Passer au contenu
ISMS.en ligne

A.5.20 Intégration de la sécurité de l'information dans les contrats fournisseurs – Références contractuelles des MSP

Les contrats MSP influencent désormais vos résultats d'audit et la confiance de vos clients. Conformément à la norme ISO 27001:2022 A.5.20, les accords fournisseurs attestent concrètement que vos contrôles de sécurité vont au-delà des politiques établies et concernent chaque partenaire. Des clauses claires et vérifiables transforment la protection présumée en responsabilité réelle, vous aidant ainsi à réussir vos audits et à instaurer un climat de confiance dans tous vos échanges avec vos clients.

Auteur
Marc Sharron
Mise à jour: 1 décembre, 2025
4 / 5 Etoiles

Pourquoi les contrats MSP sont un point névralgique de la norme ISO 27001:2022

Les contrats des fournisseurs de services gérés (MSP) sont un point névralgique de la norme ISO 27001:2022, car les auditeurs les considèrent désormais comme une preuve essentielle de l'étendue des contrôles au sein de la chaîne d'approvisionnement. Ils exigent des obligations écrites, la définition des rôles et des procédures de gestion des incidents démontrant que le système de management de la sécurité de l'information (SMSI) s'applique aux services achetés et fournis, et non de simples schémas ou politiques internes. Les commentaires et les recommandations de mise en œuvre de la norme ISO/IEC 27001:2022 soulignent que les organisations doivent démontrer comment les contrôles s'appliquent aux fournisseurs concernés, et les organismes de certification utilisent fréquemment les contrats comme élément de preuve. Pour les MSP, les contrats commerciaux courants constituent désormais également des éléments de sécurité susceptibles de renforcer ou d'affaiblir la certification et la confiance des clients.

Les contrats de services gérés (MSP) ne sont plus de simples outils commerciaux ; ils font partie intégrante de votre stratégie de sécurité. La norme ISO 27001:2022 exige que les obligations, les responsabilités et la gestion des incidents de sécurité soient reflétées dans les contrats et les documents associés. Dans de nombreuses organisations, ces documents comprennent des contrats-cadres de services (MSA), des cahiers des charges (SoW), des accords de niveau de service (SLA), des accords de traitement des données (DPA) et des plans de sécurité, même si la norme ne prescrit pas d'intitulés spécifiques pour ces documents. Si ces éléments sont absents ou imprécis, les auditeurs auront des difficultés à évaluer concrètement l'efficacité de vos contrôles (Annexe A).

Les informations présentées ici sont d'ordre général et ne constituent pas un avis juridique ; les décisions contractuelles nécessitent l'intervention d'un avocat qualifié.

Comment la norme ISO 27001:2022 intègre les contrats MSP dans son champ d'application

La norme ISO 27001:2022 intègre les contrats de fournisseurs de services gérés (MSP) à son champ d'application en considérant la sécurité des fournisseurs comme une responsabilité contractuelle qui doit être définie et convenue par écrit. Elle exige que vos contrats précisent la répartition des responsabilités en matière de sécurité de l'information, des règles de traitement des données et des procédures de gestion des incidents entre le client, le MSP et les fournisseurs en amont. Ce changement concentre l'attention des auditeurs sur les contrats dont dépend votre activité.

Dans l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information, environ 41 % des organisations ont cité la gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs comme un défi majeur en matière de sécurité de l'information.

Les fournisseurs de services gérés se situent au cœur de longues chaînes d'approvisionnement. Vous dépendez de plateformes cloud, de centres de données, d'outils de sécurité et de solutions SaaS spécialisées, et vos clients dépendent de vous. Lorsque des incidents se sont propagés à travers ces chaînes, les enquêteurs ont constaté à maintes reprises le même schéma : les conditions commerciales étaient détaillées, mais les rôles en matière de sécurité, la gestion des données, la réponse aux incidents et la supervision étaient vagues ou absents des contrats. Les analyses des attaques ciblant les chaînes d'approvisionnement dans les contextes du cloud et de l'externalisation soulignent souvent que l'attention contractuelle s'est concentrée sur le prix et les fonctionnalités du service, tandis que les responsabilités en matière de sécurité sont restées implicites, ce qui a considérablement limité les possibilités de recours en cas de défaillance. Si les attentes sont implicites plutôt qu'écrites, vous avez peu de marge de manœuvre en cas de problème.

L’enquête 2025 sur l’état de la sécurité de l’information a révélé que la majorité des organisations avaient été touchées par au moins un incident de sécurité lié à un tiers ou à un fournisseur au cours de l’année précédente.

Les autorités de réglementation et les clients ont réagi en posant des questions beaucoup plus précises. Il ne suffit plus d'affirmer « nous sommes conformes aux normes ISO » ou « nos fournisseurs respectent les normes du secteur ». Les acheteurs veulent savoir comment les responsabilités sont partagées, dans quel délai vous les informerez des problèmes, comment les sous-traitants sont contrôlés et ce qu'il advient des données à la fin d'une collaboration. Dans de nombreux secteurs, les recommandations des autorités de surveillance font désormais explicitement référence aux accords d'externalisation écrits et exigent des entreprises qu'elles justifient la manière dont elles supervisent les tiers. Les auditeurs examinent donc systématiquement ces accords lors de l'évaluation de l'efficacité des contrôles. Dans des domaines tels que la résilience opérationnelle et l'externalisation dans les services financiers, par exemple, les règles prudentielles précisent la nécessité de définir les responsabilités, les obligations de notification et les clauses de sortie dans les contrats d'externalisation. Cette approche se reflète de plus en plus dans les pratiques de gestion des risques liés aux tiers.

Pour les fournisseurs de services gérés (MSP), cela signifie que les contrats font désormais partie de la surface d'attaque et des éléments de preuve. Si les exigences de sécurité, les niveaux de service, les procédures de gestion des incidents et les droits d'audit ne sont pas documentés, les auditeurs douteront de l'application effective des contrôles de l'Annexe A à la chaîne d'approvisionnement. Plus important encore, vous risquez de perdre la possibilité d'exiger des mesures correctives ou une coopération en cas de défaillance ou de résistance d'un fournisseur en amont lors d'un contrôle.

Une plateforme comme ISMS.online peut vous aider en reliant les dossiers des fournisseurs, les évaluations des risques et les preuves contractuelles en un seul endroit, mais votre point de départ est une vision claire de ce que l'annexe A.5.20 attend de vos accords.

Des contrats clairs transforment la sécurité présumée en responsabilité exécutoire.

Pourquoi cela est important pour les audits des fournisseurs de services gérés et la confiance des clients

Des contrats clairs et axés sur la sécurité facilitent les audits des fournisseurs de services gérés et renforcent la confiance des clients dans vos services. Lorsque les accords précisent qui est responsable des contrôles clés, comment les incidents seront gérés et comment les données sont protégées, vos explications lors des évaluations et des entretiens commerciaux sont plus précises et moins défensives.

Selon l'enquête 2025 d'ISMS.online, les clients attendent de plus en plus de leurs fournisseurs qu'ils s'alignent sur des cadres formels tels que l'ISO 27001, l'ISO 27701, le RGPD, Cyber ​​Essentials, SOC 2 et les normes émergentes en matière d'IA.

Considérer les contrats comme des éléments de sécurité transforme la perception de vos audits et la façon dont vos clients vous jugent. Les auditeurs peuvent ainsi relier les risques aux obligations ; les clients constatent que la sécurité fait partie intégrante de votre activité, et non qu'elle y est reléguée au second plan. En l'absence de ces éléments, les deux parties sont contraintes de deviner vos intentions, et cette incertitude mine la confiance.

Pour les fournisseurs de services gérés (MSP), l'effet pratique est simple : chaque négociation ou renouvellement d'accord renforce ou affaiblit leur niveau de sécurité. En standardisant des clauses strictes et en les appliquant systématiquement, vous établissez une base solide qui résiste aux audits de certification, aux appels d'offres et aux contrôles réglementaires. En revanche, le recours à une formulation ad hoc engendre une variabilité qui se manifeste précisément au moment où vous avez le plus besoin de prévisibilité et de contrôle.

