Passer au contenu
ISMS.en ligne

A.5.36 Conformité aux politiques, règles et normes en matière de sécurité de l'information – Assurance MSP

La norme A.5.36 renforce les exigences pour les fournisseurs de services gérés (MSP), en exigeant la preuve que les politiques de sécurité de l'information sont réellement appliquées, et non pas seulement documentées. Les clients et les conseils d'administration veulent avoir l'assurance que vos contrôles sont efficaces en production, pour tous les outils et toutes les équipes. En harmonisant les politiques, les actions du personnel et les preuves, vous instaurez la confiance, réduisez les risques liés aux tiers et vous démarquez sur un marché réglementé.

Auteur
Marc Sharron
Mise à jour: 1 décembre, 2025
4 / 5 Etoiles

Pourquoi la section A.5.36 est importante pour les fournisseurs de services gérés (MSP) proposant des services de sécurité gérés

La norme A.5.36 est cruciale pour les fournisseurs de services gérés car elle vérifie si vos règles de sécurité sont réellement appliquées en production, et non pas seulement écrites. Elle exige la preuve que vos équipes et vos systèmes respectent ces règles au quotidien. Il n'est plus possible de se retrancher derrière une simple bibliothèque de politiques ; vous devez démontrer que les politiques, les normes et les règles sont comprises, appliquées et corrigées en cas de non-respect, aussi bien au sein de votre environnement interne que pour les services que vous proposez à vos clients, et ce, malgré la multiplicité des outils, des équipes et des fuseaux horaires.

Les informations présentées ici sont d'ordre général et ne constituent pas un avis juridique, réglementaire ou de certification. Pour toute décision concernant votre organisation, veuillez consulter des professionnels qualifiés et l'organisme de certification de votre choix.

De manière générale, le contrôle A.5.36 de la norme ISO/IEC 27001:2022 exige que vous fassiez trois choses :

  • Définissez les politiques, règles et normes de sécurité de l'information qui s'appliquent au sein de votre organisation.
  • Vérifier régulièrement si les personnes et les opérations s'y conforment.
  • Agissez lorsqu'ils ne le font pas et conservez des preuves que tout cela se produit.

Pour la plupart des organisations, c'est un défi. Pour un fournisseur de services gérés (MSP) proposant des services de sécurité gérés, c'est bien plus complexe. Vous n'êtes pas seulement responsable de votre propre personnel et de vos systèmes ; vous intervenez également dans les environnements clients, sur les données clients, et vous vous conformez aux politiques et réglementations sectorielles de vos clients. Vos « règles et normes » incluent donc rapidement :

  • Votre propre politique de sécurité de l'information et vos normes spécifiques au sujet.
  • Calendriers de sécurité client, clauses d'utilisation acceptable et exigences en matière de traitement des données.
  • Normes externes auxquelles vous vous engagez, telles que les configurations de référence ou les codes de bonnes pratiques de l'industrie.

La majorité des personnes interrogées dans le cadre de l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information ont déclaré avoir été touchées par au moins un incident de sécurité impliquant un tiers ou un fournisseur au cours de l'année écoulée.

Si vous fournissez des services tels qu'un centre d'opérations de sécurité (SOC), la détection et la réponse gérées, la gestion des vulnérabilités ou la gestion des points de terminaison, les clients considèrent de plus en plus l'A.5.36 comme leur point d'accroche pour demander : « Comment savons-nous que vous respectez vos propres règles et les nôtres – et que se passe-t-il si vous ne le faites pas ? »

C’est l’une des raisons pour lesquelles les conseils d’administration et les investisseurs posent désormais des questions plus pointues sur la gouvernance des fournisseurs de services gérés (MSP). Les études sectorielles sur la norme ISO 27001 et les cyber-risques en général constatent également un renforcement du contrôle de la sécurité et de la gouvernance par les conseils d’administration, notamment en ce qui concerne les prestataires et sous-traitants, reflétant une évolution plus générale des attentes quant à la gestion des risques. Une simple règle mal alignée dans votre SOC ou votre plateforme de surveillance et de gestion à distance (RMM) peut impacter plusieurs clients simultanément ; ces derniers exigent donc l’assurance que vos contrôles documentés correspondent à la réalité opérationnelle. De même, une analyse indépendante de la cyber-résilience et du facteur humain souligne comment les faiblesses des plateformes ou processus partagés peuvent amplifier l’impact des erreurs individuelles au sein de nombreuses organisations, en particulier lorsque le comportement humain et la rigueur des processus sont essentiels.

Une plateforme comme ISMS.online peut vous aider en centralisant la définition de vos politiques et normes, leur association aux services, l'attribution des responsabilités et leur lien avec des preuves concrètes issues d'audits, d'examens et d'outils opérationnels. Cela ne vous dispense pas du travail de fond, mais rend plus visible et gérable le lien entre nos déclarations et nos réalisations.

La conformité inspire confiance lorsque vos preuves démontrent ce qui se passe réellement, et non ce que vous espérez.

Ce que l'article A.5.36 exige réellement, en termes simples

L’article A.5.36 exige que vous mainteniez des règles de sécurité claires, que vous vérifiiez leur application et que vous corrigiez les problèmes en cas de non-respect. Vous devez également être en mesure de démontrer aux auditeurs et aux clients, par des preuves tangibles et non par de simples intentions, que ce processus est effectif. Concrètement, cela signifie prouver que la conformité à votre politique de sécurité de l’information et aux politiques, règles et normes spécifiques est régulièrement vérifiée et que toute non-conformité est traitée de manière appropriée, dans le cadre d’une boucle de contrôle dynamique reliant règles, comportements, contrôles et améliorations.

Pour un MSP, cette boucle ressemble généralement à ceci :

  • Définir: Vous maintenez un ensemble de règles claires et à jour qui s'appliquent au personnel, aux sous-traitants et, le cas échéant, aux environnements clients.
  • Communiquer: Les règles sont connues et reconnues par les employés grâce à des formations, des séances d'information et l'intégration.
  • Moniteur: Vous utilisez la surveillance technique, les contrôles de processus et les audits internes pour vérifier si ces règles sont respectées.
  • Répondre: Lorsque vous constatez un cas de non-conformité, vous le consignez, vous évaluez son impact et vous prenez des mesures correctives ou disciplinaires, le cas échéant.
  • Améliorer: Vous analysez les cas de non-conformité et ajustez les politiques, la formation ou les contrôles.

Les auditeurs n'exigent pas la perfection. Ils exigent un cycle maîtrisé et documenté. Les entreprises clientes ont les mêmes exigences, notamment lorsque votre service fait partie de leur infrastructure critique ou de leur périmètre réglementaire. L'article A.5.36 s'inscrit directement dans le cycle PDCA (Planifier-Déployer-Contrôler-Améliorer) de la norme ISO 27001 : vous définissez les règles, mettez en œuvre les contrôles, vérifiez la conformité et agissez en fonction des enseignements tirés.

Pourquoi le contrôle est plus difficile à supporter pour les MSP

La norme A.5.36 est particulièrement problématique pour les fournisseurs de services gérés (MSP), car de petites failles dans l'application des règles peuvent avoir des répercussions importantes sur de nombreux services et clients. Si votre gouvernance interne est laxiste, une seule norme ou exception mal conçue peut compromettre discrètement plusieurs offres de sécurité gérées simultanément.

Pour de nombreux fournisseurs, la section A.5.36 révèle une incohérence sous-jacente : les ventes et les contrats promettent un certain niveau de contrôle, les politiques en décrivent un autre et les opérations en offrent un tout autre. Du fait de la nature mutualisée et de l’utilisation d’outils, les failles peuvent se propager rapidement.

  • Une règle laxiste concernant les comptes d'administrateur dans votre propre environnement peut affaiblir tous les services de sécurité gérés que vous fournissez.
  • Une norme de correctifs appliquée de manière incohérente d'un client à l'autre peut entraîner des constats répétés lors des audits clients.
  • Un manuel d'exploitation partagé qui n'est pas mis à jour lorsque les politiques changent peut discrètement devenir non conforme.

Environ 41 % des organisations interrogées dans le cadre de l’enquête 2025 d’ISMS.online ont cité la gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs comme l’un de leurs plus grands défis en matière de sécurité de l’information.

Les clients et les organismes de réglementation en sont de plus en plus conscients. Ils utilisent des questions conformes à la section A.5.36 pour examiner comment vous gérez votre personnel et vos sous-traitants, comment vous assurez le respect des règles dans les outils mutualisés et comment vous traitez les exceptions. Une réponse superficielle – « nous avons une politique et nous formons notre personnel » – ne les satisfait plus.

