Diligence raisonnable lors de la sélection des fournisseurs

1) Pourquoi avez-vous besoin de Due Diligence des fournisseurs

• Identifier les risques inhérents par produit/pays/données.
• Vérifier la conformité et la sécurité avant la conclusion du contrat.
• Enregistrer le SLA/SLO et les droits d'audit pendant la phase du contrat.
• Configurer la surveillance et le plan de sortie (offboarding) tout en préservant l'intégrité des données.

2) Quand est effectuée et ce qui couvre

Points : présélection, liste courte, avant le contrat, avec des changements significatifs, révision annuelle.
Couverture : statut juridique, viabilité financière, sécurité, vie privée, technicité, exploitation/support, conformité (GDPR/PCI/AML/SOC 2 et al.), risques géographiques et de sanctions, ESG/éthique, sous-traitants.

3) Rôles et RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Carte des critères d'évaluation (ce que nous vérifions)

4. 1 Profil juridique et corporatif

Inscription, bénéficiaires (KYB), litiges judiciaires, listes de sanctions.
Licences/certificats pour les services réglementés.

4. 2 Finances et durabilité

Rapports vérifiés, charge de la dette, investisseurs clés/banques.
Dépendance à l'égard d'un seul client/région, plan de continuité (PCA).

4. 3 Sécurité et vie privée

ISMS (politiques, RACI), résultats de tests externes, gestion des vulnérabilités.
Cryptage At Rest/In Transit, KMS/HSM, gestion des secrets.
DLP/EDRM, journal, Legal Hold, rétention et suppression.
Gestion de l'incident : Notifications SLA, playbooks, post-mortem.

4. 4 Conformité et certification

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (durée et portée).
RGPD/normes locales : rôles (controller/processor), DPA, SCC/BCR, DPIA.
AML/circuit de sanctions (le cas échéant).

4. 5 Maturité technique et intégration

Architecture (multitenance, isolation, SLO, DR/HA, RTO/RPO).
API/SDK, versioning, rate limits, observability (logs/métriques/tracks).
Gestion des changements, versions (bleu-vert/canary), rétrocompatibilité.

4. 6 Opérations et soutien

24 × 7/Follow-the-sun, temps de réaction/réduction, oncoles.
Procédures d'onbording/offbording, exportation de données sans pénalités.

4. 7 Sous-traitants et chaîne d'approvisionnement

La liste des sous-traitants, la juridiction, leur contrôle et les notifications des modifications.

4. 8 Éthique/ESG

Politiques contre la corruption, code de conduite, pratiques du travail, rapports.

5) Processus de diligence raisonnable (SOP)

1. Initiation : carte des besoins (objectifs, données, juridictions, criticité).
2. Qualification : questionnaire court (pré-écran) + chèque de sanction/licence.
3. Évaluation approfondie : questionnaire, artefacts (politiques, rapports, certificats), entrevues.
4. Vérification technique : aperçu de sécurité, démo d'environnement, lecture de logs/métriques, PoC.
5. Scoring et risques : risque inhérent → profil de contrôle → risque résiduel.
6. Remédiation : conditions/corrections antérieures au contrat (gap list with deadlines).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Onbording : accès/SSO, catalogues de données, intégrations, plan de surveillance.
9. Surveillance continue : révision annuelle/déclencheurs (incident, changement de sous-processeur).
10. Offbording : exportation, suppression/anonymisation, retrait d'accès, confirmation de destruction.

6) Questionnaire du fournisseur (noyau de questions)

Yur. personne, bénéficiaires, contrôles de sanctions, litiges en 3 ans.
Certifications (SOC 2 type/période, ISO, PCI), rapports récents/scope.
Politiques de sécurité, inventaire des données, classification, DLP/EDRM.
Isolation technique : tenant-isolation, stratégies réseau, cryptage, clés.
Logs et audit : stockage, accès, WORM/immutabilité, SIEM/SOAR.
Incidents en 24 mois : types, influences, leçons.
Retence/suppression/Legal Hold/DSAR stream.
Sous-traitants : liste, pays, fonctions, garanties contractuelles.
DR/BCP : RTO/RPO, résultats des derniers tests.
Support/SLA : temps de réaction/décision, escalade, système de crédit.
Exit-plan : exportation de données, formats, coût.

7) Modèle de scoring (exemple)

Axes : Droit/Finances/Sécurité/Vie privée/Technique/Opérations/Conformité/Chaîne/ESG.
Points 1-5 sur chaque axe ; poids par criticité du service et type de données.

• « RR = Σ (poids _ i × score _ i) » → la catégorie : Low/Medium/High/Critical.

