# Questionnaire de sécurité fournisseur : comment y répondre vite et bien

> Un questionnaire de sécurité évalue la posture cyber d'un fournisseur avant de contractualiser. Ce qu'il couvre, les standards (CAIQ, SIG, ISO 27001) et la méthode pour y répondre vite et juste.

- Source : https://tendercrunch.com/blog/questionnaire-securite-fournisseur
- Auteur : Ayoub Ennih
- Catégorie : RFP & appels d'offres privés
- Publié le : 2026-05-19
- Mis à jour le : 2026-06-14

---

## À retenir

- Un questionnaire de sécurité (security questionnaire) évalue la posture cyber d'un fournisseur avant ou pendant la relation contractuelle.
- Il couvre la politique de sécurité (PSSI), le chiffrement, l'hébergement et la souveraineté des données, les certifications, la continuité (PRA/PCA), la gestion des incidents, le contrôle d'accès et la conformité RGPD.
- Des standards existent (CAIQ de la Cloud Security Alliance, SIG) et se mappent sur des référentiels comme ISO 27001.
- Bien répondre repose sur une base de connaissances sécurité à jour, des réponses sourcées et cohérentes d'un questionnaire à l'autre.

Un questionnaire de sécurité est un document structuré par lequel un client évalue la posture de cybersécurité d'un fournisseur avant ou pendant la relation contractuelle. Concrètement, c'est une liste de questions — souvent des dizaines, parfois plusieurs centaines — couvrant la façon dont le fournisseur protège ses systèmes et les données qui lui sont confiées. Pour les éditeurs de logiciels, les prestataires IT et tout fournisseur manipulant des données sensibles, y répondre est devenu un passage quasi obligé. Voici ce que recouvre cet exercice, les standards qui le structurent, et la méthode pour le traiter vite et juste.

## Qu'est-ce qu'un questionnaire de sécurité

Le questionnaire de sécurité (en anglais *security questionnaire*, parfois appelé « questionnaire RSSI » côté répondant) est l'outil par lequel un acheteur mesure le **risque cyber** qu'un fournisseur fait peser sur son système d'information et sur ses données. L'idée de fond est simple : dès qu'un prestataire accède aux données ou aux systèmes d'un client, il devient un maillon de la chaîne de sécurité de ce client — et donc une porte d'entrée potentielle pour une attaque.

Le questionnaire matérialise donc une démarche de **gestion du risque tiers** (third-party risk management). Le client cherche à répondre à une question centrale : « puis-je confier mes données et mes accès à ce fournisseur sans exposer mon organisation ? ». Pour cela, il interroge la maturité de sa sécurité sur un large spectre, depuis la gouvernance (existe-t-il une politique de sécurité ?) jusqu'aux détails techniques (les données sont-elles chiffrées ? comment les accès sont-ils contrôlés ?).

Côté fournisseur, l'enjeu est double. Un questionnaire mal renseigné — réponses vagues, incohérentes, ou contredites par les faits — peut bloquer une vente, retarder une signature de plusieurs semaines, voire disqualifier le candidat. À l'inverse, des réponses claires, exactes et étayées rassurent l'acheteur et accélèrent la décision. Le questionnaire de sécurité n'est donc pas une formalité administrative : c'est un **élément de la décision d'achat**, au même titre qu'une démonstration produit ou qu'une grille tarifaire.

<Callout type="info" title="Questionnaire de sécurité ou DDQ ?">
Le [DDQ](/glossaire#ddq) (Due Diligence Questionnaire) est plus large : il couvre l'ensemble des risques liés à un fournisseur — financier, juridique, RSE, sécurité. Le questionnaire de sécurité en est la composante cyber. En pratique, un même fournisseur reçoit souvent les deux, et un DDQ contient fréquemment une section sécurité dédiée. La mécanique de réponse, elle, est identique.
</Callout>

## Pourquoi il est devenu incontournable

Il y a quelques années, le questionnaire de sécurité restait l'apanage des grands comptes les plus régulés. Aujourd'hui, il s'est généralisé, sous l'effet de plusieurs tendances de fond.

La première est la **multiplication des attaques par la chaîne d'approvisionnement**. Compromettre directement une grande entreprise bien défendue est difficile ; passer par l'un de ses fournisseurs, souvent moins protégé, l'est beaucoup moins. Les directions de la sécurité (RSSI) ont donc étendu leur vigilance à l'ensemble de leurs prestataires, et le questionnaire est l'outil qui industrialise cette vigilance.

