Passer au contenu
ISMS.en ligne

A.5.35 Examen indépendant de la sécurité de l'information – Audits internes des fournisseurs de services gérés

Les fournisseurs de services gérés (MSP) perçoivent souvent l'annexe A.5.35 comme une charge de travail supplémentaire, mais les audits de sécurité indépendants peuvent constituer un argument de poids. En instaurant des audits réguliers et fondés sur des preuves, vous préservez la confiance de vos clients, simplifiez la conformité et démontrez à vos clients entreprises l'efficacité concrète de vos contrôles. Avec la bonne approche, les audits internes deviennent un atout, et non un fardeau, pour votre équipe et votre entreprise.

Auteur
Marc Sharron
Mise à jour: 1 décembre, 2025
4 / 5 Etoiles

Pourquoi l'annexe A.5.35 nuit aux MSP lorsque les audits internes ressemblent à du « travail supplémentaire »

L'annexe A.5.35 pénalise les fournisseurs de services gérés (MSP) lorsque les audits internes sont imposés comme des projets ponctuels et inattendus, au lieu d'être intégrés à leurs prestations habituelles. Lorsque des audits sont imposés aux ingénieurs à la dernière minute, ils sont perçus comme une charge de travail supplémentaire bureaucratique, alors même que ce même contrôle peut devenir un atout commercial majeur. L'audit indépendant de la sécurité de l'information est souvent considéré comme un luxe pour les grandes entreprises, mais l'annexe A.5.35 l'intègre pleinement à la réalité quotidienne des MSP : vous devez prouver l'efficacité de vos propres contrôles de sécurité, et non pas seulement leur documentation. Le commentaire standard de l'annexe A.5.35 de la norme ISO/IEC 27001:2022 le souligne en insistant sur la nécessité d'un examen périodique et objectif de la pertinence, de l'adéquation et de l'efficacité de vos dispositifs de sécurité de l'information, et non pas seulement sur l'existence de politiques.

L'audit indépendant modifie vos obligations car vous devez démontrer que votre approche reste efficace en situation réelle et qu'elle a été vérifiée par une personne compétente et indépendante. En transformant l'audit indépendant en une procédure simple et prévisible, vous préservez la sérénité de vos clients et de votre équipe, tout en renforçant votre position auprès des auditeurs de certification et des entreprises clientes qui exigent désormais systématiquement des preuves concrètes de conformité à la norme A.5.35. Les recommandations relatives aux rapports des organisations de services, telles que les documents de l'AICPA sur le reporting SOC, reflètent cette même exigence : les entités utilisatrices et leurs auditeurs attendent de plus en plus de preuves de l'efficacité des contrôles, et non de simples documents de politique.

L'enquête de 2025 indique que les clients attendent de plus en plus de leurs fournisseurs qu'ils s'alignent sur des cadres formels tels que l'ISO 27001, l'ISO 27701, le RGPD ou le SOC 2, plutôt que de se fier à des affirmations génériques de « bonnes pratiques ».

Les bons audits de sécurité donnent un sentiment d'équité, transformant les bonnes habitudes quotidiennes en preuves tangibles.

Le véritable problème commercial que la version A.5.35 révèle pour les fournisseurs de services gérés

Le point A.5.35 met en lumière le décalage entre « nous affirmons être en sécurité » et « nous pouvons prouver que notre sécurité est réellement efficace ». Un examen indépendant est essentiel car les clients, les autorités de réglementation, les assureurs et les partenaires ne se contentent plus de déclarations de principe ; ils demandent de plus en plus comment vous vérifiez l’efficacité réelle de votre sécurité. Les communications réglementaires sur la cybersécurité, telles que les documents de la Securities and Exchange Commission (SEC) américaine consacrés à la cybersécurité, insistent systématiquement sur la nécessité de démontrer l’efficacité des contrôles plutôt que de se fier uniquement aux politiques, et cette approche influence également leur évaluation des fournisseurs.

Lorsqu'une entreprise cliente envoie un questionnaire détaillé ou que ses auditeurs visitent, ils testent en réalité si l'annexe A.5.35 existe dans la pratique : une personne objective examine-t-elle votre approche de la sécurité à intervalles réguliers et après des changements majeurs, et cet examen conduit-il à une réelle amélioration ?

Si la réponse est vague ou noyée dans des documents ponctuels, l'accord et votre crédibilité sont en jeu. Derrière le libellé de la norme se cache une question simple : pouvez-vous démontrer que vos pratiques de sécurité vont au-delà des exploits individuels et des tableaux de bord d'outils ? Si votre seule garantie est que « notre ingénieur senior veille au grain », vous vous fiez à la confiance, et non aux preuves. Un audit indépendant vous oblige à considérer votre système de gestion de la sécurité comme un produit qui doit être testé et inspecté au même titre que n'importe quel autre service que vous proposez. Cela peut paraître déstabilisant, mais c'est aussi là que vous pouvez commencer à différencier votre fournisseur de services gérés (MSP).

Pourquoi les audits internes traditionnels sont-ils perçus comme pénibles par les ingénieurs ?

Les audits internes traditionnels sont perçus comme une contrainte par les ingénieurs, car ils interrompent leur travail sans apporter de bénéfices tangibles. Souvent menés ponctuellement, ils s'ajoutent aux tickets et aux échéances habituelles des projets. Une personne diffuse un tableur, planifie des entretiens, demande des captures d'écran et des exportations de journaux, puis disparaît pendant des mois jusqu'au prochain cycle de certification. Du point de vue de l'équipe technique, l'effort est principalement motivé par des interruptions : il faut interrompre son travail, expliquer une procédure déjà fonctionnelle, rechercher des preuves dispersées dans différents outils, puis recommencer lorsqu'un client pose des questions similaires.

Ce schéma est épuisant et source de ressentiment. Les ingénieurs finissent par percevoir les audits comme une contrainte bureaucratique plutôt que comme un moyen d'améliorer la sécurité. Pire encore, comme les revues sont considérées comme des événements exceptionnels, elles se concentrent souvent sur la documentation plutôt que sur la mise en œuvre concrète des contrôles ; une politique qui paraît impeccable sur le papier peut être validée, même si les correctifs, les revues d'accès ou le suivi des incidents sont incohérents. Les recommandations relatives au contrôle 5.35 de la norme ISO/IEC 27002:2022 privilégient des revues indépendantes, proportionnées et périodiques plutôt que des projets de grande envergure et peu fréquents, ce qui permet de concevoir une approche plus légère tout en respectant les objectifs.

L'annexe A.5.35 ne vous demande pas de mener des projets massifs et ponctuels qui paralysent vos activités. Elle vous invite à mettre en place une méthode simple et régulière pour vérifier que vos dispositifs de sécurité restent adaptés, adéquats et efficaces, et ce, de manière acceptable pour votre équipe. Une vérification bien conçue ne devrait pas nécessiter l'arrêt des livraisons pendant plusieurs jours.

Transformer les audits de luxe en un avantage pratique pour les fournisseurs de services gérés

Vous pouvez transformer les audits de luxe en un atout pour votre MSP en considérant l'évaluation indépendante comme la preuve que votre environnement mutualisé est parfaitement maîtrisé. Ce même contrôle, perçu comme une charge, peut devenir un levier pour des ventes plus importantes, des audits clients plus fluides et moins de mauvaises surprises, à condition de l'intégrer à votre modèle MSP. L'évaluation indépendante est l'un des rares moyens de démontrer, preuves à l'appui, que vos outils, processus et équipes fonctionnent de manière fiable auprès de nombreux clients.

Lorsque vous pouvez présenter à un prospect un résumé récent d'audit indépendant, démontrer comment les conclusions ont permis d'apporter des améliorations concrètes et expliquer la fréquence de ce processus, vous paraissez instantanément plus professionnel que les fournisseurs qui se contentent de répondre par des PDF de politiques génériques. Une plateforme comme ISMS.online peut vous y aider, car elle centralise la planification des audits, l'attribution des auditeurs indépendants, la collecte des références issues de vos outils existants et le suivi des conclusions jusqu'à leur résolution. Au lieu de vous démener avec des e-mails et des tableurs à chaque mention de l'annexe A.5.35, vous pouvez mettre en avant un programme d'audit interne opérationnel. Ce passage de contrôles réactifs et ponctuels à un rythme d'assurance qualité régulier est essentiel pour que ce contrôle s'intègre pleinement aux opérations courantes des fournisseurs de services gérés, et non comme une simple formalité de conformité supplémentaire.

Demander demo


Ce que l’annexe A.5.35 exige réellement en pratique pour les fournisseurs de services gérés

L'annexe A.5.35 exige que vous planifiiez et documentiez des contrôles objectifs de l'efficacité de votre approche globale de sécurité, et non pas seulement de la présence de politiques. Les explications de l'annexe A.5.35 soulignent systématiquement que les organisations doivent examiner périodiquement et de manière indépendante la pertinence, l'adéquation et l'efficacité de leurs dispositifs de sécurité de l'information, ce qui va bien au-delà de la simple vérification de la présence de la documentation. Pour un fournisseur de services gérés (MSP), cela implique de définir ce que recouvre « son approche de la sécurité de l'information », de déterminer le calendrier et les modalités des examens indépendants, et de démontrer que les résultats de ces examens conduisent à des améliorations. Ce contrôle exige que votre approche de la sécurité de l'information, ainsi que sa mise en œuvre au niveau des personnes, des processus et des technologies, soient examinées par une personne indépendante à intervalles planifiés et lors de changements importants. En traduisant ce langage formel en termes plus accessibles aux MSP et en explicitant ces décisions, le contrôle devient beaucoup plus clair, plus facile à gérer et plus facilement perçu par les auditeurs et les clients comme une pratique activement gérée plutôt que comme une chose laissée au hasard.

