Gestion des fournisseurs SOC 2 : exigences en matière de risques tiers

Votre rapport SOC 2 n’est aussi solide que votre fournisseur le plus faible. Chaque entreprise SaaS s’appuie sur des tiers — fournisseurs d’infrastructure cloud, processeurs de paiement, services d’authentification, outils de surveillance, plateformes RH. Le SOC 2 exige explicitement que vous identifiiez, évaluiez et surveilliez ces relations, car une défaillance de sécurité d’un fournisseur peut devenir votre propre défaillance de sécurité.

Ce n’est pas théorique. Lorsqu’une entreprise SaaS subit une violation à travers un fournisseur compromis, la crédibilité de son rapport SOC 2 est en jeu. Les auditeurs le savent, c’est pourquoi la gestion des risques tiers est l’un des domaines de contrôle les plus minutieusement testés lors d’un engagement SOC 2. Si vous ne pouvez pas démontrer que vous gérez systématiquement les risques liés aux fournisseurs, vous aurez des constatations dans votre rapport.

Ce guide couvre les exigences SOC 2 en matière de gestion des fournisseurs, comment construire un programme qui satisfait les auditeurs et les écueils spécifiques qui piègent les entreprises SaaS.

SOC 2 et les sous-traitants

Le SOC 2 utilise une terminologie précise. Ce que vous appelez « fournisseurs » ou « tiers », l’AICPA les appelle « sous-traitants » (sub-service organizations) — plus précisément, les entités qui fournissent des services faisant partie de votre système et pertinents pour le périmètre de votre rapport SOC 2.

Tous les fournisseurs ne sont pas des sous-traitants. Votre fournisseur de café de bureau ne figure pas dans votre périmètre SOC 2. Mais AWS, où fonctionne votre environnement de production ? C’est un sous-traitant. Stripe, qui traite les paiements de vos clients ? Sous-traitant. Okta, qui gère votre authentification ? Sous-traitant.

La distinction est importante car le SOC 2 exige que vous traitiez les sous-traitants dans votre description du système, et vous disposez de deux méthodes pour le faire.

La méthode inclusive

Ce que cela signifie : Les contrôles du sous-traitant sont inclus dans le périmètre de votre rapport SOC 2. Votre auditeur examine à la fois vos contrôles et ceux du fournisseur dans le cadre d’un seul engagement.

En pratique : C’est rare et complexe. Cela nécessite la pleine coopération du fournisseur, l’accès de votre auditeur aux systèmes du fournisseur et une coordination significative. La plupart des entreprises SaaS n’utilisent jamais la méthode inclusive car les grands fournisseurs comme AWS et Stripe ne vont pas accorder à votre auditeur un accès direct à leur infrastructure.

La méthode carve-out

Ce que cela signifie : Les contrôles du sous-traitant sont exclus du périmètre de votre rapport SOC 2, mais le rapport reconnaît la dépendance et fait référence au propre rapport SOC 2 du fournisseur. Vous vous appuyez sur l’attestation SOC 2 indépendante du fournisseur pour couvrir ses contrôles.

En pratique : C’est l’approche standard pour les entreprises SaaS. Vous identifiez AWS comme sous-traitant, l’excluez de votre périmètre et faites référence au propre rapport SOC 2 Type II d’AWS comme preuve que ses contrôles sont adéquats. Votre description du système indique explicitement quels contrôles relèvent de votre responsabilité et lesquels sont ceux du fournisseur.

Votre description du système doit clairement identifier tous les sous-traitants et indiquer quelle méthode vous utilisez pour chacun. Les auditeurs vérifieront que cette section est exacte et complète.

Common Criteria concernés

La gestion des fournisseurs touche plusieurs domaines des Common Criteria SOC 2. Comprendre quels critères s’appliquent vous aide à construire un programme qui correspond directement à ce que les auditeurs testent.