Considérer l'article A.5.36 comme un contrôle fondamental de la gouvernance des fournisseurs de services gérés (MSP), plutôt que comme une simple exigence de documentation, vous permet d'harmoniser vos engagements, vos politiques et vos pratiques. Démontrer cette cohérence de manière fiable constitue un atout majeur lors des appels d'offres, notamment pour les clients qui considèrent leurs MSP comme faisant partie intégrante de leur propre périmètre réglementaire.

Demander demo


Le problème : la conformité ponctuelle et exclusivement papier pour les MSP

Une conformité ponctuelle et lourde en documents papier vous permet de réussir les audits, mais accroît insidieusement les risques, les coûts et le stress réels entre les dates d'évaluation. Les recommandations des organismes européens de cybersécurité concernant la norme ISO 27001 mettent en garde contre les approches basées sur des listes de contrôle ou axées uniquement sur l'audit, qui ont tendance à engendrer des risques opérationnels résiduels et des tensions, car elles ne reflètent pas le comportement des systèmes et des services entre les évaluations formelles. Ces approches concentrent les efforts sur de courtes périodes au lieu de mettre en place des contrôles réguliers permettant de suivre la conformité tout au long de l'année.

Si vous êtes honnête sur la façon dont vous gérez actuellement le point A.5.36, il y a de fortes chances que la plupart des efforts se concentrent sur des périodes courtes et intenses autour d'audits externes, d'évaluations de clients ou d'appels d'offres importants, plutôt que dans le cadre des opérations quotidiennes.

Voici un schéma typique : plusieurs fois par an, vos responsables de la sécurité et des opérations mettent tout en œuvre pour constituer des dossiers de preuves. Ils recherchent les rapports exportables des outils de gestion des tickets, de RMM et de SIEM (gestion des informations et des événements de sécurité), extraient les journaux de formation des systèmes RH et créent des présentations personnalisées pour certains clients. En dehors de ces pics d'activité, peu de contrôles systématiques sont effectués, hormis ceux dont les ingénieurs et les responsables se souviennent.

Cette approche présente plusieurs inconvénients. Elle gaspille un temps précieux qui pourrait être consacré à l'amélioration des contrôles. Elle repose fortement sur quelques personnes clés. Elle masque les véritables faiblesses derrière des instantanés qui paraissent acceptables sur le moment. De plus, elle vous expose à des risques si un client ou un organisme de réglementation demande des garanties à court terme.

La conformité qui ne se manifeste qu'au moment des audits passe généralement à côté du fonctionnement réel de vos services.

Là où la conformité à un instant donné échoue

Les preuves ponctuelles resteront un élément des audits externes et des vérifications préalables, mais s'y fier comme principal modèle d'assurance présente des lacunes prévisibles. Pour les fournisseurs de services gérés (MSP), trois faiblesses se manifestent régulièrement. La plus évidente est que la conformité ponctuelle permet aux infractions aux règles de passer inaperçues pendant de longues périodes : les incidents et les non-conformités impliquent souvent des règles connues qui n'étaient pas respectées car, bien que les règles existassent, aucun contrôle régulier fondé sur les risques n'était effectué.

La dépendance à des actions héroïques de dernière minute et à des preuves fragmentaires constitue une autre faiblesse. La conformité repose sur une poignée d'ingénieurs et de gestionnaires qui, en plus de leur charge de travail habituelle, font ce qu'il faut, sans instructions ni contrôles structurés. Ils rassemblent des éléments provenant d'outils épars dans des dossiers assemblés à la hâte. Lorsque ces personnes quittent l'entreprise, tombent malades ou sont surchargées, les contrôles se dégradent insidieusement et il devient plus difficile de reconstituer le récit présenté aux clients.

Si vous exercez votre activité dans des secteurs fortement réglementés, ou si vous travaillez avec des clients qui y opèrent, ces faiblesses peuvent entraîner la perte de contrats, des conclusions d'audit plus sévères ou des plans de remédiation plus longs, surtout si elles s'accompagnent d'autres lacunes dans la conception ou la supervision des contrôles. Même sur des marchés moins réglementés, elles augmentent le risque qu'un client remette en question votre professionnalisme si vous avez du mal à démontrer comment vous appliquez vos propres règles.

Reconnaître ces difficultés est inconfortable, mais cela ouvre la voie à une réflexion différente sur la norme A.5.36 : non pas comme un obstacle occasionnel, mais comme une discipline continue qui protège les clients et votre propre réputation.

Coûts cachés liés au personnel, aux outils et à la confiance des clients

Les coûts cachés de la conformité ponctuelle se manifestent au niveau humain, des outils et des relations. Les équipes perçoivent les tâches de conformité comme une source de pression imprévisible et de dernière minute, ce qui mine le moral et renforce l'idée que les règles constituent une contrainte plutôt qu'une pratique de qualité en matière d'ingénierie et de service. À terme, cette perception alimente l'épuisement professionnel et le roulement du personnel aux postes clés.

Par exemple, de nombreux fournisseurs de services gérés (MSP) de taille moyenne indiquent consacrer un temps considérable – souvent des semaines – à rassembler manuellement les journaux, les captures d'écran et les dossiers de formation avant un appel d'offres important ou un audit client. Ce travail est stressant, les résultats sont difficilement réutilisables et l'équipe n'a guère l'impression que le fonctionnement des services se soit réellement amélioré.

Il faut également prendre en compte le coût des outils. Les fournisseurs de services gérés (MSP) investissent massivement dans l'automatisation des services professionnels (PSA), la gestion des médias à distance (RMM), la gestion des informations et des événements de sécurité (SIEM), ainsi que les plateformes de gestion des identités et des journaux. Si les preuves que vous fournissez pour la conformité à la norme A.5.36 se trouvent principalement dans des tableurs et des captures d'écran, ces outils ne vous apportent pas une garantie optimale. Vous risquez même de payer deux fois : une première fois pour les outils et une seconde pour le travail manuel nécessaire à l'extraction et à la combinaison des informations pertinentes.

L'enquête 2025 d'ISMS.online indique que les clients attendent de plus en plus de leurs fournisseurs qu'ils s'alignent sur des cadres formels tels que l'ISO 27001, l'ISO 27701, le RGPD, Cyber ​​Essentials, SOC 2 et les normes émergentes en matière d'IA.

Finalement, les clients le remarquent. Les questionnaires de sécurité demandent désormais couramment non seulement « Avez-vous une politique ? », mais aussi « Comment en contrôlez-vous le respect ? » et « Quels indicateurs suivez-vous ? ». Les publications spécialisées en sécurité et gouvernance confirment cette tendance : les équipes achats et gestion des risques s’intéressent de plus en plus à la mise en œuvre et à l’évaluation des contrôles, au lieu de se contenter de simples questions par oui ou par non. Si vos réponses sont vagues ou si vous ne pouvez pas fournir d’exemples sans des semaines de préparation, les équipes achats et gestion des risques tireront leurs propres conclusions quant à votre niveau de maturité.

S’éloigner d’une vision ponctuelle implique d’accepter que certaines règles ne soient pas parfaitement appliquées, mais d’exiger que les écarts soient visibles, explicables et utilisés pour stimuler l’amélioration plutôt que d’être dissimulés jusqu’au prochain audit. C’est précisément ce changement que vise à soutenir l’assurance continue.



ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Repenser le cadre : de la conformité statique à l’assurance continue

En considérant le point A.5.36 comme un problème de conception, on le transforme d'une simple formalité annuelle en un élément gérable de la gestion des opérations MSP. Au lieu de se demander comment réussir le prochain audit, on se demande comment intégrer un niveau raisonnable d'assurance continue dans les activités quotidiennes.

L’assurance continue ne signifie pas surveiller chaque règle en temps réel dans chaque système. Il s’agit de choisir des cadences et des mécanismes appropriés afin que les règles importantes soient vérifiées suffisamment souvent, que les vérifications soient intégrées aux flux de travail et aux outils habituels et que les preuves soient recueillies naturellement dans le cadre du travail plutôt que lors d’un exercice de reporting distinct.

Une forte majorité des organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information ont déclaré que la rapidité et le volume des changements réglementaires rendent la conformité plus difficile à maintenir.

Cette approche est en parfaite adéquation avec la structure même de la norme ISO 27001. Celle-ci exige déjà de planifier, d'exploiter, de surveiller et d'améliorer son système de management. Le point A.5.36 axe ce cycle sur le respect des règles et normes internes, et sur les mesures prises en cas de non-respect.

Une simple comparaison permet de mieux comprendre ce changement. La conformité ponctuelle concentre les efforts sur quelques pics de stress et laisse de longues périodes sans visibilité. L'assurance continue, quant à elle, répartit les efforts, réduit les imprévus et facilite la détection précoce des problèmes. Le tableau ci-dessous récapitule les principales différences.

