Passer au contenu
ISMS.en ligne

ISO 27001 A.5.36 – Garantir la conformité des activités de développement, d'exploitation et de trading aux politiques de sécurité

Lorsque les politiques de sécurité restent théoriques, les équipes de développement, d'exploitation et de trading s'en éloignent, surtout sous pression. La norme ISO 27001 A.5.36 exige des preuves de l'application des règles au quotidien, et pas seulement lors des audits. Grâce à des garde-fous intégrés et des contrôles continus, les organisations peuvent démontrer leur conformité réelle, satisfaire les auditeurs et maintenir la confiance sans ralentissement de leurs activités.

Auteur
Marc Sharron
Mise à jour: 1 décembre, 2025
4 / 5 Etoiles

Pourquoi la « conformité sur support papier » engendre des dysfonctionnements dans le développement, les opérations et le trading

La norme ISO 27001 A.5.36 ne se limite pas au nombre de politiques publiées, mais s'assure que les équipes de développement, d'exploitation et de trading les appliquent réellement sous pression. Dans les environnements à forte activité, les formations annuelles et les documents PDF sur l'intranet ne suffisent pas. Nombre d'organisations peuvent se targuer d'un impressionnant ensemble de politiques de sécurité approuvées, mais les ingénieurs et les traders continuent de prendre quotidiennement des décisions qui les ignorent. Il vous faut des règles claires, applicables en quelques secondes, des garde-fous intégrés aux outils et la preuve que les pratiques quotidiennes restent conformes aux engagements de vos politiques de sécurité.

Dans les environnements en constante évolution, les lacunes sont omniprésentes : développeurs déployant des correctifs urgents depuis leurs machines locales, opérateurs effectuant des modifications de configuration ponctuelles, traders utilisant des canaux non officiels pour confirmer un prix. Rien de tout cela n’apparaît généralement dans un document de politique ou un registre des risques formel, et pourtant, tout cela affecte votre niveau de sécurité informatique et votre capacité à convaincre les auditeurs et les organismes de réglementation que vos règles sont effectivement respectées.

Ces informations sont d'ordre général et ne constituent pas un avis juridique ou réglementaire ; vous devriez toujours solliciter l'aide d'un professionnel compétent pour votre situation particulière.

Les politiques n'ont d'importance que lorsqu'elles modifient ce qui se passe en temps réel.

Le décalage entre la réalité et le travail quotidien

La norme A.5.36 existe car de nombreuses politiques de sécurité sont rédigées pour satisfaire les auditeurs, et non pour guider les personnes qui conçoivent, exploitent et utilisent vos systèmes. Les développeurs, les opérateurs et les traders ont besoin de règles simples et pratiques, adaptées à leurs outils et à leurs contraintes de temps. Faute de quoi, ils ont tendance à privilégier les raccourcis et les habitudes du « on fait vraiment comme ça », surtout lorsque de longs documents PDF ne reflètent que très peu leur façon de développer et de déployer du code, de gérer les opérations ou les salles de marchés.

Lorsque les politiques semblent déconnectées des outils et décisions quotidiens, on aboutit à une simple « conformité sur papier » : attestations annuelles, formations obligatoires et audits internes ponctuels qui, malgré leurs belles paroles, s’éloignent progressivement des pratiques réelles. La norme ISO 27001 A.5.36 a été mise à jour afin d’inciter les organisations à dépasser ce schéma et à mettre en place des contrôles réguliers et structurés pour s’assurer que les pratiques restent conformes aux règles établies.

Pourquoi les équipes à grande vitesse sont particulièrement exposées

Les équipes de développement, d'exploitation et de trading à haute vélocité prennent chaque jour des centaines de petites décisions urgentes. Plus vos cycles de changement et d'exécution sont rapides, moins il est réaliste de s'appuyer sur des rappels ponctuels ou des revues manuelles fastidieuses. Sans garde-fous intégrés et contrôles continus, les dérives des politiques s'accélèrent silencieusement jusqu'à se manifester par un incident, une transaction ratée ou une découverte embarrassante lors d'un audit.

Le déploiement continu, l'infrastructure cloud et le trading électronique favorisent la rapidité et l'adaptabilité, mais multiplient aussi les occasions de respecter ou de contourner une règle de sécurité. Une mise en production qui nécessitait auparavant une réunion hebdomadaire de gestion des changements peut désormais être déployée en quelques minutes grâce à un pipeline automatisé. Une transaction qui impliquait auparavant plusieurs intervenants peut désormais être générée, acheminée et exécutée entièrement par du code.

Dans ces environnements, il est impossible de se fier aux simples rappels de politique par e-mail. Il vous faut des garde-fous intégrés aux méthodes de travail existantes des équipes de développement, d'exploitation et de trading, ainsi que des preuves constantes de leur bon fonctionnement. C'est là l'essence même de l'article A.5.36 : réduire l'écart entre la politique écrite et les comportements observés, tout en permettant à votre organisation de rester agile.

Demander demo


Ce que la norme ISO 27001 A.5.36 vous demande réellement de faire

L’annexe A.5.36 de la norme ISO 27001:2022 exige bien plus que la simple publication d’une politique de sécurité. Vous devez définir des règles claires, déterminer à qui elles s’appliquent, démontrer que les personnes et les systèmes les respectent, et examiner régulièrement les écarts afin de les corriger. Concrètement, vous devez pouvoir répondre à tout moment à trois questions : quelles sont les règles ? À qui s’appliquent-elles ? Et comment vous assurez-vous de leur application au sein des équipes de développement, d’exploitation et de trading ?

Concrètement, cela implique de définir un ensemble cohérent de politiques de sécurité de l'information, des normes et des procédures spécifiques, de désigner des responsables et de planifier des audits de conformité réguliers. Ces audits doivent permettre de recueillir des preuves et de mettre en œuvre des actions correctives claires en cas de non-conformité. Pour le développement, les opérations et les transactions, cela se traduit par des attentes concrètes quant à la manière dont le code est écrit, dont les modifications sont déployées, dont les accès sont gérés et dont les informations sensibles sont traitées.

Vue en langage clair du contrôle

En clair, la norme A.5.36 stipule : « Établissez les règles de sécurité essentielles, vérifiez leur application par les personnes et les systèmes, et corrigez les anomalies. » Pour ce faire, il vous faut des politiques précises et accessibles, un plan de contrôle de la conformité et une traçabilité des éléments constatés et des modifications apportées. Les auditeurs accordent plus d’importance à cette traçabilité qu’à la perfection de la formulation.

Cette formulation simple a plusieurs implications :

  • Les politiques et les normes doivent être spécifiques et accessibles afin que les équipes sachent ce que l'on attend d'elles.
  • Vous devez définir la fréquence et le lieu où vous effectuerez les contrôles de conformité.
  • Vous devez préciser les méthodes d'examen que vous utiliserez, telles que les audits, les analyses techniques ou les examens d'accès.
  • Vous devez conserver les enregistrements des constatations et des actions entreprises afin que les audits internes et de certification puissent retracer ce qui s'est passé.