La deuxième est **réglementaire**. Le [RGPD](/blog/questionnaire-rgpd-fournisseur) impose au responsable de traitement de ne recourir qu'à des sous-traitants présentant des garanties suffisantes en matière de sécurité des données personnelles. Concrètement, un client doit pouvoir démontrer qu'il a évalué la sécurité de ses fournisseurs — et le questionnaire constitue cette preuve. Dans certains secteurs (santé, finance, opérateurs d'importance vitale), des exigences sectorielles renforcent encore cette obligation d'évaluation.

La troisième est la **généralisation du SaaS et du cloud**. Externaliser une fonction métier vers un service en ligne revient à confier des données et parfois des accès critiques à un tiers. Plus une organisation dépend de fournisseurs cloud, plus elle a besoin de cadrer le risque que chacun représente.

Résultat : pour un éditeur de logiciels, une ESN ou un prestataire de services manipulant des données, recevoir un questionnaire de sécurité n'est plus l'exception mais la règle dès qu'on adresse des clients d'une certaine taille. Savoir y répondre **vite et bien** est devenu une compétence commerciale à part entière.

<Stat value="40 à 60 %" label="des questions se recoupent largement d'un questionnaire de sécurité à l'autre" />

## Les domaines évalués

Si la forme et la longueur varient d'un client à l'autre, les **thèmes** d'un questionnaire de sécurité sont remarquablement stables. Les comprendre permet de structurer sa matière une fois pour toutes.

### Politique et gouvernance de la sécurité

Le questionnaire s'ouvre presque toujours sur la **gouvernance** : existe-t-il une politique de sécurité des systèmes d'information (**PSSI**) formalisée ? Est-elle approuvée par la direction, diffusée, révisée régulièrement ? Qui porte la responsabilité de la sécurité (RSSI, référent) ? Le client cherche à savoir si la sécurité est pilotée de façon structurée ou laissée à l'improvisation. Une PSSI à jour et des rôles clairement attribués constituent le socle attendu.

### Chiffrement et protection des données

C'est l'un des blocs les plus scrutés. Les données sont-elles **chiffrées au repos** (sur les serveurs, les sauvegardes) et **en transit** (lors des échanges réseau) ? Quels protocoles et quelle gestion des clés ? Le chiffrement est l'une des mesures techniques les plus universellement attendues, car il limite l'impact d'une fuite : des données chiffrées exfiltrées restent, en principe, inexploitables.

### Hébergement et souveraineté des données

Où sont **hébergées** les données ? Dans quel pays, chez quel prestataire ? La question de la **souveraineté** est devenue centrale : un client européen, soumis au RGPD, voudra savoir si ses données quittent l'Union européenne et, le cas échéant, sur quelle base juridique et avec quelles garanties. La localisation de l'hébergement, le recours éventuel à un cloud soumis à une législation extra-européenne, et les mécanismes de transfert sont des points de vigilance récurrents.

### Certifications et attestations

Le client demande systématiquement les **certifications** détenues. Les plus citées sont **ISO 27001** (système de management de la sécurité de l'information), **SecNumCloud** (visa de sécurité de l'ANSSI pour les services cloud), et, pour les données de santé en France, l'**HDS** (Hébergeur de Données de Santé). Une certification reconnue n'est pas obligatoire, mais elle agit comme un raccourci de confiance : elle atteste qu'un tiers indépendant a validé un niveau de maturité, ce qui réduit la profondeur d'évaluation exigée du fournisseur.

### Continuité et reprise d'activité (PRA/PCA)

Que se passe-t-il en cas d'incident majeur — panne, sinistre, cyberattaque ? Le fournisseur dispose-t-il d'un **PCA** (plan de continuité d'activité) et d'un **PRA** (plan de reprise d'activité) ? Les sauvegardes sont-elles régulières, testées, isolées ? Le client veut s'assurer que le service qu'il consomme ne disparaîtra pas du jour au lendemain et que ses données sont récupérables.

### Gestion des incidents

Comment le fournisseur **détecte, qualifie et traite** un incident de sécurité ? Existe-t-il une procédure formalisée, des délais de notification au client, une journalisation des événements ? Ce point est directement lié au RGPD, qui encadre la notification des violations de données personnelles. Un acheteur attend un processus clair et des engagements de notification.

