Pourquoi le contrôle d'accès des fournisseurs de services gérés est essentiel pour la confiance et les audits ISO 27001

Quand le contrôle d'accès MSP devient une responsabilité multi-locataire

Le contrôle d'accès des fournisseurs de services gérés (MSP) devient un risque pour les entreprises multi-locataires lorsque les mêmes personnes et les mêmes outils peuvent accéder à de nombreux clients sans règles claires et appliquées. Dans ce cas, une identité faible ou un outil mal utilisé peut affecter simultanément plusieurs locataires, et il devient difficile de démontrer aux clients ou aux auditeurs que l'accès est réellement maîtrisé.

Lorsque vous gérez de nombreux clients, un accès non contrôlé peut insidieusement engendrer un risque pour l'ensemble des organisations que vous servez. Même sans avoir subi de violation de données ni d'audit complexe, les exigences croissantes des autorités de réglementation et de vos clients impliquent que vos pratiques d'accès sont déjà scrutées de près. Ces informations sont d'ordre général et ne constituent pas un avis juridique ou professionnel ; il est impératif de consulter un conseiller qualifié pour obtenir des conseils adaptés à votre situation.

La confiance est fragile lorsque de nombreuses personnes détiennent des clés invisibles menant à de nombreux endroits.

Pourquoi l'accès multi-locataires amplifie les risques

L'accès multi-locataires amplifie les risques, car une seule identité ou un seul outil vulnérable peut servir de passerelle vers de nombreux environnements clients simultanément. Les recommandations des agences nationales de cybersécurité, telles que les analyses de la CISA sur les cyber-risques liés à la chaîne d'approvisionnement des MSP, soulignent que les attaquants ciblent délibérément les outils et identités partagés des MSP en raison de l'avantage qu'ils offrent à plusieurs clients. Si cette passerelle est utilisée à mauvais escient ou compromise, l'impact peut rapidement se propager d'un locataire à plusieurs et transformer un problème local en une panne systémique.

Une première étape utile consiste à recenser tous les points d'accès de votre personnel et de vos outils aux systèmes clients. Cela inclut les comptes privilégiés dans les annuaires clients, l'accès aux consoles de gestion cloud, les coffres-forts partagés pour les identifiants, les plateformes de surveillance et de gestion à distance, les systèmes de sauvegarde et les serveurs de rebond. En visualisant ces interactions, vous constaterez souvent qu'un petit nombre d'identités et d'outils peuvent permettre d'accéder à une grande partie de votre clientèle.

Cette représentation visuelle de la « zone d'impact » remplit deux fonctions. Elle permet aux dirigeants de mieux comprendre où se situe réellement le risque d'accès et facilite la justification commerciale d'un investissement dans la gouvernance des accès. Au lieu de discours abstraits sur le principe de confiance zéro, on peut présenter un schéma concret et dire : « Si l'une de ces identités est utilisée à mauvais escient, voici ce qui pourrait se produire. »

Les domaines d'intérêt des clients et des organismes de réglementation

Les clients et les organismes de réglementation s'intéressent de plus en plus à l'accès aux fournisseurs de services gérés (MSP), car il s'agit d'un maillon essentiel de la chaîne d'approvisionnement au sein de nombreuses organisations. Ils exigent non seulement la conformité à la norme ISO 27001, mais aussi la capacité d'expliquer et de prouver précisément comment le personnel des MSP est authentifié, autorisé et contrôlé dans leurs systèmes.

Les résultats de l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information indiquent que les clients attendent de plus en plus des fournisseurs qu'ils s'alignent sur des cadres formels tels que l'ISO 27001, l'ISO 27701, le RGPD, Cyber Essentials et SOC 2, plutôt que de se fier uniquement aux bonnes pratiques génériques.

Les entreprises clientes intègrent désormais des questions détaillées sur les accès dans leurs questionnaires de sécurité et leurs dossiers de diligence raisonnable. Il est fréquent qu'on nous demande de décrire comment notre personnel s'authentifie auprès de nos systèmes ou d'expliquer comment nous contrôlons et révoquons l'accès des fournisseurs de services gérés à notre environnement. Les évaluateurs attendent des réponses claires et étayées, et non de simples déclarations d'intention. Des études récentes sur la conformité en matière de sécurité de l'information dans les entreprises de services, notamment sur les pratiques de conformité des prestataires de services, confirment cette tendance : les clients s'appuient fortement sur des questionnaires et des évaluations de sécurité structurés pour juger de la maturité des prestataires.

L'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information montre que la majorité des organisations ont été touchées par au moins un incident de sécurité lié à un tiers ou à un fournisseur au cours de l'année écoulée.

Les incidents de sécurité survenus ces dernières années chez les fournisseurs de services gérés (MSP) ont démontré la rapidité avec laquelle la compromission d'une identité privilégiée peut se propager. Les analyses sectorielles des violations d'accès privilégiés, y compris celles compilées par des observateurs indépendants, montrent comment l'utilisation abusive d'un seul compte puissant peut entraîner une compromission plus large touchant de nombreuses organisations en aval. Même si un incident ne débute pas dans votre environnement, votre modèle d'accès peut déterminer si le problème rencontré par un client reste localisé ou s'étend. C'est pourquoi l'annexe A.5.15 n'est pas qu'une simple exigence de conformité interne ; elle est fondamentale pour la confiance que vos clients vous accordent en tant que fournisseur de services.

Dans un contexte mutualisé, il n'est pas nécessaire de tout verrouiller au point de rendre le travail impossible. Cela implique plutôt la mise en place d'un modèle de gouvernance des accès structuré et documenté, permettant aux ingénieurs de travailler efficacement tout en réduisant considérablement les risques d'erreurs, de raccourcis ou d'attaques susceptibles de transformer ces accès en risques systémiques.

Demander demo

Ce que la norme ISO 27001:2022, annexe A.5.15, attend réellement

L'annexe A.5.15 de la norme ISO 27001:2022 exige la définition de règles claires pour le contrôle des accès physiques et logiques aux informations et aux actifs, ainsi que la démonstration de leur application concrète. Pour un fournisseur de services gérés (MSP), cela implique une politique de contrôle d'accès centralisée couvrant les systèmes internes et tous les chemins d'accès utilisés par ses équipes et ses outils pour atteindre les environnements clients. La présentation de l'ISO 27001:2022, y compris son annexe A, souligne que les contrôles d'accès, tels que ceux définis en A.5.15, doivent être étayés par des preuves de mise en œuvre et d'efficacité, et non par de simples déclarations de principe. C'est pourquoi les auditeurs interrogent systématiquement les participants sur l'application concrète de ces règles.

L'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information indique que la quasi-totalité des répondants considèrent l'obtention ou le maintien de certifications de sécurité telles que l'ISO 27001 ou le SOC 2 comme une priorité absolue.

Ce système de contrôle vous oblige à dépasser les vagues bonnes intentions pour adopter des décisions d'accès systématiques. Il vous impose de définir clairement qui peut accéder à quoi, dans quelles conditions, et comment cet accès est accordé, modifié et supprimé dans tous les environnements clients que vous gérez.

L'objectif formel de A.5.15

L'objectif formel de la norme A.5.15 est de garantir que l'accès est autorisé en fonction des besoins métiers et de sécurité, et que tout accès non autorisé est empêché. En pratique, les auditeurs demandent souvent à consulter non seulement votre politique, mais aussi les preuves que les décisions d'accès réelles s'y conforment.

Il ne suffit pas d'affirmer utiliser des mots de passe robustes ou activer l'authentification multifacteurs. La norme exige une réflexion systématique sur la manière dont les décisions d'accès sont prises et mises en œuvre, ainsi que la démonstration de cette démarche de façon cohérente. Cette exigence est conforme à la description de la norme ISO 27001:2022 par l'ISO, qui présente les contrôles de l'annexe A comme des exigences devant être à la fois définies et mises en œuvre de manière démontrable.

Une politique de contrôle d'accès doit au minimum définir le périmètre des ressources concernées, les principes qui guident les décisions d'accès, ainsi que les rôles et responsabilités de chacun. Dans le cas d'un fournisseur de services gérés (MSP), ce périmètre inclut vos systèmes internes et tous les accès aux environnements clients que votre personnel ou vos outils peuvent emprunter. La politique doit également préciser la fréquence de ses révisions, les personnes chargées de ces révisions et la procédure d'approbation des modifications.