Pour un auditeur, les preuves de l'application de la norme A.5.36 comprennent généralement les calendriers d'examen, les listes de contrôle ou les résultats de tests, les journaux d'incidents, les plans d'actions correctives et la preuve que la direction a pris connaissance des anomalies importantes et agi en conséquence. Il recherche des preuves cohérentes et reproductibles plutôt que des actions exceptionnelles ponctuelles.

Qu'est-ce que cela signifie pour les équipes de développement, d'exploitation et de trading ?

Pour les équipes de développement, d'exploitation et de trading, la norme A.5.36 exige que les politiques et les standards se traduisent par des comportements observables et vérifiables. Les développeurs doivent constater l'application des règles de codage sécurisé dans les pipelines. Les opérateurs doivent identifier les contrôles de modification et d'accès dans leurs outils quotidiens. Les traders doivent savoir quels systèmes et canaux sont concernés et comment leur utilisation est surveillée. Chaque groupe a besoin de règles claires et d'un retour d'information fiable.

Pour les équipes de développement, la norme A.5.36 exige généralement que les standards de codage sécurisé, les modèles d'architecture et les politiques du cycle de vie du développement logiciel (SDLC) soient plus que de simples recommandations. Il est nécessaire de mettre en place des mécanismes permettant de vérifier la conformité du nouveau code et de la configuration, et de les revoir et de les améliorer. Par exemple, les règles de codage sécurisé peuvent être appliquées par le biais d'analyses statiques et de revues par les pairs, avec des contrôles ponctuels réguliers des dépôts et des pipelines.

Pour les équipes opérationnelles, l'accent est souvent mis sur la gestion des changements, des accès, de la configuration et des incidents. La norme A.5.36 exige que vous démontriez que les modifications apportées à la production respectent les processus convenus, que les accès privilégiés sont gérés et contrôlés, et que les écarts par rapport aux configurations et aux modèles de référence standard sont identifiés et traités. Pour les équipes de trading en front-office, l'accent est mis sur le respect des règles de gestion de l'information, des systèmes et canaux autorisés, ainsi que des procédures internes qui protègent les données sensibles des clients et du marché. Dans les trois cas, le modèle est le même : des règles claires, des contrôles opérationnels, un examen régulier et des actions correctives documentées.

Une simple comparaison permet de le constater plus facilement.

Domaine Objectif principal A.5.36 Les signaux de preuve typiques
dev Codage sécurisé et déploiement contrôlé Journaux de pipeline, revues de code, résultats d'analyse
Ops Discipline de changement, d'accès et de configuration Enregistrements des modifications, examens d'accès, alertes de dérive
Commerce Systèmes autorisés et traitement de l'information Rapports de surveillance, attestations documentaires


ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Reformulation de A.5.36 en un système de contrôle respectueux de l'écoulement

La mise en œuvre de la norme A.5.36 est plus efficace lorsqu'on la considère non plus comme un simple exercice de documentation, mais comme un système de contrôle des flux d'informations critiques. Chaque information importante de votre organisation suit un parcours précis : elle est créée, transformée, stockée et transmise par les systèmes, puis archivée ou supprimée. Tout au long de ce parcours, les politiques, les normes et les contrôles définissent ce qui est autorisé. La norme A.5.36 vous invite à démontrer que ce principe reste valable malgré l'évolution des systèmes et des marchés, en considérant le contrôle comme un garde-fou global encadrant ces flux.

Dans cette optique, l'article A.5.36 consiste à définir ce qu'est un « comportement acceptable » pour chaque flux, à s'assurer de la présence de contrôles aux points clés pour maintenir ce comportement dans des limites acceptables, à surveiller ces contrôles et à intervenir en cas de défaillance. Cette approche est particulièrement pertinente dans les environnements de développement, d'exploitation et de trading, où les mêmes flux – par exemple, « déployer un nouvel algorithme de trading en production » ou « traiter les données des ordres clients » – se répètent à grande vitesse.

Représentation visuelle : flux de bout en bout, de l’idée de code à la production, avec des points de contrôle de sécurité marqués à chaque étape majeure.

Pensez en termes de flux de bout en bout, et non de documents isolés.

Une première étape pratique consiste à sélectionner quelques scénarios de développement, d'exploitation et de trading à haut risque et à les cartographier de bout en bout. Pour chacun d'eux, il convient de se demander qui a accès à l'information, quels systèmes la font circuler, quelles décisions sont les plus importantes et où vos politiques actuelles prévoient la mise en place de contrôles. Visualiser ces flux sur une seule page permet d'identifier clairement les points forts et les points faibles.

Par exemple, suivez le parcours d'une modification de code, de l'idée à la production : qui peut la proposer, où elle est développée, comment elle est testée, qui peut l'approuver, comment elle est déployée et comment elle est surveillée. Intégrez ensuite vos politiques et normes : sécurité du développement, gestion des changements, contrôle d'accès, journalisation et réponse aux incidents.

On constate souvent des lacunes là où le contrôle est inexistant, où il n'existe que sur le papier, ou encore où il repose entièrement sur la bonne volonté des personnes. C'est sur ces points que doit se concentrer le travail de conformité à la section A.5.36 : s'assurer que chaque étape critique du processus dispose d'un contrôle concret et vérifiable, et que ces vérifications sont planifiées et documentées.

Attribuer la propriété, les déclencheurs et les boucles de rétroaction

Une fois les flux clarifiés, l'analyse A.5.36 se résume à la question de la responsabilité, des déclencheurs et du retour d'information. Chaque point de contrôle nécessite un responsable, des signaux clairs indiquant quand un examen ou une remontée d'information est requis, et un mécanisme de retour d'information vers le système de management de la sécurité de l'information (SMSI) afin que les conclusions orientent les décisions futures en matière de politiques et de risques. Cette approche par les flux permet également de préciser qui est responsable de chaque aspect de l'analyse A.5.36 : chaque point de contrôle doit avoir un responsable désigné, des déclencheurs d'examen définis (par exemple, des tests non concluants, un accès non conforme aux politiques ou une activité de trading inhabituelle) et un mécanisme de retour d'information vers les processus d'audit et de gestion des risques du SMSI. Ainsi, les conclusions ne restent pas lettre morte et ne contribuent pas à l'amélioration du système.

Vous pouvez étayer cette démarche par une simple matrice RACI : qui rédige et met à jour la politique, qui assure le contrôle au quotidien, qui veille au respect des procédures et qui décide des exceptions. Une fois ces rôles clairement définis, vous pouvez utiliser des audits internes et des revues de direction pour vérifier non seulement l’existence des contrôles, mais aussi si le flux global reste dans les limites de risque acceptables. De nombreuses organisations choisissent de s’appuyer sur une plateforme SMSI centralisée, telle que ISMS.online, afin de centraliser les responsables de processus, les flux, les contrôles et les justificatifs.



