Le guide complet pour une surveillance efficace des risques liés aux tiers

Un programme complet de surveillance des risques liés aux tiers peut vous aider à atténuer l'impact des violations de données des fournisseurs, des perturbations de la chaîne d'approvisionnement et de la mauvaise presse sur votre organisation.

Image décorative

Les violations de données impliquant des tiers représentent désormais 35,5 % de l'ensemble des violations confirmées à l'échelle mondiale, contre 29 % l'année précédente, selon le dernier rapport mondial sur les violations de données impliquant des tiers publié par SecurityScorecard. L'écart entre ces deux chiffres correspond à des milliers d'incidents, à des milliards de pertes et à un changement fondamental dans la nature des risques auxquels sont confrontées les entreprises.

Les autorités de régulation ont pris le virage. La loi DORA est entrée en vigueur en janvier 2025, imposant des obligations explicites de surveillance continue aux prestataires tiers du secteur des TIC. La politique de l’OFAC en matière d’application de la loi a évolué vers une approche axée sur la responsabilité des « gardiens », qui tient les organisations pour responsables des actions menées par leurs fournisseurs en leur nom. Pour les entreprises des secteurs réglementés, la surveillance des risques liés aux tiers est désormais une obligation de conformité.

Contenu :
  1. Qu'est-ce que la surveillance des risques liés aux tiers ?
  2. Pourquoi le suivi continu est-il plus efficace que l'évaluation périodique ?
  3. Quelle est la place de la surveillance des risques liés aux tiers dans le cycle de vie de la gestion des risques liés aux tiers (TPRM) ?
  4. Quels sont les cinq domaines de la surveillance des risques liés aux tiers ?
  5. Quelles sont désormais les exigences des autorités de régulation vis-à-vis des programmes de surveillance menés par des tiers ?
  6. Quelles sont les lacunes les plus courantes dans les programmes de surveillance par des tiers ?
  7. Comment mettre en place un programme de surveillance des risques liés aux tiers ?
  8. Questions fréquemment posées

Qu'est-ce que la surveillance des risques liés aux tiers ?

La surveillance des risques liés aux tiers (surveillance TPRM) — parfois appelée « surveillance des fournisseurs tiers » ou « surveillance des risques fournisseurs » — consiste à collecter et analyser en continu des données observables en externe concernant les fournisseurs, prestataires et prestataires de services, afin d’identifier les risques liés à la cybersécurité, aux aspects financiers, à la réputation, aux opérations et à la géopolitique avant qu’ils n’affectent votre organisation. Il s'agit d'un élément central de tout programme mature de gestion des risques liés aux tiers (TPRM) et occupe une place centrale tant dans la méthodologie de gestion des risques liés aux fournisseurs (VRM) que dans celle de gestion des risques liés à la chaîne d'approvisionnement.

La distinction entre le suivi et l'évaluation est fondamentale. Une évaluation des risques est périodique : il s'agit d'un questionnaire ou d'un audit ponctuel réalisé lors de l'intégration d'un fournisseur ou selon un calendrier défini. Le suivi, quant à lui, est continu : il s'agit d'un flux continu d'informations sur ce qui se passe réellement chez vos fournisseurs entre deux cycles d'évaluation.

Ces deux éléments sont complémentaires. Chacun remplit une fonction distincte que l'autre ne peut pas remplacer. Une évaluation vous permet de savoir ce qu'un fournisseur affirme concernant ses contrôles de sécurité. La surveillance vous permet de vérifier si sa situation réelle correspond à ces affirmations, et si celle-ci a évolué depuis votre dernière vérification.

 

Surveiller en permanence les risques liés aux tiers afin de combler cette lacune

Pourquoi le suivi continu est-il plus efficace que l'évaluation périodique ?

Les questionnaires destinés aux fournisseurs ne donnent qu’un aperçu ponctuel. Ils vous indiquent à quoi ressemblaient les contrôles de votre fournisseur au moment où il a rempli le formulaire. Entre ce formulaire et votre prochaine évaluation prévue, un fournisseur peut être victime d’une fuite de données, se voir infliger une amende réglementaire, être mis en cause dans un audit sur l’esclavage moderne, être exposé à des sanctions secondaires ou subir un changement de direction qui modifie complètement son profil de risque. Rien de tout cela n’apparaîtra dans votre programme à moins que vous ne surveilliez activement la situation.

