Pourquoi faire des audits fournisseurs ?
Les audits fournisseurs, également appelés audits tiers, sont essentiels pour évaluer la conformité et la fiabilité de vos partenaires externes en matière de sécurité de l'information. Lorsqu’il est réalisé avant une contractualisation, ils vous permettent de réduire les risques liés à la sous-traitance et d'assurer la protection de vos données et de vos activités contre les menaces potentielles.
Réalisé après une contractualisation, l’audit permet et surveiller la mise en œuvre des mesures de sécurité contractualisées (dans le cadre d’un Plan d’assurance Sécurité par exemple), ou bien tout simplement d’évaluer le niveau de sécurité du fournisseur. Ces audits peuvent donc être considérés comme des outils d’aide à la prise de décision quant à la conservation de la relation : avec ou sans mesure de sécurité contractuelle complémentaires.
Quand faire des audits fournisseurs ?
Les audits fournisseurs sont recommandés dans les situations suivantes :
• Avant de conclure un contrat avec un nouveau fournisseur ou prestataire de services.
• Périodiquement, pour s'assurer de la conformité et de la fiabilité des partenaires existants.
• En cas de modification significative des services ou des processus fournis par le fournisseur.
Comment se déroulent les audits fournisseurs ?
Préparation
Définition des critères d'audit, sélection des fournisseurs à auditer et planification des ressources.
Collecte des Informations
Rassemblement des documents et des données pertinentes sur les pratiques de sécurité du fournisseur.
Évaluation sur site
Réalisation d'une évaluation sur site ou sur la base documentaire complétée par des enregistrements / éléments de preuve pour vérifier la conformité aux normes et aux exigences contractuelles.
Analyse des résultats
Évaluation des résultats de l'audit et identification des écarts et des risques potentiels.
Rapport et suivi
Rédaction d'un rapport d'audit détaillé incluant des recommandations.