Les politiques de conception, de développement, d'opérations et de trading peuvent en réalité suivre les directives.

La mise en œuvre efficace de la norme A.5.36 repose sur des politiques et des standards que chacun peut réellement suivre. Cela implique des documents concis et ciblés, rédigés dans le langage des équipes de développement, d'exploitation et de trading, qui définissent concrètement les bonnes pratiques, tout en reflétant vos ambitions et votre gouvernance globales. Les politiques de référence définissent le cap ; les procédures et standards spécifiques à chaque rôle indiquent précisément comment agir dans des situations spécifiques, en tenant compte des modes de fonctionnement et de réflexion des différentes équipes.

Les politiques générales définissent les principes, le périmètre et la gouvernance. Les guides et les normes traduisent ces principes en instructions concrètes (« voici comment nous procédons ») à destination des développeurs, des opérateurs et des équipes de trading. Associées à des processus structurés de gestion des exceptions et d'approbation, elles constituent une base pratique pour garantir la conformité et la réactivité.

Transformer les politiques à long terme en guides de jeu axés sur les rôles

Les guides de bonnes pratiques basés sur les rôles permettent de faire le lien entre la politique d'entreprise et les outils utilisés. Les développeurs, les opérateurs et les traders doivent pouvoir s'identifier aux exemples et au langage employés, afin que le respect de la politique soit perçu comme une pratique courante plutôt que comme une lutte contre des clauses abstraites.

Une norme de développement sécurisé conviviale pour les développeurs pourrait se concentrer sur des sujets tels que l'authentification, la validation des entrées, la journalisation et la gestion des erreurs, chacun étant brièvement expliqué avec des exemples concrets de bonnes pratiques (« faites ceci, ne faites pas cela ») dans les langages et frameworks utilisés par vos équipes. Une norme de gestion des changements axée sur les opérations pourrait spécifier les étapes et les responsabilités pour les changements normaux, standard et d'urgence, avec des arbres de décision simples et des liens vers les manuels d'exploitation.

Pour les équipes de trading, il peut être nécessaire de définir des procédures spécifiques à chaque poste, reprenant les règles de gestion et d'accès à l'information en fonction des systèmes, instruments et types de clients utilisés. L'essentiel est que chaque procédure soit clairement issue de vos politiques fondamentales et référencée dans votre système de gestion de la sécurité de l'information (SGSI), tout en restant suffisamment concise et concrète pour être effectivement appliquée.

Intégrez les exceptions et les approbations dans la conception.

Si les équipes de développement, d'exploitation ou de trading ont l'impression de devoir choisir entre respecter les politiques et accomplir leurs tâches, des solutions de contournement non officielles verront le jour. Les équipes travaillant à grande échelle se sentent parfois contraintes de choisir entre le processus « idéal » et des objectifs de livraison ou d'exécution réalistes, ce qui constitue en fin de compte un échec de conception. La norme A.5.36 vous invite à éviter cet écueil en définissant des règles standard et des méthodes claires et vérifiables pour gérer les exceptions, afin que le risque reste visible et maîtrisé au lieu de se dissimuler derrière des décisions improvisées.

Pour les développeurs, cela pourrait signifier autoriser les correctifs d'urgence à contourner certains contrôles sous des conditions très précises, avec des examens et des tests supplémentaires a posteriori. Pour les opérations, il pourrait s'agir d'une procédure d'accès d'urgence contrôlée. Pour les traders, cela pourrait impliquer des procédures spéciales pour les conditions de marché extrêmes.

Ces procédures de gestion des exceptions nécessitent des critères clairs, des approbateurs autorisés, des délais et des exigences de journalisation. En les concevant de manière transparente et en les reliant aux évaluations des risques, vous offrez aux équipes un moyen légitime d'agir rapidement en cas de besoin, tout en générant des preuves exploitables. À terme, l'analyse des données relatives aux exceptions devient un atout précieux pour l'amélioration des politiques et des contrôles.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Intégrer la version A.5.36 dans l'environnement de développement et d'intégration continue/déploiement continu sans ralentir la production

Pour les équipes de développement et de plateforme, la manière la plus durable de se conformer à la norme A.5.36 est d'intégrer la conformité aux politiques de sécurité comme une conséquence naturelle des bonnes pratiques d'ingénierie. Les principes de sécurité dès la conception et les modèles DevSecOps transforment de nombreuses exigences de sécurité en contrôles automatisés au sein de vos pipelines et dépôts. Les développeurs continuent ainsi de déployer rapidement et vous obtenez des preuves continues de l'application des règles de sécurité.

Dans un cycle de vie de développement logiciel (SDLC) sécurisé et un modèle de développement, de sécurité et d'exploitation (DevSecOps), les contrôles de sécurité sont intégrés aux exigences, à la conception, au codage, aux tests et au déploiement, au lieu d'être ajoutés a posteriori comme une étape manuelle. Vos normes de codage sécurisé et vos règles d'architecture sont appliquées automatiquement autant que possible, et les exceptions sont gérées par vos outils de flux de travail habituels. Les auditeurs et les responsables de l'analyse des risques peuvent ensuite consulter les journaux du pipeline et les métadonnées du référentiel. Cela leur permet de comprendre la fréquence d'exécution des contrôles, le nombre de problèmes détectés et la rapidité de leur résolution.

La politique sous forme de code dans votre cycle de vie de développement logiciel et vos pipelines

La politique en tant que code (Policy-as-code) transforme une partie de vos normes de sécurité en règles appliquées automatiquement par vos outils. Concrètement, cela peut inclure des analyses statiques, des analyses de dépendances et de conteneurs, des contrôles d'infrastructure en tant que code (Infrastructure-as-code) et des règles de protection des branches, en parfaite adéquation avec vos politiques. Chaque échec de vérification génère une tâche de développement et un signal de conformité A.5.36.

Voici quelques exemples:

  • Règles d'analyse statique qui bloquent les schémas non sécurisés ou les API interdites.
  • Analyses des dépendances et des conteneurs qui appliquent les listes de composants approuvées.
  • Des contrôles d’infrastructure en tant que code qui empêchent l’application de configurations non sécurisées.
  • Règles de protection des branches exigeant au moins un examen par les pairs pour les modifications touchant des composants sensibles.

Ces contrôles techniques constituent une preuve solide au titre de la norme A.5.36 lorsqu'on établit des liens entre les outils et les contrôles. Il est possible d'intégrer les résultats des analyses statiques, des analyses de composition logicielle et des outils d'infrastructure en tant que code dans un historique unique. Par exemple, une compilation peut échouer car un modèle d'infrastructure a tenté de créer un compartiment de stockage non chiffré. L'échec de l'exécution du pipeline, le code corrigé et la réussite de la nouvelle exécution démontrent ensemble qu'une exigence de politique spécifique a été appliquée et vérifiée au fil du temps.