### Contrôle d'accès

Qui peut accéder à quoi, et comment ? Le questionnaire interroge l'**authentification multifacteur (MFA)**, le principe du **moindre privilège** (chacun n'a accès qu'au strict nécessaire), la gestion des comptes à privilèges, la révocation des accès lors d'un départ. Le contrôle d'accès est un pilier : une part importante des compromissions exploite des accès mal maîtrisés.

### Sous-traitance et conformité réglementaire

Enfin, le client s'intéresse à la **chaîne de sous-traitance** : à qui le fournisseur confie-t-il lui-même des données (hébergeur, outils tiers) ? Ces sous-traitants ultérieurs offrent-ils des garanties équivalentes ? S'y ajoute le volet **conformité**, au premier rang duquel le [RGPD](/blog/questionnaire-rgpd-fournisseur) pour les données personnelles, avec la documentation associée (registre des traitements, clauses contractuelles, mesures techniques et organisationnelles).

| Domaine | Question type de l'acheteur |
|---|---|
| Politique de sécurité (PSSI) | La sécurité est-elle pilotée et documentée ? |
| Chiffrement | Les données sont-elles chiffrées au repos et en transit ? |
| Hébergement & souveraineté | Où et chez qui les données sont-elles hébergées ? |
| Certifications | ISO 27001, SecNumCloud, HDS… que détenez-vous ? |
| Continuité (PRA/PCA) | Le service et les données sont-ils résilients ? |
| Gestion des incidents | Comment les incidents sont-ils traités et notifiés ? |
| Contrôle d'accès | MFA, moindre privilège, gestion des comptes ? |
| Sous-traitance & RGPD | Qui accède aux données en aval, avec quelles garanties ? |

## Standards : CAIQ, SIG, ISO 27001

Face à la multiplication des questionnaires, des **standards** ont émergé pour mutualiser l'effort et parler un langage commun. Les connaître aide à comprendre ce qu'un client attend et à structurer sa propre matière.

Le **CAIQ** (*Consensus Assessments Initiative Questionnaire*), publié par la **Cloud Security Alliance**, est l'un des plus répandus pour les fournisseurs de services cloud. Il s'appuie sur le référentiel **Cloud Controls Matrix** et permet à un fournisseur de documenter une fois l'ensemble de ses contrôles de sécurité, puis de partager ce socle avec différents clients. L'intérêt est évident : au lieu de répondre à chaque client de zéro, le fournisseur publie un CAIQ renseigné qui couvre déjà une grande partie des questions usuelles.

Le **SIG** (*Standardized Information Gathering*) poursuit un objectif comparable : il propose un questionnaire standardisé et modulaire, utilisé notamment dans les démarches de gestion du risque tiers. Comme le CAIQ, il vise à éviter que chaque organisation réinvente son propre formulaire.

Enfin, **ISO 27001** n'est pas un questionnaire mais une **norme** de système de management de la sécurité de l'information. Elle est centrale parce que de nombreux questionnaires — y compris le CAIQ ou le SIG — se **mappent** sur ses domaines de contrôle. Autrement dit, une organisation qui a structuré sa sécurité selon ISO 27001 dispose déjà, en grande partie, de la matière nécessaire pour répondre aux questionnaires les plus courants : les questions reprennent largement les mêmes thèmes que les mesures de la norme.

<Callout type="info" title="L'intérêt des standards pour le répondant">
Les standards comme le CAIQ ou le SIG ne suppriment pas les questionnaires propriétaires des clients, mais ils créent un dénominateur commun. Si votre matière sécurité est organisée selon ces référentiels et mappée sur ISO 27001, vous répondez plus vite à n'importe quel questionnaire, standardisé ou maison, car les thèmes se recoupent.
</Callout>

## Méthode pour répondre vite et juste

Répondre à un questionnaire de sécurité combine deux exigences souvent perçues comme contradictoires : la **vitesse** (ces questionnaires sont chronophages et arrivent en fin de cycle, sous pression de signature) et la **justesse** (une réponse fausse ou imprudente peut engager l'entreprise, voire constituer un risque juridique). Voici une méthode pour concilier les deux.

**1. Centraliser sa matière sécurité.** La première condition pour aller vite est de ne pas chercher l'information à chaque fois. Les éléments factuels — politiques, certifications, schémas d'hébergement, procédures — doivent être réunis dans une **base de connaissances sécurité** unique, à jour et accessible. C'est ce socle qui transforme un exercice de fouille en un exercice de sélection.