C'est pendant l'intervalle entre deux cycles d'évaluation que se produisent la plupart des incidents impliquant des tiers.

Pour combler cet écart, il faut s'appuyer en permanence sur des informations provenant de l'extérieur : un suivi continu de ce qui est réellement observable chez vos fournisseurs dans le monde, et pas seulement de ce qu'ils déclarent eux-mêmes.

Testez votre programme en situation réelle à chaque étape du cycle de vie du fournisseur.

Obtenir la liste de contrôle

Quelle est la place de la surveillance des risques liés aux tiers dans le cycle de vie de la gestion des risques liés aux tiers (TPRM) ?

La surveillance des risques liés aux tiers est particulièrement efficace lorsqu’elle s’inscrit comme un fil conducteur continu tout au long du cycle de vie complet du fournisseur: elle relie la diligence raisonnable lors de l’intégration, l’évaluation continue, la gestion des contrats et la sortie du fournisseur pour former une vision unique et évolutive des risques liés aux fournisseurs. C’est cette surveillance qui permet de maintenir cette vision à jour entre les points de contact programmés.

 

Quels sont les cinq domaines de la surveillance des risques liés aux tiers ?

Quels sont les cinq domaines de la surveillance des risques liés aux tiers ?

    1. Risque de cybersécurité : les vulnérabilités informatiques constituent le type de risque le plus fréquent dans les programmes de surveillance des tiers, et celui qui évolue le plus rapidement. Les acteurs malveillants ciblent spécifiquement les écosystèmes des fournisseurs, car un seul point de compromission leur permet d’accéder à plusieurs organisations en aval. Une surveillance efficace nécessite de rechercher les identifiants exposés sur le dark web, les vulnérabilités ouvertes dans les systèmes connectés à Internet, ainsi que les signaux provenant des forums criminels et des sites de partage de liens. Vendor Threat Monitor automatise cette surveillance à l’échelle des portefeuilles de fournisseurs et devrait s’étendre aux relations avec les « quatrièmes parties », où les angles morts réglementaires sont le plus souvent à l’origine d’une exposition aux violations de données.
    2. Risques financiers et de réputation : l’instabilité financière d’un fournisseur peut compromettre votre capacité à bénéficier des services prévus dans le contrat. Une amende réglementaire ou une violation éthique très médiatisée expose votre marque par association. Ces deux situations nécessitent des capacités de surveillance qui vont au-delà des outils standard de renseignement en matière de cybersécurité. Une surveillance continue des risques financiers et de réputation permet de suivre les informations financières publiques et privées, les articles de presse défavorables, les mesures coercitives prises par les autorités réglementaires et les procédures judiciaires. L’objectif est d’assurer une alerte précoce : être informé avant que la situation d’un fournisseur ne dégénère en une crise affectant vos opérations ou votre réputation.
    3. Risques liés au travail, à l’esclavage moderne et aux critères ESG : les autorités de régulation de plusieurs juridictions exigent désormais des organisations qu’elles mènent une diligence raisonnable continue tout au long de leurs chaînes d’approvisionnement afin de détecter les violations des droits de l’homme et de l’environnement, en mettant en place des processus documentés pour identifier, prévenir et remédier à ces violations. Parmi les principaux cadres réglementaires figurent la loi britannique de 2015 sur l’esclavage moderne (Modern Slavery Act), la loi australienne sur l’esclavage moderne, la loi californienne sur la transparence dans les chaînes d’approvisionnement(California Transparency in Supply Chains Act) et la loi allemande sur la diligence raisonnable dans la chaîne d’approvisionnement (Lieferkettensorgfaltspflichtengesetz, ou LkSG), en vigueur depuis janvier 2023 pour les entreprises de plus de 3 000 salariés et étendue aux entreprises de plus de 1 000 salariés à compter de janvier 2024. La directive européenne relative à la diligence raisonnable en matière de durabilité des entreprises (CS3D), initialement adoptée en 2024 et modifiée de manière substantielle par la directive « Omnibus I » de l’UE en février 2026, s’applique désormais aux entreprises comptant plus de 5 000 salariés et réalisant un chiffre d’affaires de 1,5 milliard d’euros ; les États membres sont tenus de la transposer d’ici le 26 juillet 2028 et les obligations de conformité prendront effet à compter du 26 juillet 2029. La surveillance dans ce domaine combine une évaluation, fondée sur des enquêtes, des pratiques de travail des fournisseurs avec une veille externe continue permettant de vérifier si les déclarations correspondent à la réalité opérationnelle.
    4. Risque géopolitique : Le risque lié à l’écosystème est la caractéristique déterminante de l’exposition aux sanctions modernes. Les désignations, en avril 2026, de Hengli Petrochemical et de plus de 40 entités de transport maritime affiliées, sanctionnées par l’OFAC pour leur participation à la « flotte fantôme » pétrolière iranienne, montrent comment les régulateurs ciblent de plus en plus simultanément l’ensemble des réseaux de la chaîne d’approvisionnement : acheteurs, intermédiaires logistiques et navires. Les entreprises se retrouvent exposées par le biais de relations situées à plusieurs niveaux de distance de l’infraction principale.Les risques liés à la cascade des droits de douane et à l’intégration de tiers émergent d’une autre direction. Les enquêtes parallèles menées par l’USTR au titre de la section 301 – l’une portant sur 16 pays pour surcapacité de production et la seconde sur 60 pays pour manquement à la lutte contre le travail forcé – devraient s’achever d’ici le 24 juillet 2026, date d’expiration des droits de douane d’urgence prévus par la section 122. Les entreprises qui réorientent leur approvisionnement en réaction à ces mesures intègrent de nouveaux fournisseurs plus rapidement que ne le permettent les cycles habituels de diligence raisonnable, introduisant ainsi des relations non vérifiées à des postes clés de la chaîne d’approvisionnement.

