour détecter les violations, les problèmes DNS, la configuration TLS et la sécurité web. Vous démarrez chaque évaluation en connaissant la note de risque externe du fournisseur ; les décisions d'achat sont informées avant même que le questionnaire soit envoyé.
Lancez un cycle complet d'évaluation fournisseurs en une session : choisissez votre modèle (ISO 27001, NIS2, DORA, personnalisé), sélectionnez votre groupe de fournisseurs, personnalisez la communication et envoyez. La complétion est suivie par fournisseur dans un tableau de bord unique. Les relances automatiques sont envoyées en votre nom ; sans tableur « envoyé / répondu / en retard » à maintenir.
Les équipes IT prennent régulièrement du retard sur les revues périodiques des fournisseurs, faute de système pour les déclencher. Dans Acuna, vous configurez des cycles d'évaluation récurrents : annuels pour les fournisseurs standard, trimestriels pour les fournisseurs critiques. La plateforme planifie, notifie et suit l'avancement automatiquement.
Interrogez Aiko : « Quels fournisseurs sont en retard de réévaluation ? » ou « Lesquels de nos fournisseurs cloud ont une note sécurité inférieure à B et un accès aux données de production ? » Réponses issues de votre registre fournisseurs en temps réel en quelques secondes. Le reporting sur les risques fournisseurs, qui prenait des heures, devient une requête de 30 secondes.
La plateforme comprend plus de 50 modèles d'évaluation prédéfinis couvrant tous les grands référentiels GRC. Quand une évaluation fournisseur satisfait aux clauses 5.19–5.22 de l'ISO 27001:2022, elle génère simultanément des preuves pour les obligations fournisseurs NIS2 et DORA, si celles-ci s'appliquent. Un questionnaire fournisseur, plusieurs résultats de conformité ; sans flux d'évaluation séparés par référentiel, sans effort dupliqué.
Présentation complète de la plateforme : Plateforme cloud Acuna GRC
§ FAQ
La plupart des équipes finalisent leur registre initial et leur premier cycle d'évaluation en deux à quatre semaines. La durée dépend de la taille de votre liste de fournisseurs et du niveau de configuration du tiering nécessaire. Pas de développement sur mesure, pas de projet d'infrastructure : importez votre liste, configurez le tiering et commencez à envoyer des évaluations dans la même session.
Oui. La plateforme est livrée avec plus de 50 modèles prédéfinis couvrant ISO 27001, SOC 2, NIS2, DORA, NIST CSF, PCI-DSS, RGPD, CIS Controls et plus. Vous pouvez utiliser n'importe quel modèle tel quel, le modifier ou créer des questionnaires entièrement personnalisés. Tous les modèles sont stockés dans la plateforme, versionnés à chaque modification et réutilisables sur l'ensemble de votre base de fournisseurs.
Les réponses aux questionnaires sont notées selon des critères configurables. Chaque question peut être pondérée selon l'impact du risque. La plateforme produit un score de risque résiduel par fournisseur, une vue comparative sur votre portefeuille et une file de remédiation priorisée pour votre équipe.
Non. Les fournisseurs reçoivent un lien sécurisé et limité dans le temps pour compléter leur évaluation dans un navigateur, sans création de compte, sans installation de logiciel de leur côté. Supprimer l'obstacle de la connexion est le principal levier d'amélioration des taux de réponse.
Supplier Shield se connecte à votre environnement existant via API REST et prend en charge les déclencheurs d'événements par webhook. Vous pouvez ainsi pousser des dossiers fournisseurs depuis votre système d'achats, déclencher des évaluations depuis les processus d'intégration et extraire les scores de risque dans votre outil GRC ou de ticketing. Pour les équipes utilisant ServiceNow, Jira ou similaire, notre équipe d'implémentation prend en charge la cartographie de connexion.
Les tableurs n'ont pas de logique de notation, pas de relances automatiques, pas d'historique de versions, pas de piste d'audit et pas d'accès partagé entre équipes. Supplier Shield remplace tout cela par des évaluations structurées, un store de preuves versionné et un reporting d'audit en un clic. Le processus est le même : vous définissez le fournisseur, sélectionnez le référentiel et collectez les réponses. La différence, c'est que rien ne passe entre les mailles.
Réservez une session avec notre équipe. Nous parcourrons votre paysage fournisseurs actuel et vous montrerons précisément où Supplier Shield apporte de la structure sans implémentation longue.