Explication du questionnaire SIG (Standard Information Gathering)

Découvrez les évaluations SIG Core et SIG Lite et comment vous pouvez les utiliser pour rationaliser votre programme de gestion des risques liés aux tiers.

Thomas Humphreys Février 26, 2026 5 minutes de lecture
Solutions GRC Mitratech

Qu'est-ce que le questionnaire SIG (Standard Information Gathering) ?

Le questionnaire SIG (Standard Information Gathering) est un questionnaire sur les risques liés aux tiers créé par l'organisation Shared Assessments. Le SIG est disponible en versions Core, Lite et Detail, qui fournissent aux organisations des bibliothèques de questions standardisées permettant de mesurer les risques liés aux tiers dans 21 domaines différents. Chaque question est mise en correspondance avec des contrôles de sécurité issus de dizaines de cadres et d'exigences de conformité, ce qui permet de normaliser les risques liés aux tiers et d'améliorer le respect des exigences de conformité TPRM fondamentales.

SIG Core vs SIG Lite, quelle est la différence ?

Commençons par expliquer brièvement la différence entre SIG Core et SIG Lite. Les grandes entreprises utilisent largement ces deux référentiels de questions en fonction de leurs besoins, de la maturité de leurs programmes de gestion des risques liés aux tiers et des types d'exigences de conformité auxquelles elles doivent se conformer.

Qu'est-ce que SIG Lite ?

SIG Lite est un questionnaire sur les risques liés aux tiers qui fournit une vue d'ensemble des systèmes internes de contrôle de l'information d'une entreprise, y compris une évaluation de base de la diligence raisonnable. Avec ses 133 questions, SIG Lite peut servir d'évaluation préliminaire avant de procéder à une évaluation plus approfondie. Les questions SIG Lite peuvent également être utilisées lorsqu'un fournisseur ou un prestataire tiers présente un faible niveau de risque profilé et nécessite moins de diligence raisonnable que les fournisseurs à haut risque.

Qu'est-ce que SIG Core ?

Le questionnaire SIG Core (SIG) est un questionnaire complet sur les risques liés aux tiers, conçu pour évaluer les tiers qui stockent ou conservent des informations sensibles et réglementées. Il fournit des informations détaillées sur la manière dont un tiers protège les informations, en incluant quatre thèmes et 810 questions couvrant 21 sujets liés aux risques. SIG Core permet également aux organisations de sélectionner et de personnaliser les questions auxquelles elles souhaitent obtenir des réponses pour chaque fournisseur. Il couvre également de manière exhaustive les exigences légales et les meilleures pratiques en matière de protection des informations personnelles.

Quels sont les 21 domaines du SIG ?

Le SIG est un questionnaire complet d'évaluation des risques qui comprend des séries de questions définies dans les domaines suivants :

  1. Contrôle d'accès
  2. Gestion des applications
  3. Intelligence artificielle
  4. Gestion des actifs et de l'information
  5. Services en nuage
  6. Gestion de la conformité
  7. Gestion des incidents de cybersécurité
  8. Sécurité des points finaux
  9. Gestion du risque d'entreprise
  10. Environnement, social et gouvernance (ESG)
  11. Ressources humaines Sécurité
  12. Assurance de l'information
  13. Gestion des opérations informatiques
  14. Sécurité des réseaux
  15. Gestion des tiers
  16. Résilience opérationnelle
  17. Sécurité physique et environnementale
  18. Gestion de la vie privée
  19. Sécurité du serveur
  20. Gestion des risques de la chaîne d'approvisionnement
  21. Gestion des menaces

Cas d'utilisation du questionnaire SIG

Le questionnaire standard de collecte d'informations offre aux organisations un guichet unique pour élaborer leurs évaluations des risques liés aux tiers et les mettre en correspondance avec les cadres de sécurité et les exigences de conformité applicables.

Améliorer les évaluations des risques liés aux tiers

Les évaluations des risques liés aux tiers sont au cœur d'un programme efficace de gestion des risques liés aux tiers. Les questionnaires SIG Lite ou SIG Core sont régulièrement mis à jour, ce qui permet aux entreprises d'évaluer les fournisseurs, les prestataires et autres tiers par rapport aux meilleures pratiques actuelles en matière de sécurité de l'information et de gestion des risques liés aux tiers.