Six facteurs géopolitiques que votre programme de gestion des risques liés aux prix (TPRM) devrait surveiller

  • Surveiller en temps réel les modifications apportées aux listes de sanctions de l’OFAC, de l’UE, de l’ONU et du Royaume-Uni : signaler si des fournisseurs actuels ou leurs sous-traitants figurent sur les listes mises à jour
  • Vérification de l'exposition aux sanctions secondaires : déterminer si vos fournisseurs entretiennent des relations commerciales avec des entités désignées ou avec des contreparties situées dans des pays faisant l'objet de sanctions globales, même si vos fournisseurs eux-mêmes ne sont pas désignés
  • Suivre l'évolution des enquêtes menées au titre de l'article 301 de l'USTR et des enquêtes tarifaires ayant une incidence sur les relations avec les pays fournisseurs
  • Restez attentifs aux changements en matière de contrôle des exportations, aux obligations de localisation des données et aux restrictions sur les investissements étrangers dans les juridictions où opèrent vos principaux fournisseurs
  • Recenser les événements liés à l'instabilité géopolitique — conflits armés, changements de régime ou expropriations par les pouvoirs publics — dans les pays où sont concentrés les principaux fournisseurs ou leurs sous-traitants essentiels
  • Vérification des personnes politiquement exposées (PPE) et des liens avec les entreprises publiques : la vérification des PPE permet d’identifier les personnes occupant des fonctions publiques ou liées à celles-ci ; celle des entreprises publiques permet de signaler les entités détenues par l’État ou liées à celui-ci susceptibles d’entraîner un risque réglementaire ou de réputation. Les scores de l’indice de perception de la corruption (IPC) fournissent un contexte supplémentaire au niveau national pour les relations avec les fournisseurs dans les juridictions à haut risque.
  1. Risques liés aux « quatrièmes parties » et aux « n-ièmes parties » : les « quatrièmes parties » sont les fournisseurs de vos fournisseurs. Elles ne sont pas liées contractuellement à votre organisation, mais peuvent avoir une incidence significative sur votre profil de risque. Étendre la visibilité de la surveillance aux « quatrièmes parties » nécessite une collecte systématique de renseignements sur la chaîne d’approvisionnement étendue, y compris par le biais d’analyses passives. Ces analyses passives doivent permettre de recenser les technologies utilisées par les « quatrièmes parties » et de croiser ces informations avec les profils de vos fournisseurs directs afin d’identifier les risques de concentration avant qu’ils ne deviennent un vecteur de violation.

Quelles sont désormais les exigences des autorités de régulation vis-à-vis des programmes de surveillance menés par des tiers ?

