Passer au contenu
ISMS.en ligne

A.8.7 Protection contre les logiciels malveillants – MSP Edr et lignes de base anti-malware

Les attaques par rançongiciel ciblent désormais les fournisseurs de services gérés (MSP) pour un impact rapide et généralisé, rendant obsolète une protection « suffisante » contre les logiciels malveillants. La norme ISO 27001 A.8.7 exige bien plus qu'un simple logiciel : vos contrôles doivent être définis, surveillés et auditables pour tous vos clients. Démontrez votre confiance et votre préparation en alignant vos services sur les nouvelles exigences de base, et pas seulement sur les noms de vos produits.

Auteur
Marc Sharron
Mise à jour: 1 décembre, 2025
4 / 5 Etoiles

La nouvelle réalité des ransomwares pour les MSP

Les ransomwares exploitent de plus en plus les fournisseurs de services gérés (MSP) comme une porte d'entrée privilégiée vers des dizaines d'environnements clients simultanément. Les attaquants ciblent vos accès à distance, vos plateformes de gestion et vos comptes d'administrateur partagés afin qu'une seule compromission puisse se propager à de nombreux clients. Par conséquent, une protection « suffisante » contre les logiciels malveillants ne se limite plus au choix d'une solution de sécurité pour les terminaux ; elle englobe votre capacité à contenir un incident avant qu'il ne devienne une crise multi-clients et à démontrer à vos clients et auditeurs que vous pouvez le faire de manière constante.

Ce changement est important car il redéfinit les critères d'un niveau de sécurité « suffisant ». Les outils de sécurité des terminaux ne constituent qu'un élément d'un contrôle plus global : leur configuration, leur surveillance, les mesures prises et la manière de les démontrer. Parallèlement, clients, assureurs et auditeurs s'interrogent davantage sur la sécurité concrète des terminaux, et non plus seulement sur le logo du produit présenté. Les évaluations des menaces réalisées par les forces de l'ordre, comme l'évaluation des menaces liées à la criminalité grave et organisée d'Europol, soulignent que les groupes de ransomware organisés ciblent de plus en plus les fournisseurs de services et les intermédiaires afin de maximiser l'impact sur l'ensemble des victimes, une situation précisément occupée par les fournisseurs de services gérés (MSP).

Presque tous les répondants au rapport 2025 sur l'état de la sécurité de l'information citent l'obtention ou le maintien de certifications de sécurité telles que l'ISO 27001 ou le SOC 2 comme une priorité absolue.

Une sécurité robuste dépend souvent moins des nouveaux achats que de la cohérence du fonctionnement des outils existants.

Pourquoi les MSP sont des cibles privilégiées

Les attaquants ciblent les fournisseurs de services gérés (MSP) car la compromission de leurs accès et de leurs systèmes d'automatisation leur confère une portée difficilement atteignable en ciblant une victime à la fois. Vos plateformes de surveillance et de gestion à distance, vos comptes de service privilégiés et vos mécanismes de mise à jour sont particulièrement vulnérables car ils permettent à un attaquant de se propager d'un hôte compromis à de nombreux clients avec une rapidité alarmante. Les rapports sectoriels sur les tendances en matière de ransomware décrivent régulièrement des campagnes où les acteurs malveillants exploitent l'accès aux MSP ou aux plateformes RMM pour déployer des charges utiles chez de nombreux clients en une seule opération, plutôt que d'attaquer chaque organisation individuellement.

La plupart des organisations interrogées dans le cadre de l'enquête 2025 sur l'état de la sécurité de l'information déclarent avoir déjà été touchées par au moins un incident de sécurité impliquant un tiers ou un fournisseur au cours de l'année écoulée.

Une campagne moderne enchaîne souvent plusieurs étapes. Elle peut commencer par le vol ou l'hameçonnage d'identifiants de techniciens, puis se poursuivre par l'exploitation abusive de l'administration à distance, la désactivation des agents de sécurité et enfin la diffusion de charges utiles malveillantes via vos canaux de mise à jour ou de script. Une fois cette séquence visualisée, une question essentielle se pose : si un seul poste de travail privilégié de votre environnement est compromis, jusqu'où un attaquant pourrait-il raisonnablement aller en utilisant les accès et l'automatisation dont vous vous servez au quotidien ?

Cette expérience de pensée n'a pas pour but de vous alarmer ; elle vise à mettre en lumière le niveau réel de vos protections actuelles. Si la réponse honnête est « plus étendues que souhaité », l'annexe A.8.7 est l'un des leviers permettant de renforcer ce niveau de protection de manière structurée et vérifiable.

De l'installation d'un antivirus à la gestion d'un contrôle

La version A.8.7 vous fait passer d'une simple installation d'antivirus généralisée à un contrôle des logiciels malveillants reproductible, explicable et vérifiable. Cela implique de définir les actions que chaque terminal géré doit exécuter, son comportement attendu et la méthode de validation de ce comportement pour l'ensemble des clients, au lieu de s'appuyer sur les préférences individuelles des ingénieurs ou sur des choix de produits antérieurs.