La section A.5.15 figure parmi les autres contrôles d'accès de la révision 2022. La gestion des identités est traitée par la section A.5.16 et l'accès privilégié par la section A.8.2, tandis que la section A.5.17 couvre les informations d'authentification. Ensemble, ces contrôles constituent l'épine dorsale de votre gouvernance des accès : la politique définit les règles, le cycle de vie des identités les met en œuvre et la gestion des accès privilégiés assure un contrôle strict des droits les plus étendus. Des documents explicatifs indépendants sur l'ensemble des contrôles mis à jour, tels que les résumés des contrôles de l'annexe A de la norme ISO 27001:2022, regroupent ces exigences au sein de la famille des contrôles de gouvernance des accès, qui doivent fonctionner de concert.

Ce que couvre une bonne politique de contrôle d'accès

Une bonne politique de contrôle d'accès pour les fournisseurs de services gérés (MSP) transforme des principes comme le « moindre privilège » et le « besoin d'en connaître » en règles spécifiques et reproductibles. Les utilisateurs doivent pouvoir la lire et comprendre comment accorder, utiliser et révoquer les accès de manière cohérente.

On s'attend généralement à trouver des sections traitant de :

portée et applicabilité (services, systèmes, outils et environnements)
Principes d'accès (moindre privilège, séparation des tâches, refus par défaut)
Définitions de rôles standard pour les familles d'emplois MSP de base
catégories d'accès (utilisateur, administrateur, urgence)
Cycle de vie des employés et des sous-traitants (entrée, sortie, départ)
règles d'approbation pour les différents types d'accès et les modifications
exigences d'authentification, y compris l'authentification multifacteurs pour les accès à haut risque
attentes en matière de journalisation et de surveillance des activités privilégiées
Fréquence et portée des examens d'accès internes et conjoints
Gestion des exceptions, y compris l'approbation, la documentation et l'examen

Pour l’annexe A.5.15, ces éléments démontrent que vous avez réfléchi à l’accès au niveau de la politique et que vous ne vous fiez pas uniquement aux paramètres par défaut des outils ou aux normes informelles.

Comment A.5.15 se connecte à l'identité et à l'accès privilégié

Dans un contexte de fournisseur de services gérés (MSP), l'annexe A.5.15 n'est pertinente que si elle est étroitement liée à la gestion des identités et des accès privilégiés. Votre politique doit décrire les règles, et vos processus d'identité et de privilèges doivent les appliquer de manière fiable à l'ensemble des locataires.

La gestion des identités (A.5.16) décrit la création, la modification et la suppression des identités des employés, ainsi que leur lien avec les comptes et jetons des systèmes que vous gérez. Si votre politique prévoit la suppression immédiate des accès lors du départ d'un employé, vos processus d'identité doivent garantir la révocation de l'accès à chaque environnement client lorsqu'une personne quitte l'entreprise ou change de poste.

L’accès privilégié, tel que défini dans la section A.8.2, concerne les droits élevés, comme ceux des administrateurs de domaine, des propriétaires d’abonnements cloud ou des administrateurs d’outils de sécurité. Votre politique de contrôle d’accès doit définir ce qui constitue un accès privilégié, les rôles pouvant détenir ces droits et les mesures de protection mises en place (par exemple, des comptes d’administrateur nommés distincts, l’authentification multifacteur et la surveillance des sessions).

Sans une gestion robuste du cycle de vie des identités et des contrôles d'accès privilégiés, l'annexe A.5.15 demeure largement théorique. Lors de l'examen de votre mise en œuvre, les auditeurs s'attendront à ce que la politique, la gestion du cycle de vie des identités et les pratiques d'accès privilégiés se renforcent mutuellement. Les clients exigeront la même cohérence lors de la présentation de votre stratégie de gouvernance des accès dans le cadre de leur audit préalable.

ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer

Concevoir une politique de contrôle d'accès MSP centralisée pour de nombreux locataires

Une politique de contrôle d'accès unique et centralisée pour les fournisseurs de services gérés (MSP) vous offre un ensemble de règles unique pour tous vos clients, tout en permettant des options supplémentaires spécifiques à chaque client lorsque les contrats ou la réglementation l'exigent. Elle devient la base de toutes les décisions d'accès prises par vos équipes.

Concevoir une politique de contrôle d'accès centralisée pour un fournisseur de services gérés (MSP) implique de créer un ensemble de règles applicable à tous les environnements clients, tout en prévoyant des exceptions clairement définies. Bien conçue, cette politique centrale devient le point de référence pour toutes les décisions d'accès prises par vos équipes et le principal référentiel pour les auditeurs et les clients.

Choisir la portée et la structure à l'échelle du MSP

Choisir le périmètre et la structure appropriés implique de rédiger du point de vue de votre propre organisation, puis de décrire comment ce modèle s'applique à chaque interaction avec les systèmes clients. Cette politique doit être perçue comme un manuel d'utilisation, et non comme une norme abstraite ; elle doit refléter les réalités des outils mutualisés plutôt que celles d'un réseau interne unique.

Une politique de contrôle d'accès centralisée pour les fournisseurs de services gérés (MSP) doit décrire le fonctionnement des identités, des rôles, des processus et des outils de vos collaborateurs lorsqu'ils accèdent à l'environnement d'un client dans votre périmètre de service. Cela inclut les plateformes de surveillance et de gestion à distance où un seul compte peut permettre de visualiser simultanément des dizaines de clients.

Une approche pratique consiste à structurer la politique autour de vos services et des types de rôles. Par exemple, vous pouvez définir des rôles standard tels qu'analyste de support technique, ingénieur réseau, ingénieur cloud, analyste de sécurité et responsable de la réussite client. Pour chaque rôle, décrivez les types de systèmes auxquels il peut accéder, le niveau de privilège maximal et les conditions à remplir.

Au lieu de rédiger des politiques distinctes pour chaque client, utilisez des annexes ou des profils pour gérer les variations. Votre politique principale pourrait stipuler que tout accès privilégié doit recourir à l'authentification multifacteur et à des comptes nominatifs, tandis qu'un profil dédié à un client du secteur financier ou de la santé, soumis à une réglementation stricte, ajouterait des journaux plus détaillés, des délais d'expiration de session plus courts ou des règles d'approbation plus rigoureuses. Vous pouvez ainsi maintenir une structure de base cohérente tout en vous adaptant aux exigences contractuelles ou réglementaires.

Il est également important de définir les systèmes et outils concernés par cette politique : vos systèmes internes, les plateformes mutualisées telles que les outils de surveillance à distance et l’accès direct aux réseaux clients et aux environnements cloud. Tout système ou outil accessible par votre personnel ou vos outils doit être inclus dans le périmètre de cette politique.

Définition des bases de référence, des exceptions et de la propriété

Définir des règles de base non négociables, des exceptions strictement encadrées et une responsabilité clairement établie permet de rendre une politique centrale applicable plutôt que de la laisser se limiter à un simple objectif. Il est essentiel que chacun sache ce qui s'applique systématiquement, dans quelles circonstances une dérogation est possible et qui doit l'approuver.

Une politique centralisée est optimale lorsqu'elle définit des règles de base applicables à chaque client et à chaque environnement. Ces règles peuvent inclure des comptes nominatifs uniques pour le personnel, une authentification multifacteurs pour tout accès privilégié ou distant, un accès d'urgence limité dans le temps et la journalisation de toutes les actions administratives dans les systèmes présentant un niveau de risque supérieur à un seuil défini.

Vous pouvez ensuite définir une procédure pour les exceptions. Il arrive qu'un environnement client ou un système existant ne réponde pas immédiatement aux exigences de base. Dans ce cas, la politique doit exiger une évaluation des risques documentée, une approbation formelle au niveau approprié, des mesures compensatoires claires et une date d'expiration ou de révision. Autrement, les exceptions « temporaires » deviennent rapidement permanentes.

L'appropriation est tout aussi importante. La politique doit clairement indiquer qui est responsable de sa rédaction, de son approbation et de sa révision, ainsi que qui est chargé de la mise en œuvre de ses différentes dispositions. Concrètement, cela peut concerner le RSSI, le responsable de la sécurité des systèmes d'information, les responsables de services et les chefs d'équipe. Intégrer ces responsabilités dans les descriptions de poste et les objectifs permet d'éviter que la politique ne devienne la responsabilité de tous sans que personne ne s'en occupe.

Maintenir la police d'assurance en vigueur et utilisable

Pour que votre politique reste pertinente et applicable, il est essentiel de la réviser régulièrement en fonction de l'évolution de vos services, outils ou risques, et de la présenter de manière à ce que les ingénieurs puissent réellement l'utiliser. Une politique concise et claire, accompagnée de guides, est bien plus précieuse qu'un document dense et indigeste.

