L'étude Mitratech 2025 sur la gestion des risques liés aux tiers (TPRM) délivre un message clair : le paysage des risques liés aux tiers évolue vers un écosystème complexe et interconnecté, dans lequel chaque fournisseur, prestataire et partenaire joue un rôle essentiel. À mesure que cet écosystème se développe, les organisations sont soumises à une pression croissante pour s'adapter.
Cette étude, qui a interrogé des professionnels issus de divers secteurs et d'entreprises de différentes tailles, met en évidence un secteur à un tournant décisif, où les changements dans le climat réglementaire, l'adaptation technologique et le déséquilibre opérationnel menacent la santé du système.
Ci-dessous, nous examinons les principales conclusions de l'étude et ce qu'elles révèlent sur l'état actuel des écosystèmes tiers, ainsi que la manière dont les organisations résilientes cultivent des environnements de risque plus solides et plus équilibrés.
Conclusion n° 1 : manque de personnel et de préparation : une crise des ressources
Dans tout écosystème, une pénurie de gardiens et une prolifération d'espèces non contrôlées peuvent entraîner un déséquilibre. Dans le domaine de la gestion des risques liés aux fournisseurs, cela se traduit par près de 70 % des équipes qui signalent un manque de personnel, avec un écart de près de 30 % entre la taille réelle et la taille idéale des équipes. En conséquence, les organisations ne gèrent qu'environ 40 % de leur population de fournisseurs.
À l'instar d'une forêt non gérée où cohabitent différentes formes de vie, le manque de coordination exacerbe les risques. Moins de 25 % des programmes sont « hautement coordonnés » et près de la moitié citent le cloisonnement des services comme un obstacle majeur. La responsabilité des risques est fragmentée : les équipes chargées de la sécurité de l'information et des risques supervisent la stratégie, le service des achats gère la base de données des fournisseurs et les unités commerciales entretiennent les relations quotidiennes, souvent sans grande communication entre elles.
Implication : sans une gestion coordonnée, l'écosystème tiers devient confus. Pour prospérer, les organisations doivent coordonner les rôles et favoriser le partage des responsabilités tout au long du cycle de vie des fournisseurs.
Constat n° 2. La pression réglementaire redessine le paysage de la gestion des risques liés aux relations commerciales (TPRM)
Tout comme un changement soudain des conditions météorologiques perturbe un habitat naturel, la surveillance réglementaire modifie l'environnement TPRM. Les équipes chargées de la conformité, qui étaient autrefois des observateurs périphériques, agissent désormais comme des régulateurs de l'écosystème, leur présence dans le TPRM passant de 42 % en 2023 à 88 % en 2025.
Cette influence croissante favorise une plus grande responsabilisation et une meilleure gestion des données. Alors que les organisations s'adaptent à l'évolution du contexte réglementaire en matière de confidentialité des données et de résilience opérationnelle, elles rééquilibrent leurs responsabilités internes et renforcent leur surveillance des écosystèmes de fournisseurs.
Implication : la réglementation n'est plus un bruit de fond, mais une force dominante qui influence le climat. Les programmes doivent intégrer la conformité dans leur ADN opérationnel afin de garantir leur adaptabilité et la santé à long terme de l'écosystème.
Constat n° 3. La cybersécurité reste prédominante, mais les horizons de risque s'élargissent
Tout comme les écosystèmes dépendent d'espèces clés, la cybersécurité reste le risque le plus surveillé (85 %). Mais les gestionnaires de risques élargissent désormais leur surveillance pour inclure la confidentialité des données (79 %), la conformité (70 %) et la continuité des activités (64 %), reconnaissant ainsi la nature symbiotique et interdépendante des risques modernes.
Les départements tels que la sécurité de l'information, la gestion des risques et la confidentialité des données jouent un rôle de plus en plus important au sein de l'écosystème, reflétant une évolution vers la gestion d'un éventail plus large de menaces à l'échelle de l'organisation.
Implication : le TPRM doit évoluer pour refléter la biodiversité dans les risques, accroître la visibilité et renforcer la coopération interdépartementale au sein de l'entreprise.