Les cadres présentés ci-dessous ont été spécialement conçus pour les environnements dans lesquels les profils de risque des fournisseurs peuvent évoluer de manière significative entre deux cycles d'évaluation annuels. Leurs exigences en matière de suivi supposent une visibilité continue, et non des instantanés basés sur le calendrier. Pour les organisations concernées, le recours à une évaluation périodique seule constitue un manquement à la conformité.

La loi européenne sur la résilience opérationnelle numérique (DORA) est entrée en vigueur le 17 janvier 2025. L'article 28 impose aux établissements financiers de l'UE de tenir un registre exhaustif des accords contractuels conclus avec des prestataires de services TIC tiers, d'assurer un suivi continu de la conformité de ces prestataires et d'établir des stratégies de sortie documentées pour les prestataires TIC critiques. La loi DORA désigne les prestataires tiers critiques (CTPP) comme étant placés sous la surveillance directe des autorités européennes de surveillance. Les autorités nationales compétentes ont transmis leurs premiers registres TIC aux AES avant le 30 avril 2025.

La loi allemande sur la diligence raisonnable dans la chaîne d’approvisionnement (LkSG), en vigueur depuis janvier 2023, impose aux entreprises répondant aux critères de seuil prévus par cette loi de mettre en œuvre une diligence raisonnable continue en matière de droits de l’homme et d’environnement tout au long de leurs chaînes d’approvisionnement directes et indirectes, avec des processus documentés visant à identifier, prévenir et remédier aux violations. La loi impose une analyse annuelle des risques ainsi qu’une réévaluation immédiate en cas de changement significatif des conditions au sein de la chaîne d’approvisionnement.

Les exigences en matière de résilience opérationnelle de l’Autorité de conduite financière (FCA) et de l’Autorité de régulation prudentielle (PRA) du Royaume-Uni, qui sont entrées pleinement en vigueur en mars 2025, fixent des seuils de tolérance d’impact pour les services opérationnels essentiels et imposent de démontrer, par des tests, la résilience de ces services, y compris en ce qui concerne les dépendances vis-à-vis des fournisseurs. Les entreprises doivent établir une correspondance entre leurs services opérationnels essentiels et les accords avec des tiers qui les sous-tendent, et démontrer qu’elles sont en mesure de rester dans les limites de ces seuils de tolérance.

Les directives de l'OFACen matière de conformité aux sanctions exigent des organisations qu'elles mettent en place des programmes de conformité fondés sur l'évaluation des risques, comprenant notamment la vérification des fournisseurs.

Quelles sont les lacunes les plus courantes dans les programmes de surveillance par des tiers ?

  • Profils de risque figés dès l'intégration
    La plupart des organisations investissent massivement dans la diligence raisonnable préalable à l'intégration, mais ne mettent en place qu'un suivi limité une fois que le fournisseur est opérationnel. Un programme de suivi qui considère l'évaluation initiale comme un état figé passe systématiquement à côté du facteur le plus courant à l'origine de l'évolution des risques liés aux fournisseurs.
  • Une surveillance limitée aux fournisseurs de premier rang
    Les entreprises disposant de programmes solides de gestion directe des fournisseurs n’ont souvent aucune visibilité sur leurs relations avec les fournisseurs de quatrième rang. C’est cette lacune que les autorités de régulation s’efforcent de combler. Si votre programme s’arrête au contrat de premier rang, il prend fin avant que le risque ne soit écarté.
  • La surveillance de la cybersécurité considérée comme une solution complète
    Le renseignement en matière de cybersécurité est la capacité de surveillance la plus aboutie dans la plupart des programmes, mais c'est aussi souvent celle dont le champ d'application est le plus restreint. Les programmes reposant uniquement sur la surveillance de la cybersécurité ne prennent pas en compte les catégories de risques à l'origine des perturbations de la chaîne d'approvisionnement et de la responsabilité réglementaire.
  • Volume d'alertes sans logique de triage
    Sans logique d'escalade à plusieurs niveaux, organisée en fonction de la criticité des fournisseurs et des domaines de risque, la surveillance génère davantage de bruit que d'informations utiles. Définissez les chemins d'escalade par type d'alerte et par niveau de criticité des fournisseurs avant même que la première alerte ne survienne.
  • La veille géopolitique considérée comme une activité ponctuelle
    La plupart des programmes ne disposent d’aucun processus structuré permettant de suivre les modifications apportées aux listes de sanctions ou les changements de politique commerciale, dans la mesure où ceux-ci ont une incidence sur les relations avec certains fournisseurs. Aujourd’hui, cette lacune constitue un risque en matière de conformité, et non plus une simple insuffisance opérationnelle.

