Politique de sécurité des fournisseurs

La Politique de sécurité des fournisseurs (P26) fournit un cadre de gouvernance complet pour établir, gérer et superviser en continu des relations sécurisées avec des fournisseurs tiers, contractants, fournisseurs cloud et organisations de services. Cette politique est conçue pour les organisations engagées à maintenir des normes rigoureuses de sécurité de l’information lors de l’externalisation ou de l’acquisition de services qui accèdent à des actifs et systèmes critiques. La politique s’applique à tous les engagements fournisseurs impliquant des données sensibles, des environnements de production ou le support de fonctions métier clés, couvrant à la fois les fournisseurs directs et leurs sous-traitants. Elle décrit en détail les rôles et responsabilités du Responsable de la sécurité des systèmes d’information (RSSI), des Achats et de la Gestion des fournisseurs, des responsables de la sécurité de l'information et de la gestion des risques, des propriétaires de la relation métier, ainsi que des fonctions Juridique et conformité. Chaque rôle contribue à la gestion sécurisée du cycle de vie des fournisseurs, depuis l’appréciation initiale des risques et la négociation contractuelle jusqu’à la surveillance continue et le désengagement sécurisé. Au cœur de la politique figure l’exigence d’un modèle formel de classification des tiers et de hiérarchisation des risques, regroupant les fournisseurs selon l’accès aux données, la criticité du service, les expositions réglementaires et les dépendances vis-à-vis de tiers. Tous les engagements avec des tiers doivent respecter une approche de cycle de vie définie : les fournisseurs font l’objet d’une diligence raisonnable précontractuelle, d’une appréciation des risques et d’une revue de sécurité contractuelle ; les contrats doivent être dotés de contrôles de sécurité opposables, incluant la notification des incidents, les droits d'audit, le traitement des données, ainsi que des exigences spécifiques relatives au recours à des sous-traitants. Les fournisseurs sont ensuite surveillés en continu au moyen de certifications, de la performance des accords de niveau de service, de la notification des incidents de sécurité et des changements apportés à leurs services ou à leur personnel. Si un fournisseur ne peut pas satisfaire pleinement aux exigences de sécurité, la politique impose un processus formel de demande de dérogation, avec documentation, mesures compensatoires et approbation de la Direction générale. Le statut de dérogation déclenche des revues fréquentes et peut conduire à une renégociation des conditions ou à des audits complémentaires. Les fournisseurs constatés comme étant en non-conformité s’exposent à des pénalités contractuelles, à une suspension ou à une résiliation des services et des accès. Une mise en application stricte est assurée au moyen d’audits de conformité planifiés, de revues de la performance des fournisseurs et de sanctions disciplinaires en cas de contournement interne de la politique. La politique est revue au moins annuellement ou lors de changements significatifs de la stratégie d’approvisionnement, du paysage réglementaire, ou après des incidents majeurs impliquant des fournisseurs. Toutes les modifications et les résultats d’audit sont documentés et communiqués dans l’ensemble de l’organisation, afin de maintenir un programme de gouvernance des tiers entièrement traçable et conforme.