Demander demo


Ce que la norme ISO 27001:2022 A.5.20 exige réellement

La norme ISO 27001:2022, section A.5.20, exige l'identification des exigences de sécurité de l'information pour chaque relation fournisseur et leur intégration dans des accords exécutoires. Dès lors qu'un fournisseur est susceptible d'affecter la confidentialité, l'intégrité ou la disponibilité de vos informations ou services, vous devez définir vos attentes à son égard dans des contrats ou documents équivalents, compréhensibles et applicables par les deux parties. Cette exigence est conforme à l'annexe A.5.20 de la norme ISO/IEC 27001:2022, qui préconise l'identification des exigences de sécurité de l'information pour les relations fournisseurs et leur mise en œuvre dans des accords, afin que ces attentes écrites constituent des éléments probants lors de vos audits.

En pratique, l'annexe A.5.20 étend les exigences de sécurité des seuls documents internes aux accords régissant la prestation de services. Pour les fournisseurs de services gérés (MSP), cela signifie que les contrats clients et les contrats avec les fournisseurs en amont doivent préciser le partage des responsabilités en matière de sécurité, le traitement des données et la gestion des incidents. Les auditeurs vérifieront la traçabilité des liens entre les risques liés aux fournisseurs, les contrôles internes et la formulation des contrats.

Distinction entre A.5.20 et les autres contrôles fournisseurs

L'exigence A.5.20 se distingue des contrôles relatifs aux fournisseurs voisins car elle porte sur le contenu des contrats plutôt que sur les modalités de sélection ou de suivi des fournisseurs. Comprendre cette distinction vous permet de concevoir les éléments probants appropriés pour chaque contrôle et d'éviter de tout traiter comme une seule et même exigence imprécise.

La section A.5.19, « Sécurité de l’information dans les relations avec les fournisseurs », se concentre sur le cycle de vie complet : sélection des fournisseurs, évaluation des risques, suivi des performances et gestion du changement. La section A.5.21, « Gestion de la sécurité de l’information dans la chaîne d’approvisionnement des TIC », met l’accent sur les chaînes complexes, les sous-traitants et les risques liés à la confidentialité ou aux données personnelles, notamment lorsque plusieurs fournisseurs collaborent pour fournir un service. Les présentations de la norme ISO/IEC 27001:2022 et les guides associés présentent systématiquement la section A.5.19 comme le contrôle de gouvernance du cycle de vie et la section A.5.21 comme le contrôle spécifique à la chaîne d’approvisionnement des TIC, ce qui justifie leur utilisation conjointe avec la section A.5.20 plutôt que de les considérer comme des doublons. Ensemble, elles décrivent comment gérer les risques liés aux tiers dans le temps.

L’annexe A.5.20, « Intégration de la sécurité de l’information dans les contrats fournisseurs », porte sur le contenu : ce qui figure dans les contrats, les annexes et les clauses. Les auditeurs constatent souvent un travail approfondi sur l’annexe A.5.19 (registres des fournisseurs, évaluations des risques, questionnaires de diligence raisonnable), mais une application lacunaire de l’annexe A.5.20, où les contrats se limitent souvent à stipuler que « le fournisseur se conformera aux lois et normes sectorielles applicables ». Ce type de formulation démontre rarement que les risques spécifiques ont été traduits en obligations contraignantes et vérifiables.

Obligations essentielles A.5.20 inscrites dans les contrats MSP

L'article A.5.20 impose plusieurs obligations essentielles aux contrats de services gérés (MSP), notamment la documentation claire des responsabilités et des exigences minimales en matière de sécurité. Pour chaque fournisseur ayant un impact sur votre système de gestion de la sécurité de l'information (SGSI), vous devez être en mesure de démontrer où les rôles, les règles de traitement des données, les procédures de gestion des incidents, les obligations réglementaires et les mécanismes de contrôle sont définis et acceptés par les deux parties.

Concrètement, la section A.5.20 attend de vous que :

  • Définissez clairement les rôles et responsabilités en matière de sécurité entre vous et chaque fournisseur.
  • Précisez comment ce fournisseur peut accéder aux informations, les traiter, les stocker, les transmettre et les supprimer.
  • Recueillir les exigences en matière de notification d'incidents et de coopération, y compris les délais et les canaux de communication.
  • Tenir compte des obligations réglementaires pertinentes, notamment en matière de données personnelles et de règles d'externalisation.
  • Prévoir des mécanismes de surveillance, d'examen et, le cas échéant, d'audit ou d'assurance indépendante.

Pour les fournisseurs de services gérés (MSP), le terme « fournisseur » doit être interprété au sens large. Les plateformes cloud, les fournisseurs de connectivité, les outils de gestion des tickets, les logiciels de surveillance à distance, les partenaires SOC, les ingénieurs sous-traitants et certains consultants stratégiques peuvent tous être concernés s'ils ont un impact sur les services clients ou traitent des informations sensibles. La norme ne considère pas comme pertinents uniquement les grands sous-traitants les plus évidents.

La traçabilité est essentielle. Pour chaque risque fournisseur important consigné dans votre SMSI, un auditeur voudra savoir où il est traité : dans les contrôles techniques, les processus opérationnels et les clauses contractuelles. Le point A.5.20 permet de transformer vos exigences internes en engagements externes visibles par les clients, les autorités de réglementation et les auditeurs.



ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Traduire l'article A.5.20 en termes concrets de contrats MSP

Traduire l'article A.5.20 en termes concrets de contrats MSP implique de transformer les exigences générales en matière de sécurité en une liste concise et reproductible de clauses. Si chaque contrat important avec un fournisseur couvre ces domaines avec un niveau de détail approprié, vous atteignez la plupart des objectifs de contrôle et simplifiez la gestion des audits et des renouvellements.

Pour les fournisseurs de services gérés (MSP), l'avantage d'une approche thématique réside dans la cohérence. Une fois les thèmes récurrents définis, les équipes juridiques, de sécurité et commerciales peuvent s'appuyer sur une liste de contrôle commune, évitant ainsi d'improviser la formulation au cas par cas. Il devient alors plus aisé de comparer les accords, de repérer les lacunes et d'expliquer cette approche aux auditeurs et aux clients.

Sujets de base que tout contrat de fournisseur de services gérés devrait aborder

Les clauses contractuelles de base sont les thèmes récurrents que vous souhaitez retrouver dans presque tous les accords fournisseurs liés à votre système de management de la sécurité de l'information (SMSI). Elles offrent à vos équipes une liste de contrôle pragmatique pour leurs revues et vous permettent de démontrer aux auditeurs que les risques spécifiques ont été traités de manière cohérente et compréhensible, plutôt que par des clauses ponctuelles et dispersées.

Une configuration de base pratique comprend généralement au moins les éléments suivants :

  • Portée et utilisation des informations : – données et systèmes autorisés, utilisations permises, utilisations interdites.
  • Attentes en matière de contrôle d'accès : – méthodes d’authentification, accès au moindre privilège, accès à distance et règles de cycle de vie des comptes.
  • Journalisation et surveillance : – les journaux de bord obligatoires, les durées de conservation et la disponibilité des documents lors des enquêtes.
  • Gestion des vulnérabilités et application de correctifs : – la prise en charge de la découverte, de l’évaluation et de la correction des problèmes, avec des délais pour les problèmes à haut risque.
  • Détection et notification des incidents : – ce qui constitue un incident de sécurité, la rapidité avec laquelle vous êtes informé et la manière dont vous collaborez.
  • Continuité des activités et reprise après sinistre : – disponibilité minimale, objectifs de récupération et participation aux tests, le cas échéant.
  • Sous-traitants et sous-traitants : – quand elles peuvent être utilisées, comment vous en êtes informé ou les approuvez, et comment les obligations se répercutent.
  • Protection des données et confidentialité : – conditions de traitement des données personnelles, lieux de traitement, mécanismes de transfert, confidentialité et respect des droits des personnes concernées.
  • Conservation, restitution et suppression des données : – les durées de conservation, les formats de retour à la sortie et la manière dont la suppression sécurisée est prouvée.
  • Assurance et surveillance : – des rapports, des certifications, des questionnaires ou des audits convenus sur lesquels vous pouvez vous appuyer, et quand ils sont fournis.