Comment mettre en place un programme de surveillance des risques liés aux tiers ?

Pour mettre en place un programme efficace, il faut prendre les bonnes décisions dans six domaines, globalement dans cet ordre.

  1. Commencez par segmenter votre inventaire de fournisseurs. Configurez la surveillance en fonction de votre structure de niveaux de criticité et de risque avant de choisir un outil. Les fournisseurs critiques ayant accès aux données ou présentant une dépendance opérationnelle justifient une surveillance continue à tous les niveaux ; les fournisseurs de niveau inférieur peuvent nécessiter une couverture plus légère, complétée par des évaluations périodiques. Considérez cet inventaire comme un document évolutif : l'intégration d'un nouveau fournisseur déclenche son inscription, et tout changement significatif du périmètre d'un fournisseur entraîne une réévaluation de l'intensité de la surveillance.
  2. Définissez vos domaines de surveillance avant de choisir vos outils. Faites correspondre ces domaines à la taxonomie des risques de vos fournisseurs. La cybersécurité recouvre un profil différent de celui des difficultés financières ou du dépistage des sanctions ; les programmes qui se concentrent exclusivement sur la cybersécurité négligent les catégories réglementaires et géopolitiques qui déterminent de plus en plus la responsabilité au sein de la chaîne d'approvisionnement.
  3. Combinez les renseignements externes avec les données d’évaluation internes. Ces deux sources d’informations doivent être consultables dans une vue d’ensemble des risques, et non gérées comme des processus parallèles relevant de responsables distincts. Intégrez les données d’évaluation issues de questionnaires et d’audits aux renseignements externes. Lorsque les contrôles déclarés par un fournisseur divergent de sa posture observable, c’est dans cet écart que réside votre exposition au risque.
  4. Définissez la logique de triage des alertes avant même que la première alerte ne survienne. Précisez ce qui constitue une alerte critique pour chaque domaine de risque, attribuez clairement les responsabilités et mettez en place des procédures d'escalade en fonction du type d'alerte et du niveau de criticité du fournisseur. Sans logique à plusieurs niveaux, la surveillance continue fait apparaître le bruit plus rapidement que les décisions ne sont prises.
  5. Identifiez les dépendances vis-à-vis des « quatrièmes parties » pour vos fournisseurs présentant le plus haut niveau de criticité. Accordez la priorité à la visibilité sur les relations avec les sous-traitants lorsque ces « quatrièmes parties » ont un accès direct à vos systèmes ou à vos données, puis étendez cette couverture en fonction du niveau de risque.
  6. Intégrez les alertes de surveillance aux workflows d’évaluation, de correction et de clôture de contrat. Définissez quels types d’alertes déclenchent la révision du contrat, la mise en place de mesures correctives ou la clôture de contrat, ainsi que les personnes habilitées à intervenir. La clôture de contrat est le point d’intégration le plus souvent négligé dans la plupart des programmes : une relation avec un fournisseur qui prend fin sans que l’accès ne soit révoqué et sans confirmation de la clôture contractuelle engendre un risque résiduel que la surveillance ne peut plus couvrir.

La plateforme TPRM de Mitratech est conçue pour mettre en œuvre chacune de ces étapes à grande échelle, depuis l’inventaire hiérarchisé des fournisseurs et la surveillance des risques multi-domaines jusqu’au tri automatisé des alertes et aux workflows de désengagement. Le « Vendor Threat Monitor », intégré à la plateforme TPRM de Mitratech, assure une surveillance continue du dark web et des renseignements sur les menaces pour l’ensemble de votre portefeuille de fournisseurs, en couvrant les forums criminels, les sites de partage de liens et les flux d’informations sur les menaces que les programmes manuels ne détectent pas.

Pour les équipes ne disposant pas de ressources dédiées à la gestion des risques liés aux tiers (TPRM), le Centre des opérations de gestion des risques (ROC) de Mitratech peut prendre en charge ces étapes à votre place, depuis la réalisation de l’évaluation jusqu’à la coordination des mesures correctives et au suivi continu. Pour les équipes qui mettent en place ou perfectionnent une fonction de surveillance des risques liés aux tiers, Mitratech fournit la structure nécessaire pour passer d’une évaluation ponctuelle à une couverture continue, adaptée au niveau de risque.

