Disponible uniquement en Suisse

Schweizerform est actuellement disponible exclusivement pour les utilisateurs en Suisse. La création de compte depuis votre région est restreinte.
Schweizerform LogoSchweizerform
Retour aux modèles
Entreprise·Évaluation

Questionnaire Securite Fournisseur

Evaluez la posture de securite informatique de vos fournisseurs avec ce questionnaire professionnel conforme a la nLPD suisse. Couvre ISO 27001, SOC 2, sous-traitants, historique des incidents, tests d'intrusion et controles d'acces.

A propos de ce modele

Le questionnaire de securite informatique fournisseur permet aux organisations suisses d'evaluer systematiquement la posture de securite des informations de leurs fournisseurs avant d'entrer dans ou de renouveler une relation de traitement des donnees. Il couvre les domaines cles exiges par la nLPD art. 8, le RGPD art. 28, ISO/IEC 27001 et SOC 2 Type II.

  • Certifications de securite informatique: ISO 27001, SOC 2, BSI C5
  • Lieux de traitement et de stockage des donnees (Suisse / UE / pays tiers)
  • Liste des sous-traitants et obligations de notification
  • Historique des violations de securite et gestion des incidents
  • Frequence et perimetre des tests d'intrusion
  • Pratiques de controle d'acces et de gestion des identites
  • Standards de chiffrement pour les donnees en transit et au repos
  • Contact securite du fournisseur et politique de divulgation responsable

Risque tiers selon la nLPD art. 8

La nLPD suisse oblige les responsables du traitement a selectionner des sous-traitants offrant des garanties suffisantes en matiere de mesures techniques et organisationnelles de securite. Avant de faire appel a un fournisseur traitant des donnees personnelles, vous devez effectuer une verification prealable et en documenter le resultat.

Comment utiliser ce modele

1

Ouvrir le modele

Cliquez sur 'Utiliser le modele' pour en creer une copie dans votre tableau de bord.

2

Adapter le perimetre de risque

Ajoutez ou supprimez des questions pour reflechir les categories de donnees et activites de traitement specifiques a chaque fournisseur.

3

Envoyer au fournisseur

Generez un lien securise et envoyez-le au contact securite ou conformite du fournisseur pour completion.

4

Examiner les reponses

Comparez les reponses du fournisseur a votre reference de securite minimale et signalez les lacunes pour remediation avant la signature du contrat.

5

Archiver avec le contrat

Conservez le questionnaire complete avec le contrat fournisseur et le DPA dans votre registre des risques fournisseurs.

6

Planifier une reevaluation

Programmez un rappel pour remettre le questionnaire annuellement ou lors de changements importants dans les services du fournisseur.

Evaluation de la securite fournisseur dans le contexte reglementaire suisse

Alors que les entreprises suisses s'appuient de plus en plus sur des fournisseurs cloud, des plateformes SaaS et des prestataires de services geres, le risque de securite informatique des tiers est devenu l'un des plus grands defis de conformite de la decennie. La nLPD suisse, la Circulaire FINMA 2023/1 sur les risques operationnels et les directives du BACS imposent aux organisations d'evaluer et de gerer la posture de securite de leurs fournisseurs.

ISO 27001 et SOC 2: que disent les certifications?

La certification ISO/IEC 27001 indique qu'un fournisseur a mis en oeuvre un Systeme de Management de la Securite de l'Information (SMSI) documente, audite de maniere independante. Le SOC 2 Type II demontre l'efficacite operationnelle des controles sur la securite, la disponibilite, l'integrite du traitement, la confidentialite et la vie privee sur une periode d'audit definie. Cependant, les certifications ne couvrent que le perimetre defini lors de l'audit. Demandez toujours le certificat reel et examinez la declaration de perimetre.

Chaines de sous-traitants et obligations de notification

De nombreux fournisseurs SaaS s'appuient sur des sous-traitants tels qu'AWS, Azure, Google Cloud ou des plateformes specialisees. En vertu de la nLPD art. 10a et du RGPD art. 28(2), un sous-traitant doit obtenir l'autorisation ecrite prealable du responsable avant d'engager un sous-traitant ulterieur, et doit notifier le responsable de tout changement. Votre questionnaire doit exiger une liste complete des sous-traitants et un engagement de notification prealable des changements.

Localisation des donnees et transferts transfrontaliers

La nLPD impose des restrictions au transfert transfrontalier de donnees personnelles vers des pays qui n'assurent pas un niveau de protection adequat (nLPD art. 16). La Suisse maintient sa propre liste d'adequation. Les fournisseurs qui traitent des donnees en dehors de la Suisse ou de l'UE/EEE doivent demontrer une base juridique adequate pour le transfert.

Questions frequentes

A quelle frequence le questionnaire de securite fournisseur doit-il etre reemis?

La meilleure pratique est une reevaluation annuelle pour tous les fournisseurs ayant acces aux donnees personnelles ou sensibles, et lors de tout changement significatif dans le perimetre des services, la propriete du fournisseur, ou suite a un incident de securite signale. Les fournisseurs a risque eleve doivent etre evalues plus frequemment, potentiellement trimestriellement.

Qu'est-ce qu'une reference de securite minimale pour l'approbation des fournisseurs?

Une base minimale typique pour les organisations suisses comprend: chiffrement des donnees en transit (TLS 1.2+) et au repos (AES-256); authentification multifacteur pour l'acces administrateur; certification ISO 27001 ou SOC 2 Type II; tests d'intrusion annuels; plan de reponse aux incidents documente; et engagement de notification en 72 heures ou moins.