Environ deux tiers des organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online ont déclaré que la rapidité et l'ampleur des changements réglementaires rendent la conformité plus difficile à maintenir.

En termes simples, l'annexe A.5.35 vous invite à définir l'objet de votre examen, sa fréquence, les personnes chargées de sa réalisation et l'utilisation qui en sera faite. Premièrement, définissez ce que recouvre votre « approche de gestion de la sécurité de l'information ». Pour un fournisseur de services gérés (MSP), cela inclut généralement le périmètre de son système de gestion de la sécurité de l'information (SGSI), ses services principaux, ses plateformes partagées et ses systèmes internes qui soutiennent la prestation de services. Deuxièmement, planifiez des examens indépendants à une fréquence raisonnable, sans attendre une demande d'un organisme de certification ou d'un client. Troisièmement, assurez-vous que les personnes réalisant l'examen ne sont pas celles qui gèrent les contrôles évalués, afin d'éviter tout conflit d'intérêts.

Quatrièmement, définissez à l'avance les critères et les méthodes : par exemple, vous pourriez décider d'examiner un échantillon de tickets de changement au regard de votre procédure de gestion des changements, ou de vérifier que les revues d'accès aux comptes à privilèges ont bien été effectuées comme prévu. Enfin, consignez les résultats et agissez en conséquence. Cela implique de rédiger un court rapport indiquant les éléments examinés, les constats, les actions nécessaires et les responsables. La norme ne définit pas de format précis, mais les recommandations relatives à la documentation ISO 27001 et aux éléments probants d'audit, telles que les documents fournis par des cabinets de conseil spécialisés, montrent clairement que les auditeurs recherchent généralement des plans documentés, des comptes rendus de revues et des preuves que les revues sont bien effectuées aux dates prévues, plutôt que de se fier à des pratiques non documentées.

Que signifie réellement « indépendant » pour un fournisseur de services gérés ?

Pour un fournisseur de services gérés (MSP), l'« indépendance » signifie que l'évaluateur peut se forger une opinion objective sans être la personne qui a conçu ou exploite les contrôles testés. Le terme « indépendance » est source d'inquiétude pour de nombreux petits MSP, notamment lorsque l'équipe de sécurité se compose d'une seule personne ou d'un groupe très restreint. L'indépendance ne signifie pas nécessairement la présence d'un service d'audit interne totalement distinct. Le commentaire de l'annexe A.5.35 et les recommandations de la norme ISO 27001 soulignent l'importance de la séparation des rôles et de l'objectivité comme fondements de l'indépendance, en particulier pour les petites structures, plutôt que d'insister sur la nécessité d'une fonction d'audit dédiée. Cette indépendance peut être atteinte grâce à une gouvernance proportionnée et des responsabilités clairement définies. Cela signifie que les personnes effectuant l'évaluation ne sont pas responsables de la conception, de la mise en œuvre ou de l'exploitation des contrôles examinés et ne subissent aucune influence indue de la part de ceux qui le sont. Dans un petit MSP, cela peut être garanti par la séparation des rôles et une gouvernance adéquate, même avec un effectif réduit.

Vous pouvez recourir à la rotation des rôles, à des examinateurs interfonctionnels et à des lignes hiérarchiques claires pour rendre cette indépendance visible. Par exemple, un directeur de la prestation de services, un responsable des opérations ou un directeur financier peut superviser les examens des contrôles de sécurité à l'aide de listes de vérification structurées, tandis que le personnel technique fournit les preuves et répond aux questions de clarification. Lorsqu'une séparation totale est impossible, vous pouvez utiliser des mesures compensatoires telles que la validation des conclusions lors de réunions d'examen de la direction ou le recours périodique à un consultant externe pour les domaines à haut risque. Par la suite, lorsque vous définirez plus précisément les modèles d'indépendance, ces principes deviendront le fondement de votre approche.

Examen indépendant vs audit interne vs surveillance des activités courantes

L’examen indépendant, l’audit interne et la surveillance quotidienne contribuent tous à l’assurance, mais répondent à des problématiques différentes. De nombreux fournisseurs de services gérés (MSP) effectuent déjà des revues de changements, des contrôles qualité des tickets, une surveillance des journaux et d’autres activités de routine ; ces pratiques sont utiles, mais ne remplacent pas un examen indépendant formel. La surveillance quotidienne ou hebdomadaire vise à assurer la continuité des services et à détecter rapidement les incidents. Les audits internes, tels que décrits dans la clause 9.2 de la norme ISO 27001, ont pour but de vérifier la conformité de votre système de management de la sécurité de l’information (SMSI) à la norme et à vos propres exigences. La clause 9.2 précise que les audits internes servent à déterminer si le SMSI est conforme aux exigences de l’organisation et à la norme ISO 27001. Le commentaire de la norme relatif à l’annexe A.5.35 va plus loin en encourageant une évaluation périodique et objective de l’ensemble de vos dispositifs de sécurité.

L’examen indépendant figurant à l’annexe A.5.35 s’inscrit en parallèle de ces éléments et met l’accent sur une évaluation objective de votre approche globale en matière de sécurité, et non pas seulement d’incidents ou de documents spécifiques.

Cette distinction est importante car les auditeurs et les clients demandent souvent : « Comment assurez-vous le suivi de la sécurité ? » et « Comment vérifiez-vous de manière indépendante l’efficacité de votre gestion de la sécurité ? » Vous pouvez répondre à la première question grâce à des outils et des processus : tableaux de bord de suivi de la sécurité, politiques de gestion à distance, flux de travail de gestion des changements. La seconde question se répond par votre programme d’audit interne ou d’examen indépendant. Les fournisseurs de services gérés (MSP) les plus performants conçoivent ces éléments de manière à ce qu’ils se renforcent mutuellement : le suivi alimente les audits en éléments de preuve, et les examens indépendants vérifient si le suivi et les autres contrôles fonctionnent effectivement comme prévu.

Une simple comparaison vous aide à positionner chaque activité :

Type d'activité Objectif principal Fréquence typique
surveillance des activités courantes Détecter les problèmes et y répondre en temps réel Continu ou quotidien
Audit interne du SMSI Vérifiez que votre système de gestion de la sécurité de l'information (SGSI) est conforme à la norme ISO 27001 et à vos propres exigences. Programme annuel avec cycles
Examen indépendant (A.5.35) Évaluer si l'approche de sécurité demeure appropriée et efficace À intervalles réguliers et après toute modification majeure

Disposer de ce schéma facilite grandement l'explication aux auditeurs et aux clients de l'articulation des différents niveaux d'assurance et de la place qu'y occupe l'annexe A.5.35. Représentation visuelle : diagramme superposé illustrant le suivi des activités courantes, l'audit interne et l'examen indépendant comme trois niveaux d'assurance.



ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Concevoir l'indépendance dans un MSP de petite ou moyenne taille

Concevoir l'indépendance dans une PME (fournisseur de services gérés) implique de séparer les décisions d'audit des opérations de contrôle quotidiennes, même avec un effectif réduit. L'indépendance est facile à concevoir dans une grande entreprise dotée d'un service d'audit interne et d'un responsable de la sécurité des systèmes d'information (RSSI) distinct. Elle est beaucoup plus complexe pour une PME de vingt personnes où le même ingénieur senior conçoit les contrôles, les met en œuvre et répond aux questionnaires de sécurité. Heureusement, l'annexe A.5.35 et les attentes habituelles des auditeurs permettent une indépendance proportionnée : il est possible de concevoir des structures adaptées à une PME de 10, 50 ou 150 personnes en séparant les rôles et les pouvoirs de décision, plutôt que d'espérer recruter une équipe d'audit interne du jour au lendemain.

Modèles d'indépendance pour différentes tailles de MSP

Le modèle d'indépendance adapté à votre MSP dépend de sa taille, mais le principe – personne ne valide son propre travail – demeure constant. Pour une très petite MSP, l'indépendance peut signifier que le directeur général ou le responsable des opérations commande et valide les audits, tandis qu'un collègue de confiance d'une autre fonction effectue les tests selon des procédures convenues. La personne chargée d'examiner les contrôles de sauvegarde ne doit pas être celle qui a conçu la plateforme de sauvegarde ; toutefois, elle peut toujours demander et examiner les preuves fournies par cet ingénieur. Pour une MSP de taille moyenne, vous pouvez désigner un responsable de la sécurité et de la conformité comme coordinateur des audits internes et des revues indépendantes, les examinateurs étant issus des services financiers, RH, opérations ou d'autres équipes qui ne sont pas responsables des contrôles examinés.

