Supplier Shield est là où le risque prestataire devient opérationnel. Analysez la posture de sécurité des fournisseurs par OSINT, notez le risque sur trois dimensions, lancez des campagnes d'évaluation assistées par IA, et offrez aux fournisseurs un portail de réponse, avec une piste d'audit immuable derrière chaque changement.
Demander l’accèsDémo interactive
Fonctionnalités
Maintenez un registre consultable de chaque fournisseur. Créez des enregistrements avec le nom légal, la classification (Critique, Important, Standard), la description du service, le contact principal et la fréquence de revue. Importez des listes de prestataires existants en quelques minutes via import CSV avec correspondance de champs.
Chaque fournisseur est noté automatiquement: Dépendance (x0,4), Pénétration (x0,3) et Exposition (x0,3). Le score composite de 1 à 5 est codé par couleur (vert, jaune, rouge) afin que les achats, les risques et la conformité s'accordent sur le niveau sans tableurs. Les scores sont actualisés annuellement ou lors de changements de périmètre.
Acuna analyse la présence en ligne de chaque fournisseur sur la configuration DNS, les certificats TLS, les en-têtes de sécurité web, l'exposition aux violations de données et la réputation. Chaque fournisseur reçoit une note composite de A à F visible dans la liste et les vues de détail. Les analyses s'exécutent automatiquement lors de l'enregistrement d'un fournisseur avec un domaine, ou se déclenchent manuellement depuis l'onglet Exposition aux risques. Forez dans les constatations individuelles avec les niveaux de gravité et les preuves.
Lancez le même questionnaire auprès de plusieurs fournisseurs à la fois. Sélectionnez des fournisseurs avec un filtrage complet, choisissez un modèle, prévisualisez l'e-mail et lancez. Définissez une date de début planifiée pour programmer des campagnes en lancement automatique futur. Le tableau de bord de campagne suit la progression avec des badges de statut, des pourcentages d'achèvement et des synthèses de notation. Choisissez quel contact reçoit l'e-mail pour chaque fournisseur avant le lancement.
Lors de la revue des réponses d'évaluation, cliquez sur Demander à Aiko d'évaluer pour que l'IA analyse toutes les questions, y compris les documents de preuve téléchargés, les images et les PDF. Aiko fournit des suggestions d'évaluation avec des scores de confiance que vous pouvez examiner et ajuster avant de finaliser. La progression en temps réel est affichée pendant qu'Aiko traite chaque question, et vous pouvez annuler à tout moment.
Les fournisseurs complètent des questionnaires et téléchargent des documents via un portail dédié. Aucun compte Acuna n'est nécessaire. Les soumissions entrent directement dans le PIR avec une piste défendable. Les preuves restent hors des boîtes de réception, et les auditeurs obtiennent une chaîne de réponses documentée qu'ils peuvent suivre. Les liens de portail sont conservés lors du renvoi d'évaluations pour corrections.
Chaque fournisseur s'ouvre dans un panneau de détail unifié, identique qu'on y accède depuis Supplier Shield ou Implement, Tiers. Affiche les informations de base, les résultats d'analyse OSINT, les contrôles de dimensions de risque, les contacts de l'espace de travail, tous les objets liés (processus, risques, contrôles, KPI) groupés par type avec des badges de santé, les données d'évaluation et le journal d'activité immuable.
Stockez un nombre illimité de contacts par prestataire avec des désignations de rôle: Principal, Technique, Facturation et Support. Les contacts alimentent les listes de distribution des notifications d'évaluation. Choisissez quel contact reçoit les e-mails de campagne avant le lancement. Archivez les contacts obsolètes au lieu de les supprimer pour préserver la piste d'audit.
Les fournisseurs affichent tous les objets liés (processus, risques, contrôles, KPI) groupés par type avec des badges de santé et de statut. La cartographie interactive des processus affiche les noeuds fournisseurs avec des badges de niveau colorés, bascule plein écran et mode sombre. Les processus critiques sont signalés pour une surveillance prioritaire.
Les fournisseurs critiques peuvent nécessiter une approbation pour les ajustements de score de risque. Configurez des workflows d'approbation dans Admin, Concepteur de workflows afin que les modifications sur les prestataires de niveau élevé passent par des approbateurs désignés avant de prendre effet, vous offrant un processus encadré de reclassification des risques.
Chaque fournisseur a une date de prochaine revue basée sur la fréquence de revue et la dernière évaluation. Les fournisseurs en retard sont mis en évidence dans le registre et dans les évaluations de risque des contrôles qui en dépendent. Filtrez les fournisseurs arrivant à échéance et lancez une nouvelle campagne directement. Les réponses d'évaluation historiques sont conservées pour l'analyse des tendances et la conformité aux audits. Établissez un rythme piloté par le calendrier afin que les prestataires critiques soient évalués au moins annuellement.
Fonctionnement
Créez des enregistrements un par un ou importez en masse via CSV. Définissez la classification (Critique, Important, Standard), la description du service, le contact principal et la fréquence de revue.