Dimension Conformité à un moment donné assurance continue
Cadence Pics avant les audits et les grands questionnaires Des contrôles réguliers, basés sur les risques, tout au long de l'année
Profil d'effort Poussées manuelles et stressantes Activités plus petites et prévisibles dans les flux normaux
Exposition à risque Les lacunes entre les audits passent facilement inaperçues. Les anomalies sont apparues et se sont résorbées plus rapidement.
Qualité des preuves Reconstitué à partir de sources éparses Généré dans le cadre du travail et de la surveillance de routine

L'objectif n'est pas la perfection, mais un processus simple et efficace, facile à expliquer aux auditeurs, aux clients et aux parties prenantes internes. En concevant soigneusement ce processus, vous réduisez le stress et faites de la conformité aux politiques une composante essentielle de la qualité des services, et non un projet supplémentaire.

À quoi ressemble l'assurance continue en pratique

L'assurance continue relie vos règles, contrôles, preuves et décisions afin qu'ils se renforcent mutuellement. Chaque maillon de la boucle peut être ajusté au fur et à mesure de l'évolution de vos services.

Un modèle simple utilise quatre éléments de base :

  • Entrées: Politiques, normes et exigences des clients qui définissent comment les choses doivent être faites.
  • Activités de contrôle : Contrôles techniques et étapes procédurales permettant d'intégrer ces règles dans le travail quotidien.
  • Artefacts de preuve : Journaux, tickets, rapports et approbations qui démontrent ce qui s'est réellement passé.
  • Boucles de rétroaction: Forums de gouvernance, registres des risques et revues de gestion qui utilisent les données probantes pour apporter des changements.

Par exemple, une règle selon laquelle « tous les changements à haut risque doivent être approuvés à la fois par un responsable technique et un représentant du client » pourrait être intégrée à votre flux de travail de gestion des changements, appliquée par votre système de billetterie, attestée par des enregistrements d'approbation et examinée périodiquement dans le cadre d'un audit interne ou d'une revue de direction.

Il n’est pas nécessaire d’inscrire chaque règle à un calendrier de surveillance quotidien. Une approche basée sur les risques est efficace :

  • Les règles à fort impact (accès privilégié, modifications de production, gestion des incidents) peuvent être vérifiées en continu ou de façon hebdomadaire.
  • Les règles à impact moyen (échéanciers de mise à jour, tests de sauvegarde, achèvement de la formation) peuvent être échantillonnées mensuellement ou trimestriellement.
  • Les règles à faible impact peuvent être contrôlées par des audits ponctuels et lors d'examens de gestion.

L'essentiel est de pouvoir expliquer votre raisonnement et démontrer que les mécanismes choisis fonctionnent effectivement en pratique. Lorsque des clients ou des auditeurs demandent pourquoi une règle est vérifiée mensuellement plutôt qu'hebdomadairement, vous devez fournir une réponse claire et fondée sur une analyse des risques.

Prioriser et s'aligner sur la gouvernance

La plupart des fournisseurs de services gérés (MSP) ne peuvent pas migrer l'ensemble de leurs systèmes vers un modèle d'assurance continue d'un seul coup ; la priorisation est donc essentielle. Vous progresserez plus rapidement en vous concentrant d'abord sur les règles dont l'ignorance aurait les conséquences les plus graves et en renforçant la confiance dans ces domaines.

Une approche pragmatique consiste à :

  • Identifiez les cinq à dix règles dont le non-respect nuirait le plus aux clients ou à votre propre entreprise.
  • Concentrez les efforts initiaux de conception et d'automatisation sur ces règles.
  • Choisissez des processus de surveillance, de signalement et d'escalade qui s'intègrent directement à la gouvernance existante.

Par exemple, vous pourriez commencer par :

  • Lier les règles d'accès privilégié à vos systèmes d'identité et de gestion des tickets afin que chaque élévation de privilèges soit approuvée, enregistrée et examinée.
  • Intégrez les normes de correctifs à votre outil RMM, avec des tableaux de bord affichant la conformité chez tous les clients et signalant les exceptions.
  • Présentez les indicateurs clés – tels que le nombre de violations de politiques et l'ancienneté des exceptions ouvertes – à votre comité ISMS et à vos revues de direction.

En procédant ainsi, vous intégrez la norme A.5.36 à votre planification et à votre supervision habituelles, au lieu de la considérer comme un langage distinct réservé à l'équipe ISO. Le personnel et les clients bénéficient alors d'une vision cohérente : règles, contrôles, preuves et améliorations sont liés entre eux, conformément au cycle PDCA (Planifier-Déployer-Contrôler-Améliorer).



Un cadre pratique A.5.36 pour les MSP

Un cadre pratique basé sur la norme A.5.36 vous offre une structure claire pour l'organisation des règles, des responsables, des contrôles et des réponses au sein de votre MSP. Il transforme les politiques et les pratiques dispersées en une cartographie précise des responsabilités, des modalités de contrôle de la conformité et des procédures de réaction en cas de problème.

Ce cadre sert de lien entre les politiques de haut niveau et les procédures opérationnelles suivies par les ingénieurs et les responsables de service. Il vous offre également une méthode reproductible pour répondre aux questions des clients et des auditeurs sans avoir à réinventer les explications à chaque fois.

Construction d'un cadre de contrôle A.5.36 spécifique aux MSP

Un cadre A.5.36 spécifique aux MSP commence généralement par un registre simple qui illustre comment les règles importantes sont appliquées, vérifiées et justifiées en pratique. Chaque entrée associe une règle à des services, des responsables, un système de surveillance et des preuves.

Un point de départ utile est un registre qui, pour chaque règle importante, consigne :

  • La politique ou la norme dont elle provient.
  • Les services et les environnements clients auxquels il s'applique.
  • Le responsable du contrôle est chargé de l'application de la loi.
  • Le responsable du processus, en charge de sa conception et de son efficacité.
  • Le mécanisme et la fréquence de surveillance.
  • Les sources de preuves, telles que les rapports ou les types de billets.
  • La procédure de dérogation, y compris les dates d'approbation et de révision.

Pour les fournisseurs de services gérés (MSP), ce registre doit inclure explicitement les exigences spécifiques à chaque client, et non pas seulement vos politiques d'entreprise génériques. Si un client important exige le respect de normes de journalisation ou de règles de contrôle des modifications particulières, ces obligations doivent figurer sous forme de règles dans votre cadre de référence, avec les responsables, les contrôles et les sources de preuves.

Par exemple, une règle d’« accès privilégié » peut provenir de votre politique de contrôle d’accès et d’un calendrier client clé. Elle peut s’appliquer aux services SOC et d’infrastructure, être gérée par le responsable de la sécurité, faire l’objet d’un suivi hebdomadaire via des rapports d’identité et de gestion des incidents, être validée par des revues d’accès et des approbations de changement, et comporter des exceptions temporaires approuvées par le RSSI.

Vous n'avez pas besoin de centaines d'entrées. Commencez par les règles les plus importantes pour la sécurité et la fiabilité, notamment celles qui sont les plus solides dans vos contrats et vos arguments marketing. Au fil du temps, vous pourrez étoffer le registre en fonction des risques et des attentes des clients.

Une plateforme de gestion de la sécurité de l'information (GSSI) comme ISMS.online peut renforcer ce dispositif en centralisant le registre, en reliant les règles aux risques et aux contrôles, et en assurant le suivi des dates de révision et des modifications. Cette vision partagée réduit les risques de confusion et facilite le maintien de la cohérence à mesure que vos services évoluent.

Définition du périmètre, de la propriété et des critères de violation

Deux aspects de ce cadre méritent une attention particulière : la propriété et la définition d’une infraction. Ces deux éléments déterminent si vos règles restent théoriques ou influencent réellement les comportements.

Un contrôle fort signifie que chaque règle importante a :

  • A propriétaire du contrôle, chargé de veiller à ce que la règle soit respectée dans tous les services concernés.
  • A propriétaire du processus, responsable de veiller à ce que la conception des contrôles et l'approche de surveillance restent adaptées à l'évolution des technologies, des clients et des réglementations.

Tout aussi importants sont les éléments clairs critères de violationIl vous faut une méthode consensuelle pour faire la distinction entre :

  • Des écarts mineurs qui peuvent être gérés localement et consignés dans le cadre du travail normal.
  • Les manquements importants doivent être consignés comme des non-conformités, signalés et potentiellement traités comme des incidents.

