Pendant des années, la gestion des risques fournisseurs s’est résumée à une logique de collecte. On demandait des documents, on les classait, on vérifiait leur validité à date, et on recommençait l’année suivante. Cette approche documentaire a son utilité, mais elle présente une limite structurelle : elle photographie un risque à un instant donné, alors que le risque, lui, évolue en continu. Or un programme de Third-Party Risk Management (TPRM) efficace repose précisément sur la surveillance continue des tiers.
Un fournisseur dont l’attestation d’assurance était valide en janvier peut avoir laissé sa couverture expirer en juin. Un dirigeant peut apparaître sur une liste de sanctions entre deux campagnes de vérification. Un IBAN peut être modifié sans que personne ne s’en aperçoive avant le virement. Dans une logique documentaire, ces signaux ne sont détectés qu’au prochain contrôle, souvent trop tard. C’est tout l’écart entre une vérification ponctuelle et un véritable monitoring.
C’est précisément ce décalage que Provigis Risk Pilot vient corriger.
Risk Pilot : Pourquoi la conformité documentaire ne suffit plus
Le cadre réglementaire de 2026 déplace la responsabilité de l’entreprise vers l’ensemble de sa chaîne de valeur. Vous ne répondez plus seulement de vos propres pratiques, mais aussi de celles de vos fournisseurs et prestataires. Plusieurs textes convergent vers cette même exigence : la directive NIS2, en cours de transposition en France via la loi Résilience, étend les obligations de sécurité de la chaîne d’approvisionnement à des milliers d’entités supplémentaires ; le règlement DORA impose au secteur financier de cartographier ses prestataires de services TIC et d’en assurer le suivi ; le devoir de vigilance, la CSRD et la loi Sapin II ajoutent chacun leur couche d’obligations sur la corruption, les droits humains et le reporting extra-financier.
Le point commun de ces textes n’est pas la production d’un document à un instant T, mais la démonstration d’un suivi dans la durée. Une attestation classée dans un dossier ne prouve pas qu’un risque est maîtrisé aujourd’hui. Ce que les autorités de contrôle attendent, c’est une piste d’audit qui montre que le niveau de risque de chaque tiers est surveillé en continu, et que les écarts déclenchent une action.
C’est ce glissement du justificatif au pilotage — qui rend la seule approche documentaire insuffisante.
Ce qu’est Provigis Risk Pilot
Provigis Risk Pilot (PRP) est le module d’évaluation des risques fournisseurs de Provigis. Sa fonction n’est pas de collecter davantage de documents, mais de transformer la donnée disponible en aide à la décision et en actions opérationnelles.
Concrètement, PRP agrège cinq sources de données complémentaires :
• les données déclarées par le fournisseur lui-même ;
• les données apportées par le donneur d’ordres (l’acheteur) ;
• les données publiques issues des bases officielles ;
• les données fournies par des data providers privés et publics ;
• les données issues de l’extraction documentaire par IA et de l’interrogation directe du corpus documentaire.
Le croisement de ces sources permet de construire une cartographie des risques tiers et un scoring consolidé, de segmenter automatiquement le portefeuille fournisseurs par niveau de risque, et de déclencher les actions adaptées : vérification complémentaire, surveillance renforcée, audit.
Comment fonctionne Risk Pilot concrètement
Le fonctionnement de PRP repose sur une mécanique en quatre temps. D’abord, le scoring : chaque fournisseur se voit attribuer un niveau de risque consolidé, calculé à partir du croisement des cinq sources de données et pondéré selon les axes de risque pertinents pour votre activité. Ensuite, la segmentation : le portefeuille fournisseurs se répartit automatiquement par niveau d’exposition, ce qui permet de concentrer l’attention sur les tiers réellement critiques plutôt que de traiter tout le monde de la même manière. Viennent ensuite les règles : vous définissez les seuils qui déclenchent une réaction — un score qui se dégrade, un signal réglementaire, une convergence d’événements sur un même trimestre. Enfin, les actions : dès qu’un seuil est franchi, PRP enclenche la réponse adaptée sans intervention manuelle (alerte au responsable achats, demande de pièce complémentaire, mise en surveillance renforcée ou déclenchement d’un audit.)
C’est cette chaîne (scorer, segmenter, paramétrer, agir) qui transforme une masse de données fournisseurs en décisions opérationnelles, et qui distingue un véritable pilotage du risque tiers d’un simple archivage documentaire.
Une couverture multi-risques, adaptée à votre cartographie
Votre cartographie des risques au cœur du dispositif
PRP est conçu pour s’aligner sur votre propre vision du risque tiers. Grâce à sa flexibilité, l’outil permet d’intégrer directement votre cartographie des risques fournisseurs : vous définissez vos axes d’évaluation, vos critères de pondération et vos seuils en fonction de votre secteur, de votre exposition réelle et de votre politique interne de gestion des risques. C’est votre cadre qui pilote l’évaluation, pas un modèle imposé.
