Varden Security
Connexion

Assessment module

Chaine fournisseurs et dependances

FIRE - Finance + Resilience

References: DORA | NIS2 | CRA | Data Act | ISO/IEC 27036

Retour moduleTous les modules

Assessment module

Assessment unique sans niveaux, avec scoring et recommandations.

Assessment de 15 questions. Echelle de maturite: 0..5.

Le score enregistre est calcule cote serveur avec la fiche organisation (taille, CA, secteur) et les regles de ponderation admin.

Brouillon local actif.

Comment noter rapidement

  • Note la realite actuelle, pas le niveau cible.
  • Si tu hesites entre 2 scores, prends le score inferieur.
  • Ajoute un commentaire optionnel si un contexte metier est utile pour interpreter la note.
Validateur de coherence: structure des questions, echelle et ponderations verifiees.

Visibilite

Les fournisseurs critiques sont-ils clairement identifies ?

Question critique

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les fournisseurs critiques sont-ils clairement identifies.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Les dependances fortes (mono-fournisseur) sont-elles connues ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les dependances fortes (mono-fournisseur) sont-elles connues.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Selection

La securite est-elle verifiee avant de choisir un fournisseur ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: La securite est-elle verifiee avant de choisir un fournisseur.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Les risques tiers influencent-ils les decisions d'achat ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les risques tiers influencent-ils les decisions d'achat.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Contrats

Les contrats incluent-ils des exigences de securite minimales ?

Question critique

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les contrats incluent-ils des exigences de securite minimales.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Les obligations en cas d'incident sont-elles prevues dans les contrats ?

Question critique

Sens de la question: Cette question mesure la capacite operationnelle en situation critique: detection, escalation, coordination, reprise et reduction d'impact. Point evalue: Les obligations en cas d'incident sont-elles prevues dans les contrats.

Note sur la capacite reelle en crise, pas sur la qualite redactionnelle du processus.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la capacite operationnelle en crise (detection, escalade, reprise), pas la qualite du document seul.

Si tu es entre 0 et 2: Reaction improvisee, delais non maitrises, coordination fragile en incident.

Si tu es a 3: Processus etabli avec quelques tests, mais execution inegale selon les scenarios.

Si tu es entre 4 et 5: Detection/reponse rapides, escalade fluide, reprise maitrisee et boucle de correction active.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Pas de capacite operationnelle | 3 - Processus etabli et applique | 5 - Reponse rapide, robuste et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Continuite

Un plan de remplacement fournisseur existe-t-il pour les services critiques ?

Question critique

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Un plan de remplacement fournisseur existe-t-il pour les services critiques.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Les fournisseurs prouvent-ils leur propre capacite de continuite ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les fournisseurs prouvent-ils leur propre capacite de continuite.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Suivi

Les fournisseurs critiques sont-ils reevalues dans le temps ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les fournisseurs critiques sont-ils reevalues dans le temps.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Les incidents fournisseurs sont-ils analyses et corriges ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les incidents fournisseurs sont-ils analyses et corriges.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Transparence

Les sous-traitants de rang 2 sont-ils suffisamment visibles ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les sous-traitants de rang 2 sont-ils suffisamment visibles.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Les composants logiciels critiques sont-ils connus et suivis ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les composants logiciels critiques sont-ils connus et suivis.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Gouvernance

Un responsable interne pilote-t-il le risque fournisseur ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Un responsable interne pilote-t-il le risque fournisseur.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

La direction suit-elle les principaux risques de dependance ?

Sens de la question: Cette question mesure la qualite du pilotage: responsabilites claires, decisions formelles et suivi regulier au bon niveau. Point evalue: La direction suit-elle les principaux risques de dependance.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite de pilotage au quotidien, pas l'intention ni le projet en preparation.

Si tu es entre 0 et 2: Roles flous, decisions non formalisees, suivi dependant des personnes et non d'un cadre.

Si tu es a 3: Cadre defini et applique sur le coeur du perimetre, mais encore irregulier selon les equipes.

Si tu es entre 4 et 5: Gouvernance stable, arbitrages traces, revues periodiques et corrections pilotees.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre de gouvernance | 3 - Roles clairs et revue reguliere | 5 - Gouvernance mature, anticipe et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Progression

La maitrise des risques fournisseurs progresse-t-elle dans le temps ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: La maitrise des risques fournisseurs progresse-t-elle dans le temps.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Retour module

Le bouton rapport IA sera active apres enregistrement de l'assessment.