Ces sujets ne nécessitent pas tous de longues clauses, mais ils doivent être identifiables dans vos contrats standards et vos contrats à haut risque. Après avoir examiné un échantillon d'accords, vous devriez être en mesure de répondre avec assurance : « Où abordons-nous chacun de ces points, et comment cela varie-t-il selon le niveau du fournisseur ? »

Pour les fournisseurs de services gérés (MSP) qui traitent des données personnelles pour le compte de leurs clients, les clauses de confidentialité doivent être conformes aux clauses de sécurité. Les instructions de traitement, les engagements de confidentialité, les règles relatives aux sous-traitants et les droits d'audit doivent appuyer, et non contredire, vos exigences de sécurité générales. Cela permet d'éviter une situation où l'accord de traitement des données et le plan de sécurité ne correspondent pas aux contrôles décrits dans votre système de gestion de la sécurité de l'information (SGSI).

Lier les sujets contractuels aux questions internes du SMSI

Lier les clauses contractuelles aux questions internes du SMSI implique de s'assurer que chaque famille de clauses répond à une question de risque claire que vous suivez déjà. Lorsque vos registres de risques, vos contrôles et vos contrats reposent sur le même modèle de pensée, il devient beaucoup plus facile d'expliquer aux auditeurs comment vous gérez vos fournisseurs de bout en bout.

Un tableau succinct peut vous aider à faire correspondre ces sujets aux questions que vous vous posez en interne :

Sujet du contrat Question clé à laquelle répondre Emplacement typique des documents
Contrôle d'accès Qui a accès à quoi, et comment l'accès est-il accordé ou retiré ? Calendrier de sécurité / énoncé des travaux
Notification d'incident Quand et comment serez-vous informé des incidents ? Plan de sécurité / accord de niveau de service
Sous-processeurs Qui d'autre est impliqué et qui approuve ces décisions ? clause relative au traitement des données / à la sous-traitance
Retour et suppression de données Que deviennent les données lorsque la relation prend fin ? Dispositions de sortie ou de résiliation
Audit et assurance Comment vérifier que la sécurité fonctionne comme convenu ? Section relative aux droits d'audit ou à l'assurance

Une fois ces liens clairement établis, vous pouvez documenter, pour chaque fournisseur important, les mesures prises face aux risques spécifiques. Cela rassure les auditeurs quant à l'utilisation d'une formulation précise et offre aux clients une explication cohérente lorsqu'ils s'interrogent sur votre gestion des risques liés à l'externalisation.



Conception d'une base de référence pour un contrat MSP réutilisable

Concevoir un contrat MSP réutilisable de base implique de créer une structure et un ensemble de clauses standardisés, applicables à de nombreux contrats présentant des variations liées aux risques. Au lieu de réinventer la formulation à chaque fois, vous conservez une base de référence maîtrisée et ajustez le niveau de détail et la portée des clauses en fonction de l'impact du fournisseur sur vos services et vos clients.

Une base de référence réutilisable transforme une longue liste de sujets en une structure contractuelle pratique, applicable à l'ensemble de votre portefeuille. L'objectif est d'éviter de repartir de zéro pour chaque transaction et de maintenir un ensemble unique de positions que vous pouvez ajuster en fonction du risque, tout en préservant la cohérence globale.

Création d'une structure contractuelle modulaire pour les MSP

Une structure contractuelle modulaire permet de conserver une base de référence cohérente tout en attribuant clairement la responsabilité de leurs sections aux équipes juridiques, commerciales et techniques. En séparant les descriptions de services, les clauses juridiques standard et les informations de sécurité, vous simplifiez les mises à jour et réduisez le risque qu'une modification dans un domaine en affecte accidentellement un autre.

La plupart des fournisseurs de services gérés (MSP) privilégient une structure modulaire, car elle permet de mettre à jour chaque élément individuellement sans avoir à tout réécrire. Une séparation claire entre les clauses légales, les descriptions de service et les exigences de sécurité permet également à chaque équipe de s'approprier ses sections.

Les composants typiques comprennent :

  • A Accord-cadre de services (ACS) contenant les termes juridiques fondamentaux et les responsabilités de haut niveau.
  • Un ou plus Énoncés des travaux (SoW) décrire les services, les actifs et les emplacements spécifiques.
  • A annexe de niveau de service définition des objectifs de disponibilité, de réponse et de résolution, de rapports et de crédits de service.
  • A calendrier de sécurité concentrant les obligations en matière de sécurité de l’information et de confidentialité requises par les articles A.5.19 à A.5.21.
  • Lorsque des données personnelles sont traitées, un accord de traitement des données (ATD) conformément au calendrier de sécurité.

Dans ce cadre, le calendrier de sécurité devient le principal outil de mise en œuvre du point A.5.20. Il n'est pas nécessaire qu'il soit long, mais il doit aborder systématiquement les points essentiels de la section précédente. L'utilisation de courts paragraphes numérotés ou de tableaux, plutôt que de références éparses, facilite la compréhension et la mise à jour du contenu pour les deux parties.

Transformer votre texte de base en une bibliothèque de clauses vivante

Transformer votre contrat de base en une bibliothèque de clauses évolutive implique de recenser les formulations réutilisables, de les lier à des mécanismes de contrôle et de faciliter l'application de la variante appropriée par les équipes. L'objectif est d'éviter les phrases isolées enfouies dans d'anciens contrats et de privilégier un ensemble de clauses soigneusement sélectionnées, évoluant en fonction de votre tolérance au risque et du contexte réglementaire.

Pour passer de la théorie à la pratique, il vous faut une formulation indépendante de toute technologie, traçable par rapport aux contrôles et facilement adaptable aux différents niveaux de risque. Ainsi, vous pourrez appliquer les mêmes principes fondamentaux à l'hébergement, aux SOC, aux solutions SaaS et aux services professionnels, tout en tenant compte de leurs profils de risque respectifs.

Pour établir une base de référence, vous pouvez :

Étape 1 – Commencez par votre SMSI

Commencez par identifier les contrôles et les politiques que les fournisseurs doivent respecter, tels que les normes relatives aux mots de passe, les exigences en matière de chiffrement, la journalisation et les délais de réponse aux incidents, afin de savoir quelles exigences doivent figurer dans les contrats.

Étape 2 – Regrouper les exigences par thèmes contractuels

Regroupez chaque attente dans un domaine de clause tel que le contrôle d'accès, la gestion des incidents, la continuité ou la gestion des données, afin de réduire les doublons et de repérer rapidement les lacunes dans les projets d'accords.

Étape 3 – Formulation neutre et axée sur les résultats

Rédigez des clauses qui décrivent les responsabilités et les résultats, et non des outils ou des configurations spécifiques, afin que votre formulation résiste aux évolutions technologiques et reste pertinente pour différents types de fournisseurs.

Étape 4 – Étiquetage des clauses selon les contrôles ISO en interne

Dans votre documentation interne, indiquez quelles normes ISO 27001 et quels contrôles associés chaque clause prend en charge afin de simplifier les explications d'audit, de faciliter les tests de contrôle et de mettre en évidence tout chevauchement ou conflit.

Étape 5 – Définir les variantes standard et améliorées

Créez une clause par défaut ainsi que des versions plus strictes pour les situations à risque plus élevé, telles que des délais d'intervention plus courts ou des droits d'audit renforcés pour les services critiques, afin que les négociateurs sachent par où commencer et quand faire monter les enchères.

La mise en place de la stratégie de référence constitue un programme de changement à part entière. Une approche courante consiste à appliquer cette stratégie à tous les nouveaux contrats clients et fournisseurs, à profiter des renouvellements et des modifications importantes pour améliorer les contrats existants à haut risque, et à tenir un registre des exceptions où des conditions moins avantageuses sont acceptées, avec des justifications documentées et des mécanismes de contrôle compensatoires.