**2. Répondre question par question, en s'appuyant sur des réponses validées.** Un questionnaire dense se traite ligne par ligne. Pour chaque question, l'objectif est de réutiliser une réponse de référence déjà validée plutôt que de rédiger un texte nouveau. Comme une part importante des questions est récurrente d'un client à l'autre, ce travail de réutilisation représente l'essentiel du gain de temps.

**3. Sourcer chaque réponse.** Une réponse de sécurité n'a de valeur que si elle est **étayée**. « Oui, les données sont chiffrées au repos » doit pouvoir s'appuyer sur une politique ou une attestation ; « nous sommes certifiés ISO 27001 » sur le certificat correspondant. Sourcer les réponses sert deux objectifs : convaincre l'acheteur, et protéger l'entreprise en garantissant que ce qu'elle affirme est vrai et documenté.

**4. Garantir la cohérence d'un questionnaire à l'autre.** Rien n'érode plus la confiance qu'un fournisseur qui répond différemment à la même question selon le client. Or, sans matière centralisée, c'est ce qui arrive : un expert répond ici, un autre là, et les versions divergent. La cohérence se construit en faisant découler toutes les réponses d'une **source unique de vérité**.

**5. Faire valider les réponses sensibles par le bon expert.** Sur les points engageants — chiffrement, sous-traitance, incidents, conformité — la réponse doit être validée par le RSSI ou le référent compétent. L'enjeu n'est pas que chacun rédige tout, mais que chaque réponse critique soit vue par la bonne personne avant d'être envoyée.

**6. Suivre le taux de couverture.** Sur une grille de 150 ou 300 lignes, savoir à tout moment ce qui est traité, sourcé, validé ou en attente évite les mauvaises surprises de dernière minute. Le **taux de couverture** est l'indicateur de pilotage le plus utile pour ce type d'exercice.

C'est exactement la logique du [module Questionnaires & DDQ de TenderCrunch](/produit/questionnaires) : traiter chaque questionnaire de sécurité, RSE ou RGPD question par question, avec des réponses **sourcées** issues d'une [base de connaissances](/produit/base-de-connaissances), un **taux de couverture** suivi en temps réel et un **export Excel** pour rendre le format attendu par le client. Le temps gagné sur les questions récurrentes est réinvesti là où une réponse mérite d'être ciselée.

<CtaInline>Industrialiser mes réponses aux questionnaires de sécurité</CtaInline>

## Capitaliser ses réponses sécurité

La différence entre une équipe qui subit les questionnaires de sécurité et une équipe qui les maîtrise tient en un mot : la **capitalisation**. Traiter chaque questionnaire comme un événement isolé condamne à recommencer à chaque fois, avec le risque d'incohérences et de réponses obsolètes. Capitaliser, c'est faire en sorte que chaque réponse produite serve aussi à toutes les suivantes.

Cette capitalisation prend la forme d'une **base de connaissances sécurité vivante** : un référentiel où chaque réponse de référence est rédigée une fois, sourcée, datée, et tenue à jour. Quand une certification est renouvelée, quand l'hébergement évolue, quand une politique change, la réponse de référence est corrigée **à un seul endroit** — et tous les futurs questionnaires en bénéficient automatiquement. C'est l'inverse de la situation classique où l'information correcte est dispersée entre plusieurs personnes et plusieurs fichiers, et où chaque dossier repart de zéro.

Cette base ne sert pas que les questionnaires de sécurité. Elle alimente toute la famille des [questionnaires fournisseurs](/blog/ddq-due-diligence) — sécurité, [RGPD](/blog/questionnaire-rgpd-fournisseur), RSE — qui partagent la même mécanique de réponse répétitive. Mieux : le même socle nourrit aussi le [mémoire technique](/produit/memoire-technique) d'une réponse à appel d'offres, dès lors qu'une section sécurité y est attendue. Une seule matière, plusieurs usages.