Tous ces contrôles peuvent être rattachés à des clauses spécifiques de vos normes. Lorsqu'un pipeline échoue suite à la violation d'une règle, il ne s'agit pas d'un simple incident technique, mais d'une application concrète du contrôle de conformité A.5.36. Au fil du temps, vous pouvez générer des rapports simples pour visualiser la fréquence de déclenchement de chaque contrôle, identifier les équipes rencontrant le plus de difficultés et évaluer l'amélioration de votre niveau de conformité global.

Concevoir des garde-fous qui protègent la vitesse

Les garde-fous doivent protéger vos systèmes les plus critiques sans transformer chaque déploiement en négociation. Cela implique généralement de renforcer les contrôles des services à haut risque, d'alléger ceux des autres et de définir des procédures de dérogation clairement documentées pour les véritables urgences. Bien menée, cette approche permet aux ingénieurs de se concentrer sur leurs priorités tout en rendant visibles et vérifiables les raccourcis risqués.

Tout ne peut ni ne doit être entièrement automatisé, et chaque équipe présente un profil de risque différent. Il est judicieux d'appliquer les contrôles les plus rigoureux et les plus complets aux systèmes qui traitent des données sensibles, se connectent à des tiers ou prennent en charge des processus critiques de trading ou de gestion des risques, tout en utilisant des garde-fous plus souples pour les services à faible risque. L'étiquetage des référentiels et des pipelines selon leur criticité et la sensibilité des données permet d'adapter les politiques de manière appropriée.

Il est également essentiel de définir clairement quand et comment les contrôles peuvent être contournés. Par exemple, vous pouvez autoriser un ingénieur senior à passer outre un contrôle défaillant pour résoudre un problème de production urgent, à condition qu'il en consigne la raison, qu'il crée un ticket d'incident et qu'il déclenche une revue obligatoire dans un délai imparti. Vous pouvez ensuite synthétiser les dérogations, les tendances de défaillance et les délais de correction dans des dossiers de revue destinés à la direction, afin que les éléments de preuve A.5.36 alimentent directement votre cycle de gestion de la sécurité de l'information (SGSI). La rapidité de mise en œuvre est préservée là où elle est cruciale, mais chaque écart par rapport au processus standard devient visible et peut faire l'objet d'une revue.



Mise en œuvre opérationnelle de la norme A.5.36 dans les opérations de production et d'infrastructure

Dans les opérations de production et d'infrastructure, la norme A.5.36 s'intègre aux processus que vous connaissez déjà bien (gestion des changements, des incidents, des problèmes, des accès et de la configuration). Désormais, vous devez démontrer que ces processus mettent en œuvre vos politiques de sécurité, que la conformité est régulièrement vérifiée et que vous pouvez fournir des preuves sur demande. Il ne s'agit pas tant de créer de nouveaux processus que d'améliorer l'alignement, l'instrumentation et la visibilité afin que les flux de travail existants démontrent clairement l'application concrète de la norme A.5.36.

La plupart des organisations appliquent déjà des processus de gestion des changements, des incidents, des problèmes, des accès et de la configuration. La norme A.5.36 vise à déterminer si ces processus mettent réellement en œuvre vos politiques et normes de sécurité, si vous effectuez des contrôles de conformité réguliers et si vous êtes en mesure de fournir des preuves sur demande. L'objectif est d'intégrer les exigences de la norme A.5.36 aux flux de travail existants, puis de les instrumenter afin qu'ils produisent les preuves requises avec un minimum d'efforts supplémentaires.

Dans ce contexte, vous utilisez souvent des outils tels que des plateformes de gestion des services informatiques, des systèmes de surveillance, des solutions de gestion des identités et des accès, ainsi que des bases de données de gestion de la configuration. Plutôt que de créer des « processus de sécurité » parallèles, vous alignez les exigences de sécurité sur ces flux de travail et vous vous assurez qu'elles sont visibles dans votre SMSI ou votre plateforme centrale.

Cartographie des attentes en matière de contrôle sur les flux de travail opérationnels de base

La section A.5.36 des opérations devient beaucoup plus claire lorsqu'on documente explicitement quelles parties des flux de travail de gestion des services informatiques appliquent quelles règles de sécurité. Pour chaque processus, il convient de décrire ce qu'est un « comportement conforme », les approbations requises et les informations à consigner. Cela permet de transformer des attentes vagues en contrôles précis et mesurables.

Un point de départ pratique consiste à examiner chaque processus opérationnel et à documenter ses règles de sécurité. Pour la gestion des changements, cela peut inclure les personnes autorisées à demander quels types de changements, les évaluations des risques requises, les approbations obligatoires, les tests attendus et la procédure de restauration. Pour la gestion des incidents, il convient de spécifier les règles de classification, les voies d'escalade, les canaux de communication et les exigences en matière d'analyse post-incident. Enfin, pour la gestion des accès, il faut définir les modalités de demande, d'approbation, d'attribution, d'examen et de révocation.

Une fois ces règles clairement définies, vous pouvez collaborer avec les responsables de vos outils pour garantir leur intégration dans les formulaires, les flux de travail, les champs et les rapports. Par exemple, un enregistrement de modification peut nécessiter des champs standard pour l'impact sur la sécurité, les actifs informationnels concernés et les références aux évaluations des risques. Une demande d'accès peut devoir être liée à un modèle d'accès basé sur les rôles plutôt qu'à des droits d'accès libres. Ces détails transforment les activités opérationnelles quotidiennes en preuves concrètes conformes à la norme A.5.36.

Indicateurs et données probantes issues de la production

Pour démontrer que la version A.5.36 est opérationnelle en production, il vous faut quelques indicateurs simples, issus de vos systèmes d'information de référence, et non de feuilles de calcul élaborées à la hâte la veille d'un audit. Parmi les indicateurs utiles, citons le pourcentage de modifications conformes à la procédure standard, le ratio modifications d'urgence/modifications normales, la fréquence des revues d'accès privilégiés, ainsi que les tendances en matière de dérive de configuration et d'incidents liés aux politiques.

Vous devez concevoir votre système de journalisation et de reporting de manière à ce que ces indicateurs puissent être générés sans effort considérable. Cela implique souvent de standardiser l'étiquetage des enregistrements et de s'assurer que les paramètres de conservation couvrent la période d'audit. Il est également nécessaire d'accorder aux équipes de sécurité et de gestion des risques un accès approprié aux tableaux de bord et aux données sous-jacentes. De nombreuses organisations utilisent une plateforme de gestion de la sécurité de l'information (GSSI) telle que ISMS.online pour relier les preuves de changement, d'accès et d'incident aux contrôles spécifiques de la norme A.5.36 et les présenter dans une structure conforme aux normes ISO.