ISMS.online peut vous accompagner dans cette démarche en stockant votre bibliothèque de clauses, en associant chaque clause aux contrôles et aux fournisseurs, et en enregistrant la version de référence utilisée par chaque contrat. Cela réduit la charge administrative et facilite la réponse à des questions telles que : « Quels fournisseurs d’hébergement utilisent encore l’ancienne norme de notification des violations de données ? »



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Unification des clauses A.5.19, A.5.20 et A.5.21 en clauses « toujours actives »

L’unification des clauses A.5.19, A.5.20 et A.5.21 en clauses « toujours actives » implique la conception d’un petit nombre de familles de clauses couvrant conjointement la gouvernance du cycle de vie des fournisseurs, le contenu des contrats et les risques liés à la chaîne d’approvisionnement des TIC. Au lieu de traiter trois contrôles comme des projets distincts, on utilise une formulation réutilisable qui les couvre simultanément lorsque le profil de risque l’exige.

Si vous considérez les points A.5.19, A.5.20 et A.5.21 comme trois listes de contrôle indépendantes, la gestion des fournisseurs devient rapidement complexe et difficile à expliquer. Les normes prudentielles et de gestion des risques opérationnels dans des secteurs tels que les services financiers privilégient désormais l'externalisation intégrée et les cadres de référence tiers plutôt que des listes d'exigences fragmentées. Ce même principe s'applique à la conception des contrôles des clauses fournisseurs de la norme ISO 27001. Concevoir des familles de clauses qui accompagnent les fournisseurs de leur intégration à leur départ permet de définir un cadre cohérent : comment vous choisissez vos fournisseurs, comment vous les contractualisez et comment vous assurez leur sécurité tout au long de la relation.

La plupart des organisations interrogées dans le cadre de l'enquête 2025 sur l'état de la sécurité de l'information ont indiqué avoir déjà renforcé la gestion des risques liés aux tiers et prévoyaient d'y investir davantage.

Familles de clauses qui satisfont simultanément aux exigences A.5.19, A.5.20 et A.5.21

Les familles de clauses regroupent des obligations liées entre elles, qui s'appliquent à la sélection des fournisseurs, à la contractualisation et au suivi continu. En les définissant une seule fois et en les appliquant tout au long du cycle de vie, vous simplifiez votre démarche, facilitez sa négociation et renforcez sa résilience face aux changements de personnel ou de fournisseurs.

Les familles utiles comprennent :

  • Intégration et vérification préalable : – divulgation d’informations clés en matière de sécurité lors de la sélection, de l’acceptation de votre configuration de référence et de la confirmation des certifications ou rapports pertinents.
  • Examen des performances et de la sécurité : – réunions régulières, indicateurs de performance, signalement des incidents et des vulnérabilités, et droit de demander des plans de remédiation.
  • La gestion du changement: – notification des modifications importantes apportées à l’infrastructure, aux sous-traitants, aux emplacements ou aux contrôles de sécurité avant leur mise en œuvre, ainsi qu’un droit d’opposition ou de réévaluation du risque.
  • Gouvernance des sous-traitants : – transparence sur la chaîne d’approvisionnement du fournisseur, approbation préalable des nouveaux sous-traitants et répercussion des obligations minimales.
  • Sortie et transition : – des clauses de résiliation axées sur la sécurité garantissant un transfert contrôlé, la restitution ou la destruction des données et le retrait de l’accès.

Ces familles de clauses vous permettent de mettre en œuvre la gouvernance du cycle de vie (sélection, suivi, modification, résiliation) définie par A.5.19, le contenu contractuel de A.5.20 et l'approche de A.5.21 axée sur les chaînes d'approvisionnement complexes en TIC, sans avoir à rédiger trois ensembles de clauses distincts. Vous décrivez le cycle de vie une seule fois, puis vous adaptez l'intensité en fonction du niveau du fournisseur, au lieu de repenser la structure à chaque fois.

Classification des contrats fournisseurs basée sur les risques

La hiérarchisation des contrats fournisseurs basée sur les risques consiste à appliquer les différentes catégories de clauses selon l'ampleur des dommages potentiels causés par une défaillance du fournisseur. En définissant en amont les niveaux de risque et les attentes correspondantes, vous évitez les improvisations au cas par cas et pouvez expliquer aux auditeurs pourquoi certains contrats sont plus contraignants que d'autres.

La hiérarchisation basée sur les risques affine les clauses contractuelles afin que les fournisseurs critiques soient soumis à des obligations renforcées, tandis que les fournisseurs réguliers respectent un niveau minimal. Cela vous permet d'expliquer aux auditeurs et aux clients les variations des exigences de sécurité et de démontrer que ces variations sont intentionnelles et non aléatoires.

Par exemple, vous pourriez définir :

  • Fournisseurs de niveau 1 – Fournisseurs critiques : tels que les partenaires d'hébergement principal ou les SOC, avec des droits d'audit sur site, des délais de notification d'incident plus courts, des obligations de continuité plus fortes et des rapports plus détaillés.
  • Niveau 2 – Fournisseurs importants : comme les fournisseurs de solutions SaaS métiers, qui s'appuient sur des rapports d'assurance indépendants, des questionnaires ciblés et des délais de notification standard.
  • Niveau 3 – Fournisseurs standard : comme les outils mineurs, en utilisant une base simplifiée avec des clauses non négociables sur la confidentialité, la notification des incidents et les sous-traitants.

À tous les niveaux, certaines exigences doivent être permanentes : la confidentialité, la définition précise du périmètre de traitement, une coopération minimale en cas d’incident et l’obligation de respecter les règles de classification et de gestion des informations sensibles. La hiérarchisation consiste alors à renforcer, et non à supprimer, ces fondements.

En concevant les clauses de cette manière, vous pouvez démontrer aux auditeurs et aux clients que le contrôle des fournisseurs est structuré et non improvisé, et que les exigences contractuelles se renforcent avec le risque. Cela facilite également le ciblage des actions correctives lorsque des faiblesses sont identifiées dans les accords existants.



Lacunes courantes en matière d'audit dans les contrats MSP et leurs conséquences

Les lacunes d'audit courantes dans les contrats MSP apparaissent lorsque des aspects clés de la sécurité sont absents, vagues ou incohérents d'un accord à l'autre. Les auditeurs et les clients repèrent rapidement des problèmes tels que des chronologies d'incidents imprécises, l'absence de dispositions relatives aux sous-traitants et des droits d'audit insuffisants. Ces lacunes entraînent souvent des constats, la mise en place de plans de remédiation ou des pertes d'opportunités.

Lors de l'examen des contrats de fournisseurs de services gérés (MSP) par les organismes de certification et les clients au regard de la norme A.5.20, des faiblesses similaires sont régulièrement constatées. Les directives réglementaires relatives aux accords de cloud et d'externalisation font également état de problèmes récurrents, tels que des clauses de sécurité imprécises, le manque de transparence des sous-traitants et des droits d'audit insuffisants, ce qui correspond aux constats de nombreux auditeurs lors de l'analyse d'un échantillon de contrats MSP. La détection précoce de ces schémas facilite leur résolution avant qu'ils ne se transforment en non-conformités, en questions réglementaires ou en litiges contractuels.

Les auditeurs et les clients signalent des tendances dans les contrats MSP.

Les problèmes que les auditeurs et les clients relèvent dans les contrats de services gérés (MSP) se concentrent souvent autour de formulations vagues dans quelques domaines récurrents. Lorsque des contrats analysés présentent le même langage imprécis concernant les incidents, les sous-traitants, les droits d'audit et les obligations réglementaires, les auditeurs s'interrogent rapidement sur la solidité des garanties offertes par votre fournisseur face aux risques encourus.

Les auditeurs commencent généralement par examiner un petit nombre de contrats afin d'évaluer l'application concrète de vos normes. Si ces échantillons révèlent des obligations imprécises et des points omis, ils peuvent rapidement s'inquiéter de manière plus générale de la supervision de vos fournisseurs. Les normes d'évaluation de la conformité et d'audit interne distinguent généralement les anomalies mineures des anomalies majeures en fonction de leur gravité et de leur étendue. Ainsi, les clauses défaillantes peuvent être classées différemment selon leur fréquence et les préjudices qu'elles pourraient engendrer.