Dans les grandes entreprises de services gérés (MSP), il est possible d'adopter un modèle plus classique à trois lignes de défense : les équipes de service mettent en œuvre les contrôles, une fonction centrale de gestion des risques et de conformité conçoit le cadre de référence, et une équipe d'audit interne ou d'assurance qualité effectue des tests indépendants et rend compte à la direction ou au conseil d'administration. Quelle que soit la taille de votre entreprise, le principe reste le même : les auditeurs doivent pouvoir se forger une opinion objective, signaler leurs préoccupations sans crainte et éviter de valider leur propre travail. Documenter ces pratiques dans une politique d'indépendance ou une section de votre procédure d'audit interne rassurera les auditeurs quant à la pertinence de votre réflexion et à la capacité d'adapter le modèle à votre croissance.

Des structures de gouvernance qui démontrent l'indépendance

La gouvernance permet de concrétiser l'indépendance, initialement prévue comme une promesse informelle, en une réalité tangible et vérifiable. Une méthode simple et efficace consiste à s'assurer que la personne responsable du programme d'évaluation rende compte, au moins à cette fin, à une autorité autre que le responsable de la prestation de services ou le responsable technique. Par exemple, votre procédure d'évaluation indépendante pourrait stipuler que le coordinateur de l'évaluation communique ses conclusions directement au directeur général ou à un comité des risques, même s'il fait partie intégrante de l'équipe de sécurité au quotidien. Le compte rendu de la revue de direction peut alors attester que ces conclusions ont été discutées, analysées et prises en compte.

Vous pouvez renforcer ce principe à l'aide d'une matrice RACI (Responsable, Autorité, Consulté, Informé) claire. Les responsables des contrôles sont chargés de leur mise en œuvre ; les réviseurs sont responsables des tests et de la production de rapports ; la direction est responsable de la réalisation des revues et du traitement des constats. Le personnel consulté ou informé ne doit pas pouvoir opposer son veto aux constats ni les modifier pour protéger son propre domaine. Lorsque votre matrice RACI et votre hiérarchie rendent cette séparation évidente, les auditeurs sont plus enclins à croire que vos revues sont réellement indépendantes, compte tenu des contraintes liées à la taille de votre organisation. Illustration : diagramme RACI simple illustrant la séparation entre les responsables des contrôles, les réviseurs et la direction.

Mélanger les évaluateurs internes et externes sans externaliser la responsabilité

Combiner les évaluations internes et externes permet de renforcer l'indépendance sans perdre la maîtrise des décisions. Nombre de prestataires de services de santé sont tentés de s'en remettre entièrement à un consultant externe une fois par an pour garantir leur indépendance. L'expertise externe est extrêmement utile, notamment pour la conception initiale, les domaines à haut risque ou pour valider l'objectivité. Cependant, si vous ne faites appel à un expert qu'une fois par an et que vous ne prenez aucune mesure interne entre les visites, votre programme d'évaluation sera fragile et risque de passer à côté d'évolutions importantes. La solution la plus efficace consiste généralement à combiner les deux approches : vous menez un cycle d'évaluation interne basé sur les risques tout au long de l'année, puis vous invitez un spécialiste externe à examiner et à remettre en question un sous-ensemble de services ou à se concentrer sur des services particulièrement sensibles.

Il est essentiel de souligner que la responsabilité ne peut être externalisée. Même lorsqu'un organisme externe réalise des tests, votre organisation demeure responsable de décider des conclusions à accepter, des actions à entreprendre et du délai de mise en œuvre. Il est impératif d'expliciter ce point dans votre gouvernance : les auditeurs externes apportent leur expertise et leur assurance, mais c'est votre comité de direction qui décide et assume la responsabilité de la réponse. Lorsque des clients ou des organismes de certification s'interrogent sur l'annexe A.5.35, vous pouvez alors expliquer que vous disposez d'un programme interne permanent, assorti d'évaluations indépendantes périodiques, plutôt que d'une intervention annuelle d'un consultant. Cela vous permet d'aborder la question de la priorisation des tâches, ce qui conduit naturellement à la question de la planification fondée sur les risques.



Un programme d'audit interne basé sur les risques qui ne submerge pas les ingénieurs

Un programme d'audit interne basé sur les risques vous permet de satisfaire aux exigences de l'annexe A.5.35 sans surcharger vos ingénieurs de contrôles incessants. Le principe est simple : concentrer les efforts d'audit là où une défaillance serait la plus préjudiciable pour vous et vos clients, et réaliser des audits d'échantillonnage sur le reste au fil du temps. L'annexe A.5.35 exige la planification d'audits indépendants à intervalles réguliers et après des changements importants ; la clause 9.2 de la norme ISO 27001 exige un programme d'audit interne pour le SMSI. Les commentaires relatifs à ces exigences précisent que le contrôle par audit indépendant et la clause d'audit interne font référence à des intervalles et à une couverture planifiés en fonction des risques, plutôt qu'à des calendriers fixes et rigides. Vous disposez ainsi d'une certaine flexibilité dans la conception de votre programme.

Environ 41 % des organisations interrogées ont déclaré que le maintien de leur résilience numérique et l’adaptation aux cyberattaques constituaient l’un de leurs principaux défis en matière de sécurité de l’information.

Les audits sont plus faciles à gérer lorsqu'ils suivent votre cartographie des risques et non votre boîte de réception.

Commencez par un modèle de risque MSP simple.

Un modèle de risque simple pour vos services et contrôles suffit à élaborer un programme pertinent. Dressez la liste de vos principales lignes de services (réseaux gérés, gestion des terminaux, sauvegarde et restauration, gestion des identités et des accès, surveillance de la sécurité, hébergement cloud, etc.) et, pour chacune, évaluez l'impact potentiel d'une défaillance sur la confidentialité, l'intégrité et la disponibilité pour vos clients. Tenez compte de facteurs tels que la sensibilité des données traitées, les risques réglementaires, les engagements contractuels et l'historique des incidents. Un système de notation complexe n'est pas nécessaire ; les niveaux « élevé », « moyen » et « faible » suffisent, pourvu qu'ils soient appliqués de manière cohérente.

Une fois cette vision établie, associez les contrôles de sécurité à ces services et déterminez la fréquence d'examen indépendant requise pour chaque combinaison. Par exemple, de nombreuses organisations choisissent d'examiner les zones à haut risque trimestriellement ou semestriellement, les zones à risque moyen annuellement et les zones à faible risque selon un cycle pluriannuel glissant ou par échantillonnage opportuniste. L'objectif n'est pas d'imposer une cadence particulière, mais d'utiliser le risque pour justifier vos investissements en temps. Lorsque les auditeurs vous interrogent sur la fréquence d'audit de certains éléments par rapport à d'autres, vous pouvez vous référer à ce modèle de risque au lieu de hausser les épaules, et vous pouvez élaborer votre calendrier annuel en conséquence.

Élaborer un calendrier d'audit qui respecte les travaux de livraison

Un calendrier d'audit respectueux des activités opérationnelles permet d'intégrer les revues au travail, sans les perturber. À partir de votre modèle de risque, traduisez-le en un calendrier d'audit annuel ou pluriannuel. Par exemple, vous pourriez décider de consacrer le premier trimestre à la revue de la gestion des accès privilégiés aux systèmes internes et aux principales plateformes clients ; le deuxième, à la gestion des correctifs et des vulnérabilités ; le troisième, à votre processus de réponse aux incidents ; et le quatrième, à une revue transversale de votre documentation SMSI et de votre processus de revue de direction. Pour chaque trimestre, planifiez des semaines ou des jours précis pour la collecte de preuves et les entretiens, en tenant compte des périodes de forte activité, des mises en production majeures et des gels de changements connus.

Impliquez les responsables des opérations et de l'ingénierie dans cette planification afin qu'ils puissent identifier les conflits potentiels. Si votre équipe de développement effectue une mise à niveau majeure de la plateforme au cours d'un mois donné, le report des tests d'audit pour ce domaine à une période plus calme permettra de réduire les frictions sans compromettre l'assurance. Limitez le temps consacré aux activités : définissez le nombre d'heures que les réviseurs et les responsables des contrôles doivent y consacrer au cours d'un cycle et respectez-le, sauf en cas de problème majeur. Cette discipline vous aide à éviter les audits sans fin qui s'éternisent et monopolisent tout le temps disponible. Elle démontre également aux auditeurs que vous considérez l'assurance comme un processus planifié et non comme une course contre la montre de dernière minute. Support visuel : calendrier d'audit trimestriel simple avec niveaux de risque et indications de plages d'effort.

Définissez une procédure d'audit simple que votre équipe pourra suivre.

Une procédure écrite et claire transforme les bonnes intentions en une pratique reproductible que tout auditeur peut suivre. Au minimum, votre procédure d'audit interne ou d'examen indépendant doit décrire la sélection du périmètre, la définition des critères, le mode d'échantillonnage et la consignation des preuves et des conclusions. Pour chaque examen, le responsable doit élaborer un plan simple précisant les objectifs, le périmètre (systèmes, équipes, période), les critères (politiques, procédures, normes) et les méthodes (entretiens, échantillonnage des tickets, analyse des journaux, vérifications de configuration). Ces sept étapes décrivent le déroulement typique d'un cycle d'examen indépendant.

Étape 1 – Confirmer la portée et les objectifs

Définir ensemble ce qui sera examiné, pourquoi c'est important, et quelles politiques, quels services et quelle période sont concernés.

