ISO 27001 – Annexe A.15 : Relations avec les fournisseurs

Quel est l’objectif de l’annexe A.15.1 ?

L'annexe A.15.1 concerne la sécurité des informations dans les relations avec les fournisseurs. L'objectif ici est la protection des actifs précieux de l'organisation qui sont accessibles ou affectés par les fournisseurs.

Nous vous recommandons également de considérer ici également d'autres relations clés, par exemple des partenaires s'ils ne sont pas des fournisseurs mais ont également un impact sur vos actifs qui pourrait ne pas être simplement couvert par un contrat seul.

A.15.1.1 Politique de sécurité des informations pour les relations avec les fournisseurs

Les fournisseurs sont utilisés pour deux raisons principales : un : vous voulez qu'ils fassent un travail que vous avez choisi de ne pas faire vous-même en interne, ou ; deuxièmement : vous ne pouvez pas faire le travail aussi bien ou de manière aussi rentable que les fournisseurs.

Il y a de nombreux éléments importants à prendre en compte dans l’approche de sélection et de gestion des fournisseurs, mais il n’existe pas de solution universelle et certains fournisseurs seront plus importants que d’autres. En tant que tels, vos contrôles et politiques doivent également refléter cela et une segmentation de la chaîne d'approvisionnement est judicieuse ; nous préconisons quatre catégories de fournisseurs en fonction de la valeur et du risque dans la relation. Ceux-ci vont de ceux qui sont essentiels à l'entreprise jusqu'à d'autres fournisseurs qui n'ont aucun impact matériel sur votre organisation.

Certains fournisseurs sont également plus puissants que leurs clients (imaginez dire à Amazon quoi faire si vous utilisez leurs services AWS pour l'hébergement), il est donc inutile d'avoir des contrôles et des politiques en place que les fournisseurs n'adhéreront pas. Il est donc plus probable qu’elles s’appuient sur leurs politiques, contrôles et accords standards, ce qui signifie que la sélection des fournisseurs et la gestion des risques deviennent encore plus importantes.

Afin d'adopter une approche plus avancée de la sécurité de l'information dans la chaîne d'approvisionnement avec les fournisseurs les plus stratégiques (valeur élevée / risque plus élevé), les organisations doivent également éviter les pratiques binaires de transfert de risque « se conformer ou mourir », par exemple des contrats horribles empêchant une bonne collaboration. Au lieu de cela, nous leur recommandons de développer des relations de travail plus étroites avec les fournisseurs pour lesquels les informations et les actifs de grande valeur sont en danger, ou qui ajoutent à vos actifs informationnels d'une manière (positive). Cela est susceptible de conduire à de meilleures relations de travail et donc également à de meilleurs résultats commerciaux.

Une bonne politique décrit la segmentation, la sélection, la gestion, la sortie des fournisseurs, la manière dont les actifs informationnels autour des fournisseurs sont contrôlés afin d'atténuer les risques associés, tout en permettant d'atteindre les buts et objectifs de l'entreprise. Les organisations intelligentes intégreront leur politique de sécurité des informations à l’intention des fournisseurs dans un cadre relationnel plus large et éviteront de se concentrer uniquement sur la sécurité en soi, en s’intéressant également aux autres aspects.

Une organisation peut souhaiter que ses fournisseurs accèdent à certains actifs informationnels de grande valeur et y contribuent (par exemple, développement de code logiciel, informations comptables sur la paie). Ils devraient donc avoir des accords clairs sur l’accès exact qu’ils leur autorisent, afin de pouvoir contrôler la sécurité autour de cet accès. Ceci est particulièrement important à l’heure où de plus en plus de services de gestion, de traitement et de technologie de l’information sont externalisés. Cela signifie avoir un endroit pour montrer que la gestion de la relation est en cours ; contrats, contacts, incidents, activités relationnelles et gestion des risques, etc. Lorsque le fournisseur est également intimement impliqué dans l'organisation, mais ne dispose pas de son propre SMSI certifié, assurez-vous que le personnel du fournisseur est formé et conscient de la sécurité, formé à vos politiques, etc. vaut également la peine de démontrer sa conformité.

A.15.1.2 Aborder la sécurité dans les accords avec les fournisseurs

Toutes les exigences pertinentes en matière de sécurité des informations doivent être en place chez chaque fournisseur qui a accès ou peut avoir un impact sur les informations de l'organisation (ou les actifs qui les traitent). Encore une fois, cela ne devrait pas être une solution universelle : adoptez une approche basée sur les risques en fonction des différents types de fournisseurs impliqués et du travail qu'ils effectuent. Travailler avec des fournisseurs qui répondent déjà à la majorité des besoins de sécurité des informations de votre organisation pour les services qu'ils vous fournissent et qui ont de bons antécédents en matière de résolution responsable des problèmes de sécurité des informations est une très bonne idée, car cela facilitera grandement tous ces processus.

En termes simples, recherchez des fournisseurs qui ont déjà eux-mêmes obtenu une certification indépendante ISO 27001 ou équivalente. Il est également important de s'assurer que les fournisseurs sont tenus informés et impliqués dans toute modification apportée au SMSI ou spécifiquement impliqués dans les parties qui affectent leurs services. Votre auditeur voudra voir cela prouvé – donc, en en gardant une trace dans vos projets d’intégration de fournisseurs ou dans vos examens annuels, il sera facile de le faire.