Les lacunes typiques comprennent :

  • Promesses de sécurité vagues : où des expressions telles que « sécurité conforme aux normes de l'industrie » manquent de détails sur le contrôle d'accès, la journalisation ou la réponse aux incidents.
  • Chronologie des incidents non définie : où les fournisseurs promettent de faire rapport « sans délai indu », mais aucun délai n'est fixé pour la notification initiale ou les mises à jour.
  • Aucune mention des sous-traitants : Vous ne pouvez donc pas voir si le fournisseur a recours à des sous-traitants ni comment les obligations sont réparties.
  • Droits d'audit manquants ou insuffisants : ce qui ne vous laisse aucun moyen fiable de vérifier que les commandes fonctionnent comme prévu.
  • Obligations réglementaires mal alignées : lorsque les contrats omettent les exigences spécifiques à un secteur en matière d'externalisation ou de protection des données qui vous concernent.

Lorsque les auditeurs repèrent ces anomalies, ils peuvent les classer comme non-conformités mineures ou majeures selon leur gravité et leur étendue. Les clients, notamment dans les secteurs réglementés, peuvent considérer des écarts similaires comme un motif pour exiger des plans de remédiation, des conditions plus strictes ou, dans certains cas, un changement de fournisseur.

Comment des clauses faibles peuvent engendrer des constatations, des litiges et une perte de confiance.

Des clauses imprécises peuvent engendrer des litiges et une perte de confiance lorsque des incidents ou des désaccords révèlent les lacunes de vos engagements contractuels. Sans responsabilités clairement définies, sans échéanciers précis et sans procédures d'escalade, vous risquez des réponses lentes, des obligations contestées et une image qui mine la confiance de vos clients et des autorités de réglementation.

Une simple comparaison illustre pourquoi les détails sont importants :

Région Exemple de clause faible Exemple de clause forte
Notification d'incident «Avertir sans délai indu.» « Notification dans les quatre heures suivant la détection, puis mises à jour quotidiennes. »
Sous-processeurs Aucune mention. « Identifier, obtenir l’approbation et lier tous les sous-traitants. »
Audit et assurance « Fournir les rapports demandés lorsque cela est possible. » « Fournir des rapports d’assurance annuels et coopérer aux audits. »

Des notifications tardives ou incomplètes peuvent vous amener à découvrir un incident par la presse ou vos clients plutôt que par votre fournisseur, ce qui réduit votre capacité à réagir et à communiquer de manière crédible. Les recommandations relatives aux risques liés aux tiers dans les secteurs réglementés ont mis en évidence des cas où des obligations de notification insuffisantes ont conduit des organisations à prendre connaissance de problèmes par des sources externes plutôt que par leurs prestataires, une situation à éviter absolument. Des responsabilités ambiguës engendrent des accusations mutuelles au pire moment. L'absence de droits d'audit complique la mise en œuvre de mesures correctives ou la validation des correctifs, notamment sous la surveillance des autorités de réglementation ou des clients.

L'avantage, c'est que les problèmes constatés dans ce domaine sont généralement corrigeables. Les transformer en un programme d'amélioration structuré – en mettant à jour les modèles de référence, en formant à nouveau les négociateurs et en ciblant en priorité les contrats les plus à risque – vous permettra d'avoir une vision claire des progrès lors du prochain audit ou de la prochaine évaluation client. ISMS.online peut vous aider à prioriser ce programme en identifiant les clauses obsolètes ou les points faibles encore présents et en les reliant aux niveaux de risque des fournisseurs.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Gouvernance : maintenir l'alignement et la traçabilité de votre référentiel

La gouvernance permet de garantir la cohérence et la traçabilité de votre référentiel A.5.20 en définissant les responsabilités, les cycles de révision et les preuves relatives aux clauses de sécurité des fournisseurs. Sans une gouvernance claire, même une bibliothèque de clauses bien conçue peut évoluer au fil du temps, créant ainsi des écarts non négligeables entre votre appétit pour le risque déclaré, vos contrats et votre réalité opérationnelle.

Dans le rapport 2025 sur l'état de la sécurité de l'information, environ deux tiers des organisations ont déclaré que la rapidité et le volume des changements réglementaires rendent la conformité plus difficile à maintenir.

Un référentiel contractuel n'est utile que s'il est maintenu et appliqué de manière cohérente. La gouvernance assure la liaison entre votre bibliothèque de clauses, les décisions quotidiennes, les relations avec les fournisseurs et les éléments de preuve d'audit ; elle fait souvent la différence entre une simple correction ponctuelle et une mise en œuvre durable de la norme A.5.20.

Attribution de la propriété des contrats de sécurité des fournisseurs

L'attribution des responsabilités relatives aux contrats de sécurité des fournisseurs implique de définir clairement qui détermine les attentes, qui négocie la formulation, qui contrôle les performances et qui vérifie la conformité. Lorsque ces responsabilités sont clairement établies, le risque que des clauses importantes soient édulcorées ou contournées dans le cadre d'accords parallèles est considérablement réduit.

Un modèle simple commence souvent par :

  • Sécurité des informations : définir les attentes en matière de contrôle, l'appétit pour le risque et les positions non négociables.
  • Équipes juridiques et contractuelles : traduire ces éléments en une formulation applicable et gérer les négociations.
  • Responsables des services et des fournisseurs : suivi des performances, contrôle des obligations et collecte de preuves.
  • Audit interne ou fonction équivalente : Vérifier périodiquement la cohérence des contrats et des pratiques.

Lier les revues de la configuration de référence à vos processus de gestion de la sécurité de l'information (GSSI) permet de la maintenir à jour. Lorsque les évaluations des risques mettent en évidence de nouvelles menaces, en cas d'incidents majeurs ou de modifications réglementaires, ces éléments doivent alimenter les revues de modèles planifiées. Les revues de direction peuvent alors déterminer si les clauses contractuelles sont toujours adaptées au profil de risque de l'organisation et si des modifications supplémentaires sont nécessaires.

Outils et analyses permettant de maintenir à jour les données probantes relatives à l'article 5.20.

Les outils et les analyses permettent de maintenir à jour les éléments probants A.5.20 en vous offrant une visibilité sur les contrats utilisant quelles clauses et sur les éventuelles divergences. Grâce à cette visibilité, vous pouvez prioriser les mises à jour, appuyer les négociations et fournir aux auditeurs une explication claire de la manière dont les attentes des fournisseurs sont maintenues dans le temps.

La gouvernance est simplifiée lorsqu'on peut identifier d'un coup d'œil les contrats utilisant quelles clauses et les exceptions. Cette visibilité facilite la prise de décision opérationnelle et la préparation des audits, notamment dans les environnements MSP comptant de nombreux clients et fournisseurs. Les bonnes pratiques de gestion des versions et des changements démontrent que le suivi des versions de documents applicables dans chaque contexte est essentiel pour démontrer le contrôle, et ce principe s'applique également aux contrats de référence et aux écarts.

Une boîte à outils de gouvernance pratique comprend souvent :

  • A registre des contrats et des fournisseurs indiquant la version de référence utilisée par chaque relation, le niveau de risque, les dates clés et les éventuelles dérogations approuvées.
  • A processus de déviation documenter qui peut approuver les exceptions à la configuration de base, pour quels motifs et avec quels contrôles compensatoires.
  • Formation et accompagnement : pour les équipes commerciales, d'approvisionnement et juridiques afin qu'elles comprennent quelles positions en matière de sécurité sont non négociables et comment les expliquer.
  • Exemple de test : par un audit interne, en comparant une sélection de contrats aux exigences de référence et à l'A.5.20, et en vérifiant si la réalité opérationnelle correspond aux accords.

L'utilisation d'un système plutôt que de tableurs simplifie considérablement les choses. Une plateforme de gestion de la sécurité de l'information (GSSI) permet de centraliser les inventaires de fournisseurs, de les lier aux contrats et aux contrôles, et de suivre les revues et les approbations. ISMS.online, par exemple, peut enregistrer le niveau de risque de chaque fournisseur, les clauses applicables et les exceptions autorisées. Ceci garantit une traçabilité complète et réduit le risque qu'une modification discrète d'un contrat compromette votre niveau de sécurité.

