Passer au contenu principal
Responsable de la PON : Opérations / Juridique — Dernière révision : [Date] — ID : SOP-OPS-002

Vue d’ensemble

Cette PON couvre le cycle de vie complet des relations avec les fournisseurs tiers chez Blevins Holdings — de l’évaluation d’un nouveau fournisseur à la gestion active et au départ éventuel. Tous les fournisseurs doivent passer par ce processus avant de recevoir un paiement ou un accès aux données ou systèmes de l’entreprise. Pourquoi c’est important : Les fournisseurs sont une extension de nos opérations. Une défaillance de sécurité, un manquement de conformité ou une interruption de service d’un fournisseur peut avoir un impact direct sur Blevins et nos clients. Une gestion structurée des fournisseurs réduit ce risque. Parties prenantes clés :
RôleResponsabilité
Propriétaire métierIdentifie le besoin, porte la relation fournisseur
Sécurité ITExamine la posture de sécurité et le traitement des données du fournisseur
JuridiqueExamine et exécute les contrats
FinanceGère les paiements, suit les contrats dans le registre des fournisseurs
OpérationsSupervise le processus et maintient le registre des fournisseurs

Registre des fournisseurs

Tous les fournisseurs actifs sont suivis dans le Registre des fournisseurs, maintenu par les Opérations/Finance à [lien vers le registre des fournisseurs — par ex., dans Notion, Airtable, Google Sheets]. Le registre comprend : nom du fournisseur, catégorie, valeur du contrat, date de fin du contrat, date de renouvellement, propriétaire métier, niveau de risque, date de dernière révision.

Niveaux de risque des fournisseurs

Les fournisseurs se voient attribuer un niveau de risque en fonction de leur accès aux données et systèmes de l’entreprise :
NiveauDescriptionExemples
Niveau 1 — CritiqueAccès aux systèmes de production, données sensibles ou infrastructure critiqueFournisseurs cloud, paie, SIRH, outils de sécurité
Niveau 2 — SignificatifAccès aux systèmes internes ou données non publiques, ou dépendance opérationnelle significativeLogiciel de comptabilité, CRM, gestion de projet
Niveau 3 — StandardAucun accès aux systèmes de données ; achats administratifs ou ponctuelsFournitures de bureau, lieux d’événements, agences marketing
Le niveau de risque détermine la profondeur de la diligence raisonnable et la fréquence de révision.

Étapes du processus

1

Soumettre une demande fournisseur

Qui : Propriétaire métierAvant d’engager tout nouveau fournisseur, le propriétaire métier soumet une demande fournisseur via [formulaire d’admission IT/Opérations — lien à ajouter]. La demande doit inclure :
  • Nom du fournisseur, site web et contact
  • Ce qu’il fournira et pourquoi ce fournisseur (par rapport à un contrat existant)
  • Valeur estimée du contrat et durée
  • Si le fournisseur aura accès aux données de l’entreprise ou des clients (et si oui, quel type)
  • Si le fournisseur aura accès à des systèmes ou au réseau de l’entreprise
  • Code budgétaire et approbation du responsable de département (pour les contrats supérieurs à [X] $)
Ne souscrivez pas à un service fournisseur, ne partagez pas de données d’entreprise et n’accordez aucun accès tant que ce processus n’est pas terminé. L’utilisation non autorisée de fournisseurs enfreint la politique d’approvisionnement et peut créer une responsabilité juridique ou de sécurité.
2

Examen initial et attribution du niveau de risque

Qui : OpérationsLes Opérations examinent la demande et attribuent au fournisseur un niveau de risque (Niveau 1, 2 ou 3). Le niveau détermine les étapes d’examen restantes.
NiveauExamen requis
Niveau 1 — CritiqueExamen de sécurité IT + examen juridique + approbation financière
Niveau 2 — SignificatifExamen de sécurité IT (abrégé) + examen juridique
Niveau 3 — StandardCertification du propriétaire métier + approbation financière
Les Opérations notifient le propriétaire métier du niveau et transmettent la demande aux examinateurs appropriés.
3

Examen de sécurité IT

Qui : Sécurité ITRequis pour les fournisseurs de Niveau 1 et Niveau 2. La sécurité IT évalue la posture de sécurité et les pratiques de traitement des données du fournisseur. L’examen couvre :
  • Traitement des données : Quelles données le fournisseur accédera-t-il, stockera-t-il ou traitera-t-il ? Où ? Pendant combien de temps ?
  • Certifications : Le fournisseur détient-il SOC 2 Type II, ISO 27001 ou équivalent ?
  • Chiffrement : Les données sont-elles chiffrées au repos et en transit ?
  • Contrôles d’accès : Le fournisseur dispose-t-il d’une authentification forte et de contrôles d’accès au moindre privilège ?
  • Historique des incidents : Y a-t-il des violations de données ou incidents de sécurité connus ?
  • Sous-traitants : Le fournisseur utilise-t-il des sous-traitants ? Si oui, sont-ils divulgués ?
  • Continuité d’activité : Le fournisseur a-t-il un PCA documenté ?
La sécurité IT peut demander la documentation de sécurité du fournisseur (rapport SOC 2, résumé de test d’intrusion, réponse au questionnaire de sécurité). Les fournisseurs ne pouvant pas fournir une documentation adéquate ne seront pas approuvés pour les relations de Niveau 1 ou 2.Délai typique : 3–5 jours ouvrés pour le Niveau 2 ; 1–2 semaines pour le Niveau 1.
4