Il est impossible de sanctionner ce qui n'est pas défini comme une violation. Définir des seuils en amont facilite la configuration des outils, notamment la classification et l'acheminement des alertes, et garantit une application cohérente et équitable des mesures disciplinaires et contractuelles. Cela simplifie également l'intégration de la norme A.5.36 à vos processus de gestion des incidents et des non-conformités, afin que les violations graves suivent le même processus structuré que les autres incidents de sécurité.

Un cadre de travail comme celui-ci réduit le travail de correction lors des audits. Lorsque les auditeurs ou les clients demandent : « Comment vous assurez-vous que cette règle est respectée ? », vous pouvez leur fournir une description claire de la règle, des contrôles, du suivi et des preuves, puis présenter quelques exemples concrets pour démontrer que le processus est efficace.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Intégration de la norme A.5.36 dans le SMSI, la gouvernance et les procédures opérationnelles standard

L’intégration de la norme A.5.36 à votre système de management de la sécurité de l’information (SMSI), à vos structures de gouvernance et à vos procédures opérationnelles standard vous permet de concrétiser les cadres de référence. L’objectif est d’intégrer la conformité aux politiques à la prise de décision et à la prestation de services courantes, et non de la considérer comme une activité de conformité isolée intervenant uniquement avant les audits.

De nombreux mécanismes nécessaires existent déjà dans un système de gestion des services informatiques (SGS) conforme à la norme ISO 27001 : registres des risques, processus de gestion du changement, gestion des incidents, procédures disciplinaires, audits internes et revues de direction. L’enjeu est d’intégrer explicitement le point A.5.36 à ces mécanismes afin que la non-conformité aux règles soit considérée comme un risque majeur et non comme une simple considération secondaire.

Intégration de l'article A.5.36 aux processus de gestion des risques

L'intégration de la norme A.5.36 aux processus de gestion des risques existants facilite la gestion cohérente des cas de non-conformité. Plutôt que de créer une voie distincte, les infractions aux politiques sont mises en évidence au même titre que les autres risques et problèmes de contrôle.

Étape 1 – Intégrer les infractions aux règles dans la gestion des risques

Ajoutez à votre registre des risques des scénarios typiques de non-conformité aux politiques, tels que le non-respect des règles de contrôle d'accès ou des processus de gestion des changements. Reliez-les aux risques existants (par exemple, les violations de données ou les interruptions de service) afin de justifier les efforts de surveillance et d'atténuation et de garantir une responsabilité clairement définie.

Étape 2 – Faire de A.5.36 un thème d’audit récurrent

Veillez à ce que les audits internes et les contrôles de conformité vérifient régulièrement le respect des règles sélectionnées. Chaque année, examinez un petit nombre de règles et assurez-vous que les contrôles, le suivi et les preuves documentés fonctionnent comme prévu. Utilisez les conclusions pour mettre en œuvre des actions correctives et des améliorations, et non pas seulement pour pointer du doigt les comportements passés.

Étape 3 – Intégrer les indicateurs dans les revues de direction

Intégrez systématiquement les indicateurs liés à la section A.5.36 – nombre d’infractions, tendances des exceptions, réalisation des contrôles planifiés – dans les revues de direction. Analysez leurs implications sur la culture, les contrôles et la charge de travail, et déterminez les axes d’amélioration. Cette démarche systématique démontre aux auditeurs et aux clients que la non-conformité est activement maîtrisée.

Il est également important de veiller à ce que votre déclaration de périmètre et votre analyse contextuelle du SMSI incluent explicitement les services fournis aux clients et les outils utilisés pour les fournir. Ainsi, il n'y a aucune ambiguïté quant à l'applicabilité de la clause A.5.36 aux plateformes mutualisées, aux environnements clients et aux services sous-traités.

Intégrer A.5.36 dans les flux de travail quotidiens

Intégrer la norme A.5.36 dans le travail quotidien consiste en fin de compte à aligner les manuels d’exploitation et les comportements sur le cadre de référence afin que la conformité devienne une partie intégrante de « notre façon de faire ici ».

Les techniques utiles comprennent :

  • Annoter les manuels d'exploitation : Étiquetez les étapes des procédures d'intégration, de gestion des changements, des incidents et de la maintenance qui répondent à des règles spécifiques. Des identifiants simples, tels que les ID de règle ou les références de politique, facilitent le maintien de la cohérence en cas d'évolution des politiques et des normes.
  • Mise à jour des formulaires et des flux de travail : Assurez-vous que les processus clés capturent les informations dont vous avez besoin pour les preuves A.5.36 – telles que la politique à laquelle se rapporte un écart, les mesures correctives prises et si une exception a été accordée.
  • Formation axée sur les rôles : Dépasser les formations génériques de « sensibilisation à la sécurité ». Proposer des formations courtes et ciblées sur les implications de la norme A.5.36 pour les ingénieurs, les responsables de service, les gestionnaires de comptes et les commerciaux. Leur montrer comment leurs actions génèrent ou utilisent des preuves et comment cela profite aux clients.

Avec le temps, la conformité devient moins une tâche supplémentaire et davantage une composante de votre démarche de prestation de services de qualité. Elle facilite également l'automatisation des contrôles et des rapports, car les données nécessaires circulent déjà de manière structurée dans vos outils.

Une plateforme de gestion de la sécurité de l'information (GSSI) peut faciliter la mise en place d'un cadre de référence, en reliant les règles aux risques, aux contrôles, aux procédures opérationnelles standard et aux preuves, et en centralisant les non-conformités, les actions correctives et les comptes rendus de revue de direction. Ce contexte partagé réduit le risque que différentes équipes travaillent à partir d'informations divergentes et rend la norme A.5.36 accessible aux parties prenantes, qu'elles soient techniques ou non.



Outils : Transformer les politiques en règles vérifiables par machine (SIEM, RMM, ITSM)

Transformer les politiques en règles vérifiables par machine consiste à exprimer les éléments clés de votre ensemble de politiques sous forme de conditions que vos outils peuvent surveiller et appliquer. Vous réduisez ainsi les contrôles manuels et renforcez l'assurance que les règles sont respectées. Une fois vos règles, les responsabilités et les processus clairement définis, vous pouvez commencer à exprimer certaines de ces règles sous forme de conditions techniques vérifiables par vos outils. Ainsi, la norme A.5.36 et votre infrastructure de sécurité opérationnelle se renforcent mutuellement, transformant les politiques en signaux vérifiables par machine.

L’objectif n’est pas de créer un « système de conformité » distinct, mais de configurer les systèmes que vous utilisez déjà (SIEM, RMM, plateformes d’identité, gestion des terminaux et système de gestion des tickets) afin qu’ils génèrent des preuves et des alertes conformes à vos règles et normes. Une mise en œuvre réussie permet de réduire les interventions manuelles et de renforcer la confiance dans l’application effective des règles.

Exprimer les politiques sous forme de conditions techniques

Vous exprimez une politique sous forme de condition technique en passant d'une règle formulée en langage clair à des signaux et des vérifications spécifiques dans vos outils. Le principe est simple, mais son application cohérente exige de la rigueur.

Pour traduire un texte de politique en un format exploitable par les outils, il est utile d'utiliser un modèle qui fait le lien entre le langage et la configuration :

  1. Commencez par une règle: par exemple, « tous les points de terminaison gérés doivent exécuter une protection de point de terminaison approuvée » ou « aucun compte d'administrateur partagé n'est autorisé ».
  2. Identifier les signaux: déterminer quels journaux, données de configuration ou événements permettraient de savoir si la règle est respectée ou enfreinte.
  3. Définir les conditions: rédiger des conditions claires qui peuvent être testées, telles que « agent présent et en bonne santé » ou « plusieurs personnes utilisant le même compte privilégié ».
  4. Configurer les vérifications: implémentez ces conditions dans vos outils de surveillance et de gestion, avec des tableaux de bord ou des rapports qui résument la conformité et mettent en évidence les exceptions.
  5. Se connecter aux flux de travail: acheminer les violations vers des files d'attente de billetterie avec les catégories, priorités et SLA appropriés, afin qu'elles soient traitées comme n'importe quel autre problème opérationnel.

Prenons l'exemple de la règle « tous les terminaux gérés doivent exécuter une protection des terminaux approuvée ». Les signaux peuvent être des données d'état des agents provenant de votre console RMM et antivirus. La condition est : « agent installé et ayant transmis des données au cours des dernières 24 heures ». Vous configurez des contrôles et des tableaux de bord pour signaler les agents manquants ou obsolètes et créer automatiquement des tickets, afin que les appareils non conformes soient visibles, suivis et corrigés.

La même logique s'applique aux règles basées sur les processus. Par exemple, une règle stipulant que « toute modification à haut risque doit suivre un processus d'approbation formel » peut être vérifiée en corrélant les tickets de modification avec les journaux de déploiement et en signalant les écarts.