CC2.3 — Communication avec les parties externes. Votre organisation doit communiquer avec les parties externes — y compris les fournisseurs — sur les questions affectant le fonctionnement des contrôles internes. Cela inclut les exigences de sécurité, les attentes en matière de notification d’incidents et les changements affectant la prestation de services.

CC3.1 à CC3.4 — Évaluation des risques. Votre processus d’évaluation des risques doit prendre en compte les risques découlant des relations avec les tiers. Le risque fournisseur n’est pas séparé du risque organisationnel — c’en est une composante. Votre registre des risques devrait inclure les risques liés aux fournisseurs, et vos plans de traitement des risques devraient les adresser.

CC9.2 — Atténuation des risques. Ce critère traite spécifiquement du risque lié aux fournisseurs et aux partenaires commerciaux. Vous devez évaluer et gérer les risques associés aux fournisseurs qui fournissent des services faisant partie de votre système. Cela inclut une évaluation continue, pas seulement une diligence raisonnable initiale.

Ensemble, ces critères créent un mandat clair : identifiez vos fournisseurs, évaluez leurs risques, communiquez vos attentes et surveillez-les dans le temps.

Construire un programme de gestion des fournisseurs

Un programme de gestion des fournisseurs conforme au SOC 2 comporte quatre phases : inventaire, diligence raisonnable, alignement contractuel et surveillance continue. Chaque phase produit des preuves que les auditeurs examineront.

Étape 1 : Inventaire des fournisseurs

Vous ne pouvez pas gérer ce que vous n’avez pas identifié. Commencez par un inventaire complet de chaque fournisseur qui interagit avec vos systèmes ou vos données.

Comment le construire : Travaillez avec l’ingénierie, l’informatique, les finances et les responsables de département pour cataloguer chaque outil, service et plateforme utilisé par votre organisation. Les dossiers financiers (factures, abonnements) sont la source la plus fiable — ils révèlent les fournisseurs que des équipes individuelles ont adoptés sans processus d’achat centralisé.

Classez par niveau de risque. Tous les fournisseurs ne présentent pas le même risque. Attribuez des niveaux de risque en fonction de l’accès aux données, de la criticité du système et de l’impact commercial :

• Critique : Fournisseurs qui hébergent votre infrastructure de production, traitent les données clients ou causeraient une perturbation commerciale significative s’ils étaient indisponibles (AWS, GCP, votre fournisseur de base de données principal)
• Élevé : Fournisseurs qui accèdent à des données sensibles ou fournissent des services critiques pour la sécurité (fournisseurs d’identité, outils de surveillance, processeurs de paiement)
• Moyen : Fournisseurs qui accèdent à des données internes mais pas aux données clients (plateformes RH, outils de communication interne, logiciels de gestion de projets)
• Faible : Fournisseurs sans accès aux données et avec une interaction minimale avec les systèmes (fournitures de bureau, outils de conception sans intégration de données)

Catégories courantes de fournisseurs SaaS à inventorier :

• Infrastructure cloud : AWS, GCP, Azure
• Gestion des identités et des accès : Okta, Auth0, Google Workspace
• Contrôle de code source et CI/CD : GitHub, GitLab, CircleCI
• Surveillance et journalisation : Datadog, PagerDuty, Splunk
• Communication : Slack, Microsoft Teams
• Traitement des données clients : Stripe, Segment, Twilio
• RH et gestion du personnel : Rippling, Gusto, BambooHR
• Outils de sécurité : CrowdStrike, SentinelOne, Snyk

Le Shadow IT est la plus grande lacune dans la plupart des inventaires de fournisseurs. Les équipes d’ingénierie souscrivent à des outils SaaS avec une carte de crédit sans jamais en informer la sécurité. Le rapprochement financier les détecte, mais vous devriez également effectuer des analyses périodiques des logs SSO, des extensions de navigateur et des autorisations OAuth pour trouver les outils non autorisés.

Étape 2 : Diligence raisonnable des fournisseurs

Une fois vos fournisseurs inventoriés, vous devez évaluer la posture de sécurité de chacun. La profondeur de la diligence raisonnable doit correspondre au niveau de risque du fournisseur.