Examen juridique et exécution du contrat

Qui : JuridiqueTous les fournisseurs doivent avoir un accord signé avant le début de tout travail ou le partage de données. Le service juridique examine les contrats fournisseurs pour :
  • Accord de traitement des données (DPA) : Requis pour tout fournisseur qui traite des données personnelles ou des données de l’entreprise
  • Clauses de responsabilité et d’indemnisation
  • Propriété intellectuelle — s’assurer que Blevins conserve les droits sur ses données et ses travaux
  • Dispositions de résiliation et de sortie — comment les données sont restituées ou supprimées à la fin du contrat
  • SLA et recours
  • Certifications et déclarations de conformité
Le service juridique utilise le modèle fournisseur standard de Blevins dans la mesure du possible. Les écarts par rapport aux termes standards nécessitent l’approbation écrite du service juridique.
Personne, sauf les signataires désignés (tels que déterminés par la politique d’autorisation de signature), ne peut signer de contrats au nom de Blevins Holdings. Ne signez pas d’accords fournisseurs vous-même.
5

Ajouter au registre des fournisseurs et provisionner l'accès

Qui : Opérations (registre) ; IT (accès)Une fois toutes les approbations obtenues et le contrat signé :
  1. Les Opérations ajoutent le fournisseur au registre des fournisseurs avec tous les détails pertinents
  2. L’IT provisionne tout accès système requis selon les principes du moindre privilège — uniquement l’accès dont le fournisseur a besoin, rien de plus
  3. Le propriétaire métier reçoit la confirmation que le fournisseur est actif
Pour le partage de données : l’IT met en place la méthode de transfert de données approuvée (transfert de fichier sécurisé, API avec authentification, e-mail chiffré, etc.) avant tout partage de données avec le fournisseur.

Gestion continue des fournisseurs

Suivi des performances

Les propriétaires métier sont responsables du suivi des performances des fournisseurs par rapport aux SLA et livrables contractuels. Les problèmes de performance significatifs doivent être documentés et escaladés aux Opérations et au service juridique s’ils peuvent affecter le contrat. Suivez les notes de performance des fournisseurs dans le registre des fournisseurs.

Revue annuelle des fournisseurs

Tous les fournisseurs actifs sont revus annuellement. La revue comprend :
ÉlémentDétails
Évaluation des performancesLe propriétaire métier évalue si le fournisseur répond aux attentes
Mise à jour de la revue de sécuritéFournisseurs de Niveau 1 et 2 : l’IT demande une documentation de sécurité actualisée
Revue de contratLe contrat est-il toujours adapté ? Le prix est-il compétitif ?
Réévaluation du risqueLe niveau de risque du fournisseur a-t-il changé ?
Décision de renouvellementRenouveler, renégocier ou mettre fin ?
Les Opérations coordonnent la revue annuelle et notifient les propriétaires métier au moins 60 jours avant les dates de renouvellement des contrats.

Gestion des incidents fournisseurs

Si un fournisseur subit une violation de données, un incident de sécurité ou une interruption de service significative affectant Blevins :
  1. Notifier immédiatement la sécurité IT à security@blevinsholdings.com
  2. Notifier le service juridique si des données personnelles peuvent avoir été impliquées
  3. Invoquer le SLA du fournisseur et les obligations de réponse aux incidents prévues au contrat
  4. Documenter l’incident dans le registre des fournisseurs
  5. Le cas échéant, initier une revue de la relation fournisseur

Départ d’un fournisseur

Lorsqu’une relation fournisseur prend fin (contrat non renouvelé, fournisseur remplacé ou résilié pour cause) :
1

Notifier l'IT et les Opérations

Le propriétaire métier notifie l’IT et les Opérations au moins 30 jours avant la date de fin (ou immédiatement si la résiliation est pour cause).
2

Restitution et suppression des données

L’IT confirme que toutes les données de l’entreprise ou des clients détenues par le fournisseur sont restituées ou détruites conformément aux termes du contrat. Le fournisseur fournit une confirmation écrite de la suppression des données.
3

Révoquer l'accès

L’IT révoque tous les accès système et identifiants API le jour de la fin du contrat ou avant. La révocation de l’accès est confirmée et consignée.
4

Paiement final et clôture

Les finances traitent les factures finales et marquent le contrat comme clôturé dans le registre des fournisseurs.
5

Archiver dans le registre des fournisseurs

Les Opérations mettent à jour le registre des fournisseurs pour refléter le statut inactif du fournisseur. Les dossiers sont conservés conformément au calendrier de conservation des documents.

Liste de contrôle de diligence raisonnable fournisseur

Utilisez cette liste de contrôle pour les évaluations de fournisseurs de Niveau 1 et Niveau 2 : Sécurité et conformité
  • Obtenu et examiné le rapport SOC 2 Type II (ou équivalent) des 12 derniers mois
  • Confirmé que les données sont chiffrées au repos et en transit
  • Confirmé que le fournisseur a des procédures documentées de réponse aux incidents et de notification de violation
  • Examiné la liste des sous-traitants du fournisseur
  • Confirmé que le MFA est requis pour l’accès des employés du fournisseur aux systèmes contenant nos données
Juridique et contractuel
  • DPA signé (si le fournisseur traite des données personnelles)
  • SLA documentés et acceptables
  • Disposition de suppression/restitution des données incluse
  • Propriété intellectuelle et droits sur les travaux clairement définis
  • Disposition de résiliation pour convenance incluse
Financier et opérationnel
  • Santé financière ou stabilité du fournisseur confirmée (pour les fournisseurs critiques)
  • Capacités PCA/PRS confirmées
  • Références vérifiées (pour les nouvelles relations significatives)
Dernière mise à jour : [Date] — Responsable de la PON : Opérations / Juridique