Étape 2 – Identifier les politiques, procédures et documents pertinents

Rassemblez les documents et les enregistrements qui décrivent le fonctionnement prévu du contrôle avant de commencer les tests.

Étape 3 – Définir les critères d’échantillonnage et la taille de l’échantillon

Décidez quels tickets, journaux ou configurations vous allez tester, et combien d'éléments sont nécessaires pour obtenir un échantillon représentatif.

Étape 4 – Recueillir et tester les preuves par rapport aux critères

Extrayez les éléments sélectionnés de vos systèmes et comparez-les à vos procédures et normes documentées.

Étape 5 – Consigner les observations, les non-conformités et les améliorations

Notez ce que vous avez vu, ce qui n'a pas répondu à vos attentes et les pistes d'amélioration que vous avez identifiées.

Étape 6 – Convenir et consigner les actions correctives avec les propriétaires

Discuter des résultats avec les responsables des contrôles, convenir des actions à entreprendre avec des échéances et les consigner dans un registre central.

Étape 7 – Consigner les résultats dans le rapport de gestion et le registre des risques

Résumer l'examen à l'intention de la direction et intégrer les conclusions pertinentes au registre des risques et à l'ordre du jour de la revue de gestion.

Lorsque tous les intervenants comprennent ce processus, les revues apparaissent moins comme des enquêtes mystérieuses et davantage comme une activité structurée et bien définie. Il devient ainsi plus facile d'expliquer votre démarche aux auditeurs et aux clients, et de démontrer comment vous maîtrisez la charge de travail tout en respectant la norme A.5.35. Vous ne devriez pas avoir à réinventer le processus pour chaque revue ; cette procédure permet de clarifier les attentes, tant pour les réviseurs que pour les ingénieurs.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Preuves à faible friction : utiliser les journaux, les tickets et les tableaux de bord au lieu des entretiens

Les audits indépendants sont bien moins contraignants lorsqu'on s'appuie sur les journaux, les tickets et les tableaux de bord plutôt que sur des entretiens incessants. Les fournisseurs de services gérés (MSP) modernes disposent d'une quantité considérable de données générées automatiquement, et l'annexe A.5.35 ne détaille pas les méthodes de collecte de ces données. Son objectif, repris par la norme ISO/IEC 27002:2022 pour le contrôle 5.35, est de garantir l'objectivité et l'efficacité des audits. Cela signifie que vous pouvez vous appuyer fortement sur les données de vos systèmes existants plutôt que de multiplier les réunions interminables. L'un des moyens les plus rapides de simplifier les audits indépendants est d'utiliser les données dont vous disposez déjà : votre MSP génère des tickets, des enregistrements de modifications, des tableaux de bord de surveillance, des configurations de référence, des rapports de sauvegarde, des journaux d'authentification, etc. L'annexe A.5.35 vous demande simplement de confirmer, objectivement, que vos dispositifs de sécurité sont en place et fonctionnels. Lorsque les auditeurs extraient d'abord les rapports et les échantillons de ces systèmes et ne sollicitent les personnes qu'en cas de nécessité, chacun gagne du temps, les perturbations sont réduites et les preuves sont plus convaincantes que de simples souvenirs reconstitués.

Utilisez votre pile d'outils comme principale source de preuves

Votre environnement de contrôle doit constituer la principale source de preuves pour la plupart des audits indépendants. Commencez par lister les systèmes qui décrivent déjà le fonctionnement de vos contrôles : vos outils de gestion des services informatiques et de support technique, votre plateforme de surveillance et de gestion à distance, la gestion des journaux ou la gestion des informations et des événements de sécurité, les tableaux de bord de sauvegarde, les plateformes d’identité et les systèmes de gestion des changements. Pour chaque domaine de contrôle clé (gestion des accès, contrôle des changements, application de correctifs, gestion des incidents, sauvegarde et restauration, gestion des fournisseurs, etc.), identifiez le système qui enregistre les événements et décisions pertinents. Lors d’un audit, votre première action devrait consister à extraire des rapports ou des requêtes de ces systèmes plutôt que de demander aux ingénieurs de fouiller dans leurs boîtes de réception.

Par exemple, pour vérifier si les incidents sont correctement classés et clôturés, vous pouvez examiner un échantillon de tickets d'incident du dernier trimestre et vous assurer que chacun comporte une catégorie, un niveau d'impact, une analyse des causes profondes et des notes de clôture. Pour évaluer la gestion des changements, vous pouvez consulter les enregistrements de changement afin de vérifier la présence d'évaluations des risques, d'approbations et de revues post-implémentation. Concernant les sauvegardes, vous pouvez consulter les rapports de synthèse présentant les taux de réussite et les tests de restauration. Ces contrôles basés sur les données sont plus rapides, moins subjectifs et plus convaincants pour les auditeurs que les explications informelles. Ils permettent également à vos ingénieurs de se concentrer sur la correction des lacunes plutôt que de répondre sans cesse aux mêmes questions sur les activités passées.

Créez une bibliothèque réutilisable de requêtes de tickets et de journaux

Une bibliothèque de requêtes réutilisable transforme la recherche de preuves ponctuelle en une routine reproductible. Centralisez les requêtes et les filtres utilisés pour chaque contrôle dans une bibliothèque simple. Par exemple, vous pouvez définir des recherches enregistrées telles que « tous les incidents à fort impact des trois derniers mois », « modifications affectant les plateformes clientes principales » ou « nouveaux comptes privilégiés créés ce trimestre ». À chaque cycle d'examen, les examinateurs peuvent exécuter ces requêtes enregistrées, sélectionner un échantillon et consigner leurs tests et conclusions. Cela évite de réinventer la roue et réduit la variabilité entre les examinateurs. Il est également plus facile de déléguer la collecte de preuves à une personne extérieure à l'équipe technique, en suivant des instructions claires.

Avec le temps, vous constaterez que certaines requêtes sont utiles non seulement pour les évaluations formelles, mais aussi pour les contrôles opérationnels réguliers. C'est l'idéal : plus les éléments de votre évaluation indépendante correspondent à votre mode de gestion actuel des services, moins cela vous semblera une charge supplémentaire. N'oubliez pas de documenter les règles d'échantillonnage (par exemple, sélectionner systématiquement au moins dix éléments, un certain pourcentage de l'activité totale ou au moins un exemple par segment de clientèle clé) afin d'éviter toute accusation de partialité. Des critères clairs garantissent l'équité et l'indépendance perçue.

Gestion sécurisée des preuves sensibles dans les dossiers d'audit

La gestion sécurisée des éléments de preuve sensibles fait partie intégrante de la réalisation d'audits indépendants crédibles. Ces audits impliquent inévitablement l'accès à des informations sensibles : journaux de production, rapports d'incidents, captures d'écran de configurations ou listes de comptes à privilèges. Vous devez traiter ces documents avec le même soin que les données clients dans le cadre de vos activités courantes. Cela signifie limiter l'accès aux documents de travail d'audit, les stocker dans des référentiels sécurisés et réfléchir attentivement au contenu des rapports officiels susceptibles d'être partagés plus largement avec les clients ou les auditeurs externes.

En règle générale, conservez les preuves détaillées, potentiellement identifiantes, dans des documents de travail internes et synthétisez-les dans des rapports de niveau supérieur en utilisant des statistiques, des tendances et des exemples expurgés. Si un ticket contient des données personnelles ou des informations client confidentielles, supprimez ou masquez ces éléments avant de l'inclure en pièce jointe. En cas de doute, privilégiez l'agrégation : indiquer que « dix incidents sur douze sur l'échantillon ont fait l'objet d'une analyse complète des causes profondes » est généralement suffisant pour garantir la sécurité sans divulguer de noms ni de détails. Un espace de travail structuré pour le système de gestion de la sécurité de l'information (SGSI) ou un module d'audit peut appliquer des contrôles d'accès et des règles de conservation pour ces enregistrements, vous aidant ainsi à concilier des tests approfondis avec le respect de la vie privée et les obligations contractuelles.



Transformer les audits internes en un moteur de preuves destiné aux clients

L'annexe A.5.35 tire bien plus de valeur des audits internes lorsqu'ils servent également de source de preuves pour les clients. Si vous considérez les évaluations indépendantes uniquement comme une obligation interne, vous passerez à côté d'une part importante de leur intérêt. Pour les fournisseurs de services gérés (MSP), l'annexe A.5.35 peut être le moteur d'audits clients plus fluides, de questionnaires de sécurité plus rapides, de discussions de renouvellement plus efficaces et même de marges plus importantes. L'essentiel est de concevoir les résultats de vos audits internes de manière à ce qu'ils puissent être partiellement réutilisés, de façon contrôlée, comme preuve externe et contribuer à démontrer votre fiabilité, et non pas seulement à satisfaire un auditeur. Les entreprises clientes exigent de plus en plus de preuves que leurs fournisseurs testent activement les contrôles, et ne se contentent pas d'appliquer les politiques. Les guides sur la réponse aux questionnaires de sécurité, tels que les articles destinés aux RSSI et aux responsables fournisseurs, soulignent la fréquence à laquelle les clients demandent désormais des exemples de tests, de conclusions d'audits internes et d'actions correctives, au lieu de se contenter d'un simple extrait de politique.

