
Une check-list d'évaluation des fournisseurs pour 2026, hiérarchisée par niveau de risque et reliée à ce qu'exigent DORA, NIS2 et le RGPD, avec les contrôles sur les quatrièmes parties que la plupart des équipes oublient.
L'évaluation des fournisseurs consiste à vérifier la sécurité, la santé financière, la conformité légale, la protection des données et les sous-traitants d'un fournisseur avant de signer, à une profondeur proportionnelle à son importance pour vous. En 2026, ce n'est plus une simple bonne pratique. Sous DORA et NIS2, les superviseurs européens demandent désormais des preuves d'une diligence continue sur les tiers. Bien menée, elle empêche la défaillance d'un fournisseur de devenir la vôtre.
Pourquoi cela compte davantage en 2026
En juin 2026, les attaquants n'ont pas piraté Apple. Ils ont piraté l'un de ses fournisseurs, Tata Electronics, et sont repartis avec des données de fabrication détaillées sur un produit non encore commercialisé. Les défenses d'Apple n'étaient pas en cause. Le maillon faible se trouvait un niveau plus bas, dans l'environnement d'un fournisseur.
Ce schéma a marqué l'année. Les compromissions de la chaîne d'approvisionnement ont transité par des paquets logiciels, des outils cloud et des prestataires d'analyse, et les dégâts ont touché les organisations en aval. Votre surface d'attaque inclut désormais celle de chacun de vos fournisseurs, et le moment où vous pouvez encore agir se situe avant la signature. Pour le cadre général, commencez par notre guide pour comprendre le TPRM. Cet article en est la couche pratique : quoi vérifier, dans quel ordre, et à quelle profondeur.
Ce qu'est l'évaluation des fournisseurs, et une mise en garde
L'évaluation des fournisseurs est le travail de collecte de preuves et d'analyse qui permet de décider si un fournisseur peut être intégré, et à quelles conditions. Elle couvre l'identité de l'entreprise, sa solidité financière, sa manière de protéger les données et les systèmes, sa capacité à respecter vos obligations réglementaires, et ceux dont elle dépend à son tour.
La mise en garde : une check-list est un point de départ, pas une ligne d'arrivée. Obtenir un rapport SOC 2 prouve que le fournisseur en possède un. Cela ne prouve pas qu'il est à jour, qu'il couvre le service que vous achetez, ni qu'il est exempt de réserves qui vous concernent. Chaque élément ci-dessous doit être examiné, pas seulement reçu.
Étape un : hiérarchiser avant d'évaluer
L'erreur la plus courante consiste à soumettre chaque fournisseur au même processus lourd. Un fournisseur de produits d'entretien et un prestataire cloud qui hébergera les données de vos clients ne méritent pas le même niveau d'examen, et les traiter de la même façon gaspille des efforts sur l'un tout en négligeant l'autre.
Hiérarchisez d'abord chaque fournisseur à l'aide de trois questions. À quelles données ce fournisseur accédera-t-il, et quelle en est la sensibilité ? Si le fournisseur disparaissait demain, une fonction critique s'arrêterait-elle ? Et la relation entre-t-elle dans le champ d'un régime tel que DORA, NIS2 ou le RGPD ? Les réponses déterminent la profondeur de tout ce qui suit.
La check-list d'évaluation des fournisseurs
Regroupée par catégorie. Pour chaque groupe, nous indiquons contre quoi il protège et, le cas échéant, quelle obligation de 2026 l'exige. Adaptez la profondeur au niveau que vous avez défini plus haut.
1. Légitimité et intégrité de l'entreprise
Confirmez que le fournisseur est une entité réelle et enregistrée : documents d'immatriculation, bénéficiaires effectifs et dirigeants clés. Vérifiez l'entreprise et ses dirigeants au regard des listes de sanctions, des listes de surveillance et des listes de personnes politiquement exposées, et recherchez les litiges ou actions réglementaires importants. Cela protège contre la fraude, l'exposition aux sanctions et l'atteinte à la réputation.
2. Santé financière
Examinez les signaux de solvabilité, la solidité financière et toute dépendance qui rendrait le fournisseur fragile. Un fournisseur qui fait faillite est un risque de disponibilité, pas seulement un risque commercial. Cela protège contre la perte soudaine de service et les migrations précipitées.
3. Posture de sécurité
Demandez les attestations en vigueur, comme un rapport SOC 2 Type II ou un certificat ISO 27001 avec sa déclaration d'applicabilité, puis lisez-les pour en vérifier le périmètre et les réserves plutôt que de les classer. Associez les réponses déclaratives à un signal externe lorsque c'est possible, car l'auto-déclaration et la réalité observée diffèrent souvent. DORA comme NIS2 attendent une supervision de la sécurité des fournisseurs démontrable et étayée par des preuves.
4. Protection des données et transferts transfrontaliers
Établissez quelles données personnelles le fournisseur traite, où elles sont stockées, quels sous-traitants ultérieurs interviennent et comment elles circulent au-delà des frontières. Pour les données de l'UE et de la Suisse, confirmez le mécanisme de transfert licite et la nécessité éventuelle d'une analyse d'impact du transfert. C'est le cœur du RGPD et, pour les données suisses, de la LPD ; le guide RGPD d'Acuna en détaille les obligations.
5. Résilience opérationnelle et continuité
Demandez des preuves de continuité d'activité et de reprise après sinistre, des objectifs de reprise testés et des engagements de réponse aux incidents, y compris le délai de notification. Cela protège contre la propagation d'une panne fournisseur à votre propre activité, et c'est un point central de DORA.