Pour les fournisseurs critiques et à haut risque :

• Demandez leur rapport SOC 2 Type II. C’est la référence. Un rapport SOC 2 Type II actuel signifie qu’un auditeur indépendant a évalué les contrôles du fournisseur sur une période donnée. Le Type II est préféré au Type I car il démontre une efficacité opérationnelle soutenue, pas seulement une conception ponctuelle.
• Examinez le rapport en détail. Ne vous contentez pas de confirmer qu’il existe. Lisez l’avis de l’auditeur, vérifiez les réserves ou exceptions, examinez les descriptions des contrôles et — surtout — lisez les Complementary User Entity Controls (CUEC). Les CUEC sont les contrôles que le fournisseur attend que vous mettiez en place. Si AWS indique que le chiffrement est de la responsabilité du client, c’est un CUEC, et votre auditeur vérifiera si vous l’avez mis en place.
• Évaluez les questionnaires de sécurité. Pour les fournisseurs sans rapport SOC 2, utilisez des questionnaires standardisés comme le SIG (Standard Information Gathering), le CAIQ (Consensus Assessments Initiative Questionnaire) ou votre propre questionnaire personnalisé couvrant le chiffrement, les contrôles d’accès, la réponse aux incidents et le traitement des données.
• Examinez les sous-traitants. Les fournisseurs de vos fournisseurs comptent aussi. Vérifiez si le fournisseur divulgue ses sous-traitants et comment il gère le risque des sous-traitants. Ceci est particulièrement pertinent si vous êtes également soumis au RGPD, qui a des exigences explicites en matière de sous-traitants.
• Évaluez la continuité d’activité. Comprenez les capacités de reprise après sinistre du fournisseur, les engagements de SLA et l’historique de disponibilité. Un fournisseur critique sans DR adéquat met votre disponibilité en risque.

Pour les fournisseurs à risque moyen :

• Demandez un rapport SOC 2 ou un certificat ISO 27001
• Envoyez un questionnaire de sécurité
• Examinez leur page de sécurité publique et leur politique de confidentialité

Pour les fournisseurs à faible risque :

• Confirmez les pratiques de sécurité de base (HTTPS, authentification)
• Documentez la justification de l’acceptation du risque pour une diligence raisonnable réduite

Documentez chaque évaluation. Les auditeurs doivent voir que vous avez effectué une diligence raisonnable pour chaque fournisseur dans le périmètre, et la profondeur de l’évaluation doit correspondre à la classification du risque.

Étape 3 : Exigences contractuelles

La diligence raisonnable évalue la posture de sécurité actuelle d’un fournisseur. Les contrats imposent des obligations continues. Vos accords avec les fournisseurs doivent inclure des dispositions spécifiques de sécurité et de conformité.

Exigences de sécurité. Les contrats avec les fournisseurs critiques et à haut risque doivent spécifier les attentes de sécurité : normes de chiffrement, exigences de contrôle d’accès, obligations de gestion des vulnérabilités et conformité aux cadres pertinents.

Accords de traitement des données. Si le fournisseur traite des données personnelles — en particulier si vous avez des clients dans l’UE — vous avez besoin d’un Accord de traitement des données (DPA). C’est à la fois une bonne pratique SOC 2 et une exigence du RGPD. Les DPA doivent spécifier les finalités du traitement, les mesures de sécurité, les contraintes sur les sous-traitants et les obligations de suppression des données.

Droit d’audit. Incluez des dispositions contractuelles vous donnant le droit d’auditer les pratiques de sécurité du fournisseur ou de demander des preuves de conformité. Pour les grands fournisseurs (AWS, Google), leur rapport SOC 2 remplit ce rôle. Pour les fournisseurs plus petits, vous pouvez avoir besoin de la capacité de mener des évaluations directes.

Notification d’incident. Exigez des fournisseurs qu’ils vous notifient les incidents de sécurité dans un délai défini — 24 à 72 heures est la norme pour les fournisseurs critiques. Spécifiez ce qui constitue un incident à signaler et la méthode de notification.