Découvrez comment Mitratech vous aide à mettre en œuvre votre programme de gestion des risques liés aux parties prenantes (TPRM)

Parlez à un expert

Questions fréquemment posées

Quelle est la différence entre la surveillance des risques liés aux tiers et l’évaluation des risques fournisseurs ?
Une évaluation des risques fournisseurs est un processus périodique, basé sur un questionnaire, qui évalue les contrôles de sécurité, les pratiques de conformité et la posture de risque d’un fournisseur à un moment donné. La surveillance des risques liés aux tiers est continue : elle recueille en permanence, entre deux évaluations, des signaux observables de l’extérieur concernant la posture de cybersécurité d’un fournisseur, sa situation financière, sa réputation et son exposition réglementaire. Les deux approches sont complémentaires : les évaluations apportent de la profondeur ; la surveillance assure la continuité.

Quels types de risques un programme de surveillance des tiers doit-il couvrir ?
Un programme complet couvre cinq domaines : la cybersécurité (exposition au dark web, renseignements sur les vulnérabilités, fuites d’identifiants), les risques financiers et de réputation (couverture médiatique négative, mesures réglementaires, instabilité financière), les risques liés au travail et aux critères ESG (esclavage moderne, obligations de diligence raisonnable dans la chaîne d’approvisionnement), les risques géopolitiques (modifications des listes de sanctions, exposition aux sanctions secondaires, évolutions des politiques commerciales) et les risques liés aux « quatrièmes parties ». Les programmes qui se limitent à la cybersécurité négligent les catégories qui sont de plus en plus à l’origine de perturbations de la chaîne d’approvisionnement et de responsabilités réglementaires.

La réglementation DORA impose-t-elle une surveillance continue des prestataires tiers ?
Oui. La réglementation DORA, entrée en vigueur le 17 janvier 2025, impose aux établissements financiers de l’UE de tenir un registre exhaustif des accords conclus avec les prestataires de services TIC tiers et de surveiller en permanence la conformité de ces prestataires. Les prestataires tiers critiques dans le domaine des TIC (CTPP) font l’objet d’une surveillance supplémentaire exercée directement par les autorités européennes de surveillance. Les organisations soumises à la DORA doivent également documenter des stratégies de sortie pour les prestataires critiques et réaliser des évaluations des risques de concentration dans le domaine des TIC.

Quel est le lien entre la surveillance des risques géopolitiques et la conformité aux sanctions de l’OFAC ?
La politique de l’OFAC en matière d’application de la réglementation a évolué vers une approche axée sur la responsabilité des « gardiens », qui tient les organisations pour responsables des violations des sanctions survenant dans le cadre de leurs relations avec leurs fournisseurs, et non plus uniquement de leurs transactions directes. Un programme de surveillance qui suit en temps réel les mises à jour des listes de sanctions de l’OFAC, de l’UE, de l’ONU et du Royaume-Uni, et qui vérifie la conformité des fournisseurs et de leurs sous-traitants par rapport à ces listes, constitue un élément essentiel d’un programme de conformité aux sanctions solide et défendable.

À quoi ressemble une surveillance efficace des risques liés aux « quatrièmes parties » ?
La surveillance des « quatrièmes parties » commence par une cartographie : il s’agit d’identifier les sous-traitants, fournisseurs et prestataires de services auxquels font appel vos fournisseurs directs, en particulier lorsque ces « quatrièmes parties » ont accès à des systèmes ou à des données ayant une incidence sur votre organisation. La surveillance implique la collecte d’informations sur l’ensemble de la chaîne d’approvisionnement — posture en matière de cybersécurité, exposition aux sanctions, événements opérationnels — plutôt qu’une évaluation directe basée sur des questionnaires. Les organisations doivent donner la priorité à la visibilité sur les « quatrièmes parties » pour leurs relations avec les fournisseurs les plus critiques, puis étendre leur couverture en fonction du niveau de risque et des obligations réglementaires.

Note de la rédaction : Cet article a été initialement publié sur Prevalent.net. En octobre 2024, Mitratech a racheté Prevalent, une solution de gestion des risques tiers basée sur l’IA. Le contenu a depuis été mis à jour afin d’inclure des informations en adéquation avec notre offre de produits, les évolutions réglementaires et les exigences de conformité.