Commencez par un petit nombre de règles à fort impact et ajustez soigneusement les seuils. Des contrôles trop sensibles qui génèrent des alertes constantes perdront rapidement en crédibilité et risquent de nuire à la sécurité au lieu de l'améliorer.

Utilisez vos outils pour détecter et faire respecter les règles

De nombreux MSP disposent déjà des outils nécessaires pour prendre en charge la norme A.5.36 ; ce qui manque généralement, c’est le mappage explicite des règles vers la configuration des outils et les rapports, ainsi que la discipline nécessaire pour maintenir ce mappage à jour.

Les opportunités utiles comprennent :

  • Surveillance à distance et gestion des terminaux : Utilisez ces outils pour appliquer et suivre les normes de correctifs, de chiffrement, de déploiement de la protection des terminaux et de droits d'administrateur local chez les clients. Les exceptions deviennent ainsi visibles et quantifiées, et font l'objet d'analyses plus poussées dans les processus de gestion des risques et de gouvernance.
  • Analyse et journalisation de la sécurité : Configurez des règles de corrélation regroupant les violations de politique probables (telles que les accès privilégiés hors des heures ouvrables ou les modifications de configuration sans tickets associés) dans des tableaux de bord dédiés. Ces tableaux de bord peuvent être consultés quotidiennement ou hebdomadairement.
  • Gestion des identités et des accès : Utilisez l'appartenance à un groupe, les politiques d'accès conditionnel et les contrôles d'accès basés sur les rôles pour appliquer des règles concernant qui peut faire quoi, où et quand. Les journaux et les rapports constituent ensuite une partie des preuves nécessaires à l'application des règles relatives au contrôle d'accès.
  • Gestion des tickets et des services informatiques (ITSM) : Veillez à ce que les tickets signalant une non-conformité soient associés à la règle correspondante, suivis jusqu'à leur résolution et conservés à des fins d'analyse. Au fil du temps, cela permet de constituer un historique structuré de l'application et du respect des règles.

L’application automatisée des règles – comme le blocage des actions qui enfreignent les règles essentielles ou la mise en quarantaine des appareils non conformes – peut s’avérer très efficace dans les zones à haut risque. Lors de la mise en œuvre de tels contrôles, la documentation de leur conception, de leur portée et de leur suivi constitue un élément de preuve solide pour les auditeurs et les clients, conformément à la norme A.5.36.

ISMS.online ne remplace pas ces outils opérationnels, mais s'y intègre en centralisant les règles, en les associant aux services et aux contrôles, et en les reliant aux rapports, tableaux de bord et tickets qui illustrent leur fonctionnement. Ceci évite de devoir réimplémenter la surveillance tout en offrant une vision cohérente de la conformité, alliant technologie et gouvernance.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Indicateurs clés de performance (KPI), enregistrements et preuves pour les auditeurs et les entreprises clientes

Un ensemble restreint et pertinent de métriques et d'enregistrements sera plus efficace pour garantir la conformité à l'article 5.36 que des dizaines de graphiques et de captures d'écran sans lien apparent, car des mesures appropriées permettent de démontrer que les règles sont respectées, contrôlées et qu'elles entraînent des actions correctives en cas de non-respect. Les recommandations relatives à la norme ISO 27001 et à la gestion des cyber-risques en général privilégient également des métriques ciblées et pertinentes pour la prise de décision plutôt que de grands volumes de données non structurées, précisément pour cette raison : cette combinaison est plus facile à interpréter pour les conseils d'administration, les auditeurs et les clients.

Une fois les règles définies et les contrôles mis en place, vous pouvez ensuite transformer les données obtenues en mesures et en preuves qui satisfont deux publics exigeants : les auditeurs de certification et les entreprises clientes.

Presque tous les répondants à l'enquête 2025 d'ISMS.online ont cité l'obtention ou le maintien de certifications de sécurité, telles que l'ISO 27001 ou le SOC 2, comme une priorité absolue.

L’objectif est de disposer d’un ensemble restreint de mesures et d’artefacts qui démontrent trois choses :

  • Vous savez quelles règles comptent.
  • Vous vérifiez leur conformité.
  • Vous agissez en fonction de ce que vous découvrez, et vous apprenez.

Les arguments les plus convaincants sont ceux que vous pouvez raconter de manière cohérente, et non ceux que vous réinventez pour chaque client.

Conception d'un ensemble de métriques A.5.36 allégé

Un ensemble de mesures A.5.36 allégé se concentre sur un petit nombre d'indicateurs qui rendent compte clairement des risques, des comportements et des améliorations. Un trop grand nombre de mesures dilue l'attention et est difficile à gérer.

Vous n'avez pas besoin d'une longue liste d'indicateurs clés de performance (KPI). Un ensemble restreint et soigneusement sélectionné peut s'avérer plus efficace et plus facile à gérer, notamment lorsque vous devez l'expliquer régulièrement aux auditeurs, aux conseils d'administration et aux clients.

Voici quelques exemples qui fonctionnent bien pour les fournisseurs de services gérés :

  • Couverture des politiques et des formations : Pourcentage du personnel et des postes clés ayant pris connaissance et suivi la formation relative aux politiques et normes pertinentes.
  • Taux de violation : Nombre et gravité des infractions constatées aux règles clés sur une période donnée, ventilées par service ou fonction.
  • Il est temps de remédier à la situation : Délai moyen entre la détection d'une infraction ou d'une non-conformité et sa résolution.
  • Paysage exceptionnel : Nombre d'exceptions approuvées aux règles, leur ancienneté et la date à laquelle elles doivent être réexaminées.
  • Couverture de surveillance : Proportion des systèmes ou clients concernés couverts par les contrôles définis.

Ces indicateurs peuvent être présentés différemment selon les publics. Les conseils d'administration et les dirigeants s'intéressent aux tendances et à l'impact sur l'activité. Les équipes techniques cherchent à savoir où concentrer leurs efforts. Les clients, quant à eux, veulent s'assurer que les règles sont respectées et améliorées au fil du temps. Lier des indicateurs tels que l'ancienneté des exceptions ou la couverture de la surveillance aux résultats commerciaux – par exemple, leur impact sur les conclusions des audits préalables ou les renouvellements de contrats – permet d'en mieux comprendre la pertinence.

Des examens internes réguliers de ces mesures permettent d'identifier les problèmes systémiques, tels que les infractions répétées à une même règle ou les difficultés rencontrées par certains services pour respecter les normes. Ces observations devraient alimenter des améliorations ciblées en matière de formation, de processus ou d'outils.

Constitution de dossiers de preuves réutilisables

Les dossiers de preuves réutilisables vous permettent de répondre rapidement et de manière cohérente aux demandes d'assurance. Au lieu de constituer des dossiers ad hoc sous pression, vous conservez un ensemble de documents de base (norme A.5.36) qui peut être adapté à chaque auditeur ou client.

Les auditeurs comme les clients apprécient les éléments de preuve structurés et réutilisables. Au lieu de repartir de zéro pour chaque évaluation, vous pouvez préparer un « dossier de preuves » A.5.36 que vous mettez à jour régulièrement et que vous adaptez au public.

Un emballage type peut comprendre :

  • Une explication concise de la manière dont A.5.36 est implémenté dans votre MSP, avec des diagrammes montrant le cadre et les processus clés.
  • Extraits de votre registre des politiques et normes, mettant en évidence les règles qui s'appliquent aux services concernés.
  • Exemples de dossiers de formation et d'accusés de réception pour le personnel concerné.
  • Exemples de rapports de surveillance illustrant les contrôles effectués par rapport aux règles clés.
  • Un petit ensemble de tickets expurgés montrant comment les cas de non-conformité sont consignés et résolus.
  • Résumés des audits internes ou des revues de conformité qui ont testé les contrôles liés à A.5.36.
  • Preuve que la direction a examiné les indicateurs de conformité aux politiques et pris des décisions concernant les améliorations à apporter.

Pour vos clients, vous pouvez anonymiser et personnaliser davantage ces informations, en mettant l'accent sur les règles et les services qui les concernent et sur la manière dont votre gouvernance globale de fournisseur de services gérés (MSP) répond à leurs besoins spécifiques. Un exemple anonymisé provenant d'un client similaire – par exemple, un MSP de taille moyenne disposant d'un centre d'opérations de sécurité (SOC) et de services de détection et de réponse gérés – peut illustrer le fonctionnement concret de votre cadre sans divulguer d'informations confidentielles.