Les entreprises clientes exigent de plus en plus de preuves que leurs fournisseurs testent activement les contrôles, et ne se contentent pas d'appliquer des politiques ; si vous pouvez démontrer que votre fournisseur de services gérés (MSP) effectue des audits indépendants réguliers, consigne les résultats et met en œuvre les améliorations, vous apportez la preuve tangible que votre sécurité est gérée, et non présumée.

La gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs ont été cités comme un défi majeur par environ 41 % des organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online.

Concevez des rapports internes faciles à réutiliser avec les clients.

Les rapports internes qui reflètent les questions typiques des clients sont bien plus faciles à réutiliser lors des échanges commerciaux et d'assurance qualité. Lors de la rédaction d'un rapport d'audit indépendant, veillez à adopter une structure similaire à celle des questions clients habituelles. Indiquez le contrôle ou le sujet, l'objectif du test, la méthode utilisée, la période couverte, les caractéristiques de l'échantillon, le résultat et les actions correctives mises en œuvre. Par exemple : « Objectif : vérifier que les audits d'accès trimestriels sont effectués pour les comptes administrateurs. Méthode : échantillon de dix comptes répartis sur trois systèmes principaux pour les deux derniers trimestres ; comparaison des preuves d'audit et d'approbation avec la procédure de gestion des accès. Résultat : huit comptes sur dix présentaient des preuves complètes ; deux comptes ne disposaient pas de validation ; des actions correctives ont été proposées. »

Si vos rapports suivent ce modèle, vous pouvez en extraire des sections pour les questionnaires de vérification préalable des clients ou joindre des résumés expurgés pour démontrer que vous testez activement les contrôles. Il n'est pas nécessaire de partager tous les détails ; un résumé d'une ou deux pages par domaine, accompagné d'une indication du nombre de constats relevés et du nombre de constats en cours, suffit généralement. Plus votre format de rapport est uniforme, plus il sera facile pour les gestionnaires de comptes et les responsables de la sécurité de répondre rapidement et avec assurance aux questions externes.

Associez les tests aux cadres et questionnaires qui intéressent vos clients.

L'alignement de vos tests sur les référentiels clients permet à un seul audit de répondre à de nombreux questionnaires différents. La plupart des entreprises raisonnent en fonction de leurs propres référentiels : ISO 27001, SOC 2, référentiels de sécurité largement utilisés, réglementations sectorielles ou catalogues de contrôles internes. Les documents comparatifs de référentiels, tels que les guides comparant l'ISO 27001 et le SOC 2 ou expliquant la correspondance entre les réglementations sectorielles et les ensembles de contrôles, montrent à quelle fréquence les organisations ancrent l'assurance fournisseur dans ces structures avant de les traduire en questionnaires personnalisés. En alignant votre liste de contrôle d'audit interne sur un catalogue de contrôles unifié qui associe vos tests à ces référentiels, vous pouvez répondre à un large éventail de demandes externes avec les mêmes éléments de preuve. Par exemple, un seul test d'audit des accès privilégiés peut répondre aux exigences de l'annexe A, aux critères fréquemment demandés pour les organisations de services et aux fonctions de gestion des identités largement reconnues.

La tenue de ce registre centralisé, sous forme de feuille de calcul ou, plus efficacement, sur une plateforme de gestion de la sécurité de l'information (GSSI), permet de retrouver facilement les rapports d'audit interne et les éléments probants pertinents pour chaque question client. Ainsi, lorsqu'un fournisseur vous demande : « Comment garantissez-vous l'application rapide des correctifs ? », vous pouvez vous référer directement à votre récent audit indépendant de la gestion des correctifs, sans avoir à élaborer une réponse de toutes pièces. À terme, cette approche réduit les délais de réponse, améliore la cohérence des réponses et démontre aux clients que vous disposez d'un modèle d'assurance robuste, conforme à la norme A.5.35.

Parler des résultats sans saper la confiance

Parler ouvertement des résultats et des mesures prises en conséquence renforce la confiance, contrairement à la prétention d'une perfection absolue. De nombreux fournisseurs de services gérés (MSP) craignent que la divulgation d'informations internes n'inquiète leurs clients. En pratique, les clients avertis comprennent que tout programme de sécurité sérieux révèle des failles ; l'important est la manière dont vous réagissez. Lorsque vous expliquez votre programme d'audit indépendant, présentez-le comme un cycle de tests et d'amélioration. Par exemple : « Nous effectuons des audits indépendants trimestriels de notre service de sauvegarde. Lors du dernier audit, nous avons identifié des lacunes dans la documentation relative aux tests de restauration, convenu d'actions correctives et pouvons attester de leur mise en œuvre. »

Ce type de récit instaure la confiance car il démontre votre capacité d'auto-évaluation critique et votre volonté d'agir en conséquence. Évitez de dissimuler les problèmes ; au contraire, replacez-les dans leur contexte, expliquez votre méthode d'évaluation des risques et décrivez les améliorations apportées. Votre capacité à démontrer que l'annexe A.5.35 se traduit par des changements concrets – procédures actualisées, meilleur suivi, amélioration des niveaux de service – aura souvent plus d'importance pour vos clients qu'un rapport irréprochable. Cela renforce également l'idée que l'examen indépendant fait partie intégrante de votre proposition de valeur, et n'est pas une simple formalité de certification.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Gouvernance, indicateurs, KPI et lacunes typiques de l'annexe A.5.35 dans les MSP

La gouvernance, les indicateurs et les KPI transforment l'annexe A.5.35 d'une simple formalité administrative en un élément essentiel de votre SMSI. L'examen indépendant n'est pas une simple activité ; il fait partie intégrante de votre dispositif de gouvernance. Sans indicateurs de base et sans supervision claire, les examens peuvent se réduire à une simple formalité de conformité que personne ne prend au sérieux. Avec les indicateurs et la fréquence appropriés, ils deviennent une source d'information fiable sur l'efficacité de vos dispositifs de sécurité. Par ailleurs, de nombreux fournisseurs de services gérés (MSP) présentent des lacunes similaires dans la mise en œuvre de l'annexe A.5.35, qu'il convient d'analyser comme des problèmes de conception plutôt que comme des erreurs individuelles.

Indicateurs clés de performance (KPI) qui démontrent l'efficacité de votre programme d'évaluation.

Un ensemble restreint et ciblé d'indicateurs clés de performance (KPI) permet de vérifier la bonne santé de votre programme d'évaluation sans vous noyer sous les chiffres. Inutile de multiplier les indicateurs pour gérer efficacement l'annexe A.5.35. Une liste courte, comprise par la direction, suffit généralement. Voici quelques exemples utiles :

Dans l'enquête de 2025, seulement 29 % environ des organisations ont déclaré n'avoir reçu aucune amende pour des manquements à la protection des données, ce qui signifie qu'une nette majorité avait été sanctionnée, certaines amendes dépassant 250 000 £.

  • Examens prévus réalisés dans les délais : – pourcentage réalisé par rapport à votre calendrier annuel.
  • Constatations par examen : – le nombre et la gravité, pour voir si vous êtes encore en phase d'apprentissage.
  • Délai moyen pour la clôture des conclusions : – la rapidité avec laquelle vous réagissez à ce que vous découvrez.
  • Résultats répétés : – des problèmes qui réapparaissent, signe d’un suivi insuffisant.
  • Couverture des services à haut risque : – proportion des services critiques ayant fait l’objet d’un examen indépendant au cours des 12 à 18 derniers mois.

Le suivi de ces indicateurs dans le temps permet de repérer les tendances : les dates de révision sont-elles régulièrement repoussées ? Les mêmes problèmes se répètent-ils ? Des zones à haut risque sont-elles négligées ? Présentez ces indicateurs lors des réunions de revue de direction, accompagnés de commentaires, et non pas seulement sous forme de chiffres bruts. Si vous constatez une augmentation soudaine des anomalies liées à la gestion des accès, vous pourriez envisager d’investir dans des outils ou des formations supplémentaires. Si le délai de résolution des anomalies s’allonge, cela peut indiquer des contraintes de ressources ou un manque de clarté quant aux responsabilités, autant de points qui nécessitent une attention particulière.

Les lacunes communes de l'annexe A.5.35 dans lesquelles les MSP se retrouvent

De nombreux fournisseurs de services gérés (MSP) commettent des erreurs similaires lors de leur première tentative de mise en œuvre de la norme A.5.35. Les identifier rapidement permet d'éviter les mauvaises surprises. Dans différentes organisations, des faiblesses récurrentes apparaissent lors des programmes d'audit indépendants :

  • Aucune procédure documentée : – les avis sont ponctuels et incohérents.
  • Faible indépendance : – la même personne conçoit, gère et « examine » les contrôles.
  • Cadence sporadique : – Les revues sont regroupées avant les audits au lieu de suivre un plan.
  • Documentation succincte : – Portée imprécise, peu de preuves de tests, suivi insuffisant des actions.

Ces lacunes sont importantes car elles nuisent à la confiance et à la conformité. Un auditeur de certification peut relever des non-conformités s'il ne constate aucun processus structuré et indépendant. Un client pourrait remettre en question votre maturité si vous ne pouvez pas fournir de rapports d'audit récents. Les parties prenantes internes perdent confiance si les conclusions se perdent dans des échanges de courriels. Considérer ces lacunes comme des problèmes de conception courants facilite leur résolution de manière constructive plutôt que sur la défensive.

