Security Questionnaire
Un security questionnaire est un ensemble de questions qu'un acheteur envoie à un fournisseur pour évaluer comment il protège les données et gère les risques de sécurité de l'information. Le fournisseur y répond lors du vendor due diligence, souvent avant la signature du contrat puis périodiquement.
On this page
Qu'est-ce qu'un Security Questionnaire ?
Un security questionnaire, appelé vendor security questionnaire aux États-Unis et supplier security questionnaire au Royaume-Uni, est le moyen pour un acheteur de vérifier qu'un fournisseur actuel ou potentiel respecte ses exigences en matière de sécurité et de protection des données avant de lui confier des systèmes, des données ou des infrastructures. Il peut aller d'une courte checklist de quinze ou vingt points à un document détaillé de plusieurs centaines de questions couvrant une douzaine de domaines de contrôle. Pour le fournisseur, le remplir avec précision et dans les délais est souvent une condition formelle pour gagner un nouveau contrat ou conserver un contrat existant, et pour de nombreux acheteurs grands comptes ou soumis à une forte régulation, une réponse incomplète ou peu convaincante suffit à suspendre ou à arrêter un processus d'achat.
Pourquoi les entreprises envoient-elles des Security Questionnaires ?
Les organisations qui traitent des données en sont légalement et opérationnellement responsables, y compris pour les parties de ces données gérées par des fournisseurs tiers. Le Security Questionnaire est l’outil dont dispose un acheteur pour piloter le third-party risk management : il crée une trace écrite prouvant que l’acheteur a évalué la posture de sécurité d’un fournisseur avant de lui accorder l’accès.
Cette pratique est particulièrement répandue dans les secteurs du logiciel et de la technologie, des services financiers, de la santé et dans d’autres secteurs réglementés où les conséquences d’une violation de données sont graves et où les régulateurs exigent explicitement des preuves de la supervision des tiers. Des réglementations comme DORA (le règlement européen sur la résilience opérationnelle numérique, applicable à partir de janvier 2025) et NIS2 imposent aux entités réglementées de gérer et de documenter le risque fournisseur, ce qui a fortement augmenté le volume de questionnaires dans les chaînes d’approvisionnement européennes. Les security questionnaires sont généralement déclenchés lors de l’évaluation initiale d’un fournisseur, juste avant l’onboarding, puis à intervalles réguliers (généralement une fois par an) tout au long de la relation.
Que couvre un Security Questionnaire ?
La portée d'un Security Questionnaire reflète les domaines où les faiblesses d'un fournisseur peuvent exposer l'acheteur à des risques. Les principaux domaines couverts incluent :
- Contrôle d'accès et authentification, qui couvre la façon dont le fournisseur gère les comptes utilisateurs, les mots de passe, l’authentification multifacteur et les accès privilégiés.
- Protection des données et chiffrement, qui décrit comment les données sont classifiées, chiffrées en transit et au repos, puis conservées ou supprimées.
- Sécurité réseau et applicative, couvrant les contrôles de périmètre, la gestion des vulnérabilités, la gestion des correctifs et les tests d'intrusion.
- Continuité d'activité et réponse aux incidents, couvrant les plans de reprise après sinistre, les objectifs de temps de rétablissement et le processus de notification des clients après un incident.
- Conformité et certifications, qui couvre le fait que le fournisseur détienne ou non des certifications tierces reconnues, comme ISO/IEC 27001, ou ait réalisé un audit SOC 2, ainsi que la manière dont il aligne ses contrôles sur les réglementations pertinentes.
- Risque lié aux sous-traitants et à la chaîne d'approvisionnement, qui précise sur quels prestataires de quatrième niveau le fournisseur s'appuie et comment il les évalue.
De nombreux acheteurs demandent des éléments de preuve à l’appui des réponses. Un rapport SOC 2 Type II, un certificat ISO 27001 ou un résumé exécutif de test d’intrusion peut permettre de répondre par avance à une grande partie d’un questionnaire standard et de réduire les allers-retours entre acheteur et fournisseur.
Quels sont les principaux frameworks de Security Questionnaire ?
Plutôt que de rédiger des questions sur mesure à partir de zéro, de nombreux acheteurs s’appuient sur des frameworks partagés qui couvrent les principaux domaines de contrôle. Cela réduit les doublons pour les deux parties : un fournisseur qui a déjà répondu à un questionnaire SIG pour un client peut réutiliser une grande partie de ce travail pour un autre.
| Framework | Nom complet | Géré par |
|---|---|---|
| SIG | Standardized Information Gathering | Shared Assessments |
| CAIQ | Consensus Assessments Initiative Questionnaire | Cloud Security Alliance |
| VSA | Questionnaire Vendor Security Alliance | Vendor Security Alliance (coalition sectorielle) |
SIG (Standardized Information Gathering)
Le questionnaire SIG est géré par Shared Assessments, une organisation membre spécialisée dans les bonnes pratiques de gestion des risques liés aux tiers. Il est disponible en deux versions : une version allégée, SIG Lite (qui couvre les domaines de contrôle les plus prioritaires), et une version complète, SIG Full (qui couvre 18 domaines ou plus avec des centaines de questions). Le SIG est structuré pour s’aligner sur un large éventail de cadres réglementaires et sectoriels, ce qui le rend particulièrement populaire auprès des institutions de services financiers et des équipes achats de grandes entreprises qui opèrent sous de multiples obligations de conformité en parallèle.