ISMS.online vous aide en vous permettant de stocker les descriptions des contrôles, de les lier aux justificatifs, de suivre les dates de révision et d'exporter des vues cohérentes en cas de besoin. Il facilite également votre démarche d'assurance qualité interne, car vous pouvez identifier en un coup d'œil les règles dont les justificatifs sont à jour et celles qui nécessitent une attention particulière avant le prochain audit ou la prochaine revue client.



Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online offre à votre fournisseur de services gérés une solution pratique pour transformer la norme A.5.36, actuellement théorique, en un contrôle visible et gérable pour l'ensemble de vos services. Elle vous aide à passer d'une conformité ponctuelle et dépendante du personnel à une assurance continue, en adéquation avec vos pratiques actuelles en matière de sécurité.

En pratique, cela signifie que vous pouvez :

  • Conservez votre politique et vos normes définies en un seul endroit, en les associant aux services, aux risques et aux contrôles ISO 27001.
  • Attribuez clairement la responsabilité des règles et des contrôles, avec des tâches et des flux de travail permettant de suivre les révisions et les améliorations.
  • Associer les règles à des preuves concrètes telles que des audits, des rapports de surveillance et des tickets, sans dupliquer les données opérationnelles.
  • Constituer et tenir à jour des dossiers de preuves réutilisables pour les auditeurs et les clients, réduisant ainsi le temps de préparation et le stress.
  • Appuyer les revues de gestion et les rapports au conseil d'administration en fournissant des informations actualisées sur les indicateurs de conformité aux politiques et les non-conformités.

L'appliquer concrètement à vos propres services est bien plus parlant que d'en lire des descriptions abstraites. Une démonstration vous permet d'analyser vos problématiques liées à l'A.5.36, de voir comment elles s'intègrent à la plateforme et d'explorer ce à quoi pourrait ressembler un modèle d'assurance qualité plus continu et assisté par des outils pour votre organisation.

Si vous êtes responsable de la sécurité, des opérations ou de la conformité au sein d'un fournisseur de services gérés (MSP) et que vous souhaitez renforcer votre démonstration de la conformité à la norme A.5.36 auprès des auditeurs et des clients entreprises, la réservation d'une démonstration est une solution pratique. Elle vous permet de vérifier si ISMS.online peut vous aider à démontrer – et pas seulement à affirmer – votre conformité aux politiques, règles et normes de sécurité de l'information pour l'ensemble des services gérés que vous proposez.


Foire aux questions

Qu’exige réellement la norme ISO 27001:2022 A.5.36 d’un fournisseur de services gérés (MSP) au quotidien ?

A.5.36 exige que votre MSP prouve que les personnes suivent réellement vos règles de sécurité dans le travail quotidien et que vous détectez, évaluez et corrigez régulièrement les non-conformités dans votre propre domaine, votre chaîne d'outils et les environnements de vos clients.

Où apparaît la version A.5.36 dans un véritable MSP ?

Pour un fournisseur de services gérés, ce contrôle a des répercussions à trois niveaux simultanément :

Votre environnement intérieur

Voici tout ce que votre équipe utilise pour gérer et prendre en charge les services :

  • Accès aux plateformes PSA, RMM, SIEM, de sauvegarde, d'identité et de billetterie.
  • Ordinateurs portables, serveurs, VPN et SaaS utilisés par les ingénieurs et le personnel administratif.
  • Comment les utilisateurs gèrent les données clients par e-mail, chat, documentation et partage d'écran.

Ici, A.5.36 demande : avez-vous des règles claires sur la façon dont le personnel accède à ce patrimoine et le protège, les comprennent-ils et pouvez-vous montrer comment vous les vérifiez et les améliorez au fil du temps ?

La pile de services mutualisés que vous exploitez

Il s'agit de la couche d'outillage partagée que vous pilotez pour le compte de nombreux clients :

  • RMM, EDR, SIEM, identité, consoles d'administration cloud, plateformes de sauvegarde et gestion des tickets.
  • Règles relatives à l'authentification multifacteur sur les consoles, conception des rôles d'administrateur, utilisation des comptes de secours, accès des fournisseurs et approbations des modifications.
  • Alignement entre votre catalogue de services, vos manuels d'exploitation et ce qui se passe réellement sur les tickets et les modifications hors des heures ouvrables.

Ici, l'attente est simple : des règles documentées, des responsables clairement identifiés, des cadences de révision définies et la preuve que les exceptions sont enregistrées, évaluées et soit résolues, soit acceptées comme des risques.

Environnements clients dans le périmètre

Voici l'infrastructure et les charges de travail cloud que vous gérez dans le cadre de votre contrat :

  • Appareils, réseaux, locataires, abonnements et contrôles de sécurité dont vous êtes responsable.
  • SLA et manuels d'exploitation qui définissent ce que signifie « suffisamment sécurisé » pour chaque service.
  • Preuve que les correctifs, la surveillance, les vérifications de sauvegarde, les examens d'accès et la gestion des incidents correspondent à ce que vous avez promis.

À travers ces trois niveaux, les auditeurs, les assureurs cyber et les acheteurs d'entreprises recherchent en réalité trois choses :

  • Règles spécifiques au MSP : qui abordent l'accès à distance, les outils multi-locataires, la gestion des données clients et le recours à des sous-traitants.
  • Preuves que les gens respectent ces règles : – formations, accusés de réception de politiques, exemples de tickets traités et de manuels d’exploitation, enregistrements d’examen d’accès.
  • Une boucle traçable : démontrant ainsi que lorsqu'une règle est enfreinte, vous le consignez, évaluez le risque, prenez des mesures et ajustez les contrôles ou la formation.

Lorsque vous pouvez expliquer cette boucle en langage clair et l'appuyer avec un petit ensemble d'exemples bien choisis, A.5.36 devient un moyen de montrer aux clients que vous gérez votre MSP avec discipline, plutôt qu'une simple case à cocher sur la liste de l'annexe A.

Comment un fournisseur de services gérés peut-il passer d'une « conformité papier » annuelle à une assurance continue sans épuiser son personnel ?

Vous passez à une assurance continue en abandonnant la course contre la montre annuelle et en intégrant plutôt des contrôles plus petits et basés sur les risques dans les outils et les flux de travail que vos équipes utilisent déjà, de sorte que des preuves utiles apparaissent automatiquement pendant qu'elles font leur travail.

À quoi ressemble l'assurance continue dans un MSP ?

Un modèle pratique repose généralement sur trois mouvements.

Utilisez des cadences basées sur les risques plutôt que des listes de contrôle rigides.

Toutes les règles ne méritent pas une attention hebdomadaire :

  • Domaines à fort impact : – accès privilégié, modifications à haut risque, sauvegardes pour les locataires clés, couverture de surveillance – justifier continu, quotidien ou hebdomadaire contrôles.
  • Domaines à impact moyen : – conformité des correctifs, configurations de référence, achèvement de la formation en sécurité – adéquation mensuel ou trimestriel cycles.
  • Zones à faible impact : – certaines commandes physiques ou certains outils de niche – peuvent être échantillonnés dans audits internes et contrôles ponctuels.

Cela montre que vous déployez des efforts A.5.36 là où le risque et la confiance du client l'exigent, et pas seulement là où un modèle dit « mensuel ».

Intégrez les vérifications dans les outils que vos équipes utilisent déjà.

L'assurance continue ne peut perdurer que si les contrôles font partie intégrante du travail normal :

  • Les approbations de modification, l'utilisation administrative en dehors des heures ouvrables et les exceptions sont appliquées via flux de travail des tickets avec des champs obligatoires et des approbations.
  • Les règles de base et les règles de correction sont appliquées et signalées dans Outils RMM et de sécurité des terminaux, non copiés dans des feuilles de calcul.
  • Les événements liés à l'administration et à l'identité – nouveaux rôles privilégiés, modifications de l'authentification multifacteur, connexions à risque – sont suivis via journaux d'audit et règles SIEM accordé sur un petit nombre de schémas significatifs.

L’objectif est que votre SMSI et tout SMSI aligné sur l’Annexe L utilisent ces signaux existants plutôt que de créer un univers parallèle de journaux manuels auxquels personne ne fait confiance.

Que les preuves soient un sous-produit des bonnes opérations

Lorsque les contrôles sont intégrés à vos plateformes :

  • Tickets, tableaux de bord, rapports, historiques de modifications et notes de révision devient une preuve A.5.36 par défaut.
  • Votre responsable ISO ou votre responsable de la sécurité cesse d'être un « chasseur de preuves » et devient un accordeur de contrôle, en utilisant ce flux pour ajuster les seuils, les cadences et l'entraînement.