Lors d'un audit de surveillance ou de recertification ISO 27001 ultérieur, vous vous basez sur les systèmes d'information existants plutôt que sur des tableurs créés à la dernière minute. Vous pouvez également intégrer ces indicateurs aux programmes d'audit interne et de revue de direction, afin que l'expérience opérationnelle influence directement les mises à jour des politiques, les évaluations des risques et les plans d'amélioration.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Application de la règle A.5.36 sur le parquet sans ralentissement de l'exécution

Sur le parquet, le protocole A.5.36 doit coexister avec des objectifs d'exécution stricts et des conditions de marché exigeantes. Les traders traitent les ordres clients, les positions et les informations sensibles à grande vitesse, en utilisant une combinaison de systèmes standard, d'outils spécifiques et de canaux de communication. Votre mission consiste à garantir le respect des règles de sécurité de l'information sans entrave, et à recueillir des preuves démontrant aux autorités de régulation et aux auditeurs que ces règles sont effectivement appliquées et contrôlées avec la même rigueur qu'au sein des équipes techniques.

Les environnements de trading en front-office combinent tous les défis du développement et des opérations avec une forte pression temporelle et des exigences réglementaires strictes. La règle A.5.36 s'applique ici tout autant qu'aux équipes techniques : le personnel de trading doit respecter les politiques, règles et normes de sécurité de l'information, et vous devez être en mesure de démontrer que vous contrôlez et faites respecter cette conformité. La difficulté réside dans le fait de le faire sans dégrader la qualité d'exécution ni encourager les contournements non autorisés. La solution réside dans des règles de comportement claires, des contrôles bien conçus et adaptés aux réalités du trading, ainsi que des audits réguliers et étayés.

Définir les comportements sécuritaires en matière de réception

Vos traders ont besoin de directives claires sur les systèmes et canaux qu'ils peuvent utiliser, sur la gestion des données clients et des ordres, et sur les limites strictes de la politique de sécurité. Les procédures et guides opérationnels sont le support idéal pour concrétiser ces directives. Ils doivent refléter les outils, produits et scénarios réels, afin que les bonnes pratiques s'intègrent naturellement aux habitudes de trading.

Il convient de commencer par définir clairement quels systèmes peuvent être utilisés pour quelles activités, ce qui constitue un traitement acceptable des données clients et des ordres, quels canaux de communication sont autorisés et quelles sont les règles relatives aux appareils personnels et à l'accès à distance. Ces exigences doivent être explicitées dans les procédures opérationnelles et les guides de bonnes pratiques des traders, et non pas noyées dans une politique d'entreprise générique.

Ensuite, collaborez avec les équipes commerciales et de conformité pour garantir que ces comportements soient pris en charge par la configuration du système : profils d’accès reflétant les rôles et les produits, limites et contrôles de transactions appliquant le principe du « maker-checker » le cas échéant, et surveillance permettant de détecter les abus. Les formations et les simulations doivent utiliser les outils et les scénarios réels auxquels les traders sont confrontés, afin que l’application des règles paraisse naturelle, même sur des marchés volatils.

Vous pouvez ensuite utiliser des revues périodiques de bureau, des exercices d'attestation et des dossiers de formation comme preuve que ces comportements sont compris et remis en question si nécessaire, reliant ainsi la pratique commerciale à A.5.36 d'une manière reconnue par les régulateurs.

Des commandes qui respectent la vitesse de négociation

Les contrôles des opérations de négociation doivent être conçus de manière à assurer le bon déroulement de la plupart des activités légitimes, tout en bloquant ou en signalant les comportements à risque pour examen. Les contrôles pré-négociation permettent de bloquer les ordres manifestement non conformes aux politiques de négociation, tels que l'envoi d'instructions sensibles par des canaux non autorisés, tandis que la surveillance post-négociation peut identifier les schémas suggérant une utilisation abusive des systèmes ou des informations et intégrer directement ces constatations aux examens prévus par la section A.5.36. Certaines approbations peuvent être intégrées au flux de travail du système de gestion des ordres ou du système de gestion de l'exécution, plutôt que de dépendre de chaînes de courriels distinctes que les opérateurs pourraient tenter de contourner sous la pression.

Pour éviter que la règle A.5.36 ne devienne un frein à l'exécution des ordres, il est essentiel de concevoir des contrôles intervenant aux moments opportuns. Les contrôles pré-négociation, par exemple, peuvent bloquer automatiquement les actions manifestement non conformes aux politiques, tandis que les analyses et la surveillance post-négociation peuvent se concentrer sur les tendances et les cas particuliers. Il convient également de prévoir explicitement les situations exceptionnelles : perturbations du marché, demandes urgentes des clients ou pannes système. Pour chaque scénario, définissez les actions rapides à entreprendre selon des règles prédéfinies, les informations à consigner et les analyses complémentaires obligatoires.

Par exemple, vous pourriez :

  • Bloquer toute tentative d'exportation des carnets de commandes vers une messagerie personnelle ou des outils non autorisés.
  • Signaler l’utilisation répétée de canaux ou de dispositifs inhabituels pour les discussions relatives aux ordres dans le cadre de la surveillance post-négociation.
  • Appliquer des règles d’exception préapprouvées pour les ordres urgents des clients en période de tensions sur les marchés, avec enregistrement obligatoire et examen post-négociation.

Cela permet aux opérateurs de rester dans un cadre contrôlé et vérifiable, même lorsqu'ils doivent agir rapidement. Les données issues des systèmes de surveillance, des journaux d'accès et des analyses de poste de travail deviennent alors des éléments de preuve essentiels pour les examens prévus à l'article 5.36 et pour vos obligations réglementaires plus générales en matière de conduite et de lutte contre les abus de marché.



Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous aide à transformer la norme ISO 27001 A.5.36 en un système de contrôle dynamique en centralisant vos politiques, normes et données concrètes dans un environnement unique. Vous définissez les règles une seule fois, les associez aux contrôles de l'Annexe A et les reliez à des signaux concrets provenant des équipes de développement, d'exploitation et de trading. Vous visualisez ainsi en un coup d'œil les points forts de la conformité, les points faibles et la manière dont votre mise en œuvre s'intègre à votre système global de gestion de la sécurité de l'information.

Pour que la norme A.5.36 soit un outil de contrôle évolutif et non une simple formalité annuelle, il est essentiel de pouvoir intégrer les politiques, les normes et les contrôles aux outils et flux de travail déjà utilisés par vos équipes de développement, d'exploitation et de trading. ISMS.online est conçu précisément à cet effet : il vous offre un environnement unique pour définir vos règles de sécurité de l'information, les associer aux contrôles de l'Annexe A, en attribuer la responsabilité et les relier à des preuves concrètes issues de toute votre organisation.

Au sein d'une même plateforme, vous pouvez gérer vos politiques, suivre les audits de conformité, consigner les exceptions et les actions correctives, et joindre des pièces justificatives telles que les rapports de pipeline, les tickets de modification, les revues d'accès et les attestations des salles de marchés. Vous pouvez ainsi plus facilement démontrer aux auditeurs, aux autorités de réglementation et à vos clients que vos politiques ne se limitent pas à de simples mots sur une page.