Avec une gouvernance en place, votre mise en œuvre de la norme A.5.20 cesse d'être un exercice de remédiation ponctuel et devient une partie durable de la façon dont vous gérez les risques liés aux tiers et démontrez votre assurance aux clients et aux auditeurs.



Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous aide à transformer la norme ISO 27001 A.5.20 en un référentiel contractuel MSP reproductible, garantissant la sécurité, la cohérence et l'auditabilité de vos accords fournisseurs. En centralisant les données fournisseurs, les bibliothèques de clauses, les correspondances de contrôle et les preuves, la plateforme simplifie la démonstration que les exigences de sécurité de l'information sont prises en compte dans les accords et respectées au quotidien.

Voir votre configuration de base A.5.20 fonctionner dans un véritable système de gestion de l'information (SGSI).

Constater l'efficacité de votre référentiel A.5.20 au sein d'un véritable système de gestion de la sécurité de l'information (SGSI) signifie pouvoir suivre les fournisseurs, les risques, les contrats et les contrôles dans un environnement unique. Dès lors, les échanges avec les auditeurs et les clients ne portent plus sur la recherche de documents, mais sur l'explication du fonctionnement de votre gouvernance des fournisseurs et de la gestion des exceptions.

En centralisant les informations relatives aux fournisseurs, aux risques, aux contrats et aux contrôles de l'Annexe A, les échanges avec les auditeurs et les clients sont simplifiés et plus sereins. Au lieu de parcourir des fichiers partagés et des boîtes de réception, vous pouvez consulter une vue unique indiquant la version de référence applicable à chaque relation, les exceptions existantes et leur justification.

Au sein d'un environnement unique, ISMS.online vous permet de connecter vos fournisseurs aux évaluations des risques, aux contrats et aux dispositifs de contrôle, facilitant ainsi l'identification des accords pertinents pour votre système de management de la sécurité de l'information (SMSI). Les flux de travail prennent en charge les revues, les approbations et les renouvellements, vous aidant à garantir que les nouveaux contrats respectent les exigences minimales et que les contrats à haut risque soient prioritairement mis à niveau. Les tableaux de bord offrent à la direction une vue d'ensemble de la couverture des fournisseurs, des actions en cours et des prochaines échéances de renouvellement.

À quoi s'attendre en explorant ISMS.online

En explorant ISMS.online, vous découvrirez comment la gestion structurée des fournisseurs et les référentiels contractuels A.5.20 fonctionnent concrètement au sein d'un système de gestion de l'information (SGII), et non plus seulement en théorie. L'accent est mis sur la manière dont vos contrats, risques et contrôles existants peuvent être organisés en une vision unique et auditable, réduisant ainsi les interventions manuelles et renforçant la confiance.

Explorer ISMS.online, c'est découvrir comment votre gestion actuelle des fournisseurs peut évoluer vers un système structuré et auditable, plutôt que d'ajouter un outil supplémentaire à gérer. Vous pouvez consulter des exemples de clauses A.5.20, de mappages et de rapports adaptés aux fournisseurs de services gérés et tester leur compatibilité avec vos contrats et processus existants.

Pour les responsables de la sécurité de l'information, les équipes juridiques et les dirigeants de fournisseurs de services gérés (MSP), cette combinaison de structure et de visibilité accélère la préparation des audits, fluidifie les négociations et renforce l'assurance. Choisir ISMS.online est judicieux si vous souhaitez que vos contrats fournisseurs soutiennent votre certification ISO 27001, démontrent votre maîtrise auprès de vos clients et réduisent les risques liés aux tiers sans complexifier inutilement la situation. Si ces objectifs sont importants pour vous, découvrir la plateforme en action est une suite logique.

Demander demo


Foire aux questions

Comment un MSP doit-il interpréter la norme ISO 27001:2022 A.5.20 dans les contrats courants avec ses fournisseurs et ses clients ?

Vous devez considérer A.5.20 comme une exigence pour des obligations de sécurité spécifiques et vérifiables dans vos contrats, des déclarations vagues et peu rassurantes sur une sécurité « robuste » ou « conforme aux normes de l'industrie ».

Lorsqu'un auditeur, un client important ou un organisme de réglementation examine vos accords, il doit pouvoir identifier qui est responsable de quels contrôles, ce à quoi ressemble une « bonne pratique » et comment vous vérifiez que cela est effectivement mis en œuvre.

À quoi ressemblent concrètement les « clauses de sécurité claires et vérifiables » ?

Pour un MSP, la condition A.5.20 est remplie lorsque les contrats entre fournisseur et client sont cohérents :

  • Répartir les responsabilités en matière de sécurité :

Précisez qui est responsable des correctifs, de la protection des terminaux, des sauvegardes, de la gestion des identités et des accès, de la surveillance et du triage des incidents, y compris les responsabilités partagées.

  • Décrivez comment l'information est traitée :

Décrire comment les données concernées sont consultées, traitées, stockées, transmises, sauvegardées, conservées et supprimées, dans un langage compréhensible par un examinateur non technique.

  • Définir les règles de notification des incidents et de coopération :

Utilisez des déclencheurs concrets (« compromission confirmée des données client », « interruption de service > X minutes »), des délais (« alerte initiale dans les X heures »), des voies de contact nommées et des attentes en matière d'enquêtes et de communications conjointes.

  • Respectez les réglementations et règles sectorielles applicables :

Intégrez dans l'accord les obligations relatives à la protection de la vie privée, à l'externalisation, à la résilience ou aux obligations sectorielles, au lieu de vous fier uniquement à des politiques ou à des assurances informelles.

  • Inclure des mécanismes d'assurance et de surveillance utilisables :

Vous donner le droit de consulter les preuves (certificats ISO 27001, rapports SOC 2, résumés de tests d'intrusion, questionnaires ciblés) selon un rythme convenu et d'effectuer un suivi si nécessaire.

Un auto-contrôle rapide qui trouve un écho auprès des auditeurs est le suivant :

Si nous n'avions que ce contrat sur la table, pourrions-nous démontrer que nos exigences en matière de sécurité de l'information sont définies, fondées sur les risques et exécutoires, ou comblerions-nous les lacunes avec « ce que tout le monde sait que nous voulons dire » ?

Si la réponse se rapproche davantage de cette dernière option, votre système de gestion de la sécurité de l'information (SGSI) devrait le consigner comme une faiblesse et entraîner une modification de la formulation, des modèles ou des règles d'approbation.

Une plateforme comme ISMS.online facilite grandement cette démonstration. Vous pouvez relier chaque clause contractuelle aux risques et aux contrôles qu'elle couvre, et montrer comment la norme A.5.20 est mise en œuvre à travers des accords concrets plutôt que de vous fier à votre mémoire ou à des notes informelles.

Comment la norme A.5.20 s'intègre-t-elle aux normes A.5.19 et A.5.21 pour un MSP ?

Les trois commandes forment un cycle de vie de sécurité unique d'un tiers: avec qui vous travaillez, ce dont vous avez besoin sur papier et comment vous gérez la chaîne d'approvisionnement complexe qui assure la fourniture de vos services.

Comment un fournisseur de services gérés (MSP) doit-il considérer la chaîne A.5.19–A.5.21 ?

Pour la plupart des fournisseurs de services gérés (MSP), le schéma est le suivant :

  • A.5.19 – cycle de vie du fournisseur :

Comment vous sélectionnez, évaluez, approuvez, intégrez, surveillez et, le cas échéant, mettez fin à la collaboration avec vos fournisseurs – y compris les critères, les vérifications préalables et les examens périodiques.

  • A.5.20 – sécurité des informations contractuelles :

Lorsque ces attentes se transforment en obligations contraignantes dans des contrats-cadres de services (MSA), des énoncés de travaux (SoW), des SLA, des DPA et des calendriers de sécurité.

