Workflow de due diligence fournisseur

La due diligence fournisseur est le processus d’évaluation de la posture de sécurité, de confidentialité, financière et de conformité d’un prestataire tiers avant la signature d’un contrat — et de réévaluation périodique par la suite. Co-pilotée par Legal Ops, la Sécurité, l’IT et les Achats, elle s’intercale entre la demande d’intégration d’un nouveau fournisseur et la signature effective du MSA. Bien exécutée, elle est invisible pour le métier ; mal exécutée, elle devient un goulot d’étranglement de 90 jours dans le processus d’achat.

Le workflow en cinq étapes

Le délai total doit être de 5 à 15 jours ouvrés pour les fournisseurs à faible risque, 30 à 60 jours pour les fournisseurs à risque élevé. Tout délai plus long est un échec de processus, pas un échec du fournisseur.

Niveaux de risque

Trois ou quatre niveaux, basés sur l’accès aux données et la profondeur d’intégration :

• Faible. Aucune donnée personnelle, aucun accès aux systèmes de production, ARR inférieur à 25 K€. Exemples : fournisseur d’images marketing, prestataire design ponctuel. Diligence : MSA standard, profil fournisseur.
• Moyen. Données personnelles limitées (noms/emails d’employés), aucun accès aux systèmes de production, ARR 25 K€-250 K€. Exemples : outil de gestion de projet, logiciel de planification. Diligence : questionnaire SIG-Lite, SOC 2 récent.
• Élevé. Données personnelles substantielles ou accès aux systèmes de production, ARR 250 K€+. Exemples : CRM, plateforme de support client, fournisseurs IA traitant des interactions clients. Diligence : SIG complet, SOC 2 + test de pénétration, DPA, vérification d’assurance, contrôle financier.
• Critique. Infrastructure critique, accès à des données réglementées, points de défaillance unique. Exemples : fournisseur principal d’infrastructure cloud, processeur de paiement, DSE pour la santé. Diligence : SIG complet plus audit sur site, plan de continuité d’activité, dispositif d’entiercement, sponsor exécutif.

Les fournisseurs classés à un niveau inférieur au réel sont la source de la plupart des incidents matériels liés aux fournisseurs. Par défaut, optez pour le niveau supérieur en cas de doute.

Ce qui est dans un SIG / CAIQ

Le questionnaire Standardized Information Gathering (SIG) et le Consensus Assessments Initiative Questionnaire (CAIQ) de la Cloud Security Alliance sont les deux questionnaires de sécurité fournisseur dominants. Le SIG est plus large (couvre les dimensions opérationnelles, réglementaires et de continuité d’activité) ; le CAIQ est plus ciblé et orienté cloud.

Un SIG-Lite typique comprend 100 à 200 questions couvrant :

• Politiques et gouvernance de la sécurité de l’information
• Contrôle d’accès et gestion des identités
• Chiffrement (en transit, au repos)
• Réponse aux incidents et notification de violation
• Continuité d’activité et reprise après sinistre
• Gestion des sous-traitants
• Sécurité du personnel (vérifications d’antécédents, formation)
• Sécurité applicative (SDLC, gestion des dépendances)
• Sécurité physique (datacenter, bureaux)
• Attestations de conformité (SOC 2, ISO 27001, HIPAA, PCI selon applicabilité)

Les fournisseurs matures maintiennent des réponses SIG/CAIQ pré-remplies sur demande, ce qui réduit drastiquement le délai de diligence.

Comment opérationnaliser

1. Portail d’intake centralisé. Toute demande de fournisseur passe par un seul formulaire, pas par un contact direct entre le métier et le fournisseur. Le formulaire capture les données nécessaires au triage.
2. Niveau automatique à l’intake. La logique d’arbre de décision oriente vers faible/moyen/élevé selon le type de données, l’ARR et la profondeur d’intégration. Contrôlez 10 % des classifications de bas niveau trimestriellement.
3. Portail fournisseur pour la collecte de diligence. Le fournisseur télécharge le SIG, le SOC 2, l’assurance, les financiers sur un portail contrôlé — pas par email.
4. Revue augmentée par IA. Claude ou Spellbook examine les réponses SIG par rapport aux standards du client, signale les lacunes, rédige la liste de questions de retour au fournisseur. Le relecteur humain se concentre sur les décisions de jugement, pas sur la comparaison de texte.
5. Recertification annuelle. Chaque fournisseur de niveau élevé recertifie annuellement ; le niveau moyen tous les deux ans. Les changements de sous-traitants, les renouvellements SOC 2 et les renouvellements d’assurance déclenchent une revue intermédiaire.

Erreurs fréquentes

• La diligence comme gardiennage, pas comme accompagnement. Quand l’objectif devient « trouver des raisons de refuser » plutôt que « identifier les risques à atténuer », le métier contourne la gestion des fournisseurs. Le contournement des achats est le pire des cas.
• Pas de niveaux — chaque fournisseur reçoit le SIG complet. Épuise la bonne volonté des fournisseurs, ralentit les cas faciles, n’ajoute pas de sécurité sur les cas difficiles.
• Diligence ponctuelle sans recertification. La posture d’un fournisseur évolue ; la diligence archivée devient obsolète. Réclassifiez après un incident même si la recertification n’est pas due.
• Aucun suivi des mesures d’atténuation. Un fournisseur accepté sous conditions (« doit implémenter la MFA dans les 90 jours ») nécessite un suivi de la mesure jusqu’à clôture. Sans cela, les conditions sont du théâtre.
• Traiter les fournisseurs IA comme des fournisseurs standards. Les fournisseurs IA soulèvent de nouvelles questions de diligence — utilisation des données d’entraînement, rétention des sorties du modèle, journalisation des prompts. Le SIG standard ne les couvre pas ; ajoutez un addendum spécifique à l’IA.

Pour aller plus loin

• Checklist DPA — l’annexe protection des données requise pour la plupart des fournisseurs
• Rubrique de redlining MSA — le contrat parent dans lequel la diligence se conclut
• SOP de revue de contrat — le processus contractuel plus large autour de l’onboarding fournisseur
• Qu’est-ce que Legal Ops ? — la fonction qui possède la diligence fournisseur en coordination avec la Sécurité