Visualisez votre posture A.5.36 en un seul endroit

L'utilisation optimale du contrôle A.5.36 est facilitée par la compréhension de son fonctionnement réel au sein des équipes de développement, d'exploitation et de trading, plutôt que par des suppositions ou des recherches de preuves de dernière minute. ISMS.online vous permet de sélectionner le contrôle, d'identifier les politiques, normes et procédures associées, puis d'intégrer les éléments illustrant son application dans chaque domaine. Cette visualisation met en évidence les lacunes : responsables manquants, cycles de revue incohérents, preuves insuffisantes ou manuelles. Vous pouvez ainsi prioriser les améliorations en fonction des risques et des échéances d'audit, et non au hasard.

Conçue spécifiquement pour la norme ISO 27001, cette plateforme vous permet également de suivre l'évolution de cette dernière : clauses, contrôles de l'annexe A, registres des risques, déclarations d'applicabilité, audits internes et revues de direction sont centralisés. Vous réduisez ainsi les doublons et facilitez l'alignement de votre mise en œuvre avec l'évolution de vos environnements technologiques et commerciaux.

Faites un premier pas à faible risque

Une approche judicieuse consiste à mener un projet pilote ciblé sur un service ou une salle de marchés critique, plutôt que de tenter de tout repenser d'un coup. Intégrez les politiques et normes pertinentes dans ISMS.online, reliez-les à des données concrètes issues de vos outils existants et préparez-vous à présenter ces éléments lors d'un audit ou d'une réunion avec un régulateur. Vous identifierez rapidement les points forts et les domaines où un modèle plus intégré serait avantageux.

Ce projet pilote initial vous permettra également d'identifier les aspects de votre approche actuelle qui reposent sur des actions ponctuelles et ceux où un modèle plus intégré et automatisé apporterait une réelle valeur ajoutée. Vous pourrez ensuite élaborer une feuille de route progressive alignant l'adoption de la plateforme sur les certifications ou audits de surveillance à venir. Ainsi, chaque investissement dans la conformité à la norme A.5.36 vous rapproche également de vos objectifs globaux en matière de sécurité de l'information. Lorsque vous serez prêt, réserver une démonstration avec ISMS.online est un moyen simple de découvrir comment cette solution pourrait s'intégrer à votre organisation, qui combine développement, opérations et activités commerciales.

Demander demo


Foire aux questions

Vous n'avez pas besoin de tout réécrire. Le contenu de base est solide, mais une note de 0 indique généralement des problèmes de structure ou de répétition plutôt que de fond. Voici comment je le raccourcirais pour le rendre plus concis, éviter les répétitions et l'adapter à une page d'accueil.

Vous trouverez ci-dessous une version nettoyée et prête à être publiée qui conserve votre intention et vos exemples, mais qui affine la formulation, supprime les doublons entre les sections FAQ et « critique », et s'appuie un peu plus sur ISMS.online comme fil conducteur.

Comment la norme ISO 27001 A.5.36 s'applique-t-elle réellement au quotidien aux équipes de développement, d'exploitation et de trading ?

La norme ISO 27001 A.5.36 exige que vous définissiez des règles de sécurité claires pour chaque équipe, que vous vérifiiez que les comportements quotidiens sont conformes à ces règles et que vous preniez des mesures en cas de non-conformité. Concrètement, elle permet de combler l'écart entre les politiques établies et la réalité du développement, des opérations et des salles de marché.

À quoi ressemble la version A.5.36 pour les équipes de développement ?

En matière de développement, A.5.36 vise à rendre l'ingénierie sécurisée visible, reproductible et documentée :

  • Règles : Le codage sécurisé, les outils et services approuvés, la segmentation de l'environnement, les procédures de changement et de mise en production sont documentés, gérés et mis à jour régulièrement.
  • Application: Ces règles apparaissent dans les pipelines, les politiques de branchement, les listes de contrôle de revue de code et les normes d'architecture que les développeurs voient quotidiennement.
  • Preuve: Vous pouvez vous référer aux demandes d'extraction récentes, aux exécutions de pipelines et aux journaux d'exceptions qui montrent que les règles sont respectées la plupart du temps, et que vous réagissez lorsqu'elles ne le sont pas.

Les auditeurs s'attendront à ce qu'une norme de développement sécurisé soit mise en correspondance avec l'annexe A (notamment A.5.36 et les contrôles techniques de A.8), puis à ce qu'elle soit vérifiée dans les référentiels et les journaux de compilation. S'ils peuvent partir du contrôle A.5.36 de votre SMSI et terminer par une demande de fusion spécifique indiquant qui a approuvé une modification à haut risque, ce qu'il a vérifié et où toute exception a été consignée, vous démontrez que la conformité fait partie intégrante du processus de développement et n'est pas une simple formalité.

Comment le point A.5.36 se traduit-il en termes d'opérations et de transactions ?

Pour les experts de l’ L’important est de savoir si la production respecte réellement vos politiques de changement, d’accès, de configuration et de gestion des incidents. En général, cela ressemble à ceci :

  • Des changements importants sont en cours, suivant les flux de travail convenus, avec approbations, tests et plans de restauration.
  • L'accès privilégié est demandé, approuvé, limité dans le temps et régulièrement réévalué.
  • Dérive de configuration et vulnérabilités détectées, priorisées et corrigées par rapport aux objectifs convenus
  • Les incidents sont consignés, analysés et liés à des actions de suivi.

Pour les experts de l’ commerce, A.5.36 se concentre sur la manière dont l'information est traitée dans des environnements rapides et à forts enjeux :

  • Quelles plateformes et quels canaux peuvent être utilisés pour la recherche, la saisie des commandes et le contact avec les clients ?
  • comment les données sensibles relatives aux clients, aux commandes et au marché peuvent être consultées, téléchargées, stockées ou transférées
  • comment les droits d'accès, les appareils personnels et l'accès à distance sont contrôlés et supervisés

Dans les trois domaines, la norme A.5.36 établit un cadre commun : le contrôle de la conformité à intervalles définis, la documentation des constats et le suivi des actions correctives. ISMS.online permet de créer des contrôles A.5.36 distincts pour le développement, les opérations et les activités commerciales, de les lier à leurs politiques et processus respectifs et d’y intégrer des preuves en temps réel issues de vos outils existants. Ainsi, vous disposez d’un référentiel cohérent pour les audits et les revues de direction.

Comment intégrer la version A.5.36 dans l'environnement de développement et le processus CI/CD sans ralentir la livraison ?

Vous accélérez la livraison en transformant les exigences A.5.36 en garde-fous intégrés aux outils que les développeurs utilisent déjà, plutôt qu'en documents supplémentaires qu'ils devraient mémoriser. Plus vos politiques sont appliquées automatiquement dans l'intégration continue et le déploiement continu (CI/CD), moins elles constituent un frein.

Comment transformer les politiques en règles de pipeline ?