  • A.5.21 – Chaîne d’approvisionnement des TIC et risques liés à la protection de la vie privée :

Comment vous contrôlez et supervisez les différents prestataires – plateformes cloud, outils spécialisés, sous-traitants – et la manière dont ils traitent les données personnelles et sensibles.

Au quotidien, A.5.20 est le faire le lien entre votre perception du risque et votre position juridique:

  • Votre registre des fournisseurs et évaluations des risques (A.5.19) Décrivez le risque et les contrôles sur lesquels vous souhaitez vous appuyer.
  • Votre contrats (A.5.20) formaliser qui doit mettre en œuvre ces contrôles et ce qui se passe lorsqu’ils ne le font pas.
  • Votre surveillance de la chaîne d'approvisionnement (A.5.21) vérifie que la réalité correspond à la fois au SMSI et au contrat, y compris les flux de données et les sous-traitants.

Les auditeurs et les grands clients ne manqueront pas de le souligner. Si votre registre des risques indique qu'un fournisseur de services cloud est « critique, à haut risque », mais que le contrat ne contient que des termes génériques concernant une « sécurité raisonnable », ils le relèveront.

ISMS.online vous permet de centraliser toutes ces informations : les dossiers fournisseurs sont liés aux risques, aux contrôles et aux clauses contractuelles spécifiques. Ainsi, lorsqu’on vous demande « Comment gérez-vous vos sous-traitants conformément à l’article 5.21 ? », vous pouvez présenter simultanément les fournisseurs, les contrats, les contrôles et le cycle de revue, au lieu de répondre de mémoire.

Comment transformer la norme ISO 27001 A.5.20 en un ensemble pratique de clauses contractuelles pour les fournisseurs de services gérés (MSP) ?

Vous rendez A.5.20 pratique en convenant d'un Liste de contrôle concise et non négociable des sujets liés à la sécurité Il faut toujours en tenir compte, puis déterminer où chaque sujet figure généralement dans votre dossier contractuel.

Cela transforme chaque nouvel accord ou renouvellement en un exercice d'application d'un modèle plutôt qu'en une improvisation de formulation sous la pression des délais.

Quels éléments doivent figurer sur la liste de contrôle A.5.20 par défaut d'un fournisseur de services gérés (MSP) ?

La plupart des fournisseurs de services gérés finissent par avoir une liste de base qui ressemble à ceci :

  • Portée et utilisation autorisée : – quels services, systèmes et données sont concernés ; ce que l’autre partie peut et ne peut pas faire ; les éventuelles limites géographiques ou réglementaires.
  • Contrôle d'accès: – comment les identités et les comptes sont créés, approuvés, examinés et supprimés ; gestion des accès privilégiés ; exigences en matière d’authentification multifacteur.
  • Journalisation et surveillance : – exigences minimales en matière de journalisation, durées de conservation et modalités d’obtention des journaux à des fins d’enquête ou d’audit.
  • Gestion des vulnérabilités et du changement : – attentes en matière de correctifs et de divulgation des vulnérabilités ; notification préalable des modifications importantes susceptibles d’avoir un impact sur la sécurité ou la disponibilité.
  • La gestion des incidents: – ce qui constitue un incident, les déclencheurs et les délais de notification, le contenu requis pour les notifications, les voies d’escalade et les attentes en matière d’enquête conjointe.
  • Continuité des activités et reprise après sinistre : – les RTO/RPO applicables, la fréquence et les tests de sauvegarde, les attentes en matière de basculement lorsque la disponibilité est vraiment importante.
  • Sous-traitants : – quand d’autres prestataires peuvent être utilisés, quelles informations doivent être divulguées ou approuvées, et comment ils doivent respecter vos exigences en matière de sécurité et de confidentialité.
  • Protection des données et confidentialité : – instructions de traitement, catégories de données, localisation et transferts, prise en charge des droits des personnes concernées et notifications de violation.
  • Conservation, restitution et suppression des données : – combien de temps les données sont conservées, ce qui se passe lors de leur suppression, comment la suppression sécurisée est effectuée et documentée.
  • Assurance et surveillance : – les preuves que vous pouvez réellement demander et sur lesquelles vous pouvez vous appuyer (certifications, rapports, lettres d’attestation, réponses à des questionnaires ciblés) et leur fréquence.

Cela permet de se faire une idée simple de l'endroit où ils vivent habituellement :

Domaine thématique Contrat type pour un fournisseur de services gérés (MSP)
Portée, utilisation autorisée MSA / SoW
Accès, journalisation, surveillance Calendrier de sécurité / annexe technique
Vulnérabilité, changement, incidents Plan de sécurité / SLA
Continuité, DR Plan de sécurité / SLA
Sous-traitants, protection des données Calendrier de sécurité + DPA
Rétention, retour, suppression Plan de sécurité et dispositions de sortie dans l'accord-cadre de services (MSA)
Assurance et surveillance Sections relatives au calendrier de sécurité et à la gouvernance

Une fois ce modèle établi, vous pouvez créer des listes de contrôle internes et examiner les étapes qui s'y rapportent. ISMS.online peut ensuite relier chaque sujet aux fournisseurs, risques et contrôles concernés, de sorte que, par exemple, un risque de notification d'incident vous renvoie automatiquement aux clauses pertinentes et aux contrats affectés.

Comment un MSP peut-il concevoir une base de contrat A.5.20 réutilisable qui reste valable lors de négociations réelles ?

Une approche viable consiste à construire un structure contractuelle modulaire et maintenir un bibliothèque de clauses étiquetées qui complète votre système de gestion de l'information (SGSI), avec des règles claires sur les cas et les modalités de variation de la formulation.

L’objectif est de pouvoir expliquer, de manière cohérente, pourquoi vos contrats sont structurés de cette façon et comment ils soutiennent votre stratégie de gestion des risques, même après des négociations difficiles.

À quoi ressemble une configuration de base modulaire A.5.20 pour les MSP ?

De nombreux fournisseurs de services gérés (MSP) convergent vers une structure de ce type :

  • A contrat-cadre de services (MSA) pour les termes juridiques généraux, la responsabilité, la propriété et les responsabilités de haut niveau.
  • Énoncés de travaux (SoW) : qui définissent les services, les systèmes et données concernés, les emplacements et toutes les exigences ou variations spécifiques au client.
  • A annexe de niveau de service définir les objectifs de disponibilité, de réponse et de résolution, y compris lorsque ceux-ci contribuent à la sécurité (par exemple, les délais de réponse aux incidents).
  • Un dédié calendrier de sécurité cela rassemble les thèmes A.5.19–A.5.21 en un seul endroit avec un langage axé sur les résultats, afin que vous puissiez mettre à jour les attentes sans réécrire l'intégralité du MSA.
  • Lorsque des données personnelles sont traitées, un accord de traitement des données (ATD) qui fait référence au calendrier de sécurité et s'y conforme plutôt que de le dupliquer ou de le contredire.

Derrière cette structure, vous maintenez un bibliothèque de clauses internes où chaque clause est étiquetée avec :

  • sujet de sécurité il aborde (par exemple, les examens d'accès, les chronologies des incidents, la divulgation des sous-traitants).
  • ISO 27001 et contrôles associés il soutient, en particulier A.5.19, A.5.20 et A.5.21.
  • Un ou plus niveaux de risque – par exemple, les services ou clients standards, importants et critiques.

Cela vous donne trois leviers clés :

  • Un ensemble de positions de base minimales que vous dépassez rarement (par exemple, les délais maximaux de notification d'incident).
  • Un ensemble de variantes améliorées préparés aux situations à haut risque, vous permettant ainsi de renforcer les contrats de services essentiels sans improviser.
  • Un ensemble de règles d'exception, notamment qui peut approuver les écarts par rapport à la situation de référence, quelles mesures compensatoires vous prévoyez et quand ces décisions seront réexaminées.

Si cette bibliothèque de clauses et cette piste d'approbation se trouvent dans une plateforme telle que ISMS.online, liée à votre registre des risques et à vos dossiers fournisseurs, vous pouvez démontrer que les mises à jour de votre référence A.5.20 découlent de changements réels – nouvelles menaces, incidents, directives réglementaires – au lieu de modifications ad hoc.