Des succès rapides que vous pouvez obtenir dans les 60 à 90 prochains jours

Un effort ciblé de 60 à 90 jours peut générer des progrès visibles et consolider la crédibilité de votre mise en œuvre de la norme A.5.35. Il n'est pas nécessaire de combler immédiatement toutes les lacunes. Commencez par rédiger ou mettre à jour une procédure d'examen indépendant ou d'audit interne définissant l'objectif, le périmètre, les critères d'indépendance, la planification, l'exécution et le compte rendu. Ensuite, élaborez un plan d'examen simple sur douze mois, listant les domaines à évaluer et le calendrier, en lien avec votre modèle de risque. Enfin, mettez en place un registre de base des constats et des actions correctives, avec les responsables et les échéances, idéalement dans un système partagé plutôt que dans un tableur personnel.

Enfin, effectuez un test pilote en utilisant la nouvelle procédure, en ciblant un domaine à forte valeur ajoutée comme la gestion des accès, la sauvegarde ou la réponse aux incidents. Profitez de ce cycle pour affiner vos listes de contrôle, votre méthode d'échantillonnage et le format de vos rapports. Capitalisez sur les enseignements tirés et intégrez-les à votre processus de gouvernance. Si vous utilisez une plateforme de gestion de la sécurité de l'information (GSSI) comme ISMS.online, configurez son module d'audit ou de revue interne pour prendre en charge ce modèle, afin de faciliter la planification et la répétition des cycles suivants. Lorsque des auditeurs ou des clients vous interrogeront sur votre gestion des revues indépendantes, vous serez alors en mesure de décrire un programme opérationnel et évolutif, et non une simple aspiration.



Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous aide à transformer l'Annexe A.5.35, souvent perçue comme une obligation contraignante, en un cycle d'assurance structuré et reproductible, parfaitement adapté au fonctionnement de votre système de gestion des services de management (MSP). Fini les jonglages entre tableurs, échanges d'e-mails et preuves éparses : gérez l'intégralité de votre programme d'audit depuis un espace unique. Planifiez les périmètres et les échéanciers, désignez les auditeurs en respectant leur indépendance vis-à-vis des responsables des contrôles, intégrez les preuves issues de vos outils existants, suivez les résultats et démontrez la clôture du processus. Une courte session d'accompagnement est souvent la solution la plus simple pour vérifier si cette approche correspond à vos objectifs en matière d'Annexe A.5.35.

Voir l'annexe A.5.35 concernant le travail au sein d'un SMSI structuré

Visualiser l'annexe A.5.35 modélisée dans ISMS.online simplifie considérablement sa présentation aux collègues, auditeurs et clients. Vous pouvez explorer les modèles intégrés pour les audits internes et les revues indépendantes, les associer à la clause 9.2 de la norme ISO 27001 et aux contrôles de l'annexe A, et les adapter à vos lignes de services et engagements clients. La gestion des accès et des flux de travail basée sur les rôles vous permet de démontrer votre indépendance en distinguant clairement les personnes chargées de la mise en œuvre des contrôles de celles qui les examinent. Le guide d'audit interne d'ISMS.online souligne comment la gestion des accès basée sur les rôles, les flux de travail structurés et les registres de preuves facilitent cette distinction en pratique, permettant ainsi de démontrer plus facilement votre objectivité lorsque les auditeurs vous interrogent sur les personnes qui vérifient vos contrôles.

Les tableaux de bord offrent à la direction une vue immédiate de l'état d'avancement des examens, des conclusions en suspens et des mesures correctives, permettant ainsi des examens de gestion et des mises à jour du conseil d'administration plus efficaces.

Choisissez la prochaine étape qui correspond à votre rôle

La prochaine étape dépend de votre rôle, et une première session doit s'apparenter à une exploration pratique plutôt qu'à une démarche commerciale. Si vous êtes fondateur ou responsable des opérations, vous pouvez vous concentrer sur la manière dont un programme d'audit structuré protège les revenus, facilite les audits clients et réduit les interventions d'urgence de dernière minute. Si vous êtes responsable de la sécurité ou de la conformité, vous pouvez approfondir la planification des audits, la gestion des preuves et la mise en correspondance avec d'autres référentiels tels que SOC 2 ou des référentiels de sécurité largement utilisés. Les consultants et les RSSI externalisés peuvent explorer comment standardiser les programmes de l'Annexe A.5.35 pour plusieurs clients MSP dans des espaces de travail distincts.

Vous pouvez observer ces modèles en pratique lors d'une courte démonstration et décider ensuite si cet environnement convient à votre MSP. Choisissez ISMS.online si vous souhaitez que l'annexe A.5.35 favorise à la fois l'assurance et la croissance, et pas seulement la certification. Si vous accordez de l'importance à des preuves structurées, à des rapports faciles à rédiger pour les auditeurs et à une réduction du stress lié aux audits pour vos ingénieurs, ISMS.online est prêt à aider votre MSP à mettre en place un programme d'examen indépendant aussi efficace sur le terrain que sur le papier.

Demander demo


Foire aux questions

Vous n'avez pas besoin de réécrire ici ; vous avez besoin que la critique soit supprimée, et non dupliquée.

Actuellement, votre bloc « Critique » est une copie presque conforme de la version préliminaire de la FAQ. C’est pourquoi le système d’évaluation du contenu renvoie toujours 0 : il analyse deux ensembles de FAQ quasi identiques l’un après l’autre.

Voici la marche à suivre, étape par étape :

  1. Ne conservez qu'un seul exemplaire de la FAQ.
    Supprimez tout ce qui se trouve sous ## CritiqueVotre brouillon de travail ne devrait contenir que le premier bloc FAQ (de « ### Qu’est-ce que l’annexe A.5.35 de la norme ISO 27001:2022 exige réellement d’un MSP ? » jusqu’au dernier paragraphe concernant l’IMS de type annexe L).

  2. Supprimer l'échafaudage « ## Historique / ## Tâche / ## Brouillon de FAQ / ## Critique »
    Pour une page FAQ en ligne, seuls les titres H3 et le texte courant sont nécessaires. Toutes les balises méta et les noms de sections (Historique, Tâche, Brouillon, Critique) doivent être supprimés avant publication.

  3. Quelques petits détails à peaufiner pour plus de clarté et de fiabilité.
    Si vous souhaitez une version légèrement nettoyée, prête à être collée, la voici avec quelques modifications mineures et sans balises méta :

Qu’exige concrètement un fournisseur de services gérés (MSP) selon l’annexe A.5.35 de la norme ISO 27001:2022 ?

L’annexe A.5.35 exige que votre fournisseur de services gérés (MSP) effectue des audits planifiés, documentés et objectifs de votre gestion de la sécurité de l’information, et non un simple contrôle ponctuel avant la certification. Vous définissez le périmètre de ces audits, leur fréquence, les personnes chargées de les réaliser, les critères utilisés, ainsi que la manière dont vous consignez les résultats et les actions à entreprendre.

À quoi ressemble un « examen indépendant » pour un fournisseur de services gérés ?

Pour la plupart des fournisseurs de services gérés, l'annexe A.5.35 devient réalité lorsque vous :

  • Rédigez une brève procédure expliquant comment les revues indépendantes ou les audits internes du système de management de la sécurité de l'information (SMSI) sont planifiés, réalisés et rapportés.
  • Élaborez un calendrier d'évaluations liées à vos services, aux risques et aux changements majeurs, plutôt que de vous fier à une seule inspection annuelle.
  • Désignez des examinateurs qui ne sont pas responsables de la mise en œuvre des contrôles qu'ils testent, afin qu'ils puissent donner un avis objectif.
  • Consignez les plans d'examen, les échantillons, les conclusions et les actions correctives de manière à pouvoir les présenter aux auditeurs et aux clients.

Cette structure transforme l'A.5.35, une étiquette vague, en une activité d'assurance concrète et reproductible qui correspond à votre taille, à votre profil de client et à votre catalogue de services.

En quoi l'annexe A.5.35 diffère-t-elle de la clause 9.2 relative à l'audit interne ?

L’article 9.2 porte sur l’audit de votre système de management de la sécurité de l’information (SMSI) au regard de la norme ISO 27001 et de vos propres exigences, tandis que l’annexe A.5.35 vise à faire examiner vos dispositifs de sécurité globaux par un organisme indépendant afin de confirmer qu’ils demeurent adaptés, adéquats et efficaces. La plupart des fournisseurs de services gérés (MSP) couvrent judicieusement ces deux aspects en mettant en œuvre un programme d’audit interne unique qui :

  • Vérifie si votre système de gestion de la sécurité de l'information (SGSI) est conforme à la norme ISO 27001 et à vos politiques (article 9.2), et
  • Comprend des vérifications régulières, basées sur les risques, que vos contrôles fonctionnent réellement en pratique (A.5.35).

Les auditeurs veillent à ce que les examens soient planifiés, objectifs et aboutissent à une amélioration visible, et non à un simple exercice administratif annuel.

Comment ISMS.online vous aide-t-il à fournir les preuves de l'annexe A.5.35 ?