Les modules thématiques, un socle prêt à l’emploi
Et si vous ne disposez pas encore d’une cartographie formalisée, les huit modules thématiquesProvigis prennent le relais : Identité, Obligation de Vigilance, Assurance, Sanction, Corruption (Sapin II), Fraude au virement, Cybersécurité et RSE. Ce socle prêt à l’emploi couvre les principaux risques réglementaires auxquels les donneurs d’ordre sont exposés. Il peut servir de point de départ comme de complément à votre propre dispositif : vous vous appuyez sur la cartographie maison, sur les modules Provigis, ou sur une combinaison des deux.
La convergence des signaux, là où se joue le risque
L’intérêt n’est pas dans chaque axe ou chaque module pris séparément, mais dans leur rapprochement. Un fournisseur dont la couverture d’assurance vient de changer, dont un dirigeant apparaît récemment sur une liste de personnes politiquement exposées, et dont les coordonnées bancaires ont été modifiées dans la même période : c’est la convergence de ces trois signaux qui constitue une alerte réelle. Pris isolément, chacun passe inaperçu. Consolidés dans une vue unique, ils dessinent un risque.
C’est cette approche systémique, alignée sur votre propre vision du risque tiers, qui distingue un pilotage des risques d’une simple conformité.
Un cas concret : du signal faible à l’action
Prenons un fournisseur référencé depuis trois ans, sans incident. Au cours d’un même trimestre, trois événements surviennent : son attestation d’assurance responsabilité civile n’est pas renouvelée, l’un de ses dirigeants entre dans une base de personnes politiquement exposées, et un changement d’IBAN est déclaré sur une facture.
Dans un dispositif documentaire classique, ces trois faits relèvent de trois processus distincts, traités par trois équipes différentes, et ne sont rapprochés — au mieux — qu’à la revue annuelle. Avec PRP, chaque événement met à jour le scoring du fournisseur dès son apparition. Le franchissement d’un seuil de risque déclenche automatiquement une action : alerte au responsable achats, demande de pièce complémentaire, mise en surveillance renforcée. Le risque n’est pas constaté après coup ; il est traité au moment où il se forme.
Avec Risk Pilot, Le monitoring continu, pas de contrôle ponctuel
Les données alimentant PRP sont mises à jour quotidiennement. Cette surveillance continue signifie que chaque changement de niveau de risque peut déclencher automatiquement une action, sans attendre la prochaine campagne de vérification annuelle.
L’objectif n’est pas de constater un risque après coup, mais de le détecter dès son apparition, avec une piste d’audit complète, alignée sur les attentes des autorités de contrôle.
Une brique qui s’intègre à l’existant
PRP ne fonctionne pas en silo. Il s’appuie sur une base fournisseurs déjà embarquée et sur les connecteurs ERP et SRM déjà en place chez Provigis. Pour les organisations qui gèrent déjà leurs tiers sur la plateforme, l’activation de PRP ne suppose pas de repartir de zéro : elle ajoute une couche d’analyse et de pilotage au-dessus de la donnée déjà structurée.
Questions fréquentes
Risk Pilot remplace-t-il la collecte documentaire existante ?
Non. PRP s’appuie sur la donnée déjà collectée et l’enrichit de sources externes. Il ne se substitue pas aux modules thématiques : ils alimentent la donnée, PRP la transforme en décision.
Dois-je disposer d’une cartographie des risques pour utiliser Risk Pilot ?
Non. Si vous avez déjà une cartographie des risques fournisseurs, PRP s’y aligne directement : vos axes, vos pondérations, vos seuils. Si vous n’en avez pas encore, les huit modules thématiques Provigis prennent le relais et constituent un socle prêt à l’emploi, qui peut aussi servir de point de départ à votre propre dispositif.
En quoi PRP diffère-t-il d’un simple tableau de bord ?
Un tableau de bord affiche un état. PRP agit : il score, segmente le portefeuille par niveau de risque, et déclenche des actions lorsqu’un seuil est franchi.
Quel est l’apport de l’IA dans PRP ?
L’IA est l’une des cinq sources de données. Elle intervient en enrichissement — par exemple pour structurer une information non normalisée — sans se substituer aux sources déclaratives, publiques et providers.
Provigis Risk Pilot marque le passage d’une conformité documentaire, ponctuelle et réactive, à un pilotage continu des risques fournisseurs. Une vision consolidée, des vulnérabilités anticipées et fondé sur un monitoring permanent, basé sur votre propre cartographie des risques tiers ( ou, à défaut, les modules thématiques). Détectez plus tôt. Agissez plus vite. Pilotez en continu
Si vous souhaitez en savoir plus, contactez notre équipe.