Lors des négociations, cette structure dépersonnalise les échanges. Plutôt que de s'opposer sur le style de rédaction, vous et votre interlocuteur pouvez choisir parmi des variantes clairement définies, liées à un profil de risque convenu, et documenter précisément les raisons du choix d'une option plus ou moins contraignante.

Quelles exigences en matière de sécurité de l'information devraient presque toujours figurer dans les contrats des fournisseurs de services gérés (MSP) en vertu de la clause A.5.20 ?

Certaines exigences sont si fondamentales qu'elles appartiennent à la catégorie des exigences fondamentales. presque tous les accord fournisseur inclus dans le périmètre, quelle que soit la valeur du contrat ou la catégorie de service. Ces éléments « toujours actifs » constituent le socle de votre mise en œuvre A.5.20.

Qu’est-ce qui figure généralement dans la couche A.5.20 « toujours active » d’un MSP ?

La plupart des fournisseurs de services gérés s'accordent sur une liste concise qui ne varie que par exception et avec une justification claire :

  • Confidentialité et utilisation acceptable :

Obligations de protéger vos informations et celles de vos clients, ainsi que des exemples illustratifs de comportements interdits tels que la copie, la divulgation ou l'exploration de données non autorisées.

  • Alignement avec vos politiques clés :

L’obligation de respecter les politiques de sécurité de l’information, d’utilisation acceptable et, le cas échéant, de développement sécurisé que vous publiez et maintenez par le biais de votre SMSI.

  • Contrôle d'accès et d'identité :

Les attentes concernent l'utilisation d'une authentification forte, l'application du principe du moindre privilège, le contrôle des accès à une fréquence définie et leur révocation rapide lorsqu'ils ne sont plus nécessaires.

  • Notification des incidents et coopération :

Des critères clairs concernant les informations à déclarer, les délais de notification initiale et de suivi, le contenu minimal (chronologie, impact, données affectées, mesures de confinement) et la manière dont les enquêtes conjointes et les communications externes sont gérées.

  • Transparence des sous-traitants :

Obligations de divulguer les sous-traitants importants, de donner un préavis en cas de changements importants et de répercuter sur ces parties des conditions de sécurité et de confidentialité sensiblement similaires.

  • Conditions de protection des données :

Lorsque des données personnelles sont concernées, les termes doivent être conformes à vos obligations légales (par exemple en vertu du RGPD ou du CCPA) et à vos propres politiques de confidentialité et de conservation.

  • Retour des données et suppression sécurisée :

Instructions sur la manière dont les données seront restituées, transférées ou supprimées de manière sécurisée à la fin de la relation ou du service, et une attente raisonnable de preuve que la suppression a eu lieu.

  • Mécanismes d'assurance :

Les méthodes convenues pour surveiller votre niveau de sécurité – telles que les certificats ISO 27001, les rapports SOC 2, les courts questionnaires ou les attestations formelles – et la fréquence à laquelle vous les recevrez.

Il est utile de garder à l'esprit la question suivante :

Si ce fournisseur subissait un incident grave ce soir, notre contrat nous autorise-t-il à agir rapidement, à exiger des mesures correctives appropriées et à expliquer notre négligence aux clients ou aux organismes de réglementation ?

En cas d'hésitation, il se peut que l'un de ces domaines d'activité permanents soit absent ou insuffisant. Les intégrer à votre référentiel et les inclure dans des modèles standardisés réduit la dépendance à l'égard de l'intuition individuelle des négociateurs et offre aux auditeurs et aux clients une vision claire de la situation.

ISMS.online peut renforcer davantage ce dispositif en reliant ces clauses de base aux entrées des fournisseurs, aux risques et aux revues de direction, afin que vous puissiez démontrer que la couche fondamentale existe, est appliquée et est révisée lorsque les circonstances changent.

Comment un fournisseur de services gérés (MSP) peut-il maintenir son référentiel contractuel A.5.20 aligné sur le système de gestion de l'information (SMSI) et facile à prouver au fil du temps ?

Vous maintenez l'alignement de l'article A.5.20 en traitant le libellé du contrat comme une partie de votre gouvernance de sécurité, avec des propriétaires désignés, des examens planifiés et des liens clairs avec la gestion des fournisseurs et le traitement des risques, plutôt qu'un exercice juridique distinct qui dérive au fil du temps.

À quoi ressemble une gouvernance durable A.5.20 pour un MSP ?

Même dans les petites entreprises de services gérés, un modèle de gouvernance simple fait toute la différence :

  • Sécurité des informations :

Définit en langage clair les exigences de sécurité, les éléments toujours actifs et les positions non négociables, en les associant aux contrôles ISO 27001 et aux autres cadres de référence sur lesquels vous vous appuyez.

  • Équipe juridique ou contractuelle :

Il est responsable de la formulation exacte, donne des conseils lors des négociations et consigne les cas où les normes de base sont dépassées ou assouplies, y compris la justification et les mesures compensatoires.

  • Responsables des fournisseurs ou propriétaires de services :

Contrôler si les fournisseurs respectent leurs obligations dans la pratique, recueillir des preuves (certificats, rapports, réponses) et soulever des problèmes lorsque les attentes ne sont pas satisfaites.

  • Audit interne ou équivalent :

Il prélève périodiquement des échantillons d'un ensemble de contrats, les compare à votre base de référence, à votre registre des fournisseurs et à vos données sur les risques, et recommande des améliorations.

Ces rôles suivent alors un rythme prévisible :

  • Les modèles de contrats et les bibliothèques de clauses sont examinés dans le cadre de votre cycles d'évaluation et de gestion des risquesAinsi, les incidents, les quasi-accidents et les changements réglementaires entraînent des mises à jour mesurées de la formulation.
  • Un registre central montre Quels contrats utilisent quelle version de référence, quels fournisseurs sont classés dans quel niveau de risque et pour lesquels vous avez accepté des dérogations, y compris un registre des personnes qui les ont approuvées et des raisons de cette approbation.
  • Court manuels et listes de contrôle aider les équipes commerciales, d'approvisionnement et de gestion de comptes à comprendre quelles clauses sont obligatoires, où elles ont une marge de manœuvre et quand elles doivent faire appel à des spécialistes de la sécurité ou du droit.

À très petite échelle, on peut gérer une grande partie de ces informations grâce à des documents et des dossiers partagés. Mais à mesure que votre clientèle, votre liste de fournisseurs et votre couverture de marchés s'élargissent, ce système devient vite fragile.

ISMS.online vous permet de centraliser les inventaires fournisseurs, les références contractuelles, les contrôles, les risques, les audits et les revues de direction dans une vue unique. Ainsi, lorsqu'une personne demande :

  • « Comment garantir que la clause A.5.20 est appliquée de manière cohérente aux fournisseurs critiques ? »
  • « Où consignez-vous les exceptions à vos positions habituelles ? »
  • « Comment les modifications contractuelles sont-elles répercutées dans votre registre des risques ? »

Vous pouvez répondre avec des preuves actuelles et cohérentes plutôt qu'avec un assemblage disparate de fichiers.

Ce niveau de structuration indique aux clients, aux auditeurs et aux organismes de réglementation que vous gérez la sécurité des fournisseurs et des clients avec rigueur. Il démontre la cohérence de vos contrats, de votre système de gestion de la sécurité de l'information (SGSI) et de vos pratiques quotidiennes, ce qui facilite l'acquisition et la fidélisation des clients les plus sensibles aux risques liés aux tiers.

Marc Sharron

Mark Sharron dirige la stratégie de recherche et d'IA générative chez ISMS.online. Il se concentre sur la communication sur le fonctionnement pratique des normes ISO 27001, ISO 42001 et SOC 2, en reliant les risques aux contrôles, aux politiques et aux preuves grâce à une traçabilité adaptée aux audits. Mark collabore avec les équipes produit et client pour intégrer cette logique aux flux de travail et au contenu web, aidant ainsi les organisations à comprendre et à prouver en toute confiance la sécurité, la confidentialité et la gouvernance de l'IA.

Twitter

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.