Mettre en correspondance les contrôles de sécurité des fournisseurs avec les exigences de conformité

La plupart des entreprises doivent se conformer à de nombreuses exigences en matière de conformité et de sécurité publiées par les organismes gouvernementaux et exigées par les clients. Voici quelques exemples de réglementations gouvernementales qui correspondent aux questions SIG :

  • NIST CSF 2.0 (Nouveauté pour 2025)
  • NIST SP 800-53
  • NIST SP 800-161r1
  • NIST AI 100-1
  • HIPAA
  • DORA (Nouveauté pour 2025)
  • NIS2 (Nouveauté pour 2025)
  • GDPR
  • Directives interinstitutionnelles sur les relations avec des tiers : gestion des risques
  • CMMC
  • CCPA
  • FEDRAMP
  • Lignes directrices de l'ABE sur l'externalisation
  • La loi allemande sur la chaîne d'approvisionnement
  • Directives climatiques du DFS de New York

Les réglementations applicables au secteur privé comprennent :

  • PCI DSS
  • Contrôles de sécurité critiques CIS
  • ISO 27001
  • ISO 27002
  • SOC 2

L'utilisation de SIG Core permet à votre organisation de normaliser une évaluation des risques unique applicable à plusieurs secteurs et de mettre automatiquement en correspondance les réponses à plusieurs réglementations et cadres afin de respecter les obligations réglementaires et les engagements envers les clients de votre organisation.

Automatiser la collecte de données sur les risques liés aux tiers

De nombreuses organisations utilisent SIG Core et SIG Lite en conjonction avec une solution tierce dédiée à la gestion des risques, qui automatise et accélère la distribution, la collecte, l'analyse et la communication des évaluations. L'utilisation d'une solution TPRM offre de nombreux avantages, notamment :

  • Enrichir les réponses au questionnaire SIG grâce aux conclusions issues d'une surveillance continue de la cybersécurité, des activités commerciales, de la réputation et des finances.
  • Mise en correspondance des réponses aux questionnaires SIG Core et SIG Lite avec les exigences de conformité, les normes et les cadres supplémentaires
  • Automatisation de la collecte des questionnaires et des rappels aux fournisseurs afin de rationaliser le processus de questionnaire sur les risques liés aux fournisseurs.
  • Simplification des mesures correctives grâce à des conseils intégrés, un flux de travail et des communications avec les fournisseurs
  • Personnalisation des rapports en fonction des parties prenantes ou du cadre réglementaire
  • Offrir un référentiel centralisé pour stocker et analyser les preuves justificatives.
  • Intégration dans des plateformes plus larges de gestion des risques d'entreprise ou dans d'autres applications commerciales

Créer des questionnaires à plusieurs niveaux sur les risques liés aux fournisseurs

De nombreuses organisations commencent leur programme de gestion des risques liés aux tiers en élaborant un questionnaire unique sur les risques liés aux fournisseurs, qui englobe leur compréhension actuelle des exigences en matière de sécurité de l'information et de conformité des tiers. Cependant, à mesure que les organisations mûrissent, beaucoup constatent qu'il est beaucoup plus judicieux d'élaborer des questionnaires à plusieurs niveaux pour les fournisseurs, basés sur les risques inhérents, afin de gérer efficacement les risques tout en optimisant le temps et les taux de réponse des fournisseurs.

SIG Core et SIG Lite contiennent tous deux des questions qui peuvent être utilisées pour créer plusieurs questionnaires sur les risques liés aux tiers pour les fournisseurs et les prestataires. L'utilisation de questionnaires plus complets pour les fournisseurs à haut risque et la réalisation d'évaluations moins approfondies pour les fournisseurs à faible risque peuvent considérablement rationaliser le processus et vous permettre de vous concentrer sur les risques liés aux tiers les plus importants.

Comment Mitratech vous aide

Prêt à mettre le SIG en pratique ? Mitratech peut vous aider. Nous proposons des licences pour les questionnaires SIG Core et SIG Lite dans notre solution de gestion des risques tiers, afin de vous aider à :

  • Automatisez la collecte et l'analyse des réponses au questionnaire SIG et des preuves à l'appui grâce à une solution unique.
  • Simplifiez les rapports réglementaires et de sécurité grâce à des mappages de contrôle intégrés supplémentaires.
  • Bénéficiez d'une meilleure visibilité sur les risques liés aux fournisseurs grâce à l'analyse et au reporting basés sur l'apprentissage automatique.
  • Réduisez les risques de manière proactive grâce à l'accès à des conseils centralisés en matière de remédiation.
  • Fournissez à votre équipe un accès fiable à la dernière version du questionnaire SIG.
  • Complétez et validez les réponses au questionnaire SIG grâce à une surveillance continue des risques cybernétiques, commerciaux, réputationnels, ESG et financiers.

Demandez une démonstration pour en savoir plus sur nos solutions d'automatisation de vos évaluations SIG.

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.