Les éléments à inclure dans l'étendue de la fourniture et les accords comprennent généralement : les travaux et leur étendue ; informations à risque et classification ; les exigences légales et réglementaires, par exemple le respect du RGPD et/ou d'autres législations applicables ; rapports et examens ; non-divulgation ; DPI ; la gestion des incidents; politiques spécifiques à respecter si elles sont importantes pour l’accord ; obligations envers les sous-traitants; dépistage du personnel, etc.

Un bon contrat standard traitera de ces points, mais comme ci-dessus, il peut parfois ne pas être requis et peut être bien exagéré pour le type de fourniture, ou il peut ne pas être possible de forcer un fournisseur à suivre votre idée de bonne pratique. . Soyez pragmatique et centré sur le risque dans votre approche. Cet objectif de contrôle est également étroitement lié à l'annexe A.13.2.4, où les accords de confidentialité et de non-divulgation sont au centre de l'attention.

A.15.1.3 Chaîne d'approvisionnement des technologies de l'information et de la communication

Un bon contrôle s'appuie sur A.15.1.2 et se concentre sur les fournisseurs de TIC qui peuvent avoir besoin de quelque chose en plus ou à la place de l'approche standard. La norme ISO 27002 préconise de nombreux domaines de mise en œuvre et, même si ceux-ci sont tous bons, un certain pragmatisme est également nécessaire. L'organisation doit encore une fois reconnaître sa taille par rapport à certains des très grands fournisseurs avec lesquels elle travaillera parfois (par exemple centres de données et services d'hébergement, banques, etc.), limitant ainsi potentiellement sa capacité à influencer les pratiques plus loin dans la chaîne d'approvisionnement. L'organisation doit examiner attentivement les risques qui peuvent exister en fonction du type de services de technologies de l'information et de la communication fournis. Par exemple, si le fournisseur est un fournisseur de services d'infrastructure critiques et a accès à des informations sensibles (par exemple le code source du service logiciel phare), il doit garantir une meilleure protection que si le fournisseur est simplement exposé à des informations accessibles au public (par exemple un simple site Internet).

Quel est l’objectif de l’annexe A.15.2 ?

L'Annexe A.15.2 concerne la gestion du développement des services des fournisseurs. L'objectif de ce contrôle de l'Annexe A est de garantir qu'un niveau convenu de sécurité de l'information et de prestation de services est maintenu conformément aux accords avec les fournisseurs.

A.15.2.1 Surveillance et examen des services des fournisseurs
Un bon contrôle s'appuie sur A15.1 et décrit comment les organisations surveillent, examinent et auditent régulièrement la prestation de services de leurs fournisseurs. Il est préférable de procéder à des examens et à un suivi en fonction des informations à risque, car une approche unique ne conviendra pas à tous. L'organisation doit s'efforcer de mener ses examens conformément à la segmentation proposée des fournisseurs afin d'optimiser ainsi leurs ressources et de s'assurer qu'ils concentrent leurs efforts sur le suivi et l'examen là où cela aura le plus d'impact. Comme pour A15.1, il faut parfois faire preuve de pragmatisme : vous n'obtiendrez pas nécessairement un audit, un examen des relations humaines et des améliorations de services dédiés avec AWS si vous êtes une très petite organisation. Vous pouvez cependant vérifier (par exemple) que leurs rapports SOC II publiés chaque année et que leurs certifications de sécurité restent adaptées à votre objectif.

Les preuves de surveillance doivent être complétées en fonction de votre pouvoir, de vos risques et de votre valeur, permettant ainsi à votre auditeur de voir qu'elle a été réalisée et que tous les changements nécessaires ont été gérés via un processus formel de contrôle des modifications.

A.15.2.2 Gestion des modifications apportées aux services des fournisseurs

Un bon contrôle décrit la manière dont sont gérés les changements apportés à la fourniture de services par les fournisseurs, y compris le maintien et l'amélioration des politiques, procédures et contrôles existants en matière de sécurité de l'information. Il prend en compte la criticité des informations commerciales, la nature du changement, le ou les types de fournisseurs concernés, les systèmes et processus impliqués et une réévaluation des risques. Les changements apportés aux services des fournisseurs doivent également prendre en compte l'intimité de la relation et la capacité de l'organisation à influencer ou contrôler le changement chez le fournisseur.

Comment ISMS.online aide-t-il dans les relations avec les fournisseurs ?

ISMS.online a rendu cet objectif de contrôle très simple en fournissant la preuve que vos relations sont soigneusement choisies, bien gérées dans la vie, y compris en étant surveillées et examinées. C'est exactement ce que fait notre zone de relations avec les comptes (par exemple, les fournisseurs), facile à utiliser. Les espaces de travail des projets collaboratifs sont parfaits pour l'intégration de fournisseurs importants, les initiatives conjointes, les départs, etc., que l'auditeur peut également visualiser facilement en cas de besoin.

ISMS.online a également facilité cet objectif de contrôle pour votre organisation en vous permettant de fournir la preuve que le fournisseur s'est formellement engagé à se conformer aux exigences et a compris ses responsabilités en matière de sécurité des informations via nos packs de politiques. Les packs de politiques sont idéaux lorsque l'organisation dispose de politiques et de contrôles spécifiques qu'elle souhaite que le personnel des fournisseurs suive et soit assuré qu'il les a lu et qu'il s'est engagé à s'y conformer – au-delà des accords plus larges entre le client et le fournisseur.