High/Critical : la remédiation préalable au contrat est obligatoire, les conditions de SLA renforcées et le suivi.
Low/Medium : exigences standard + révision annuelle.

8) Dispositions contractuelles contraignantes (must-have)

DPA : rôles (controller/processor), finalité, catégories de données, rétention et suppression, Legal Hold, assistance DSAR.
SCC/BCR pour les transmissions transfrontalières (le cas échéant).
Sécurité Appendix : cryptage, logs, vulnérabilités/patchs, pentestes, vulnérabilités de divulgation.
SLA/SLO : temps de réaction/élimination (niveaux sev), crédits/pénalités, disponibilité, RTO/RPO.
Droits d'audit : droit à un audit/questionnaire/preuve ; notifications des modifications apportées aux contrôleurs/sous-traitants.
Breach Notification : les délais de l'avis (par exemple, ≤ 24-72), le format, la coopération dans l'enquête.
Subprocessor Clause : liste, changement par avis/accord, responsabilité.
Exit & Data Return/Deletion : format d'exportation, délais, confirmation de destruction, support de migration.
Liability/Indemnity : limites/exceptions (fuite de PI, violation de licence, sanctions réglementaires).
IP/License : droits de développement/configuration/données/métadonnées.

9) Surveillance et déclencheurs de révision

Expiration/mise à jour des certificats (SOC/ISO/PCI), modifications de l'état comptable.
Changement des sous-processeurs/emplacements de stockage/juridictions.
Incidents de sécurité/interruptions importantes de la SLA.
Fusions/acquisitions, dégradation des performances financières.
Versions affectant l'isolement/cryptage/accès.
Demandes réglementaires, Findings des audits.

10) Métriques et dashboards Vendor Risk Mgmt

Coverage DD :% des fournisseurs critiques ayant passé un DD complet.
Time-to-Onboard : médiane de la demande au contrat (par catégorie de risque).
Open Gaps : remédiations actives par fournisseur (délais/propriétaires).
Taux de rupture de SLA : proportion de violations de SLA en termes de temps/disponibilité.
Taux d'incident : incidents/12 mois par fournisseur et gravité.
Audit Evidence Read....: avoir des rapports/certificats à jour.
Subprocessor Drift : modifications sans préavis (objectif - 0).

11) Catégorisation et niveaux de vérification

12) Chèques-feuilles

Démarrer DD

• Carte des besoins et classe de risque du service.
• Pré-écran : sanctions, licences, profil de base.
• Questionnaire + artefacts (politiques, rapports, certificats).
• Examen de sécurité/confidentialité + PoC dans les intégrations.
• Gap-list avec deadlines et propriétaires.
• Contrat : DPA/SLA/audit droits/liability/exit.
• Plan d'onbording et de surveillance (métriques, alertes).

Révision annuelle

• Certificats et rapports mis à jour.
• Vérification des sous-traitants/emplacements/juridictions.
• État des remédiations, nouveaux risques/incidents.
• Tests DR/BCP et résultats.
• Dry-run audit : collecte evidence « par bouton ».

13) Drapeaux rouges (red flags)

Refus de fournir des SOC/ISO/PCI ou des sections importantes des rapports.
Réponses floues sur le chiffrement/logs/suppression de données.
Il n'y a pas de plans DR/BCP ou ils ne sont pas testés.
Incidents fermés sans post-mortem et cours.
Transfert illimité de données à des sous-traitants/à l'étranger sans garantie.
Limitation agressive de la responsabilité pour les fuites de PI.

14) Anti-modèles

DD « papier » sans PoC et contrôle technique.
Chèque universel sans tenir compte des risques/juridictions.
Contrat sans DPA/SLA/droit d'audit et plan exit.
Absence de registre des fournisseurs et de surveillance des changements.
Accès/tokens délivrés « pour toujours » sans rotation et sans ré-attestation.

15) Articles wiki liés

Automatisation de la conformité et des rapports

Surveillance continue de la conformité (CCM)

Legal Hold et le gel des données

Cycle de vie des politiques et procédures

KYC/KYB et dépistage des sanctions

Graphiques de stockage et de suppression des données

Plan de continuité (PCA) et PRD

Total

La Due Diligence axée sur les risques n'est pas une « case à cocher », mais un processus contrôlé : classification correcte, vérification approfondie sur des axes clés, garanties contractuelles claires et surveillance continue. C'est ainsi que les fournisseurs deviennent une partie fiable de votre chaîne, et vous - vous répondez de manière prévisible aux exigences sans ralentir l'entreprise.