6. Sous-traitants (quatrièmes parties)
Identifiez ceux dont le fournisseur dépend pour vous livrer le service, en particulier pour tout ce qui soutient une fonction critique. C'est le contrôle que la plupart des programmes traitent encore comme facultatif. En 2026, c'est de là que sont venus les dégâts. Le registre d'information de DORA attend que vous puissiez tracer les chaînes de sous-traitance des fonctions critiques ; voir le guide DORA d'Acuna.
Diligence sur les quatrièmes parties : le contrôle que la plupart des équipes oublient
Voici la faille de presque toutes les check-lists concurrentes. Elles s'arrêtent au fournisseur. Pas les attaquants.
Lorsque votre fournisseur est compromis via son propre fournisseur, un outil de sa chaîne ou un composant open source dont il dépend, l'exposition vous atteint quand même. La vague d'attaques de la chaîne logicielle de 2026 a fonctionné exactement ainsi : compromettre un paquet ou un outil de sécurité largement utilisé, et atteindre toutes les organisations en aval. Si votre évaluation s'arrêtait à votre fournisseur direct, vous ne l'avez pas vue venir.
Pour vos fournisseurs de niveau 1, prenez trois mesures concrètes. Demandez à chaque fournisseur critique de nommer les sous-traitants et les principaux prestataires techniques qui soutiennent votre service. Exigez une notification lorsque ces dépendances changent, pour tout ce qui soutient une fonction critique. Et cartographiez la concentration : si plusieurs de vos fournisseurs reposent discrètement sur le même prestataire sous-jacent, ce prestataire est un point de défaillance unique que vous n'avez pas choisi.
Là où l'évaluation manuelle atteint ses limites
Tout ce qui précède suppose que vous puissiez rassembler ces preuves, les lire correctement et les tenir à jour pour une liste de fournisseurs qui s'allonge. En pratique, deux choses cèdent.
La première est l'échelle. Les questionnaires, la relance de documents et la revue manuelle ne suivent pas lorsque le nombre de fournisseurs augmente, et la diligence glisse discrètement du sérieux au symbolique. La seconde est le temps. Une évaluation est une photographie prise un jour donné. Un fournisseur solide à l'intégration peut dériver, subir un incident ou changer de sous-traitants la semaine suivant votre validation, et une revue ponctuelle ne le montrera jamais.
C'est là que l'approche manuelle cède la place à l'outillage. La surveillance continue des fournisseurs dans Acuna GRC transforme l'évaluation d'un exercice documentaire annuel en un signal vivant : notation automatique du risque, contrôles d'exposition aux violations et alertes lorsque la posture d'un fournisseur change entre deux revues.
Le faire, l'automatiser ou se faire accompagner
Trois voies honnêtes, selon la maturité de votre équipe. Pour construire la compétence en interne, la formation aide : l'Abilene Academy, seul partenaire PECB Titanium de Suisse, propose des formations certifiantes sur l'ISO 27001, NIS2 et DORA. Pour les fournisseurs très critiques ou un premier programme DORA, un cabinet spécialisé comme Abilene Advisors peut mener l'évaluation avec vous. Et pour automatiser le travail continu à grande échelle, le module Supplier Shield d'Acuna GRC gère l'évaluation, la notation et la surveillance au même endroit.
À lire aussi
Commencez par le pilier dans lequel s'inscrit cet article, comprendre le TPRM. Pour les obligations réglementaires derrière la check-list, consultez les guides d'Acuna sur DORA, NIS2 et le RGPD.
FAQ
Quelle est la différence entre l'évaluation des fournisseurs et l'analyse des risques fournisseurs ?
L'évaluation (ou diligence) est le travail de collecte de preuves et de vérification qui permet de décider de travailler avec un fournisseur, généralement avant de signer. L'analyse des risques est l'appréciation et la notation du risque que porte cette relation. L'évaluation alimente l'analyse.
À quelle fréquence faut-il refaire l'évaluation d'un fournisseur ?
Selon le niveau. Les fournisseurs critiques justifient une surveillance continue et une revue formelle au moins annuelle ; les fournisseurs de niveau inférieur peuvent être revus moins souvent. Le déclencheur n'est pas seulement le calendrier : un incident, un changement de sous-traitant ou une évolution des données traitées doivent tous entraîner un nouvel examen.
Quels documents demander à un fournisseur ?
Au minimum : une preuve d'immatriculation, une attestation de sécurité à jour telle qu'un SOC 2 Type II ou une ISO 27001 avec sa déclaration d'applicabilité, un récapitulatif du traitement des données précisant les sous-traitants et les lieux de stockage, et des preuves de continuité d'activité. Étoffez la liste pour les fournisseurs critiques.
Un rapport SOC 2 suffit-il à lui seul ?
Non. Un rapport SOC 2 prouve qu'un fournisseur a été audité, mais vous devez encore vérifier qu'il est à jour, qu'il couvre le service que vous achetez et qu'il est exempt de réserves qui vous concernent. Lisez-le, ne vous contentez pas de le collecter.
Qu'est-ce que la diligence sur les quatrièmes parties ?
C'est étendre vos contrôles aux fournisseurs et dépendances critiques de votre propre fournisseur. Parce qu'une compromission un niveau en dessous de votre fournisseur direct vous atteint quand même, la visibilité sur les quatrièmes parties est désormais un élément central de la diligence pour les relations critiques, et non une option.
Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