Acuna analyse automatiquement le domaine de chaque fournisseur sur DNS, TLS, en-têtes web, exposition aux violations et réputation. Une note composite de A à F apparaît dans la liste et la vue de détail du fournisseur. Forez dans les constatations individuelles pour la gravité et les preuves.
Évaluez chaque fournisseur sur la Dépendance, la Pénétration et l'Exposition. Acuna calcule le composite pondéré et attribue un niveau coloré. Configurez des workflows d'approbation pour les changements de score de niveau critique.
Sélectionnez un modèle de questionnaire, choisissez des fournisseurs, définissez des délais (ou planifiez une date future) et lancez. Acuna distribue automatiquement, suit le statut des réponses et vous permet de renvoyer des rappels aux non-répondants.
Les prestataires complètent les questionnaires via le portail externe. Lorsque les réponses arrivent, cliquez sur Demander à Aiko d'évaluer pour une analyse IA des réponses et des preuves téléchargées (y compris PDF et images), avec des scores de confiance que vous examinez avant de finaliser.
Suivez la fraîcheur des évaluations avec les dates de prochaine revue. Les fournisseurs en retard sont signalés dans le registre et dans les évaluations de risque des contrôles liés. Lancez des campagnes de suivi directement. Conservez toutes les réponses historiques pour l'analyse des tendances.
Notation du risque
Dans quelle mesure ce fournisseur est-il critique pour la continuité d'activité? Les services essentiels obtiennent un score élevé; les fournisseurs de commodités ou facilement remplaçables obtiennent un score bas.
Dans quelle mesure le fournisseur est-il intégré dans votre SI, vos données ou vos processus? Un accès système profond obtient un score élevé; les services isolés obtiennent un score bas.
Quel est l'impact potentiel d'une violation, d'une interruption ou d'une défaillance du fournisseur? L'impact financier, opérationnel et réputationnel détermine le score.
Score composite = (Dépendance x 0,4) + (Pénétration x 0,3) + (Exposition x 0,3).
Scanner OSINT
Acuna analyse automatiquement la présence en ligne de vos fournisseurs et attribue une note composite de A à F. Les analyses se déclenchent lors de l'enregistrement d'un fournisseur avec un domaine, ou à la demande depuis l'onglet Exposition aux risques.
Vérifie les enregistrements SPF, DKIM, DMARC, DNSSEC et MX pour évaluer l'authentification des e-mails et la posture de sécurité du domaine.
Valide la chaîne de certificats, les dates d'expiration, les versions de protocole et la robustesse des chiffres pour signaler les chiffrements faibles ou expirés.
Analyse HSTS, Content-Security-Policy, X-Frame-Options et d'autres en-têtes de sécurité HTTP qui protègent contre les attaques web courantes.
Vérifie si le domaine du fournisseur ou les adresses e-mail associées apparaissent dans des bases de données de violations connues, avec classification de gravité et chronologie d'exposition.
Agrège les signaux de réputation provenant de sources de renseignement sur les menaces, de listes de blocage et d'indicateurs de confiance web pour évaluer la fiabilité globale du fournisseur.
Cliquez sur n'importe quelle dimension dans le détail du fournisseur pour accéder aux constatations individuelles avec les niveaux de gravité et les preuves à l'appui.
Profil de risque individuel
Le PIR consolide tout ce qui concerne un fournisseur (identité, note de sécurité OSINT, posture de risque, contacts, objets liés, historique des évaluations avec évaluation IA et journal d'activité complet) dans un panneau de détail unifié.
Une piste chronologique et inviolable suivant chaque action sur l'enregistrement du fournisseur. Toutes les entrées incluent le nom réel de l'utilisateur ayant effectué la modification, permettant une pleine imputabilité.
Registres complémentaires
Les deux vues servent votre programme TPRM. Utilisez-les ensemble pour une couverture complète.
Qui l'utilise
Pour les responsables sécurité qui ont besoin du risque tiers visible aux côtés des contrôles, référentiels et registre des risques, et non dans un tableur déconnecté.
Pour les responsables TPRM qui ont besoin de workflows de campagne répétables (de la distribution des questionnaires aux réponses évaluées par IA) sans gérer des fils d'e-mails.
Pour les équipes de conformité qui doivent démontrer un programme TPRM structuré avec des fournisseurs notés, des évaluations documentées et une piste d'audit claire.
FAQ
Acuna calcule un score composite à partir de trois dimensions pondérées: la Dépendance (x0,4) mesure le caractère critique du fournisseur pour la continuité d'activité, la Pénétration (x0,3) mesure le degré d'intégration du fournisseur dans votre SI, vos données ou vos processus, et l'Exposition (x0,3) mesure l'impact potentiel d'une violation ou défaillance du fournisseur. Le résultat est un score de 1 à 5 codé par couleur: vert (1-2), jaune (2,5-3,5), rouge (4-5). Les scores sont revus annuellement ou lors de changements de périmètre significatifs.