Si votre équipe redoute déjà les semaines précédant les audits de surveillance ou les revues clients importantes, vous pouvez présenter l'assurance continue comme un moyen de simplifier les choses et de professionnaliser le processus, plutôt que comme une charge administrative supplémentaire liée à la conformité. ISMS.online est conçu pour s'intégrer à ce modèle en centralisant les risques, les politiques, les audits internes et les actions correctives, afin que les contrôles continus effectués dans vos outils alimentent naturellement votre système de gestion de la sécurité de l'information.

Quels contrôles et enregistrements concrets un MSP devrait-il privilégier en premier lieu pour A.5.36 ?

Vous n’avez pas besoin d’un mur de classeurs. Il vous faut un ensemble restreint et rigoureux de contrôles et d’enregistrements prouvant l’existence de règles concernant les zones à haut risque, leur application concrète et les corrections apportées en cas de non-respect.

Quels sont les domaines qui comptent généralement le plus lors des audits et des vérifications préalables ?

Cinq domaines sont généralement les plus importants pour un fournisseur de services gérés.

1. Accès privilégié et à distance

C'est généralement le premier endroit que regardent les auditeurs et les clients.

  • Définir: Qui peut détenir des comptes d'administrateur, quelles normes MFA et d'appareils s'appliquent, comment éviter le partage d'identifiants et comment l'accès d'urgence est demandé et révoqué.
  • Garder: Exportations des appartenances aux groupes d'administrateurs, courts procès-verbaux d'examen des accès et quelques tickets expurgés montrant l'ouverture et la fermeture des accès d'urgence.

2. Application de correctifs et configuration

Cela montre si l'on peut mettre en œuvre des mesures d'hygiène de base à grande échelle.

  • Définir: cycles de correctifs minimaux par type de système, configurations de base pour les points de terminaison, les serveurs et le cloud, et gestion des exceptions.
  • Garder: Rapports de correctifs et de vulnérabilités avec une portée et des dates claires, ainsi que des tickets où un écart par rapport à la configuration de référence a été constaté, évalué en termes de risques et corrigé.

3. Gestion du changement à haut risque

C'est là que commencent de nombreux incidents graves.

  • Définir: Quelles modifications nécessitent une approbation formelle (par exemple, les règles du pare-feu, les changements d'identité, les politiques de sauvegarde), qui les approuve et que faut-il consigner ?
  • Garder: un petit ensemble de tickets de modification entièrement remplis montrant le parcours de la demande à la validation et, le cas échéant, à l'examen post-implémentation.

4. Couverture de l'enregistrement et de la surveillance

Cela prouve que vous remarquez et agissez lorsqu'un problème survient.

  • Définir: Quels événements doivent être consignés pour votre propre infrastructure et pour les services gérés, où ces journaux sont enregistrés, pendant combien de temps vous les conservez et quelles alertes sont importantes ?
  • Garder: des schémas ou des résumés de couverture simples, des exemples d'alertes et des tickets de suivi montrant comment le problème a été étudié et résolu.

5. Exceptions et non-conformité

C’est là que l’article A.5.36 montre vraiment si vous prenez les règles au sérieux.

  • Définir: comment les exceptions sont soulevées, approuvées, limitées dans le temps et examinées, et comment les cas de non-conformité répétés sont signalés.
  • Garder: un journal des exceptions évolutif lié à votre registre des risques, et quelques cas où vous avez non seulement résolu le problème immédiat, mais également modifié un modèle, mis à jour un manuel d'exploitation ou ajusté une formation.

En rassemblant ces éléments dans un dossier de preuves A.5.36 compact et en le tenant à jour, vous pouvez répondre rapidement aux auditeurs, aux assureurs cyber et aux équipes d'approvisionnement de votre entreprise sans avoir à inventer de nouvelles preuves à chaque fois. Sur ISMS.online, ce dossier peut être associé à vos politiques, risques, audits internes et revues de direction pertinents, afin que votre équipe sache toujours où trouver les informations lorsqu'on lui demande : « Montrez-moi comment vous vous assurez que vos politiques sont respectées. »

Comment un fournisseur de services gérés (MSP) doit-il intégrer la norme A.5.36 dans son système de gestion de l'information (ISMS) et son système de gestion de l'information (IMS) pour qu'elle résiste aux changements de personnel ?

La norme A.5.36 a une portée durable, au-delà de la simple intervention d'un responsable ISO, si elle est intégrée à votre processus de gouvernance et non considérée comme un projet secondaire. Cela implique d'intégrer la conformité aux politiques dans la gestion des risques, l'audit interne, la gestion des incidents et des changements, ainsi que dans la revue de direction, afin qu'elle soit régulièrement abordée et mise en œuvre.

À quoi cela ressemble-t-il dans un MSP aligné sur l'Annexe L ?

Trois choix de conception font une différence notable.

1. Considérez les violations de données comme des risques, et non comme du bruit.

Plutôt que de traiter les violations répétées du règlement comme des « incidents isolés et agaçants » :

  • Identifiez les problèmes récurrents – comptes d'administrateur non gérés, modifications non approuvées, retards répétés dans l'application des correctifs, échecs de sauvegarde – dans votre registre des risques avec un impact explicite sur les clients et l'entreprise.
  • Évaluez-les comme n'importe quel autre risque ISO 27001 : probabilité, impact et efficacité du contrôle, donc « nous nous en sommes tirés » n'est pas le critère.
  • Dans un système de gestion intégré (SGI) aligné sur l’annexe L, reliez ces risques aux clauses correspondantes des normes de qualité, de gestion des services ou de continuité des activités afin que la même faiblesse ne compromette pas discrètement plusieurs certifications.

2. Inscrire le point A.5.36 à l'ordre du jour de la revue de direction et de l'audit interne.

Le respect des politiques devrait être un sujet permanent, et non une simple annexe.

  • Dans les revues de direction, incluez des indicateurs simples et évolutifs : nombre et gravité des infractions aux politiques, ancienneté des exceptions, contrôles en retard et conclusions d’audit interne relatives aux règles non respectées.
  • Utiliser les audits internes pour Exemples de services, d'outils et de clients réels et vérifiez si les règles sont réellement appliquées sur l'ensemble de ces comptes, et pas seulement sur vos comptes les plus anciens.
  • Transformer les résultats des revues en actions suivies : qui est responsable d’une correction, quand elle doit être effectuée, comment les progrès seront vérifiés et comment le succès sera mesuré.

ISMS.online prend en charge ce modèle en vous fournissant des modèles de revue de direction, des risques liés, des audits internes et des actions correctives au même endroit, vous permettant ainsi de visualiser le cycle allant du problème à l'amélioration.

3. Lier directement les procédures opérationnelles standard (SOP) et les manuels d'exploitation aux contrôles et aux contrats.

Les ingénieurs doivent voir comment leurs actions se traduisent en obligations.

  • Annoter les étapes d'intégration, de changement, d'incident et de maintenance avec la politique, l'annexe A, la clause de contrôle ou la clause contractuelle auxquelles elles se conforment.
  • Mettez à jour les formulaires afin qu'ils enregistrent les données dont vous aurez besoin ultérieurement : quelle règle a été appliquée, qui a approuvé, quel locataire a été concerné, quelles mesures ont été prises pour éviter que cela ne se reproduise.
  • Intégrez ces attentes dans la formation basée sur les rôles afin que le personnel comprenne pourquoi certains champs et approbations sont obligatoires et non pas de la « paperasserie supplémentaire ».

Lorsque cette structure est intégrée à votre SMSI et à votre système de gestion intégré (SGI) au sens large – au lieu d'être dispersée dans des documents et les esprits –, la section A.5.36 se transforme en « comment nous gérons le SGI », et non en « ce que nous ressortons pour l'auditeur ». Si vous utilisez ISMS.online, vous pouvez expliciter ces liens grâce aux tâches liées, aux enregistrements des risques, aux audits internes et aux revues de direction, ce qui vous permet de démontrer la continuité même en cas de changement de rôle.

Comment les outils SIEM, RMM et de gestion des tickets peuvent-ils devenir des moteurs d'application efficaces des règles de politique de gestion ?

Vous transformez les plateformes existantes en moteurs de contrôle en traduisant un petit ensemble de règles importantes en conditions que ces outils peuvent vérifier automatiquement, et en veillant à ce que tout manquement devienne un ticket clair et exploitable, avec une responsabilité et un chemin de retour d'information vers votre système de gestion de la sécurité de l'information (SMSI).

Quel modèle un fournisseur de services gérés (MSP) peut-il suivre pour rendre les règles vérifiables par machine ?

Un modèle simple en six étapes fonctionne dans la plupart des domaines.