Considérez votre norme de développement sécurisé comme une « politique sous forme de code » :

  • construire analyse statique et analyse de la composition logicielle des contrôles qui bloquent les fonctions non sécurisées, les dépendances connues pour être dangereuses ou les licences que vous n'autorisez pas
  • balayage infrastructure comme code pour les erreurs de configuration avant le déploiement, et non après.
  • utilisé protection des branches et modèles de demandes d'extraction pour imposer l'examen par les pairs et les approbations spécifiques pour les éléments sensibles
  • courir détection de secrets et numérisation d'images au moment de la validation ou de la compilation, afin que les problèmes évidents n'atteignent jamais la production.

Lorsqu'un pipeline échoue à l'un de ces contrôles, les développeurs reçoivent un retour d'information immédiat et vous obtenez des preuves horodatées et reproductibles attestant que les contrôles sont exécutés quotidiennement. Vous pouvez ajuster les règles en fonction de la criticité des ressources et de la sensibilité des données afin que les services à haut risque fassent l'objet de contrôles plus stricts, sans pour autant ralentir inutilement les tâches à faible risque.

Comment gérer les changements urgents sans enfreindre la clause A.5.36 ?

L’article 5.36 n’interdit pas l’urgence ; il exige que vous la gériez de manière transparente :

  • définir une définition claire chemin «briser le verre» Concernant les problèmes de production et les événements de marché : qui peut contourner quels contrôles, dans quelles circonstances et pendant combien de temps ?
  • s'assurer que les substitutions sont Approuvé, enregistré et examiné par la suite, avec des changements de suivi enregistrés
  • Suivre des indicateurs tels que la fréquence de dérogation, le délai de résolution et la récurrence pour démontrer que les exceptions restent exceptionnelles.

Si votre contrôle A.5.36 dans ISMS.online renvoie à des référentiels, des pipelines et des enregistrements de remplacement spécifiques, vous pouvez montrer aux auditeurs que le développement sécurisé est intégré dans CI/CD et que même l'activité d'urgence est visible, responsable et limitée dans le temps.

Comment les équipes opérationnelles doivent-elles démontrer la conformité à la norme A.5.36 en production ?

Les opérations démontrent la conformité A.5.36 lorsque les activités de production suivent clairement vos politiques de changement, d'accès, de configuration et d'incident, et que vous pouvez le prouver grâce à vos outils de gestion des services informatiques.

Comment connecter les flux de travail ITSM à A.5.36 ?

Commencez par associer chaque processus opérationnel au contrôle :

  • La gestion du changement: Quels niveaux de risque nécessitent une approbation en matière de sécurité ou d'architecture, des preuves de test et des plans de restauration ? Comment les changements d'urgence sont-ils gérés et examinés ?
  • Gestion des accès: Qui peut approuver les rôles privilégiés, quelle est leur durée et à quelle fréquence sont-ils réévalués ?
  • Gestion de la configuration et des vulnérabilités : Que signifie « ligne de base » dans votre environnement ? À quelle fréquence effectuez-vous des analyses ? Quelles équipes corrigent quoi et dans quels délais ?
  • Gestion des incidents et des problèmes : comment les incidents sont triés, escaladés, communiqués et clôturés, et comment vous tirez les leçons apprises

Configurez ensuite votre outil ITSM afin que les questions et approbations obligatoires soient incontournables, que les tickets contiennent des liens vers les politiques qu'ils mettent en œuvre et que les tableaux de bord rendent visibles les cas de non-conformité. Votre système ITSM devient ainsi une surface de contrôle et une source de preuves en temps réel, et non plus un simple registre des tâches opérationnelles à accomplir.

Quels éléments de preuve de production les auditeurs demandent-ils généralement à voir ?

Les auditeurs procèdent généralement à un échantillonnage :

  • Documentation relative aux modifications apportées aux travaux importants ou à haut risque, y compris les approbations, les évaluations des risques, les résultats des tests et leurs conséquences.
  • Journaux des demandes d'accès et des examens d'accès pour les nouveaux employés, les employés qui changent de poste et les employés qui quittent l'entreprise, en particulier pour les comptes privilégiés
  • Rapports de configuration et de vulnérabilité indiquant les dérives, les exceptions et l'état de la correction
  • journaux d'incidents, manuels d'exploitation et analyses post-incident, y compris les tâches de suivi et leur finalisation

Le fait de rassembler ces artefacts sous un contrôle A.5.36 dans ISMS.online vous permet de guider un auditeur du texte de l'exigence à des exemples concrets de votre environnement de production de manière structurée, au lieu de s'appuyer sur des partages d'écran ad hoc ou des exportations de dernière minute.

Comment les salles de marchés peuvent-elles respecter la norme A.5.36 sans nuire à la vitesse d'exécution ?

Les salles de marché répondent à la norme A.5.36 lorsque les exigences en matière de sécurité de l'information sont formulées dans un langage commercial, sont intégrées aux systèmes de négociation et aux procédures de la salle de marché, et sont soutenues par une supervision et une surveillance axées sur le risque réel plutôt que sur le ralentissement de chaque ordre.

Comment intégrer la sécurité aux pratiques commerciales normales ?

Commencez avec procédures de niveau bureau que les traders utilisent réellement :

  • définir les plateformes et outils approuvés pour la recherche pré-négociation, la saisie des ordres, leur exécution et l'analyse post-négociation
  • définir comment les données clients, commandes et marché peuvent être consultées, exportées, stockées et partagées, y compris les règles relatives aux appareils personnels et aux emplacements distants.
  • Précisez quels canaux de communication (chat, voix, courriel, applications de messagerie) sont autorisés et dans quelles conditions.

Alignez ces procédures avec :

  • profils d’accès basés sur les rôles : qui limitent chaque utilisateur aux systèmes et aux données dont il a réellement besoin
  • Contrôles préalables à la négociation et de la plateforme : qui bloquent les violations flagrantes de la politique, telles que les transactions effectuées à partir de lieux ou d'appareils non autorisés.
  • surveillance post-négociation : qui recherche des schémas dans les transactions et les communications qui pourraient indiquer un usage abusif des accès ou des données

Si un trader qui essaie de faire ce qu'il faut reste naturellement dans les règles, et que quelqu'un qui essaie de les contourner laisse une trace bruyante, vous êtes proche de l'intention de A.5.36.

À quoi ressemblent des preuves commerciales utiles pour A.5.36 ?

Les preuves utiles comprennent généralement :

  • actuel Manuels de bureau et guides de référence rapide qui réaffirment les règles de sécurité et de conduite dans les situations de la vie quotidienne
  • rapports d'autorisation et dossiers d'approbation : pour les systèmes de négociation, les flux de données de marché et les canaux externes
  • alertes de surveillance, journaux d'escalade et notes d'enquête : , y compris les résultats et les mesures correctives
  • examens et attestations de supervision : confirmer que le personnel clé a lu, compris et appliqué les règles

L'ancrage de ces documents et journaux à un contrôle A.5.36 axé sur les transactions dans ISMS.online signifie que vous pouvez montrer aux régulateurs et aux auditeurs que le service connaît les règles, que les systèmes aident les traders à les suivre et que les superviseurs agissent lorsqu'il semble y avoir un problème.

