Le questionnaire SIG (Shared Assessments Standard Information Gathering) est une norme unifiée permettant d'évaluer les risques liés aux fournisseurs dans plusieurs domaines. Mitratech est titulaire d'une licence pour ces questionnaires SIG et les inclut dans sa solution de gestion des risques liés aux tiers.
Le questionnaire SIG 2026 Shared Assessments a évolué pour aborder les deux principaux enjeux en matière de risques : le déploiement rapide de l'IA tierce et les défis liés à la résilience des chaînes d'approvisionnement complexes.
Ci-dessous, nous aborderons les principales mises à jour du SIG 2026, la nouvelle répartition des questions et leur signification pour votre programme.
Quelles sont les nouveautés dans SIG 2026 ?
La mise à jour SIG 2026 élargit son champ d'application afin de refléter la réalité d'une chaîne d'approvisionnement interconnectée numériquement. Bien qu'aucun nouveau domaine de risque n'ait été ajouté, la version 2026 codifie explicitement la gouvernance de l'IA et la résilience opérationnelle en tant qu'exigences standard, ajoute des correspondances critiques aux normes industrielles pertinentes et introduit de nouvelles questions qui ciblent des domaines spécifiques à haut risque.
Nouveau questionnaire SIG Contenu et correspondances entre les normes
La mise à jour SIG 2026 répond directement au besoin du marché en matière de contrôles standardisés de l'IA et de la résilience.
Mappage ISO 42001 : normalisation de la gouvernance de l'IA
L'ajout le plus significatif est la mise en correspondance complète avec la norme ISO 42001, la norme internationale pour les systèmes de gestion de l'IA.
Les évaluations précédentes reposaient souvent sur des questions ponctuelles concernant l'utilisation de l'IA. La norme SIG 2026 uniformise cette approche, vous permettant d'évaluer les fournisseurs sur l'ensemble du cycle de vie de l'IA, de la collecte de données et de la formation des modèles au déploiement et à la surveillance des biais.
Cela permet de transformer efficacement le risque lié à l'« IA fantôme » en un indicateur visible et évaluable. Vous pouvez désormais interroger systématiquement les fournisseurs sur leurs contrôles internes en matière de gouvernance de l'IA à l'aide de normes reconnues dans le secteur.
Alignement du cadre de résilience opérationnelle (ORF)
S'appuyant sur la dynamique créée par l'introduction de DORA et NIS2 en 2025, le SIG 2026 intègre le cadre de résilience opérationnelle du Business Resilience Council (BRC).
Les questions ne se limitent plus à vérifier l'existence d'un plan de reprise après sinistre, mais visent également à valider la capacité d'un fournisseur à maintenir les opérations critiques pendant les perturbations.
De nouvelles questions portent sur la cartographie des interdépendances, exigeant des fournisseurs qu'ils démontrent leur connaissance de leurs propres dépendances critiques en aval. Cela est essentiel pour se conformer aux nouvelles réglementations européennes qui exigent une visibilité sur l'ensemble de la chaîne d'approvisionnement, et pas seulement sur les fournisseurs directs.
Mise à jour de la norme NIST SP 800-171
Avec le renforcement des contrôles sur la base industrielle de défense (DIB) et les informations non classifiées contrôlées (CUI), la mise en conformité avec la norme NIST 800-171 a été considérablement approfondie.
Cette mise à jour offre une visibilité plus détaillée sur les contrôles de confidentialité des données et les délais de déclaration spécifiques requis par les nouvelles réglementations telles que la CIRCIA.
Portée, convivialité et SIG EV
De plus, la version 2026 introduit les « Hover Helpers », des conseils intégrés pour les contrôles afin de réduire les allers-retours avec les fournisseurs pour obtenir des clarifications. Elle formalise également les préréglages de portée (Lite, Core, Detail) afin d'aider les équipes à adapter rapidement la profondeur du questionnaire au profil de risque du fournisseur sans avoir à effectuer de modifications manuelles.
Début 2026, Shared Assessments prévoit également de lancer SIG EV (Evolution), une plateforme SaaS basée sur le cloud conçue pour remplacer le flux de travail traditionnel, qui repose largement sur Excel. Bien que le format « classeur » Excel reste disponible, le passage à une interface basée sur un navigateur promet d'éliminer les casse-tête liés aux macros qui caractérisaient le système précédent, en offrant une collaboration en temps réel, des tableaux de bord et une validation plus facile.
Que signifient les mises à jour SIG 2026 pour le TPRM ?
Pour les professionnels du risque, la mise à jour 2026 du SIG indique que le risque lié à l'IA et la résilience opérationnelle ne sont plus des sujets émergents, mais font désormais partie intégrante de la diligence raisonnable.
- La diligence raisonnable en matière d'IA est désormais obligatoire : avec les questions ISO 42001 disponibles, le fait de ne pas contrôler les fournisseurs en matière de gouvernance de l'IA peut être considéré comme une lacune dans la surveillance.
- La résilience nécessite des preuves : la conformité à la directive DORA et à d'autres réglementations similaires exige d'aller au-delà d'une simple planification de la continuité des activités pour passer à des tests de résilience fondés sur des preuves.
- Efficacité grâce à l'intégration : la richesse du nouveau contenu souligne la nécessité de disposer de plateformes automatisées capables d'ingérer, de cartographier et d'évaluer ces ensembles de données complexes, afin que votre équipe puisse se concentrer sur la correction plutôt que sur la collecte de données.
Intégration SIG transparente : l'avantage Mitratech
Alors que Shared Assessments lance sa propre plateforme cloud (SIG EV) pour abandonner Excel, les clients de Mitratech sont déjà en mesure de tirer immédiatement parti de ces mises à jour.
Notre plateforme TPRM est conçue pour absorber cette complexité. La solution Mitratech TPRM intègre directement le contenu SIG 2026 mis à jour dans votre flux de travail existant. Cela signifie que vous pouvez déployer la nouvelle norme ISO 42001 et les questions axées sur la résilience sans avoir à naviguer sur un portail distinct ou à gérer des feuilles de calcul manuelles.
Avec Mitratech TPRM, vous bénéficiez :
- Cartographie automatisée : les réponses des fournisseurs aux nouvelles questions 2026 sont automatiquement mises en correspondance avec vos cadres de risque internes (y compris ISO et NIST).
- Portée dynamique : grâce aux préréglages de portée « Lite », « Core » et « Detail » du SIG, notre plateforme vous aide à dimensionner instantanément les évaluations, en veillant à ce que les fournisseurs à faible risque ne soient pas soumis à des questionnaires IA à haut risque.
- Vue unifiée : les données provenant de ces nouveaux domaines SIG sont directement intégrées à votre registre des risques, vous offrant ainsi une vue immédiate et fiable de votre posture en matière d'IA et de résilience à l'échelle de l'entreprise étendue.
Téléchargez le dernier guide définitif SIG pour découvrir comment appliquer le questionnaire SIG dans votre programme TPRM, ou demandez dès aujourd'hui une démonstration pour découvrir comment la solution Mitratech TPRM peut optimiser votre programme de gestion des risques fournisseurs.