Une politique de contrôle d'accès centralisée n'est utile que si elle reflète le fonctionnement actuel de votre fournisseur de services gérés. Cela signifie qu'elle doit être revue et mise à jour en fonction de l'évolution des services, des technologies et des menaces, et non pas selon un calendrier fixe.

Un mécanisme simple consiste à définir une fréquence de révision, par exemple annuelle pour l'ensemble de la politique et plus fréquente pour les sections à fort impact. Toutefois, il convient également d'identifier les éléments déclencheurs justifiant une révision hors cycle, tels que l'intégration d'un nouveau client important dans un secteur réglementé, l'adoption d'une nouvelle plateforme centrale ou la découverte de problèmes d'accès lors d'un incident ou d'un audit.

L'ergonomie est également essentielle. Les documents de politique longs et denses répondent certes aux exigences de documentation, mais ils sont peu utiles pour guider les comportements au quotidien. Il est préférable de créer des guides courts et adaptés à chaque rôle, dérivés de la politique, expliquant clairement comment un analyste de support technique doit demander et utiliser les accès, comment un ingénieur doit gérer les changements urgents ou comment un responsable de la réussite client doit répondre aux questions relatives aux accès.

Une plateforme comme ISMS.online vous permet de maintenir cette politique centrale à jour en la reliant directement aux risques, aux contrôles, aux tâches et aux preuves. Les mises à jour et les responsabilités sont centralisées au lieu d'être dispersées sur des lecteurs partagés, ce qui facilite la mise en œuvre de la politique par vos équipes et permet aux auditeurs de démontrer que l'annexe A.5.15 est bien intégrée et non pas théorique.

Rendre la responsabilité partagée concrète avec les clients

Le contrôle d'accès pour les fournisseurs de services gérés (MSP) est toujours une responsabilité partagée : vous contrôlez le comportement de vos collaborateurs et de vos outils, tandis que vos clients contrôlent leurs environnements et leurs autorisations. L'annexe A.5.15 est pertinente lorsque ce modèle partagé est formalisé, validé et régulièrement réexaminé. Les organismes de réglementation qui insistent sur la responsabilisation, comme le Bureau du commissaire à l'information du Royaume-Uni dans son cadre de responsabilisation, soulignent précisément cette répartition claire des responsabilités entre les parties.

Dans l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information, environ 41 % des organisations ont souligné que la gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs constituaient un défi majeur.

La gouvernance des accès pour les fournisseurs de services gérés (MSP) est toujours une responsabilité partagée entre le fournisseur et le client. L'annexe A.5.15 vous demande de définir clairement vos responsabilités, mais vous ne pouvez pas gérer les risques d'accès de manière isolée. Vous avez besoin d'un modèle partagé que les clients comprennent, acceptent et contribuent à maintenir par le biais de décisions quotidiennes et de instances de gouvernance.

Concevoir un modèle de responsabilité partagée

Un modèle de responsabilité partagée clarifie les responsabilités de chacun, notamment en matière d'exécution et de contrôle des accès, au sein du périmètre du service. Il transforme les attentes vagues en une description précise des rôles et responsabilités de chaque type de système majeur, ce qui correspond exactement aux exigences actuelles de nombreuses entreprises en matière d'audits de sécurité.

Pour chaque grand type de système (infrastructure sur site, abonnements cloud, outils de sécurité et plateformes SaaS), vous devez préciser :

qui approuve l'accès du personnel du fournisseur de services gérés à l'environnement du client
qui, techniquement, accorde et révoque cet accès
qui est responsable de la surveillance et de l'enregistrement
qui effectue des examens d'accès périodiques
comment les responsabilités évoluent en situation d'urgence

Dans de nombreux cas, en tant que fournisseur de services gérés (MSP), vous accordez et supprimez les accès à vos propres outils et aux systèmes clients où vous détenez des rôles d'administrateur, mais le client conserve le pouvoir d'approuver ou de refuser les demandes d'accès. Documenter cette répartition permet d'éviter les malentendus et les situations où aucune des parties ne réalise ses responsabilités.

Une méthode simple pour y parvenir consiste à utiliser une matrice des responsabilités attribuant à chaque partie des rôles tels que « Responsable », « Comptable », « Consulté » et « Informé ». Cette matrice sert ensuite de référence pour les contrats, les plans d'intégration et les revues de gouvernance périodiques, notamment les réunions régulières d'évaluation des services ou les revues d'activité trimestrielles.

Étapes pour construire un modèle de responsabilité partagée

Types de systèmes de listes vos services, tels que les solutions sur site, le cloud, les outils de sécurité et les SaaS.
Définir les activités clés pour chaque système, y compris approuver, accorder, surveiller, examiner et répondre.
Attribuer les rôles RACI entre votre organisation et le client pour chaque activité.
Examiner et approuver le modèle Lors de l'intégration, mettez-le à jour en fonction de l'évolution des services et des risques.

Intégrer la gouvernance des accès dans les contrats et les relations

L'intégration du modèle partagé dans les contrats et les réunions de gouvernance garantit sa mise en œuvre et évite qu'il ne soit oublié. Les contrats définissent les attentes, et les revues régulières permettent aux deux parties de rester alignées face à l'évolution des services et des risques.

Une fois le modèle de responsabilité partagée établi, il doit être reflété dans vos documents contractuels et vos échanges réguliers. Les contrats-cadres de services, les cahiers des charges et les accords de traitement des données doivent tous décrire les modalités de gestion des accès.

Cela peut inclure l'engagement de maintenir une politique de contrôle d'accès centralisée, d'utiliser des comptes nominatifs et une authentification forte, de consigner et d'examiner les accès privilégiés et d'informer les clients de tout changement ou incident important lié à l'accès. Du côté client, les contrats peuvent exiger une notification rapide des changements de personnel, un examen régulier des rapports d'accès et la participation à des revues d'accès conjointes.

Lors des phases de prévente, d'intégration et des revues trimestrielles d'activité, il est utile d'aborder explicitement ces sujets. Demander aux clients quelles réglementations, politiques internes ou exigences sectorielles ils doivent respecter permet d'identifier les points à améliorer dans votre référentiel. Bien cerner ces besoins dès le départ réduit les difficultés ultérieures, notamment lors des questionnaires de sécurité ou des demandes de justificatifs des autorités de réglementation.

Des réunions de gouvernance régulières (trimestrielles ou semestrielles) permettent d'examiner le fonctionnement du modèle. Vous pouvez y analyser les rapports d'accès, les exceptions, les incidents et les changements à venir. La consignation des actions et des décisions prises lors de ces réunions renforce la conformité à l'annexe A.5.15 et la confiance des clients.

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo

Contrôles techniques et procéduraux pour l'accès multi-locataires

L'annexe A.5.15 prend tout son sens lorsque les contrôles et procédures techniques s'associent pour garantir l'application des règles à de nombreux locataires. Un cycle de vie des identités robuste, une conception rigoureuse des accès privilégiés et des outils multilocataires bien configurés sont autant de leviers permettant aux fournisseurs de services gérés (MSP) de réduire considérablement les risques.

Une politique bien conçue doit s'appuyer sur des contrôles techniques et procéduraux pratiques. Pour les fournisseurs de services gérés multilocataires, les contrôles qui centralisent la prise de décision tout en garantissant la séparation entre les locataires sont particulièrement importants, car une seule erreur peut avoir des conséquences pour une large clientèle.

Cycle de vie identitaire et principe du moindre privilège en pratique

La gestion du cycle de vie des identités et le principe du moindre privilège garantissent que les accès correspondent aux rôles des utilisateurs, de leur arrivée à leur départ. En traçant et en modifiant systématiquement chaque identité, vous réduisez considérablement le risque d'oublis dans les accès aux systèmes clients.

La gestion du cycle de vie des identités est essentielle à la mise en œuvre concrète de l'annexe A.5.15. Chaque membre du personnel et chaque sous-traitant ayant accès aux environnements clients doit posséder une identité unique, et tous les accès doivent être rattachés à cette identité.

Les processus de gestion des arrivées, des mutations et des départs doivent être étroitement intégrés aux flux de contrôle d'accès. À l'arrivée d'un nouvel employé, son rôle détermine les droits d'accès standard qui lui sont attribués. Lors d'un changement d'équipe ou de responsabilités, ses accès doivent être ajustés et non simplement ajoutés. À son départ, tous ses accès à vos systèmes et aux environnements clients doivent être révoqués et vérifiés immédiatement.