Traitement et suppression des données. Définissez comment le fournisseur stocke, traite et supprime en fin de compte vos données. Incluez des limites de conservation et exigez une confirmation de suppression des données à la résiliation du contrat. C’est particulièrement important pour les fournisseurs traitant des données clients.

Étape 4 : Surveillance continue

La diligence raisonnable initiale ne suffit pas. Le SOC 2 exige une surveillance continue de vos relations avec les fournisseurs, et les auditeurs testeront si vous avez effectivement mené des activités de surveillance pendant la période d’observation.

Revue annuelle du rapport SOC 2. Pour les fournisseurs critiques et à haut risque disposant de rapports SOC 2, examinez le rapport mis à jour chaque année à sa publication. Vérifiez les nouvelles exceptions, les changements de périmètre ou les CUEC modifiés. Documentez la revue avec le nom du réviseur, la date et les conclusions.

Suivi des incidents de sécurité des fournisseurs. Surveillez les divulgations publiques de violations ou d’incidents de sécurité des fournisseurs. Abonnez-vous aux bulletins de sécurité et aux pages de statut des fournisseurs. Lorsqu’un fournisseur a un incident, documentez votre évaluation de l’impact sur vos systèmes et données.

Surveillance des changements importants. Surveillez les acquisitions, les changements de direction, les ajouts de sous-traitants et les changements de service significatifs des fournisseurs. Chacun de ces éléments peut affecter le profil de risque du fournisseur et peut nécessiter une réévaluation.

Réévaluation périodique. Réévaluez les fournisseurs en fonction de leur niveau de risque :

• Critique : Revue annuelle complète avec rapport SOC 2 mis à jour, revue du contrat et vérification des sous-traitants
• Élevé : Revue annuelle du rapport SOC 2 et mise à jour du questionnaire
• Moyen : Revue bisannuelle ou déclenchée par des changements importants
• Faible : Revue uniquement déclenchée par des changements ou des incidents

Ce que les auditeurs testent

Lors d’un engagement SOC 2, votre auditeur examinera la gestion des fournisseurs sous plusieurs angles. Savoir ce qu’ils testent vous aide à vous préparer.

Complétude de l’inventaire des fournisseurs. Les auditeurs compareront votre inventaire de fournisseurs avec d’autres sources de preuves — dossiers financiers, configurations système, logs SSO — pour vérifier que vous avez identifié tous les fournisseurs pertinents. Manquer un fournisseur critique est une constatation significative.

Preuves de diligence raisonnable. Pour les fournisseurs critiques, les auditeurs s’attendent à voir des évaluations documentées : revues de rapports SOC 2 avec notes, questionnaires de sécurité complétés et justifications de classification des risques. Un fournisseur classé critique sans dossier de diligence raisonnable est une défaillance de contrôle.

Revues des rapports SOC 2. Les auditeurs vérifieront que vous avez réellement lu les rapports SOC 2 des fournisseurs — pas seulement collecté les fichiers. Ils demanderont qui a examiné le rapport, quand, quelles étaient les conclusions et si les CUEC ont été évalués. Stocker un PDF que vous n’avez jamais ouvert ne satisfait pas l’exigence.

Accords contractuels. Les auditeurs échantillonneront les contrats des fournisseurs et vérifieront les dispositions de sécurité, les DPA et les clauses de notification d’incident. C’est particulièrement approfondi pour les fournisseurs traitant des données clients.

Activités de surveillance. Pour les rapports Type II, les auditeurs ont besoin de preuves de surveillance continue sur la période d’observation. Une revue annuelle effectuée au premier mois sans suivi pendant les onze mois restants peut être insuffisante selon le niveau de risque du fournisseur et vos engagements de politique.

Écueils courants

Les entreprises SaaS trébuchent systématiquement dans les mêmes domaines de gestion des fournisseurs. Connaître ces écueils vous aide à les éviter.