Vous créez une campagne en sélectionnant un modèle de questionnaire et en choisissant les fournisseurs à inclure. Définissez un délai de réponse et un calendrier de rappels, puis lancez. Acuna envoie les questionnaires aux contacts fournisseurs automatiquement, suit les taux de réponse et vous permet de renvoyer des rappels aux non-répondants. Les campagnes consolident l'évaluation des tiers dans un rythme répétable aligné sur votre calendrier d'audit.
Le panneau de détail de chaque fournisseur affiche le PIR complet: informations de base (nom, classification, score de risque, fréquence de revue), contacts de l'espace de travail (principal, technique, facturation, support), processus métier liés avec indicateurs d'impact, données d'évaluation avec statut de réponse, et un journal d'activité immuable. Le journal suit chaque mise à jour de champ, modification de contact, action d'évaluation et liaison de processus avec le nom réel de l'utilisateur et l'horodatage.
Oui. Les fournisseurs utilisent un portail dédié pour compléter les questionnaires et télécharger des documents. Ils reçoivent un lien, répondent en externe, et leurs soumissions entrent dans le PIR avec une piste de soumission défendable. Aucun identifiant ni licence séparé n'est nécessaire pour le fournisseur.
Oui. Les fournisseurs critiques peuvent nécessiter une approbation pour les ajustements de score de risque. Configurez des workflows d'approbation dans Admin, Concepteur de workflows afin que les modifications de score sur les prestataires de niveau élevé passent par des approbateurs désignés avant de prendre effet.
Il n'y a pas de limite. Chaque enregistrement fournisseur prend en charge plusieurs contacts avec des attributions de rôles (Principal, Technique, Facturation ou Support). Les contacts alimentent les listes de distribution des notifications d'évaluation, et l'archivage des contacts obsolètes préserve la piste d'audit au lieu de supprimer l'historique.
Chaque réponse à un questionnaire progresse en Non envoyé, En cours, Soumis, Complet. Les tableaux de bord de campagne affichent les taux de réponse par statut afin que vous puissiez identifier les non-répondants en un coup d'oeil et renvoyer des rappels sans quitter la vue.
Le scanner vérifie cinq dimensions: la configuration DNS (SPF, DKIM, DMARC, DNSSEC, MX), les certificats TLS (validité de la chaîne, expiration, protocole, chiffre), les en-têtes de sécurité web (HSTS, CSP, X-Frame-Options et autres), l'exposition aux violations de données (domaine et adresses e-mail dans des bases de violations connues) et la réputation (sources de renseignement sur les menaces, listes de blocage, signaux de confiance web). Les résultats produisent une note composite de A à F avec forage dans les constatations individuelles.
Les analyses s'exécutent automatiquement lors de l'enregistrement d'un fournisseur avec un domaine web. Vous pouvez également déclencher une nouvelle analyse manuelle à tout moment depuis l'onglet Exposition aux risques dans le panneau de détail du fournisseur. Les résultats d'analyse sont conservés historiquement afin que vous puissiez suivre les améliorations ou régressions dans le temps.
Lors de la revue des réponses d'évaluation fournisseurs, cliquez sur Demander à Aiko d'évaluer pour que l'IA d'Acuna analyse toutes les questions, y compris les documents de preuve téléchargés, les images et les PDF. Aiko fournit des suggestions d'évaluation avec des scores de confiance que vous pouvez examiner et ajuster avant de finaliser. La progression en temps réel est affichée pendant qu'Aiko traite chaque question, et vous pouvez annuler à tout moment.
Oui. Lors de la création d'une campagne, vous pouvez définir une date de début planifiée. La campagne affiche un badge Planifiée dans la liste. Lorsque la date arrive, le système la lance automatiquement et envoie des e-mails à tous les contacts fournisseurs. Les campagnes sans fournisseurs assignés sont ignorées jusqu'à l'ajout de fournisseurs.
Réponses associées
Supplier Shield est le module de gestion des risques tiers (TPRM) d’Acuna. Il fournit un registre de fournisseurs centralisé avec un scoring des risques automatisé selon trois dimensions pondérées : dépendance (×0,4), pénétration (×0,3) et exposition (×0,3), produisant un score codé par couleur de 1 à 5. Les fonctionnalités comprennent des campagnes d’évaluation avec distribution de questionnaires et suivi des délais, des profils de risques individuels avec journaux d’activité immuables, un portail fournisseur pour les réponses externes, et la gestion du cycle de vie avec surveillance des expirations et import CSV en masse.
Supplier Shield inclut un scanner OSINT automatisé qui évalue six dimensions de sécurité de l’empreinte internet publique d’un fournisseur : la configuration DNS (SPF, DKIM, DMARC), la validité du certificat TLS et la robustesse du protocole, les en-têtes de sécurité web (HSTS, CSP, X-Frame-Options), l’exposition aux violations de données connues, la réputation du domaine et l’exposition aux ports ouverts. Chaque dimension reçoit une note de A à F. Le score OSINT composite alimente le profil de risque global du fournisseur aux côtés du scoring manuel dépendance/pénétration/exposition. Les scans peuvent être déclenchés à la demande ou planifiés automatiquement à des intervalles configurables.
Notre équipe vous présentera Supplier Shield et l’ensemble de la plateforme Acuna.
Demander l’accès