Le principe du moindre privilège, dans ce contexte, consiste à concevoir un accès basé sur les rôles afin que le personnel ne dispose que des droits nécessaires à l'exercice de ses fonctions habituelles. Par exemple, le support de premier niveau peut avoir besoin d'un accès limité pour consulter la configuration et lancer certaines tâches, tandis que les ingénieurs seniors peuvent effectuer des modifications plus importantes, mais uniquement sur les systèmes dont ils sont responsables. Les rôles génériques de « super administrateur » doivent être remplacés par des rôles plus restreints chaque fois que la technologie le permet.

Une séquence simple de cycle de vie d'identité

Définir les rôles standard et associer chaque rôle aux systèmes et privilèges autorisés.
Accorder un accès par rôle lorsque les personnes s'inscrivent, et non par le biais d'autorisations directes ponctuelles.
Ajuster les rôles lors des déplacements et supprimer les accès qui ne correspondent plus aux responsabilités.
Révoquer et vérifier l'accès et ce, dans tous les systèmes, y compris chez les clients locataires, lorsque des personnes quittent le système.

L'association du contrôle d'accès basé sur les rôles et du provisionnement automatisé permet de mieux prévenir les dérives de privilèges et la création de comptes orphelins. Elle rend également les revues d'accès périodiques plus pertinentes, car les responsables peuvent vérifier la conformité des accès aux rôles définis, au lieu de devoir interpréter de longues listes d'autorisations individuelles.

Des contrôles plus stricts pour l'accès privilégié

L'accès privilégié nécessite des contrôles plus stricts, car les erreurs ou les attaques à ce niveau peuvent affecter simultanément de nombreux locataires. Les comptes d'administrateur nommés, l'authentification multifacteurs et l'élévation en temps réel réduisent le rayon d'explosion et renforcent la sécurité de votre annexe A.5.15.

L'accès privilégié est le domaine où les enjeux sont les plus importants. Il s'agit des droits permettant de modifier les paramètres de sécurité, de créer ou de supprimer des comptes, d'altérer les sauvegardes ou d'accéder à des données sensibles réparties entre plusieurs utilisateurs. Une erreur ou une compromission à ce niveau peut compromettre de nombreux autres contrôles.

Il est recommandé d'utiliser des comptes nommés distincts pour les tâches administratives, différents des comptes utilisateurs courants. Ces comptes d'administrateur doivent impérativement utiliser l'authentification multifacteurs, idéalement avec des méthodes résistantes aux attaques de phishing. Les comptes d'administrateur partagés doivent être supprimés ou strictement contrôlés par un système de stockage sécurisé et des journaux d'accès détaillés.

L’accès juste-à-temps, qui consiste à accorder temporairement des droits élevés en réponse à des demandes approuvées, puis à les supprimer, peut réduire considérablement le nombre de privilèges permanents dans votre environnement. Même si une automatisation complète n’est pas possible pour tous les systèmes, la mise en place d’un accès limité dans le temps pour les plateformes les plus critiques constitue une mesure importante.

La journalisation et la surveillance doivent être proportionnées au risque. Chaque action privilégiée sur les systèmes critiques doit être consignée avec suffisamment de détails pour comprendre ce qui a été fait, par qui et quand. Les alertes signalant des comportements inhabituels (modifications hors des heures ouvrables, accès depuis des emplacements inattendus ou activités privilégiées en dehors des périodes de service normales) permettent de détecter rapidement les abus et d'y réagir promptement.

Modèles d'outillage multi-locataires compatibles avec A.5.15

Les outils multilocataires peuvent soit renforcer, soit compromettre la mise en œuvre de l'annexe A.5.15, selon leur configuration. La séparation au niveau locataire, la définition des rôles et l'intégration de l'identité centrale sont des choix de conception simples qui font toute la différence.

De nombreux fournisseurs de services gérés (MSP) utilisent des outils partagés tels que des plateformes de surveillance et de gestion à distance, des systèmes de gestion des tickets, des services de sauvegarde et des consoles de gestion cloud. La configuration de ces outils peut renforcer ou affaiblir votre conformité à l'annexe A.5.15.

Dans la mesure du possible, utilisez les fonctionnalités de segmentation pour séparer logiquement les environnements clients. Cela peut inclure des structures de locataires ou de sites, des groupes distincts ou des périmètres de gestion différents par client. Les rôles du personnel dans ces outils doivent limiter l'accès aux seuls clients qu'ils prennent en charge ; ainsi, un ingénieur ne peut voir et intervenir que sur les systèmes des organisations qu'il assiste.

L'intégration de ces outils à un fournisseur d'identité central permet d'appliquer une authentification cohérente, des politiques d'accès conditionnel et de simplifier le processus de départ. Lorsqu'un utilisateur quitte l'entreprise, il est possible de le supprimer du fournisseur d'identité, avec la garantie que son accès est définitivement révoqué sur l'ensemble des outils intégrés et des environnements clients.

Sur le plan procédural, liez vos contrôles techniques à vos systèmes de gestion des tickets ou des flux de travail. Les demandes de nouvel accès, de modification des niveaux de privilèges et d'accès d'urgence doivent toutes être documentées par des enregistrements d'approbation. Ce lien facilite grandement la démonstration que l'accès a été accordé conformément à votre politique et aux besoins de l'entreprise, et non de manière ponctuelle.

En mettant en place ces contrôles, vous constaterez rapidement les points forts et les lacunes ou incohérences. Ces faiblesses apparaissent souvent clairement lors des audits, moment où de nombreux fournisseurs de services gérés (MSP) prennent conscience pour la première fois de l'impact concret de l'annexe A.5.15.

Lacunes courantes des fournisseurs de services gérés et comment elles apparaissent lors des audits

Les lacunes courantes des politiques de sécurité des données (PSD) relatives à l'annexe A.5.15 concernent généralement un périmètre imprécis, un traitement incohérent des types d'identité et un décalage entre la politique écrite et la pratique. Les auditeurs repèrent souvent rapidement ces faiblesses car elles apparaissent aussi bien dans les documents que dans les opérations quotidiennes.

Dans le cadre de l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information, environ deux tiers des organisations ont déclaré que la rapidité et le volume des changements réglementaires rendent la conformité plus difficile à maintenir.

Même les fournisseurs de services gérés (MSP) les plus expérimentés constatent souvent des lacunes lorsqu'ils examinent l'annexe A.5.15 dans le contexte d'une architecture mutualisée. Le constat est fréquent : les concepts sont compris, mais leur mise en œuvre concrète est à la traîne, notamment lorsque de nombreux environnements et outils clients sont impliqués.

Imaginez un fournisseur de services gérés (MSP) dont la politique de contrôle d'accès, rédigée il y a des années pour des systèmes internes, n'a jamais été mise à jour. Lors d'un audit ISO 27001, l'auditeur demande comment cette politique s'applique à une plateforme de surveillance à distance permettant d'accéder à tous les clients. L'équipe ne peut décrire que des pratiques informelles et des paramètres d'outils isolés. Le résultat probable est la conclusion que la politique ne couvre pas les accès réels, même en l'absence d'incident.

Lacunes typiques en matière de politiques et de conception

Des lacunes typiques en matière de politiques et de conception apparaissent lorsque votre politique de contrôle d'accès centralisée ne couvre pas explicitement l'accès du fournisseur de services gérés (MSP) au client, ou lorsqu'elle ignore les sous-traitants et les tiers disposant de droits étendus. Ces omissions sont facilement repérables par les auditeurs et soulèvent des questions quant à l'adéquation de votre politique à la réalité.

Une lacune fréquente réside dans le fait que la politique de contrôle d'accès ne couvre pas explicitement l'accès entre le fournisseur de services gérés et le client. Elle a souvent été rédigée pour les systèmes internes et étendue ultérieurement, de manière informelle, aux environnements clients. Les auditeurs et les clients remarqueront que le langage de la politique est trop générique et ne décrit pas comment vos équipes et vos outils interagissent avec les systèmes clients.

Un autre problème fréquent réside dans la gestion incohérente des types d'identité dès la conception. Si l'identité du personnel est clairement définie dans la politique, celle des contractuels, des intérimaires, des travailleurs offshore ou des tiers est traitée comme un cas particulier, voire omise. Dans un fournisseur de services gérés (MSP), ces populations disposent souvent d'un accès important et doivent être intégrées à la politique centrale, aux modèles de rôle et aux évaluations des risques.