Ne pas suivre tous les fournisseurs. Le Shadow IT est le principal contrevenant. Les équipes d’ingénierie adoptent des outils SaaS, les connectent via OAuth et n’impliquent jamais la sécurité. Ces outils peuvent accéder au code source, aux données clients ou aux communications internes — et ils sont invisibles pour votre programme de gestion des fournisseurs. Des audits réguliers des autorisations OAuth et des revues des logs SSO détectent la plupart de ceux-ci.

Accepter un SOC 2 Type I quand le Type II est disponible. Un rapport Type I est un instantané ponctuel — il vous dit que les contrôles étaient correctement conçus à une date unique. Un rapport Type II prouve que ces contrôles ont fonctionné efficacement pendant des mois. Si un fournisseur dispose d’un Type II, demandez-le toujours. Se contenter d’un Type I quand le Type II existe signale aux auditeurs que votre processus de diligence raisonnable n’est pas approfondi.

Ne pas examiner les Complementary User Entity Controls. Les CUEC sont les contrôles qu’un fournisseur attend que vous mettiez en place de votre côté. Le rapport SOC 2 d’AWS, par exemple, liste des CUEC autour de la gestion des clés de chiffrement, de la sécurité réseau et des contrôles d’accès. Si vous vous appuyez sur AWS mais n’avez pas mis en place ses CUEC, il y a une lacune dans votre environnement de contrôle que les auditeurs identifieront.

Fournisseurs manquants ajoutés en cours de période d’audit. Si vous intégrez un nouveau fournisseur critique pendant votre période d’observation, ce fournisseur doit passer par votre processus de diligence raisonnable et apparaître dans votre inventaire. Les auditeurs examinent l’ensemble de la période d’observation, pas seulement un instantané à la fin.

Pas de processus pour le désengagement des fournisseurs. Lorsque vous cessez d’utiliser un fournisseur, vous devez révoquer son accès, confirmer la suppression des données et mettre à jour votre inventaire de fournisseurs. Les fournisseurs conservant un accès à vos systèmes après la résiliation du contrat constituent un risque de sécurité et une constatation d’audit.

Traiter la gestion des fournisseurs comme un projet annuel. La gestion des fournisseurs est continue. Si l’ensemble de votre programme consiste en une revue intensive une fois par an avant la saison d’audit, vous aurez des lacunes. Les changements importants de fournisseurs, l’intégration de nouveaux fournisseurs et la surveillance des incidents doivent se faire en temps réel tout au long de l’année. Lier la gestion des fournisseurs à votre programme de surveillance continue rend cela durable.

Comment GRCTrail vous aide

GRCTrail offre aux équipes SaaS un programme de gestion des fournisseurs structuré et auditable qui satisfait les exigences SOC 2 sans tableurs proliférants.

• Registre centralisé des fournisseurs avec classification des risques, pour que chaque fournisseur soit inventorié, catégorisé et traçable en un seul endroit
• Collecte et suivi des revues de rapports SOC 2 enregistrant qui a examiné le rapport de chaque fournisseur, quand et ce qu’il a trouvé — fournissant aux auditeurs la piste de preuves dont ils ont besoin
• Rappels automatisés pour les revues annuelles déclenchés par le niveau de risque du fournisseur, pour que les revues des fournisseurs critiques ne soient jamais en retard
• Gestion des contrats et des DPA liée à chaque dossier fournisseur, facilitant la vérification que les dispositions contractuelles sont en place pour chaque relation dans le périmètre
• Surveillance des changements de sous-traitants vous alertant lorsque les fournisseurs mettent à jour leurs listes de sous-traitants, pour que vous puissiez réévaluer le risque avant que votre auditeur ne pose la question

Commencez avec GRCTrail →

Guides connexes

• Qu’est-ce que le SOC 2 ? Guide pratique pour les entreprises SaaS
• Politiques et procédures SOC 2 : ce que vous devez documenter
• Guide d’évaluation des risques SOC 2
• Accords de traitement des données (DPA) dans le cadre du RGPD : un guide complet