CAIQ (Consensus Assessments Initiative Questionnaire)
Le CAIQ est publié par la Cloud Security Alliance et est conçu spécifiquement pour les fournisseurs de services cloud. Il s’appuie sur la Cloud Controls Matrix (CCM), un référentiel de contrôles de sécurité alignés sur les réglementations et normes pertinentes pour le cloud. Les réponses complètes au CAIQ peuvent être soumises au registre CSA STAR, un référentiel public où les acheteurs potentiels peuvent examiner la posture de sécurité autoévaluée d’un fournisseur avant de lancer leur propre évaluation. Le CAIQ est ainsi souvent le premier point de passage pour les acheteurs qui évaluent des fournisseurs SaaS et d’infrastructure.
VSA (questionnaire Vendor Security Alliance)
La Vendor Security Alliance est une coalition d'entreprises technologiques qui ont élaboré un questionnaire commun afin de réduire la charge liée à des centaines d'évaluations redondantes. Le questionnaire VSA est disponible en version complète et en version cœur plus courte. Ses origines, portées par ses membres, font qu'il reflète les priorités opérationnelles des acheteurs de solutions technologiques et qu'il est largement utilisé dans le secteur des logiciels d'entreprise.
Même avec ces frameworks en place, de nombreux acheteurs continuent d’envoyer leurs propres fichiers Excel sur mesure ou questionnaires via portail, ce qui oblige les fournisseurs à répondre régulièrement aux mêmes questions de fond simplement reformulées, et ce sur plusieurs demandes simultanées. Détenir une certification reconnue comme ISO/IEC 27001 ou un rapport SOC 2 à jour réduit considérablement cette charge, car les preuves auditées répondent par avance à une grande partie des questions standard sur les domaines de contrôle.
En quoi un Security Questionnaire est-il différent d'un DDQ ?
Un due diligence questionnaire (DDQ) est une évaluation fournisseur plus large qui couvre la solidité financière, la situation juridique, la protection des données, la gouvernance et la sécurité de l'information. Un security questionnaire est le volet sécurité de l'information de cette évaluation plus globale, et il est souvent envoyé soit comme document autonome, soit intégré dans un DDQ.
Les termes sont utilisés de manière assez souple et se recoupent dans la pratique. Certains acheteurs envoient un document unique et l’appellent un DDQ, d’autres isolent la partie sécurité et l’envoient séparément, souvent à une autre équipe interne (sécurité ou IT plutôt qu’achats). Dans les contextes d’investissement et de private equity, « DDQ » désigne généralement un due diligence questionnaire de gestionnaire de fonds utilisé par des investisseurs institutionnels, qui est un document distinct avec un périmètre différent. Le sens lié à la sécurité fournisseur décrit dans cette entrée est l’usage le plus courant en procurement B2B.
Comment les fournisseurs répondent-ils à un Security Questionnaire ?
Les fournisseurs répondent à partir d'une base de connaissances tenue à jour, composée de réponses approuvées et de preuves à l'appui. Chaque nouvelle question est rapprochée d'une réponse existante, avec un relecteur qualifié qui garde la main avant l'envoi. La vraie difficulté est opérationnelle : le volume de questionnaires reçus, la diversité des formats et les mêmes questions reformulées dans des dizaines de modèles d'acheteurs, chacun avec sa propre échéance. Nous couvrons ce processus de réponse de bout en bout dans le guide du processus de réponse aux questionnaires et sur notre page Security Questionnaire Response.
Où SEQUESTO s’intègre
Les security questionnaires ont deux faces : l'acheteur les envoie pour évaluer un fournisseur, et le fournisseur les remplit pour gagner ou conserver le contrat. Le SEQUESTO aOS est conçu pour le côté fournisseur de ce processus.
Si votre équipe répond à des security questionnaires, le SEQUESTO aOS vous aide à répondre plus vite à partir d'une base de connaissances fiable et réutilisable, garantit que chaque réponse est exacte, sourcée et traçable, et maintient une personne aux commandes du dernier mot avant tout envoi. Il ingère chaque questionnaire entrant, quel que soit son format, utilise Reference Mapping pour faire correspondre chaque question à vos réponses et preuves approuvées, puis génère des réponses sourcées que le relecteur n'a plus qu'à valider au lieu de les rédiger depuis zéro.
En savoir plus sur la réponse aux Security Questionnaires et l'automatisation des Security Questionnaires.