Les politiques peuvent aussi décrire des idéaux qui ne se reflètent pas dans la réalité. Par exemple, une politique peut stipuler que l'authentification multifacteurs est requise pour tout accès distant, alors que les anciens VPN ou comptes de service contournent cette exigence. Lorsque les auditeurs comparent la documentation aux pratiques, ces incohérences révèlent rapidement des anomalies.

Des lacunes opérationnelles constatées par les auditeurs et les clients

Des lacunes opérationnelles apparaissent lorsque les auditeurs demandent comment les accès sont réellement gérés et que vous ne pouvez décrire que des processus manuels, des feuilles de calcul éparses ou des contrôles irréguliers. Les clients constatent les mêmes faiblesses lorsque vous peinez à indiquer qui a accès à leur environnement aujourd'hui et comment cet accès a été approuvé.

Sur le plan opérationnel, les auditeurs vérifieront que vos règles d'accès sont bien respectées au quotidien. Ils s'enquerront notamment de la rapidité avec laquelle les accès sont révoqués lors du départ d'un employé, de la fréquence des revues d'accès et des mesures que vous prenez pour garantir l'isolation des utilisateurs dans les outils partagés.

Si vos réponses reposent sur des processus manuels, des tableurs et des connaissances informelles, votre efficacité en matière de contrôle pourrait être jugée insuffisante, même en l'absence d'incidents. De même, si les revues d'accès sont irrégulières, incomplètes ou mal documentées, les auditeurs pourraient conclure à un risque d'accès excessif ou orphelin.

Les clients qui effectuent des évaluations des risques liés aux tiers remarqueront votre incapacité à fournir des rapports clairs indiquant qui a accès à leurs systèmes, la date d'approbation de cet accès et la date de sa dernière vérification. Ils pourraient également remettre en question votre maturité si vous ne pouvez pas expliquer, en termes simples, comment votre modèle d'accès empêche qu'un problème rencontré par un client ne devienne celui d'un autre.

Utiliser des indicateurs pour prioriser les améliorations

Des indicateurs simples et ciblés vous aident à transformer les préoccupations générales (Annexe A.5.15) en actions concrètes d'amélioration. Ils vous permettent de prioriser les actions et de démontrer les progrès accomplis à la direction et aux clients.

Plutôt que d'essayer de tout corriger en même temps, il est souvent plus efficace de choisir quelques indicateurs liés à l'accès et de les utiliser pour orienter les améliorations.

Les indicateurs d'hygiène d'identité et d'accès peuvent inclure :

pourcentage du personnel ayant accès uniquement par le biais de rôles définis
Le délai moyen de révocation d'accès après le départ d'un employé est enregistré.
nombre de comptes privilégiés par ingénieur ou par client

Les indicateurs de la discipline de gouvernance peuvent inclure :

pourcentage d'examens d'accès effectués à temps
nombre d'exceptions aux politiques ouvertes et leur âge

Le suivi de ces indicateurs dans le temps permet de vérifier l'efficacité de vos changements. Il fournit également des données concrètes à présenter à la direction lors de demandes d'investissement ou de rapports d'avancement. L'annexe A.5.15 est plus facile à gérer lorsqu'on peut s'appuyer sur des tendances mesurables plutôt que sur des appréciations subjectives quant à l'amélioration du contrôle d'accès.

Les organisations qui renforcent ainsi la gouvernance des accès constatent souvent que les audits sont plus prévisibles, que la recherche de preuves est plus rapide et que les échanges avec les clients sur les questions d'accès sont facilités et plus rassurants. Une fois les indicateurs plus clairs et les lacunes réduites, l'étape suivante consiste à organiser les preuves de manière à présenter un récit cohérent.

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo

Démontrer la gouvernance d'accès aux auditeurs et aux clients

Vous prouvez l'annexe A.5.15 en établissant un lien clair entre les règles écrites, les processus et les preuves concrètes que l'accès est accordé, utilisé et examiné comme indiqué. Ce lien doit être facilement identifiable par les auditeurs, les clients et votre propre direction.

L’annexe A.5.15 ne se juge pas uniquement sur le fond de votre politique, mais aussi sur la preuve de sa mise en œuvre et de son efficacité. Une approche rigoureuse de la collecte et de la présentation des preuves rendra les audits et les évaluations clients bien moins contraignants et plus prévisibles. Les recommandations des organismes de normalisation et de certification, comme les synthèses de la norme ISO 27001 proposées par les organismes nationaux de normalisation, insistent sur ce point : les auditeurs s’appuient sur des preuves pour évaluer la mise en œuvre et l’efficacité, et non sur le seul texte de la politique.

Conception d'une bibliothèque de preuves pour la gouvernance des accès

Une bibliothèque de preuves organisée transforme un amas de captures d'écran et d'exportations en un récit cohérent de votre politique de gestion des accès. Chaque élément majeur de votre politique doit s'accompagner de procédures, d'enregistrements et de documents de contrôle facilement accessibles et présentables.

Une manière utile de concevoir les preuves est de les comparer à une bibliothèque à plusieurs niveaux. Au sommet se trouve votre politique de contrôle d'accès, qui décrit le comportement attendu. En dessous, les procédures et les normes expliquent comment cette politique est mise en œuvre dans les processus et les outils. Plus bas encore, les flux de travail, les tickets et autres enregistrements montrent ce qui s'est réellement passé. Les journaux et les rapports des outils apportent un niveau de détail supplémentaire. Enfin, les comptes rendus de revue et les validations de la direction attestent du contrôle exercé.

Par exemple, un auditeur pourrait suivre une seule ligne, depuis une règle de politique relative à l'accès privilégié au cloud, jusqu'à une procédure opérationnelle standard pour accorder cet accès, puis jusqu'à un ticket où un ingénieur nommé a été approuvé, et enfin jusqu'à un enregistrement de journal montrant comment le compte a été utilisé et examiné ultérieurement.

Concevoir la structure de cette bibliothèque sur papier avant de commencer la collecte de données permet de clarifier vos besoins. Concernant l'annexe A.5.15, il est important de s'assurer que chaque aspect majeur de la politique (gestion des accès, accès privilégié, cycle de vie des identités, accès d'urgence et examens d'accès) dispose de procédures et de documents correspondants.

Une fois la structure clairement définie, vous pouvez y intégrer vos systèmes existants. Par exemple, votre fournisseur d'identité peut fournir des rapports d'accès, votre système de gestion des tickets peut contenir les enregistrements d'approbation, votre plateforme de contrôle d'accès peut inclure les journaux de session et votre plateforme SMSI peut relier les risques, les contrôles et les éléments de preuve. L'objectif n'est pas de centraliser toutes les données, mais de disposer d'une méthode claire et reproductible pour indiquer l'emplacement de chaque élément.

Automatiser les preuves lorsque cela est raisonnable

L'automatisation des éléments de preuve clés, lorsque cela est possible, permet de les maintenir à jour et de réduire le temps d'attente avant les audits ou les vérifications préalables. Les rapports standardisés, les tickets étiquetés et les revues planifiées facilitent la démonstration de l'annexe A.5.15 sur demande.

Le recours aux captures d'écran manuelles et aux exportations ponctuelles produit des preuves obsolètes et incohérentes. Dans la mesure du possible, il convient d'automatiser la collecte des preuves ou, à défaut, de la rendre reproductible à la demande.

Par exemple, vous pouvez concevoir des rapports standard dans vos outils de gestion des identités et des accès, répertoriant les utilisateurs actuels et leurs rôles pour chaque client. Vous pouvez configurer votre système de gestion des tickets pour étiqueter les demandes d'accès afin de faciliter leur filtrage pour approbation. Vous pouvez programmer des exportations régulières à partir des systèmes de journalisation, récapitulant l'activité des utilisateurs privilégiés sur des plateformes spécifiques.

L'automatisation des revues d'accès périodiques peut également s'avérer utile. Si votre outil peut envoyer aux réviseurs une liste de comptes à certifier, enregistrer leurs décisions et consigner la réalisation des revues, ces comptes rendus constituent des preuves tangibles. Même si la technologie ne permet pas une automatisation complète, l'utilisation d'un modèle et d'un calendrier de revues uniformes représente une nette amélioration par rapport aux méthodes ponctuelles.

Une plateforme comme ISMS.online peut servir de couche de gouvernance, centralisant ces sources. En associant les contrôles et les politiques à des éléments de preuve, des tâches et des responsables spécifiques, vous pouvez identifier d'un coup d'œil les lacunes et les points à améliorer avant un audit ou un contrôle client important.