1. Rédigez la règle de manière à ce qu'un humain et un outil puissent tous deux l'appliquer.

Par exemple :

  • « Tous les serveurs Windows gérés doivent appliquer les mises à jour de sécurité critiques dans les 14 jours suivant leur publication, sauf exception approuvée. »
  • « Chaque client locataire doit avoir au moins deux administrateurs globaux nommés, tous deux protégés par l'authentification multifacteur et l'accès conditionnel. »

Évitez les expressions ambiguës comme « dans la mesure du possible » si vous souhaitez que les outils vous aident.

2. Déterminez quels signaux prouvent ou non que la règle est vraie ou fausse.

Examinez ce que vos systèmes peuvent déjà voir :

  • Données de correctifs RMM ou scanner de vulnérabilités.
  • Contenu de la CMDB ou de l'inventaire des actifs.
  • Rôles d'administrateur d'annuaire et de SaaS, journaux de connexion et de configuration.
  • Tickets et exceptions dans votre service d'assistance.

Ces signaux définissent ce qui peut être vérifié automatiquement.

3. Transformer la règle en conditions concrètes et vérifiables

Exemples :

  • « Chaque serveur concerné figure dans l’inventaire, possède un agent à jour et ne présente aucune vulnérabilité critique non corrigée datant de plus de 14 jours. »
  • « Tout serveur dont le correctif est en retard possède soit une exception ouverte et approuvée, soit un ticket de correction avec un responsable et un SLA. »
  • « Chaque locataire dispose d'au moins deux administrateurs globaux uniques avec l'authentification multifacteur (MFA) activée ; aucun compte générique ne détient de rôle d'administrateur. »

Cette étape crée le lien entre les termes de la politique et la logique de l'outil.

4. Créez des tableaux de bord, des requêtes et des règles dans vos outils

Intégrez ces conditions dans vos plateformes :

  • Des tableaux de bord dans les outils RMM et d'analyse des vulnérabilités qui mettent en évidence les actifs non conformes et permettent aux équipes d'approfondir l'analyse.
  • Règles de corrélation SIEM ou rapports planifiés mettant en évidence les anomalies pertinentes pour les politiques, telles que les nouveaux comptes privilégiés sans MFA ou les changements importants en dehors des fenêtres de changement.
  • Des flux de travail de billetterie qui imposent des approbations et capturent les champs appropriés lorsque certaines catégories sont soulevées.

« Vérifier la conformité » consiste désormais à analyser des données en temps réel, et non plus à compiler des feuilles de calcul ad hoc.

5. Transformer les échecs en tickets pertinents

Lorsqu'un élément échoue au test, un ticket doit être créé afin qu'une personne puisse intervenir :

  • Étiquetez les tickets avec la règle et le contrôle auxquels ils se rapportent (par exemple, « ISO 27001 A.5.36 – accès privilégié »).
  • Inclure le contexte : nom du client, identifiant de l’actif, gravité, durée de l’infraction et liens vers les exceptions associées.
  • Définissez des SLA et des responsables réalistes afin que ces tickets ne soient pas noyés sous un flot de notifications sans importance.

C’est la partie qui intéresse A.5.36 : vous ne vous contentez pas de détecter les violations de vos propres règles, vous les corrigez de manière contrôlée.

6. Conserver suffisamment d'historique pour mettre en évidence les tendances et les enseignements tirés

L'histoire apporte la preuve que les contrôles fonctionnent :

  • Conservez les tableaux de bord, les rapports et les tickets suffisamment longtemps pour mettre en évidence les améliorations ou les thèmes récurrents, et pour faciliter les audits internes.
  • Utilisez quelques cas bien choisis – dont au moins un exemple délicat – lors des revues de direction, des vérifications préalables des fournisseurs et des réunions avec les clients pour montrer que les infractions aux politiques mènent à des actions et à des enseignements.

Au fil du temps, ce modèle constitue un catalogue de règles vérifiables par machine, couvrant l'accès privilégié, la vérification des sauvegardes, le déploiement d'EDR, la couverture des journaux et bien plus encore. ISMS.online facilite cette démarche en reliant ces contrôles et leurs preuves à vos politiques, risques et contrôles de l'Annexe A, vous permettant ainsi de les présenter comme faisant partie d'un système de gestion de la sécurité de l'information cohérent, et non comme un amas de captures d'écran disparates.

Comment un fournisseur de services gérés peut-il transformer la norme ISO 27001 A.5.36 en un avantage commercial clair grâce à ISMS.online ?

Vous transformez la norme A.5.36 en un atout commercial en expliquant clairement aux auditeurs et aux clients, de la simple présentation de la règle à la mise en œuvre concrète et aux mesures prises en cas d'infraction. Cette démarche s'effectue au sein d'un environnement unique et structuré, réutilisable pour tous vos audits, appels d'offres et revues. ISMS.online est conçu pour répondre à ce besoin.

À quoi cela ressemble-t-il dans les audits, les appels d'offres et les avis clients ?

Trois habitudes permettent aux fournisseurs de services gérés de se démarquer de manière constante.

Utilisez une vue cartographiée unique allant de la règle au service et à la preuve

Au lieu de jongler avec des dossiers et des feuilles de calcul dès que quelqu'un mentionne A.5.36 :

  • Maintenir un registre unique et structuré des politiques, normes et règles spécifiques aux services dans ISMS.online, avec les propriétaires nommés, les portées et les sources de preuves liées.
  • Reliez chaque règle aux contrôles, risques, audits internes et actions correctives pertinents de l'annexe A en utilisant des travaux liés.
  • Lorsqu'un auditeur ou un client entreprise pose la question, ouvrez cette carte, puis cliquez sur quelques exemples concrets – revues d'accès, tickets de modification, accusés de réception de formation – pour illustrer le cheminement de la règle écrite au comportement réel.

Ce niveau de traçabilité vous donne l'image d'un fournisseur de services gérés (MSP) fonctionnant selon un véritable système de gestion de la sécurité de l'information (SGSI), et non pas seulement avec de bonnes intentions.

Montrez comment vous réagissez lorsque les règles sont enfreintes.

Les acheteurs souhaitent de plus en plus comprendre comment vous vous comportez les mauvais jours :

  • Utilisez ISMS.online pour tenir un registre structuré des violations et exceptions de politique, avec des champs pour l'impact, la cause première, le responsable, le traitement et la clôture.
  • Apportez aux réunions quelques cas soigneusement expurgés pour montrer comment les problèmes ont été détectés, ce que vous avez fait immédiatement et comment vous avez renforcé les contrôles ou la formation par la suite.

Bien utilisés, ces exemples permettent de gagner la confiance ; ils montrent que vous considérez A.5.36 comme une discipline vivante, et non comme un slogan marketing.

Réutilisez votre travail A.5.36 pour différents frameworks et clients.

Étant donné qu'ISMS.online prend en charge les systèmes de gestion intégrés conformes à la norme ISO 27001 et à l'annexe L, chaque amélioration que vous apportez à la section A.5.36 a un double impact :

  • Autres cadres et réglementations : – Les normes SOC 2, NIS 2, DORA ou les normes sectorielles posent souvent des questions similaires sur la manière dont vous appliquez vos propres règles ; vous pouvez répondre à partir des mêmes enregistrements liés.
  • Appels d'offres et cyberassurance : – Les questionnaires de sécurité qui évaluent le respect des politiques peuvent souvent être remplis en exportant ou en résumant vos preuves ISMS.online existantes.
  • Avis clients et revues trimestrielles des performances : – vous pouvez réutiliser des parties de votre dossier de preuves A.5.36 pour montrer comment vous protégez l'environnement de chaque client au fil du temps, et pas seulement lors des étapes clés de la certification.

Si vous souhaitez être perçu comme un fournisseur de services gérés (MSP) capable de démontrer concrètement son savoir-faire, il est judicieux de doter votre équipe d'une plateforme conçue pour ce niveau de transparence. Explorer comment ISMS.online peut étayer votre approche A.5.36 – en complément de votre système de gestion de la sécurité de l'information et de tout système de gestion intégré de type Annexe L – est une solution pratique pour passer d'une simple certification à une stratégie commerciale plus solide, expliquant comment vous gérez la sécurité pour vous-même et vos clients.

Marc Sharron

Mark Sharron dirige la stratégie de recherche et d'IA générative chez ISMS.online. Il se concentre sur la communication sur le fonctionnement pratique des normes ISO 27001, ISO 42001 et SOC 2, en reliant les risques aux contrôles, aux politiques et aux preuves grâce à une traçabilité adaptée aux audits. Mark collabore avec les équipes produit et client pour intégrer cette logique aux flux de travail et au contenu web, aidant ainsi les organisations à comprendre et à prouver en toute confiance la sécurité, la confidentialité et la gouvernance de l'IA.

Twitter

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.