Quel type de preuves soutient le mieux la version A.5.36 dans les domaines du développement, des opérations et du trading ?

Le principe fondamental de l'article A.5.36 est la cohérence entre les équipes : les règles sont claires, les contrôles sont opérationnels et les comportements déviants sont pris en compte. Les preuves doivent refléter cette structure tout en respectant les spécificités des équipes de développement, d'exploitation et de trading.

Comment structurer les preuves pour qu'elles soient convaincantes et efficaces ?

Une structure simple fonctionne bien :

  • Politiques et normes : Votre politique de sécurité de l'information, votre norme de développement sécurisé, vos manuels d'exploitation et vos procédures de bureau, conformément à la norme A.5.36 et aux contrôles techniques pertinents
  • Fonctionnement du contrôle : Des exemples de systèmes CI/CD, ITSM et de systèmes de surveillance/de trading montrent que les règles s'exécutent de manière répétée au fil du temps, et non pas seulement une fois pour l'audit.
  • Exceptions et actions : Enregistrements des contrôles non effectués, des modifications d'urgence, des événements de négociation inhabituels ou autres écarts, ainsi que les notes d'enquête, les décisions et les corrections.

Pour le développement, cela peut inclure les directives de développement sécurisé, les journaux de pipeline et l'historique des demandes de fusion. Pour les opérations, les tickets de changement et d'accès, ainsi que les rapports de configuration et d'incidents. Pour les transactions, les procédures de bureau, les revues d'autorisation et les artefacts de surveillance. L'extraction directe des preuves à partir des systèmes d'information de référence réduit les interventions manuelles et évite la compilation de documents de dernière minute.

Comment organiser et réutiliser les preuves A.5.36 ?

Au lieu de réinventer la roue pour chaque audit, vous pouvez :

  • créer des enregistrements de contrôle séparés pour A.5.36 couvrant le développement, les opérations et le commerce dans votre système de gestion de l'information (SIMS)
  • Associer chaque contrôle aux politiques, normes, processus et propriétaires sous-jacents
  • joindre ou référencer artefacts spécifiques (journaux, tickets, rapports, avis) au fur et à mesure de leur génération tout au long de l'année
  • record constatations, exceptions et mesures correctives directement au sein de ces contrôles, afin que les revues de direction et les audits internes puissent constater les progrès au fil du temps.

ISMS.online est conçu pour ce mode de fonctionnement. Il vous permet de centraliser les contrôles, les responsables et les preuves, afin que les audits internes et de certification offrent une vision concrète du fonctionnement réel de votre organisation, plutôt qu'un simple exercice de documentation ponctuel.

Comment ISMS.online peut-il simplifier la conformité à la norme A.5.36 pour le développement, les opérations et le trading ?

ISMS.online simplifie la norme A.5.36 en la transformant en une boucle de contrôle continue et partagée couvrant le développement, les opérations et les transactions, au lieu de trois ensembles de documents distincts gérés par différentes équipes. Vous définissez vos règles une seule fois, vous les associez à l'annexe A, puis vous les reliez aux activités et aux preuves concrètes.

Qu’apporte l’exécution de la version A.5.36 sur une plateforme unique ?

Avec ISMS.online, vous pouvez :

  • définir et maintenir politiques et normes de sécurité de l'information qui s'appliquent au développement, aux opérations et au trading, puis associez-les directement à A.5.36 et aux contrôles associés.
  • créer des commandes liées pour chaque équipe, en consignant comment elles interprètent et appliquent les règles dans un langage qui leur soit compréhensible.
  • joindre preuve vivante Des systèmes CI/CD, des outils ITSM et des plateformes de trading aux contrôles appropriés, avec les dates et les responsables visibles en un coup d'œil
  • planifier et suivre examens, exceptions et améliorations par le biais d'examens de gestion, d'audits internes et de processus de mesures correctives
  • Utilisez des tableaux de bord pour identifier les points forts en matière de conformité, les domaines où elle se dégrade et les audits ou visites réglementaires à venir qui requièrent une attention particulière.

Pour une équipe de développement, cela pourrait impliquer de lier les normes de codage sécurisé à des référentiels et pipelines spécifiques, et de stocker certains résultats de compilation et de revue comme preuves. Pour les opérations, il s'agirait de faire correspondre les flux de travail de gestion des changements et des accès de votre outil ITSM à la norme A.5.36 et d'y joindre les tickets et rapports sélectionnés. Pour les opérations de trading, cela impliquerait de centraliser les procédures de salle des marchés, les attestations et les résultats de surveillance dans un seul enregistrement de contrôle.

Par où commencer de manière judicieuse si vous n'avez pas encore formalisé le point A.5.36 ?

Tenter de modéliser tous les processus simultanément peut ralentir le progrès. Un projet pilote ciblé donne généralement de meilleurs résultats.

  • choisissez un service à haut risque ou une salle de marché là où les clients, les organismes de réglementation ou le conseil d'administration se soucient le plus du comportement en matière de sécurité de l'information
  • Cartographiez ses politiques, normes, tickets, journaux et revues dans un petit ensemble de contrôles A.5.36 dans ISMS.online
  • Exécutez ce modèle pendant une courte période, en observant la facilité de collecte des preuves, les lacunes qui apparaissent et la capacité des gestionnaires et des auditeurs à suivre le déroulement des événements.
  • Affinez votre approche en fonction de vos enseignements, puis étendez le modèle à d'autres services, équipes et cadres tels que SOC 2, ISO 27701 ou NIS 2.

En procédant ainsi, vous démontrez aux décideurs que vous maîtrisez la conformité aux politiques de sécurité de l'information là où c'est le plus important, tout en fournissant aux équipes de développement, d'exploitation et de trading un système pratique qui s'intègre à leurs méthodes de travail actuelles. À mesure que votre organisation évolue, elle ressemble moins à trois fonctions distinctes et davantage à un environnement coordonné et résilient où les politiques, les comportements et les preuves restent alignés.

Si vous le souhaitez, je peux maintenant :

  • condenser cela en une FAQ plus courte, du type page d'accueil, ou
  • Ajouter une question FAQ supplémentaire destinée spécifiquement aux auditeurs ou aux organismes de réglementation qui consultent cette page.

Marc Sharron

Mark Sharron dirige la stratégie de recherche et d'IA générative chez ISMS.online. Il se concentre sur la communication sur le fonctionnement pratique des normes ISO 27001, ISO 42001 et SOC 2, en reliant les risques aux contrôles, aux politiques et aux preuves grâce à une traçabilité adaptée aux audits. Mark collabore avec les équipes produit et client pour intégrer cette logique aux flux de travail et au contenu web, aidant ainsi les organisations à comprendre et à prouver en toute confiance la sécurité, la confidentialité et la gouvernance de l'IA.

Twitter

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.