Preuves d'emballage pour différents publics

Les différents publics ont besoin d'une version différente des mêmes éléments de preuve : les auditeurs recherchent la traçabilité, les clients une assurance spécifique à chaque locataire et les dirigeants une visibilité sur les risques et les tendances. Préparer à l'avance quelques dossiers standardisés permet de mieux maîtriser et d'optimiser chaque échange.

Les auditeurs externes exigent souvent une traçabilité complète. Ils s'attendent à suivre un cheminement précis, depuis les objectifs de contrôle et les clauses de politique, en passant par les procédures, jusqu'aux exemples de décisions d'accès réelles, et enfin aux journaux et aux comptes rendus d'examen. Les entreprises clientes souhaitent généralement une assurance spécifique à leur environnement : qui, au sein de leur organisation, peut accéder à leurs systèmes, quelles actions sont autorisées et comment cet accès est supervisé. La direction interne, quant à elle, se concentre généralement sur l'exposition aux risques et les tendances.

Il est judicieux de préparer un petit ensemble de dossiers de preuves standard adaptés à ces publics. Un dossier destiné à un auditeur pourrait inclure la politique centrale de contrôle d'accès, les procédures associées, des exemples de demandes et d'approbations d'accès, les enregistrements des revues sur une période définie et les rapports de synthèse de vos outils. Un dossier destiné aux clients pourrait détailler les modalités d'accès de leurs collaborateurs à leur environnement, les personnes actuellement autorisées à y accéder, les procédures d'approbation et la fréquence des revues. Un dossier destiné à la direction pourrait mettre en lumière les indicateurs clés, les améliorations récentes et les risques potentiels.

S'entraîner à présenter ces documents permet de déceler les lacunes, tant au niveau des preuves que du récit. Organiser des simulations d'audits internes ou des séances de vérification préalable axées exclusivement sur la gouvernance des accès aide vos équipes à expliquer aisément la mise en œuvre de l'annexe A.5.15 au sein de votre MSP. Les organisations qui investissent dans cette préparation constatent généralement que les audits et les évaluations clients réels sont perçus comme une confirmation des bonnes pratiques plutôt que comme une recherche de faiblesses.

Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous aide à transformer l'annexe A.5.15, un document de politique statique, en une pratique de gouvernance des accès plus dynamique et adaptée au mode de fonctionnement de nombreux fournisseurs de services gérés (MSP). Fini les jonglages entre feuilles de calcul, documents épars et rapports spécifiques à chaque outil : gérez vos règles d'accès, les responsabilités, les risques et les preuves dans un espace de travail unique et connecté.

Découvrez votre politique d'accès centralisée en action

Lorsque votre politique de contrôle d'accès centralisée est intégrée aux tâches quotidiennes et aux données probantes, elle cesse d'être théorique et guide les décisions concrètes. Avec ISMS.online, vous pouvez héberger votre politique de contrôle d'accès centralisée MSP, la faire correspondre directement aux annexes A.5.15, A.5.16 et A.8.2, et attribuer la responsabilité de chaque élément afin que les responsabilités soient toujours clairement définies.

Vous pouvez également joindre des preuves actualisées à chaque contrôle : rapports d’examen des accès, synthèses des plateformes d’identité, rapports d’accès privilégié et comptes rendus des réunions de gouvernance client. Ainsi, lorsqu’un auditeur ou un client vous interroge sur votre gouvernance des accès, vous n’aurez pas à chercher frénétiquement des documents ; vous pourrez lui présenter une vision structurée et à jour de votre modèle de gouvernance, reflétant votre fonctionnement actuel.

Si vous souhaitez voir un exemple concret de ce type de bibliothèque de gouvernance des accès dans un système en direct, l'équipe d'ISMS.online peut vous expliquer comment d'autres MSP structurent en pratique leur étage Annexe A.5.15 et où vous pourriez adapter des modèles similaires.

La gouvernance des accès est grandement facilitée lorsque les revues, les exceptions et les améliorations sont gérées via un flux de travail partagé plutôt que de manière ponctuelle. ISMS.online est conçu pour soutenir ce flux de travail en vous aidant à planifier les revues, à suivre les exceptions et à gérer les améliorations au fil du temps.

Vous pouvez configurer des tâches récurrentes pour les revues d'accès, les associer à des systèmes ou clients spécifiques et consigner les décisions de manière à pouvoir les retrouver facilement. Les exceptions à votre politique d'accès peuvent être enregistrées avec des évaluations des risques, des approbations et des dates d'expiration, ce qui vous permet de démontrer votre contrôle même lorsque vous devez vous écarter de la procédure de référence. Les vues basées sur les rôles permettent aux fondateurs, aux RSSI, aux responsables de la conformité et aux gestionnaires de comptes de visualiser facilement les aspects de l'annexe A.5.15 qui les concernent le plus.

Si vous souhaitez passer d'une gestion des accès basée sur des politiques écrites ou des outils, mais non encadrée, à un modèle structuré et fondé sur la gouvernance, ISMS.online est conçu pour vous accompagner dans cette transition. Lorsque vous serez prêt, un échange avec notre équipe vous montrera comment transposer votre situation actuelle (Annexe A.5.15) en un espace de travail cohérent de gouvernance des accès, compatible avec la norme ISO 27001, la confiance des clients et les opérations quotidiennes.

Demander demo

Foire aux questions

Qu’attend réellement un fournisseur de services gérés (MSP) selon la norme ISO 27001:2022, annexe A.5.15 ?

L’annexe A.5.15 exige que votre fournisseur de services de gestion (MSP) adopte une approche cohérente et fondée sur les risques pour prendre des décisions. qui peut accéder à quoiet de pouvoir prouver que vous la respectez. Cela concerne vos propres plateformes et tous les chemins empruntés par vos équipes, vos partenaires et vos outils pour accéder aux environnements clients.

Qu’est-ce que cela signifie concrètement dans les opérations quotidiennes des fournisseurs de services gérés ?

En pratique, les auditeurs et les entreprises clientes s'attendent à voir deux choses fonctionner de concert :

A politique de contrôle d'accès claire et écrite qui expose :
Périmètre : systèmes internes, consoles partagées, outils distants, VPN et tous les clients auxquels votre personnel peut accéder.
Principes : moindre privilège, séparation des tâches, comptes nommés, authentification forte et refus par défaut.
Rôles et catégories d'accès : utilisateur standard, administrateur, intervention d'urgence et tiers, avec un accès maximal pour chacun.
Règles d’approbation : qui peut approuver quel type d’accès, à quelles conditions et pour combien de temps ?
Fréquence des contrôles : à quelle fréquence les accès sont vérifiés, par qui et pour quels systèmes et locataires.

Preuves que ces règles sont respectées :
Accédez aux demandes et approbations liées aux tickets ou aux éléments de flux de travail, afin de pouvoir afficher le cheminement de la décision.
Journaux prouvant que l'accès privilégié utilise des comptes nommés et protégés par l'authentification multifacteur plutôt que des identifiants partagés.
Enregistrements des revues d'accès planifiées pour les systèmes internes et les locataires clients représentatifs, avec la participation du client pour les environnements à risque plus élevé.

Un auditeur sélectionnera souvent une règle de votre politique, en suivra le déroulement au sein de votre processus, puis examinera des requêtes, des journaux et des enregistrements réels. S'il parvient à reproduire ce processus sans difficulté pour vos propres plateformes et pour quelques locataires types, vous respectez l'esprit de l'annexe A.5.15 au lieu de simplement en répéter le texte.

Pourquoi ce contrôle représente-t-il un point de tension si important pour les fournisseurs de services gérés ?

Votre principal risque réside dans les points d'accès aux systèmes clients, et non uniquement dans vos outils de gestion interne. L'annexe A.5.15 vous permet de le démontrer :

L'accès à chaque locataire est délibéré, justifié et régulièrement révisé, pas un vestige d'anciens projets.
Les sous-traitants, les équipes offshore et les fournisseurs de NOC/SOC tiers suivent les mêmes règles d'accès que le personnel permanent.
Les outils et consoles multi-locataires s'appuient sur accès administrateur nommé, enregistré et limité dans le temps, jamais de comptes génériques partagés au sein de l'équipe.

Lorsque la norme A.5.15 centralise la gestion des identités, des accès privilégiés, des fournisseurs et des journaux, vous pouvez expliquer votre modèle d'accès de manière beaucoup plus convaincante aux auditeurs et aux acheteurs d'entreprise. Si vous souhaitez que ce référentiel soit accessible de manière pratique plutôt que de rester figé dans un document, ISMS.online vous offre un point d'accès unique pour connecter les politiques, les tâches et les justificatifs. Vous pouvez ainsi démontrer, et non seulement expliquer, comment les accès sont gérés au sein de votre MSP et pour chaque client que vous prenez en charge.