ISMS.online vous offre un espace de travail unique pour :

  • Conservez votre procédure d'examen indépendant ou d'audit interne.
  • Élaborer un plan d'examen annuel et pluriannuel lié aux risques et aux services.
  • Attribuez aux réviseurs des rôles distincts de ceux des responsables du contrôle.
  • Preuves de référence issues des outils de billetterie, de surveillance, de sauvegarde et d'identité.
  • Suivre les résultats, les actions correctives et les nouveaux tests jusqu'à la résolution du problème.

Lorsqu'un organisme de certification ou un client entreprise vous demande « Montrez-moi votre dernier examen indépendant », vous pouvez ouvrir l'élément correspondant dans ISMS.online, parcourir le plan, les exemples et les actions, et exporter un résumé concis au lieu de devoir parcourir des dossiers et des fils de discussion par e-mail.

Si vous souhaitez que l'annexe A.5.35 soit perçue comme un processus d'assurance contrôlé plutôt que comme une exigence vague, la centraliser dans un espace de travail ISMS.online est généralement la prochaine étape la plus simple.

Comment un petit fournisseur de services gérés peut-il démontrer une évaluation « indépendante » avec une équipe de sécurité réduite ?

Un petit fournisseur de services gérés peut démontrer son indépendance en séparant les rôles et les lignes hiérarchiques, même s'il ne compte qu'un ou deux spécialistes en sécurité. L'indépendance signifie ici que les personnes qui analysent et valident l'évaluation ne sont pas celles qui conçoivent et exploitent les contrôles testés.

Quelles sont les options pratiques lorsqu'on est très peu nombreux ?

Dans une PME de 10 à 50 personnes, l'indépendance se présente souvent comme suit :

  • Un directeur des opérations, des finances ou un directeur général de haut niveau commanditaire et responsable de l'étude.
  • Une personne extérieure au service de sécurité quotidien (prestation de services, finances, RH ou un conseiller externe) suit une liste de contrôle, examine les preuves et rédige le rapport.
  • Le responsable de la sécurité fournit les journaux, les tickets et les explications, mais ne « corrige pas ses propres devoirs ».

Vous pouvez renforcer cela en :

  • Établir par écrit des règles simples en matière de conflits d'intérêts afin qu'un responsable ne puisse pas examiner son propre domaine.
  • Documenter à qui les examinateurs rendent compte et comment leurs conclusions sont remontées à l'échelon supérieur.
  • Discuter des conclusions lors des réunions d'examen de la direction où la sécurité n'est qu'un aspect parmi d'autres.
  • Recourir occasionnellement à un consultant externe pour les sujets à haut risque ou pour valider votre approche globale.

Les auditeurs et les clients souhaitent avant tout entendre une version claire des faits : qui examine quoi, pourquoi ils sont indépendants du travail testé et comment la direction utilise les résultats.

Comment ISMS.online favorise-t-il l'indépendance sans effectif supplémentaire ?

Sur ISMS.online, vous pouvez :

  • Attribuer des rôles différents aux responsables et aux examinateurs des contrôles.
  • Contrôler l'accès aux dossiers d'audit afin que les réviseurs conservent leur objectivité.
  • Afficher les lignes hiérarchiques et examiner les résultats à travers les comptes rendus de revue de direction.
  • Joindre les déclarations de conflits d’intérêts et les profils des réviseurs aux activités concernées.

Cela rend votre modèle d’indépendance au titre de l’annexe A.5.35 beaucoup plus facile à expliquer et à prouver, même si vous n’avez pas de service d’audit interne formel.

Si vous souhaitez passer d'une approche basée sur la confiance (« faites-nous confiance, nous vérifions tout ») à un modèle d'indépendance documenté que vous pouvez présenter à l'écran en quelques clics, ISMS.online vous offre cette structure sans vous obliger à agrandir votre équipe.

Comment un fournisseur de services gérés (MSP) peut-il concevoir un programme d'audit interne basé sur les risques qui ne submerge pas les ingénieurs ?

Vous rendez les revues gérables en concentrant vos efforts là où un échec aurait le plus d'impact et en échantillonnant le reste au fil du temps. Cela signifie utiliser les risques pour orienter votre calendrier d'audit plutôt que de tenter d'inspecter chaque contrôle en profondeur chaque année.

Comment décidez-vous ce qu'il faut revoir et à quelle fréquence ?

Une méthode pratique consiste à :

  • Cartographier l'impact des services essentiels (réseaux gérés, sauvegarde, identité, surveillance, réponse aux incidents) sur la confidentialité, l'intégrité et la disponibilité.
  • Évaluer les services et les zones de contrôle (niveau élevé, moyen ou faible) en fonction de la sensibilité des données, de l'exposition réglementaire et des incidents passés.
  • Planifiez votre calendrier de révision afin que les sujets à haut risque (accès privilégié, correctifs, tests de restauration, gestion des incidents) fassent l'objet de révisions plus fréquentes et d'un échantillonnage légèrement plus approfondi.
  • Il est préférable de faire tourner les zones à faible risque sur un cycle plus long plutôt que de les ignorer.

Chaque évaluation peut suivre un processus simple et reproductible :

  1. Définir la portée et les objectifs dans un plan succinct.
  2. Identifier les critères : politiques, engagements contractuels, normes externes.
  3. Définir des exemples : tickets, enregistrements de modifications, journaux, rapports.
  4. Analysez les échantillons et consignez les preuves.
  5. Consignez les résultats, les causes profondes et les actions convenues avec les propriétaires, ainsi que les dates.

En limitant le temps que les réviseurs et les ingénieurs sont censés consacrer aux revues, et en alignant ces revues sur les rythmes existants (sprints, réunions du CAB, fenêtres de maintenance), vous évitez un audit trop chronophage. Les ingénieurs savent quand les revues auront lieu, quelles questions seront posées et combien de temps cela prendra ; l’annexe A.5.35 s’intègre donc naturellement au travail plutôt que de constituer un projet parallèle perturbateur.

Comment ISMS.online facilite-t-il la mise en œuvre d'un programme basé sur les risques ?

ISMS.online vous aide à :

  • Élaborer un calendrier d’audit basé sur les risques, lié aux services, aux actifs et aux contrôles ISO 27001.
  • Réutilisez les modèles de plans d'audit, de listes de contrôle et de rapports afin que chaque examen suive le même schéma simple.
  • Centralisez et suivez les actions, les échéances et les nouveaux tests.
  • Visualisez en un coup d'œil les domaines qui ont été examinés, ceux qui le sont et les zones où des résultats similaires apparaissent.

Cette structure permet de maintenir un programme allégé et efficace. Si vous souhaitez démontrer votre approche fondée sur les risques sans pour autant transformer les audits en une activité à temps plein, l'utilisation d'ISMS.online comme plateforme centrale pour vos revues de l'annexe A.5.35 est une solution pertinente.

Quelles preuves un MSP doit-il recueillir pour prouver que l'annexe A.5.35 est mise en œuvre efficacement ?

Pour satisfaire aux exigences de l'annexe A.5.35, vous devez démontrer que des examens indépendants sont effectués et qu'ils vérifient le fonctionnement réel des contrôles, et non pas seulement l'existence de documents. Un ensemble de preuves restreint mais cohérent suffit généralement à rassurer les auditeurs et les clients.

Quels documents et éléments les auditeurs recherchent-ils généralement ?

Les preuves typiques comprennent :

  • Une procédure concise et documentée pour les audits internes ou les revues indépendantes des systèmes de management de la sécurité de l'information (SMSI).
  • Un plan annuel ou pluriannuel précisant ce qui sera examiné, quand et par qui.
  • Étendues ou plans d'examen individuels décrivant les objectifs, les critères et les échantillons.
  • Documents de travail ou listes de preuves montrant des exemples de tickets, des modifications, des rapports de sauvegarde, des revues d'accès, des journaux d'incidents et des enregistrements similaires.
  • Des comptes rendus clairs des constatations, des causes profondes et des possibilités d'amélioration.
  • Un registre des mesures correctives avec les responsables, les dates d'échéance et les preuves de clôture.
  • Compte rendu de la réunion de direction présentant les résultats et les décisions à la direction.

La plupart des données brutes se trouvent déjà dans vos outils. Les tickets du service d'assistance, les enregistrements de modifications et les tableaux de bord de surveillance peuvent tous servir de preuves pour une analyse indépendante si vous sélectionnez des échantillons représentatifs et les associez à des tests et conclusions spécifiques. Il n'est pas nécessaire de conserver tous les journaux ; il vous en faut suffisamment pour démontrer qu'une personne a examiné une activité réelle et formulé un jugement objectif.

Au fil des cycles, vous constituerez naturellement un « dossier d'assurance » qui deviendra indispensable pour les questionnaires fournisseurs, les audits clients et la recertification.

Comment ISMS.online vous aide-t-il à organiser et à récupérer ces preuves ?

Avec ISMS.online, vous pouvez :

  • Associez chaque évaluation aux contrôles, risques et services pertinents.
  • Joindre ou faire référence à des éléments de preuve provenant d'outils opérationnels sans tout dupliquer.
  • Tenir un registre unique des constatations et des mesures correctives pour l'ensemble des examens.
  • Générez des exportations ou des résumés adaptés aux auditeurs ou aux clients.