<Callout type="warning" title="Le piège de la réponse passe-partout">
Capitaliser ne veut pas dire copier-coller à l'aveugle. Un RSSI repère immédiatement une réponse générique, surtout sur un point sensible. La bonne approche : partir d'une réponse de référence fiable, puis l'ajuster au contexte du client et de la consultation. La matière est mutualisée ; l'adaptation reste indispensable sur ce qui compte.
</Callout>

Pour aller plus loin sur l'engagement de sécurité du produit lui-même, notre [page Sécurité](/securite) détaille l'approche de TenderCrunch. Et parce qu'un questionnaire de sécurité s'inscrit presque toujours dans un cycle plus large, il se traite avec la même rigueur qu'une [décision de Go/No-Go](/blog/go-no-go-methode) : qualifier, structurer, capitaliser.

## En résumé

Un questionnaire de sécurité fournisseur évalue la posture cyber d'un prestataire avant ou pendant la relation contractuelle, à travers des thèmes stables : politique de sécurité, chiffrement, hébergement et souveraineté, certifications, continuité, gestion des incidents, contrôle d'accès, sous-traitance et conformité RGPD. Des standards comme le CAIQ et le SIG, mappés sur ISO 27001, structurent l'exercice et permettent de mutualiser l'effort. Bien y répondre ne tient pas à la rapidité de frappe, mais à une **base de connaissances sécurité à jour, des réponses sourcées et cohérentes** d'un dossier à l'autre. C'est ce qui transforme une corvée subie en fin de cycle de vente en un atout commercial.

À lire ensuite : [le DDQ, mode d'emploi de la due diligence fournisseur](/blog/ddq-due-diligence) et [répondre au questionnaire RGPD d'un client](/blog/questionnaire-rgpd-fournisseur).

## FAQ

### Qu'est-ce qu'un questionnaire de sécurité fournisseur ?

C'est un ensemble structuré de questions par lequel un client évalue la posture de cybersécurité d'un fournisseur avant ou pendant la relation contractuelle. Il porte sur l'organisation de la sécurité, la protection des données, l'hébergement, les certifications, la continuité d'activité et la conformité réglementaire. Son but est de mesurer le risque que représente le fournisseur pour le système d'information et les données du client.

### Pourquoi les clients envoient-ils des questionnaires de sécurité ?

Parce qu'un fournisseur qui accède aux données ou aux systèmes d'un client devient une porte d'entrée potentielle pour une attaque. Le questionnaire matérialise une démarche de gestion du risque tiers : le client doit s'assurer que son fournisseur protège correctement les données qui lui sont confiées, notamment au titre du RGPD pour les données personnelles. C'est devenu un passage quasi obligé pour vendre à des grands comptes, des établissements de santé ou des acteurs régulés.

### Quelle différence entre un questionnaire de sécurité et un DDQ ?

Le DDQ (Due Diligence Questionnaire) est plus large : il couvre l'ensemble des risques liés à un fournisseur (financier, juridique, RSE, sécurité…). Le questionnaire de sécurité est une composante centrée sur la cybersécurité et la protection des données. En pratique, un même fournisseur reçoit souvent les deux, et un DDQ contient fréquemment une section sécurité dédiée.

### Faut-il une certification ISO 27001 pour répondre à un questionnaire de sécurité ?

Non, ce n'est pas obligatoire, mais une certification ou une qualification reconnue (ISO 27001, SecNumCloud, HDS pour les données de santé) renforce considérablement la crédibilité des réponses et raccourcit souvent l'évaluation. À défaut, un fournisseur peut s'appuyer sur ses politiques internes, ses mesures techniques et organisationnelles documentées et, le cas échéant, sur des rapports d'audit. L'essentiel est que chaque réponse soit exacte et étayée par une preuve.

### Qu'est-ce que le CAIQ ?

Le CAIQ (Consensus Assessments Initiative Questionnaire) est un questionnaire standardisé publié par la Cloud Security Alliance pour évaluer la sécurité des fournisseurs de services cloud. Il s'appuie sur le référentiel Cloud Controls Matrix et permet à un fournisseur de documenter une fois ses contrôles, puis de réutiliser ce socle face à différents clients. D'autres standards comme le SIG poursuivent un objectif comparable de mutualisation.

### Comment répondre plus vite à un questionnaire de sécurité ?

En capitalisant ses réponses dans une base de connaissances sécurité unique et à jour, plutôt qu'en repartant de zéro à chaque dossier. Comme une large part des questions est récurrente d'un client à l'autre, une réponse validée et sourcée une fois peut être réutilisée et adaptée. Un outil qui puise dans cette base, suit le taux de couverture et permet l'export accélère fortement le traitement tout en garantissant la cohérence.