Comment un fournisseur de services gérés (MSP) doit-il concevoir une politique de contrôle d'accès unique qui fonctionne pour plusieurs locataires ?

Vous concevez une politique de contrôle d'accès unique et fonctionnelle en la rédigeant à partir de Le point de vue de votre fournisseur de services gérés (MSP) en premier lieuOn y ajoute ensuite les exigences spécifiques à chaque client. La politique de base définit le comportement de vos collaborateurs et de vos outils ; des profils locataires simplifiés permettent de consigner les cas où certains clients ont des exigences plus restrictives.

Que doit contenir la politique de contrôle d'accès de base d'un fournisseur de services gérés (MSP) ?

Une structure pratique et adaptée aux MSP comprend généralement :

Objet et portée :

Précisez que cette politique couvre vos plateformes, vos consoles partagées, vos mécanismes d'accès à distance et tous les clients avec lesquels vous interagissez.

Principes et normes :

Expliquez comment vous appliquez le principe du moindre privilège, la séparation des tâches, l'absence de comptes génériques et l'authentification forte, et à quels cadres ou réglementations vous vous conformez (par exemple, ISO 27001 et ISO 27002).

Rôles et mappages standard :

Décrivez les rôles tels qu'analyste de support technique, ingénieur réseau, ingénieur cloud, analyste de sécurité, ingénieur de projet et gestionnaire de compte, et définissez le niveau d'accès maximal autorisé pour chaque rôle aux différentes classes de systèmes.

Catégories d'accès :

Définir les accès standard, privilégiés, d'urgence/de bris de glace et tiers, avec des règles claires sur la manière dont chacun est demandé, accordé, utilisé et consigné pour l'ensemble des locataires.

Règles d'approbation et preuves :

Précisez qui peut approuver chaque type d'accès, où ces approbations sont enregistrées, combien de temps vous les conservez et comment elles sont liées aux tickets ou aux modifications.

Fréquence et déclencheurs des révisions :

Mettez en place des cycles de révision réguliers pour les accès utilisateurs et administrateurs, et notez les déclencheurs supplémentaires tels que les changements organisationnels, les nouveaux services ou les incidents majeurs.

Gestion des exceptions:

Expliquez comment les dérogations temporaires sont demandées, évaluées en fonction des risques, limitées dans le temps et examinées afin qu'un accès ponctuel ne puisse pas devenir discrètement permanent.

Vous pouvez ensuite attacher un court profils des locataires qui prennent en compte les exigences supplémentaires de chiffrement, de ségrégation, d'approbation ou de journalisation pour certains secteurs ou clients (par exemple, le secteur public, la santé ou la finance).

Comment rendre cette structure facile à utiliser pour les ingénieurs ?

Une politique que seuls les services de conformité et les auditeurs peuvent comprendre n'influencera jamais les comportements au quotidien. Les fournisseurs de services gérés obtiennent de bien meilleurs résultats lorsqu'ils :

Produire court, guides spécifiques à chaque rôle à partir de la politique principale (par exemple « Règles d’accès pour le personnel du service d’assistance » ou « Comment utiliser l’accès par bris de glace en toute sécurité »).
Reproduisez la politique dans outillage en utilisant des types de demandes d'accès, des modèles de modification et des manuels d'exploitation qui correspondent aux catégories et aux règles du document.
Conserver la politique principale allégé et fondé sur des principeset intégrer les instructions détaillées du type « cliquez ici, puis ici » dans les normes, les procédures et les manuels.

Si un ingénieur peut consulter un guide et identifier immédiatement ses droits d'accès pour un environnement donné, la politique d'accès devient un véritable outil de gouvernance des accès. ISMS.online vous permet de centraliser la politique d'accès de base, les directives relatives aux rôles et les exigences spécifiques à chaque environnement, afin que les modifications apportées à votre modèle d'accès soient intégrées au travail quotidien au lieu de rester lettre morte.

Comment les fournisseurs de services gérés peuvent-ils intégrer l'annexe A.5.15 à l'identité et à l'accès privilégié afin que les droits ne deviennent pas incontrôlables ?

Vous contrôlez l'accès en veillant à ce que un ensemble de règles d'accès Elle détermine le cycle de vie des identités, la conception des rôles et les modèles d'accès privilégiés. L'annexe A.5.15 définit les attentes relatives aux ressources accessibles ; la gestion des identités et des accès privilégiés garantit l'application cohérente de ces attentes dans chaque système et locataire.

À quoi ressemble un modèle d'identité et d'accès unifié pour un fournisseur de services gérés (MSP) ?

Pour l’annexe A.5.15, vos processus d’identité et d’accès privilégié constituent le point de concrétisation de la politique. Un modèle intégré comprend généralement :

A processus de menuisier-déménageur-départ cela concerne tous ceux qui peuvent contacter les locataires clients, y compris les entrepreneurs et les partenaires à long terme.
Des identités créées et modifiées à travers rôles définis, et non des listes de droits ad hoc, ces rôles étant mis à jour lorsque les services ou les technologies changent.
Les déménageurs ayant accès supprimés ainsi que des ajouts sur vos propres plateformes et chez tous les clients concernés, les modifications étant enregistrées et, le cas échéant, approuvées par votre fournisseur de services gérés et le client.
Les utilisateurs quittant le système sont intégralement déconnectés des systèmes internes, des outils partagés et de chaque locataire client, une personne nommément désignée attestant que cette déconnexion a eu lieu.

Du côté des privilégiés, un modèle cohérent pourrait inclure :

Comptes d'administrateur nommés : avec une authentification multifactorielle pour les systèmes à haut risque au niveau du locataire ou autres, jamais d'identifiants partagés.
Élévation juste à temps ou à durée déterminée : pour les tâches sensibles, liées à un changement, un incident ou une fenêtre de maintenance.
Un contrôle strict des personnes autorisées à approuver les accès privilégiés, avec des approbations enregistrées dans votre plateforme ITSM ou de gestion des tickets.
Prévu accès aux avis pour les rôles privilégiés, réalisés conjointement avec les clients pour les locataires critiques ou réglementés.

Lorsque ces éléments sont alignés, il devient beaucoup plus facile de démontrer à un auditeur ou à un client que l'annexe A.5.15 est bien intégrée à votre système de gestion des identités, des accès et des privilèges, au lieu de rester lettre morte. Des plateformes comme ISMS.online simplifient cette traçabilité en reliant votre politique d'accès, vos registres de contrôle et les justificatifs, ce qui vous permet de démontrer, en quelques clics, le déroulement du cycle de vie d'une personne, de son premier accès à sa révocation définitive.

Quelles sont les faiblesses en matière de contrôle d'accès que les auditeurs et les entreprises clientes constatent le plus souvent chez les fournisseurs de services gérés (MSP) ?

Les faiblesses les plus courantes apparaissent là où Les règles établies et l'accès réel ne correspondent pas., notamment à la frontière entre votre fournisseur de services gérés et vos clients. Les lacunes des outils multilocataires, des consoles partagées et des plateformes d'accès à distance sont des sujets de préoccupation récurrents.

Quels sont les schémas spécifiques qui reviennent constamment ?

Les problèmes récurrents incluent :

Des politiques qui font référence à « tout le personnel » mais dans la pratique superviser les sous-traitants, les équipes offshore ou les centres d'opérations tiers.
Départ incomplet ou non documenté : , notamment en ce qui concerne les locataires clients et les outils partagés lorsque le personnel ou les sous-traitants changent de poste ou quittent définitivement l'entreprise.
Comptes administrateurs partagés ou génériques : dans les outils de surveillance à distance, de PSA, de sauvegarde ou de sécurité qui desservent de nombreux locataires.
Des comptes hérités dans les systèmes clients dont personne n'est clairement propriétaire, sans justification actuelle pour l'accès qu'ils détiennent encore.
Examens relatifs à l'accès irrégulier : ou des évaluations qui ne portent que sur les systèmes internes et ignorent les plateformes et les locataires destinés aux clients.
Un accès temporaire ou d'urgence qui n'a jamais été correctement établi limité dans le temps, réapprouvé ou révoquéet est lentement devenue permanente.
Vous avez du mal à répondre à des questions simples comme « Qui, au sein de votre organisation, peut accéder administrativement à notre environnement de production aujourd'hui ? »

Même si aucune de ces failles n'a encore provoqué d'incident, elles inquiètent les entreprises clientes. Nombre d'entre elles considèrent désormais l'accès aux fournisseurs de services gérés comme faisant partie intégrante de leur stratégie globale. risque de chaîne d'approvisionnementIls approfondiront donc ces points lors des vérifications préalables, des renouvellements et des discussions relatives aux interventions en cas d'incident.