Pour de nombreux fournisseurs de services gérés (MSP), la sécurité des terminaux s'est développée de manière organique. Les ingénieurs préféraient différents fournisseurs, certains clients insistaient pour conserver un ancien antivirus, et les paramètres de base relevaient du savoir-faire informel plutôt que d'une norme écrite. On supposait tacitement que la présence d'un antivirus partout était synonyme de conformité et de diligence raisonnable.

L’annexe A.8.7 dissipe cette illusion. Ce contrôle exige que la protection contre les logiciels malveillants soit conçue, mise en œuvre et prise en charge par la sensibilisation des utilisateurs, de manière à pouvoir être démontrée. Les résumés de la mise à jour de la norme ISO 27001:2022 indiquent que les contrôles actualisés de l’annexe A, notamment A.8.7, mettent davantage l’accent sur les mesures techniques mises en œuvre et justifiées, parallèlement à la sensibilisation des utilisateurs, plutôt que sur la simple mention d’un produit. Concrètement, cela signifie que vous :

  • Définissez ce que chaque point de terminaison géré doit exécuter.
  • Définissez des règles claires pour les mises à jour, les analyses et les réponses.
  • Rassemblez des preuves que ces choses se produisent réellement.

Une fois ce changement accepté, la conversation ne porte plus sur le choix du meilleur fournisseur, mais sur la manière d'uniformiser les comportements sur l'ensemble des appareils et des locataires dont vous avez la charge.

Demander demo


Qu’exige réellement la norme ISO 27001:2022 A.8.7 des services MSP ?

Pour un fournisseur de services gérés (MSP), l'annexe A.8.7 exige la mise en œuvre d'une protection contre les logiciels malveillants sous forme de contrôle documenté et supervisé. Ce contrôle doit combiner technologie, configuration, processus et sensibilisation des utilisateurs, et être démontrable aux auditeurs et clients, au lieu de se contenter d'affirmer « utiliser un outil EDR ». Les commentaires relatifs à la révision 2022 de la norme ISO 27001 soulignent que l'annexe A.8.7 vise à promouvoir des contrôles de protection contre les logiciels malveillants documentés et supervisés, appuyés par la sensibilisation des utilisateurs, et non une simple case à cocher attestant de la présence d'un logiciel anti-malware. Bien que concise, l'annexe A.8.7 a un objectif clair : mettre en œuvre une protection contre les logiciels malveillants, la compléter par une sensibilisation appropriée des utilisateurs afin de protéger les informations et autres actifs associés, et être en mesure d'expliquer et de démontrer la mise en œuvre concrète de cette protection. Si vous hébergez, exploitez ou gérez la sécurité des terminaux pour vos clients, vos services contribuent donc largement à la conformité à l'annexe A.8.7. La question essentielle n'est pas seulement de savoir si vous utilisez des outils modernes, mais si vos outils, paramètres et processus, pris ensemble, répondent aux exigences du contrôle.

Le rapport 2025 sur l'état de la sécurité de l'information note que les clients attendent de plus en plus des fournisseurs qu'ils s'alignent sur des cadres formels tels que l'ISO 27001, l'ISO 27701, le RGPD, Cyber ​​Essentials et SOC 2, ainsi que sur les normes émergentes en matière d'IA.

Le contrôle en langage clair

En résumé, la norme A.8.7 exige que vous déployiez une protection anti-malware appropriée, que vous la mainteniez efficace, que vous surveilliez les menaces détectées et que vous accompagniez les utilisateurs afin que les risques liés aux logiciels malveillants restent dans des limites acceptables. Elle s'intéresse autant au comportement des utilisateurs et à vos réactions qu'à l'agent installé sur l'appareil. Concrètement, ce contrôle vous demande de :

  • Installez une protection anti-malware ou une protection des terminaux appropriée sur les systèmes concernés.
  • Veillez à ce que ces protections soient à jour et correctement configurées.
  • Surveiller les détections et les incidents et réagir rapidement.
  • Aider les utilisateurs à reconnaître et à signaler les activités suspectes.

Pour vous, cela soulève immédiatement des questions pratiques. Où ces exigences sont-elles intégrées à vos politiques et normes ? Vos descriptions de service et vos manuels d’exploitation y sont-ils conformes ? Lorsqu’un client vous demande comment vous assurez sa conformité, pouvez-vous lui fournir des documents et des tableaux de bord précis illustrant la mise en œuvre de la norme A.8.7, plutôt que de simplement énumérer des outils ?