Conclusion n° 4. Les outils manuels nuisent à la compréhension et à la préparation aux incidents
Dans un écosystème, des outils de surveillance inadéquats peuvent conduire à passer à côté des premiers signes de déséquilibre, qu'il s'agisse d'une épidémie au sein d'une population ou d'un changement dans la qualité de l'eau. Il en va de même pour la TPRM. Malgré une complexité croissante, 41 % des organisations continuent de s'appuyer sur des tableurs pour évaluer les tiers. Si 60 % d'entre elles estiment que ces outils répondent à leurs besoins fondamentaux, seules 29 % sont en mesure de déterminer les risques à chaque étape du cycle de vie des fournisseurs, et seulement 15 % se sentent prêtes à réagir en cas d'incident impliquant un tiers.
Cette mosaïque d'outils, souvent peu intégrés, limite la visibilité, nuit à l'agilité et empêche une gestion proactive.
Implication : les outils obsolètes équivalent à surveiller une forêt à l'aide d'une loupe. Pour créer un écosystème de gestion des risques résilient et adaptable, les organisations doivent investir dans des plateformes intégrées qui offrent des informations complètes en temps réel.
Conclusion n° 5. L'IA dans la gestion des risques liés aux fournisseurs : un optimisme prudent confronté à des obstacles à la mise en œuvre
L'intelligence artificielle apparaît comme une nouvelle espèce puissante au sein de l'écosystème TPRM, capable d'automatiser des tâches, d'accélérer la génération d'informations et de centraliser les données sur les risques. Aujourd'hui, 14 % des programmes utilisent activement l'IA et 65 % explorent ses capacités.
La prudence reste toutefois de mise. Les préoccupations liées à la sécurité des données, à l'opacité des algorithmes et au manque de contrôle humain font que de nombreuses organisations en sont encore à tâter le terrain. Néanmoins, les bases sont en train d'être posées : seuls 12 % citent aujourd'hui l'absence de stratégie en matière d'IA comme un obstacle, contre 49 % en 2024.
Implication : l'IA est un organisme prometteur mais sensible dans l'habitat TPRM. Une introduction, une gouvernance et une surveillance prudentes seront essentielles pour réaliser son plein potentiel sans perturber l'équilibre.
Rééquilibrez votre écosystème de risques liés aux tiers
Dans l'étude annuelle 2025 sur la gestion des risques liés aux tiers
Lire le rapport completPerspectives d'avenir : l'essor de la gestion connectée des risques
L'étude révèle un secteur qui reconnaît la valeur d'un écosystème de risques interconnecté et symbiotique. Les organisations tournées vers l'avenir sont :
- Éliminer les cloisonnements grâce à une gouvernance interfonctionnelle
- Intégrer la conformité dans les processus de gestion des risques en tant que mesure de protection structurelle
- Tirer parti de l'automatisation et de l'IA pour renforcer la résilience de l'écosystème
- Élargir la surveillance des risques afin de tenir compte d'un éventail plus large de menaces « environnementales »
Recommandations pour la mise en place d'un programme TPRM résilient
Pour maintenir l'équilibre et la durabilité de leurs écosystèmes tiers, les organisations devraient envisager les meilleures pratiques suivantes :
1. Mettre en place une gouvernance transversale
Unifier la gestion des risques, la conformité, les achats et la sécurité informatique dans un cadre commun avec des protocoles clairs en matière de responsabilité.
2. Mettre en œuvre l'IA de manière réfléchie
Commencez modestement avec l'IA : appliquez-la dans des domaines à faible risque tout en établissant des politiques de transparence, de surveillance et de sécurité.
3. Automatiser pour compenser les pénuries de ressources
Identifier les goulots d'étranglement manuels et donner la priorité à l'automatisation des fonctions d'évaluation, de surveillance et de reporting.
4. Intégrer la conformité dans les processus de gestion des risques
Intégrez les exigences réglementaires dans vos processus de diligence raisonnableet de surveillance afin de garder une longueur d'avance sur les exigences d'audit.
5. Adopter des évaluations des risques à plusieurs niveaux
Segmentez les fournisseurs en fonction du niveau de risque et appliquez des évaluations proportionnées en utilisant à la fois des sources d'informations traditionnelles et dynamiques.
Prochaines étapes : entretenez votre écosystème TPRM
Tout comme les biologistes comprennent que les écosystèmes sont fragiles et interconnectés, les professionnels du risque doivent réaliser que la résilience ne provient pas de poches isolées d'excellence, mais bien des liens qui existent entre elles. Votre organisation n'est pas un organisme isolé, elle fait partie d'un tout beaucoup plus vaste. Il est temps de prendre soin de votre écosystème.
Laissez-nous vous aider à créer un environnement plus sûr, plus intelligent et plus durable pour votre entreprise élargie.