Comment ces lacunes se répercutent-elles sur le risque commercial ?

Lorsqu'un client ou un auditeur constate des incohérences dans le contrôle d'accès, trois choses ont tendance à se produire :

Ils soulever des conclusions et il faut s'attendre à des plans de remédiation, ce qui prend du temps et peut ralentir les cycles de vente ou de renouvellement.
Ils limiter la portée des systèmes ou des données auxquels vous pouvez accéder ou pour lesquels vous pouvez imposer des contrôles supplémentaires, ce qui rend plus difficile la fourniture d'un support efficace.
Dans les cas plus graves, ils relancer l'appel d'offres ou diversifier Éloignez-vous de votre fournisseur de services gérés si la confiance dans votre gouvernance d'accès continue de s'éroder.

Le renforcement de l’annexe A.5.15 constitue donc également une stratégie commerciale. Si vous pouvez démontrer que l’accès à chaque locataire est contrôlé, justifié et examiné, vous aurez bien plus de chances d’être considéré comme un garant de la sécurité des environnements clients sur le long terme plutôt que comme un simple fournisseur interchangeable.

Comment un fournisseur de services gérés (MSP) peut-il démontrer aux auditeurs et aux entreprises clientes que sa gouvernance des accès est efficace ?

Vous démontrez une gouvernance d'accès efficace en indiquant à un récit clair et cohérent Il s'agit de démontrer comment vos règles d'accès se traduisent en comportements quotidiens, en étayant ce récit par des preuves organisées. Chaque public a son propre point de vue, mais tous souhaitent avoir la preuve que votre approche est structurée, reproductible et indépendante d'une ou deux personnes exceptionnelles.

Quel type de structure de preuves convient le mieux à l'annexe A.5.15 ?

Pour l’annexe A.5.15, une « bibliothèque de preuves de gouvernance de l’accès » permet de démontrer facilement comment la politique se traduit en pratique. Une structure simple et hiérarchisée se présente comme suit :

Politique et étendue
Votre politique de contrôle d’accès est alignée sur l’annexe A.5.15 et les contrôles associés, avec les systèmes et les locataires concernés clairement listés.
Procédures et normes
Documents expliquant comment vous gérez l'intégration et le départ des employés, les accès privilégiés et d'urgence, et les contrôles d'accès.
Enregistrements de flux de travail
Demandes d'accès, approbations et enregistrements de modifications pour le personnel représentatif et les locataires, démontrant que les procédures sont suivies dans des cas réels.
Journaux et rapports
Journaux des fournisseurs d'identité, des outils d'accès à distance et des consoles d'administration, ainsi que des rapports périodiques sur les accès privilégiés et les résultats des contrôles d'accès.
Examens et gouvernance
Procès-verbaux ou comptes rendus des séances d'examen des accès, des réunions de gouvernance client et des approbations de la direction sur les changements ou exceptions importants.

Une fois que vous savez où se situe chacun de ces éléments, vous pouvez assembler des éléments concis. dossiers de preuves pour différents besoins :

Un pack ciblé pour les auditeurs ISO 27001 et autres évaluateurs.
Un pack destiné aux clients qui facilite les évaluations de sécurité des fournisseurs et les questionnaires de diligence raisonnable.
Un dossier interne destiné à la direction pour montrer comment la gouvernance des accès soutient la gestion des risques, la résilience et la qualité du service.

Comment devriez-vous aborder ce sujet lors d'une réunion ?

Lors de conversations avec des auditeurs ou des clients entreprises, il est utile d'ancrer tout cela dans des exemples concrets :

Traversez-en un ou deux parcours utilisateurs réels – par exemple, l’arrivée d’un nouvel ingénieur, un changement de rôle et un départ – et montrer comment l’accès a été demandé, approuvé, accordé, enregistré et examiné dans au moins un système interne et un locataire.
Montrer comment exceptions et accès d'urgence sont demandées, assorties de délais et finalisées, avec des preuves d'approbation et de suivi.
Expliquez comment vous détecter et corriger la dérive, par exemple par le biais d’examens réguliers qui comparent l’accès actuel aux rôles prévus et aux exigences spécifiques du locataire.

Ce type de démonstration illustre l'intégration de l'annexe A.5.15 dans le fonctionnement de votre fournisseur de services gérés. Grâce à ISMS.online, vous pouvez répéter et présenter ce processus avec plus d'assurance, car la politique, les tâches et les justificatifs de chaque étape sont centralisés et non dispersés dans plusieurs dossiers, boîtes de réception et outils.

Comment ISMS.online peut-il aider un MSP à mettre en œuvre l'annexe A.5.15 en tant que pratique de gouvernance d'accès vivante ?

ISMS.online vous aide à transférer l'annexe A.5.15 d'un document statique vers un Flux de travail de gouvernance des accès connectés Cela reflète la manière dont votre fournisseur de services gérés (MSP) intègre réellement les utilisateurs, gère les accès et évalue les locataires à haut risque. Au lieu de disperser les règles et les preuves dans des fichiers, des disques et des boîtes de réception, vous les gérez dans un système de gestion de la sécurité de l'information (SGSI) unique, conforme à la norme ISO 27001:2022.

Comment ISMS.online soutient-il au quotidien l'annexe A.5.15 ?

Sur ISMS.online, vous pouvez :

Gardez votre politique de contrôle d'accès MSP centrale Dans un seul endroit, associez-le directement à l'annexe A.5.15 (et aux contrôles connexes tels que A.5.16 et A.8.2), et attribuez des propriétaires et des dates de révision afin qu'il reste aligné sur votre façon de fonctionner.
Créer commandes, actions et tâches liées pour des activités clés telles que le provisionnement, les modifications d'accès privilégiés, l'accès d'urgence et les revues d'accès planifiées, afin que les responsabilités soient claires.
Planifier et suivre travail récurrent – examens trimestriels des accès, mises à jour annuelles des politiques et contrôles de gouvernance spécifiques aux clients – avec des vues d’état indiquant les points nécessitant une attention particulière.
Attacher preuve comme les confirmations de révision d'accès, les exportations des droits d'administrateur et les comptes rendus de réunion directement dans les contrôles et tâches pertinents, afin que les auditeurs et les clients aient une vue d'ensemble sans que vous ayez à faire des captures d'écran sous pression.
Capture exigences spécifiques du client grâce à des contrôles, des projets ou des notes supplémentaires, vous donnant une vision claire des locataires qui dépassent les normes et de la manière dont vous gérez ces différences dans la pratique.

Cela permet de répondre beaucoup plus facilement à des questions comme « qui peut accéder à ce locataire, comment cet accès a-t-il été approuvé et quand a-t-il été revu pour la dernière fois ? » sans avoir à jongler entre différents outils.

Comment l'utilisation d'ISMS.online modifie-t-elle la perception de votre MSP par vos clients et vos auditeurs ?

Lorsque votre gouvernance des accès est clairement documentée, liée et surveillée dans ISMS.online, vous démontrez que :

Des normes cohérentes : s'appliquer à l'ensemble des locataires, plutôt que de traiter chaque environnement individuellement.
Exceptions et accès d'urgence : sont délibérées, enregistrées et réexaminées, au lieu de persister discrètement en arrière-plan.
La gouvernance des accès est considérée comme faisant partie intégrante de votre qualité de service fondamentale, et pas seulement une case à cocher pour une certification.

C’est important si vous souhaitez que vos clients perçoivent votre MSP comme un garant de la sécurité de leurs environnements sur le long terme, et non comme un simple prestataire. Pour évaluer concrètement la rapidité avec laquelle votre approche actuelle (Annexe A.5.15) pourrait être maîtrisée, explorer un espace de travail de gouvernance des accès ISMS.online en vous concentrant sur quelques-uns de vos clients est souvent la méthode la plus rapide pour déterminer si cette solution convient à votre équipe et à vos projets de croissance.

Nous sommes un leader dans notre domaine

Responsable régional - Hiver 2026 Royaume-Uni

Responsable régional - Hiver 2026 Marché intermédiaire UE

Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »
— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »
— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »
— Ben H.

A.5.15 Politique de contrôle d’accès – Gouvernance d’accès des fournisseurs de services gérés