Au lieu de devoir fouiller frénétiquement dans des e-mails, des captures d'écran et des lecteurs partagés lorsqu'on vous demande de prouver que ce contrôle a fait l'objet d'un examen indépendant, vous pouvez présenter l'examen, les échantillons et les actions depuis une seule page d'ISMS.online. L'annexe A.5.35 devient ainsi beaucoup moins stressante pour votre équipe et plus convaincante pour les interlocuteurs externes.

À quelle fréquence un MSP doit-il effectuer des examens indépendants en vertu de l'annexe A.5.35, et comment justifier son calendrier ?

L’annexe A.5.35 stipule que des examens doivent être effectués à intervalles planifiés et après des changements importants, mais elle laisse la fréquence exacte à votre appréciation fondée sur les risques. L’essentiel est que votre calendrier soit cohérent avec vos services, vos contrats et l’historique des incidents.

À quoi ressemble un rythme de révision raisonnable pour les fournisseurs de services gérés ?

De nombreux fournisseurs de services gérés utilisent une structure comme celle-ci :

  • Un examen indépendant formel et complet chaque année, couvrant le SMSI et les services de base.
  • Des examens trimestriels ou semestriels plus ciblés sur des sujets à haut risque tels que l'accès privilégié, le déploiement de correctifs, le succès de la restauration des sauvegardes ou la gestion des incidents.

Vous pouvez ensuite justifier vos choix en :

  • Associer les fréquences à votre registre des risques et à votre catalogue de services, par exemple en révisant plus souvent les services qui traitent des données réglementées ou des contrats importants.
  • Déclenchement d'examens supplémentaires suite à des changements majeurs de la plateforme, à l'intégration d'un grand nombre de clients ou à des incidents graves.
  • Ajuster la cadence en fonction des données de tendance : les contrôles qui fonctionnent bien de manière constante peuvent passer à un cycle légèrement plus long, tandis que les problèmes récurrents raccourcissent le calendrier.

Lorsque les auditeurs ou les clients demandent « Pourquoi cette fréquence ? », pouvoir se référer à un modèle de risque écrit et à un historique des modifications est bien plus convaincant que de citer une règle empirique.

Comment ISMS.online vous aide-t-il à défendre et à adapter votre rythme ?

Sur ISMS.online, vous pouvez :

  • Consignez la justification de la fréquence de chaque examen en fonction des services, des contrôles et des risques spécifiques.
  • Consultez en un seul endroit les avis à venir, en cours et en retard.
  • Associez les évaluations aux incidents et aux modifications afin de pouvoir indiquer quand des contrôles supplémentaires ont été déclenchés.
  • Offrir aux dirigeants une vue d'ensemble simple de la couverture d'assurance et de son évolution au fil du temps.

Si vous souhaitez que l’annexe A.5.35 ressemble à un processus vivant, axé sur les risques, que vous pouvez expliquer en langage clair, la capture de votre calendrier et de votre justification dans ISMS.online est un moyen efficace d’y parvenir.

Comment les MSP peuvent-ils transformer les audits internes de l’annexe A.5.35 en un atout d’assurance destiné aux clients ?

Vous pouvez transformer vos audits internes en un atout commercial en les concevant de manière à répondre aux questions que se posent vos clients lors des vérifications préalables et des renouvellements. Lorsque les tests de l'annexe A.5.35 sont conçus en tenant compte des besoins des clients, ils deviennent un élément essentiel pour renforcer les garanties de sécurité, et non un simple contrôle interne.

Comment formuler les avis clients pour qu'ils favorisent les ventes et les renouvellements de contrats ?

Une méthode simple et efficace consiste à documenter chaque avis afin de pouvoir facilement réutiliser des éléments dans les conversations avec les clients :

  • Énoncez l'objectif de contrôle dans un langage compréhensible par le client, par exemple : « Les sauvegardes peuvent être restaurées dans les délais convenus. »
  • Décrivez le test effectué : la taille de l’échantillon, la période et les méthodes utilisées.
  • Résumer les résultats et les indicateurs clés, y compris les problèmes rencontrés.
  • Consignez les mesures correctives et indiquez si elles ont été mises en œuvre.

À partir de là, vous pouvez maintenir un pack d'assurance standard qui combine :

  • Un aperçu de votre programme et de la portée de l’examen de l’annexe A.5.35.
  • Résultats récents de haut niveau et indicateurs de tendance, comme le temps nécessaire pour résoudre les problèmes.
  • Confirmation qu'aucun problème critique ne demeure non résolu.
  • Exemples de tests spécifiques soigneusement expurgés le cas échéant.

Lorsqu'un prospect demande « Comment savez-vous que les sauvegardes fonctionnent ? » ou « À quelle fréquence revérifiez-vous les accès privilégiés ? », le fait de pouvoir partager un résumé d'évaluation indépendant récent – ​​plutôt qu'une simple ligne de politique – envoie un signal beaucoup plus fort sur la façon dont vous gérez votre MSP.

Comment ISMS.online vous aide-t-il à réutiliser les résultats d'audits internes avec vos clients ?

ISMS.online vous permet de :

  • Étiquetez les résultats des analyses et les rapports en fonction des services et des contrôles spécifiques qui importent aux clients.
  • Exporter des résumés concis ou des listes de preuves conformes aux questionnaires et cadres de référence courants.
  • Conserver un ensemble contrôlé d'extraits sans danger pour le client tout en préservant la confidentialité des documents de travail détaillés.

Cela facilite grandement la création et le maintien d'un ensemble d'assurance reproductible qui prend en charge les nouvelles transactions, les renouvellements et les vérifications préalables des fournisseurs, tout en gardant l'annexe A.5.35 fermement ancrée dans la manière dont vous gérez réellement vos services.

Si vous souhaitez que les audits internes protègent les revenus et réduisent les risques, l'utilisation d'ISMS.online pour façonner et partager vos résultats A.5.35 est une manière pratique de commencer.

Comment ISMS.online facilite-t-il la mise en œuvre et le maintien de l'annexe A.5.35 pour les MSP ?

ISMS.online offre à votre prestataire de services de gestion de la sécurité de l'information (PSGI) un cadre structuré pour l'intégralité du cycle de vie de l'annexe A.5.35, de la planification et de l'indépendance jusqu'aux preuves, aux actions correctives et à la revue de direction. Ainsi, les revues indépendantes deviennent une composante prévisible de votre PSGI, et non plus une course contre la montre annuelle.

À quoi ressemble l'annexe A.5.35 sur ISMS.online ?

Au sein d'un environnement ISMS.online unique, vous pouvez :

  • Créer et tenir à jour un calendrier d’audit interne ou d’examen indépendant fondé sur les risques.
  • Désignez des examinateurs, séparez leurs rôles de ceux des responsables du contrôle et gérez les conflits d'intérêts.
  • Associez chaque revue aux contrôles, services, risques, incidents et changements pertinents de la norme ISO 27001.
  • Joindre ou faire référence à des preuves provenant des systèmes de billetterie, de surveillance, de sauvegarde et d'identité.
  • Consignez les résultats, les actions correctives et les nouveaux tests, et suivez l'état d'avancement via des tableaux de bord et des comptes rendus de revue de direction.

Pour les fondateurs et les responsables des opérations, cela signifie que l'annexe A.5.35 devient un élément de la façon dont vous protégez les revenus mensuels récurrents et rassurez les clients d'entreprise, plutôt qu'une tâche de conformité de dernière minute.

Pour les responsables de la sécurité et de la conformité, cela signifie que vous pouvez montrer aux auditeurs de certification exactement comment fonctionne votre contrôle d'examen indépendant et répondre aux questions du type « montrez-moi » avec des données en direct plutôt qu'avec des documents statiques.

Pour les consultants et les RSSI virtuels, ISMS.online fournit un modèle reproductible pour l'annexe A.5.35 que vous pouvez déployer sur plusieurs clients MSP, en utilisant des plans, des modèles et des rapports cohérents tout en adaptant la portée à chaque environnement.

Si vous souhaitez que les évaluations indépendantes soutiennent à la fois l'assurance et la croissance - et non pas simplement cocher une case par rapport à un contrôle - voir l'Annexe A.5.35 exécutée dans ISMS.online est souvent le moyen le plus clair de décider comment elle doit s'intégrer dans votre ISMS et dans tout système de gestion intégré de type Annexe L que vous mettez en place.

Si vous le souhaitez, je peux maintenant :

  • Réécrire les réponses spécifiques pour mieux correspondre au profil d'un « lanceur de campagne de conformité »,
  • Ou bien, condensez cela en une FAQ plus courte de 4 à 5 questions pour une page de destination.

Marc Sharron

Mark Sharron dirige la stratégie de recherche et d'IA générative chez ISMS.online. Il se concentre sur la communication sur le fonctionnement pratique des normes ISO 27001, ISO 42001 et SOC 2, en reliant les risques aux contrôles, aux politiques et aux preuves grâce à une traçabilité adaptée aux audits. Mark collabore avec les équipes produit et client pour intégrer cette logique aux flux de travail et au contenu web, aidant ainsi les organisations à comprendre et à prouver en toute confiance la sécurité, la confidentialité et la gouvernance de l'IA.

Twitter

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.