Comment les auditeurs interprètent le point A.8.7 pour les MSP

Lors de l'évaluation de la conformité à la norme A.8.7 dans les environnements MSP, les auditeurs recherchent généralement quelques points communs. Ils souhaitent s'assurer que vous et vos clients avez défini le fonctionnement de la protection contre les logiciels malveillants, l'avez mise en œuvre de manière cohérente, avez sensibilisé les utilisateurs à son utilisation et vérifiez régulièrement son bon fonctionnement. Les audits et les contrôles de responsabilité plus généraux mettent souvent en évidence le même schéma : des politiques et des normes claires, des référentiels définis et des preuves que les contrôles fonctionnent comme prévu. De nombreux auditeurs du secteur privé appliquent des exigences similaires lorsqu'ils examinent les contrôles de sécurité.

Dans le contexte d'un fournisseur de services gérés (MSP), cela implique souvent d'examiner votre politique de sécurité relative aux logiciels malveillants et aux terminaux, vos configurations de base pour différents types d'appareils, de prélever des échantillons de terminaux pour vérifier l'application des agents et des politiques, et de consulter les rapports d'incidents, les journaux de formation et les campagnes de sensibilisation. Lorsque vos services font partie du système de gestion de la sécurité de l'information (SGSI) d'un client, les auditeurs analyseront le partage des responsabilités : quels terminaux vous sécurisez, lesquels sont gérés par le client, et comment vous coordonnez la gestion des incidents, des formations et des exceptions.

Si vos réponses sont éparpillées dans des catalogues de services, des courriels et les souvenirs des ingénieurs, ces questions risquent d'être stressantes. En revanche, si vous abordez le point A.8.7 comme un problème de conception de services, vous pouvez préparer un récit cohérent bien avant la date d'audit. Une plateforme de gestion de la sécurité de l'information (GSSI) telle que ISMS.online peut vous aider à documenter ces attentes, à les relier à l'annexe A.8.7 et à assurer la cohérence des preuves avec le contrôle, afin de disposer d'un argumentaire cohérent prêt à être présenté lorsqu'on vous demande des explications.

Ce document présente des informations générales sur le point A.8.7 et ne constitue pas un avis juridique ni un conseil en matière de certification. Pour prendre des décisions contraignantes, veuillez toujours consulter la norme officielle et, le cas échéant, des conseillers qualifiés.



ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Vecteurs de menace A.8.7 exige que vous couvriez l'ensemble des locataires

La norme A.8.7 exige que vous compreniez les principaux vecteurs d'infiltration et de propagation des logiciels malveillants au sein de votre environnement et de celui de vos clients, et que vous mettiez en place des contrôles rigoureux et surveillés autour de ces vecteurs. Pour un fournisseur de services gérés (MSP), cela implique d'aller au-delà des simples « fichiers malveillants » et de prendre en compte la messagerie électronique, le web, les outils de contrôle à distance, les supports amovibles et l'utilisation abusive des fonctionnalités d'administration légitimes sur plusieurs comptes.

Les logiciels malveillants s'introduisent dans vos systèmes gérés par un nombre restreint de vecteurs récurrents, utilisés de manière systématique par les attaquants. Ils arrivent par courriel, navigateurs, documents, supports amovibles, administration à distance et même par le biais d'outils légitimes détournés de leur usage initial. Les recommandations des professionnels en matière de conception de programmes de défense contre les logiciels malveillants montrent systématiquement que la plupart des incidents réels proviennent d'un ensemble relativement restreint de vecteurs d'infection récurrents, ce qui souligne l'importance de se concentrer en priorité sur ces vecteurs plutôt que de tenter de couvrir simultanément tous les scénarios hypothétiques. La norme A.8.7 vous invite à prendre en compte tous les vecteurs pertinents présents dans votre environnement et à choisir des mesures permettant de réduire le risque à un niveau acceptable, en vous appuyant sur votre expérience pratique plutôt que sur la seule théorie.

Pour un fournisseur de services gérés (MSP), ces vecteurs d'attaque concernent aussi bien sa propre infrastructure que celle de ses clients. La standardisation de la protection commence donc par l'identification des moyens réalistes par lesquels les logiciels malveillants peuvent atteindre et se déplacer entre les systèmes gérés, et par l'évaluation de l'efficacité des mesures de protection actuelles par rapport à cette liste.

Principaux vecteurs d'attaques malveillantes dans les environnements MSP

Dans de nombreux environnements MSP, quelques vecteurs sont à l'origine de la majorité des incidents : courriels et pièces jointes d'hameçonnage, téléchargements depuis des sites compromis ou contrefaits, utilisation abusive des outils d'accès à distance et des agents de surveillance et de gestion à distance, supports amovibles infectés ou non fiables, et mauvaise utilisation des outils d'administration existants. Comprendre comment chacun de ces vecteurs se manifeste dans votre environnement vous offre un point de départ pratique pour définir vos propres normes de sécurité A.8.7. Les ressources communautaires de défense contre les logiciels malveillants mettent régulièrement en avant ces mêmes vecteurs comme principales sources d'infection, ce qui devrait vous conforter dans l'idée que se concentrer d'abord sur ces points correspond à l'expérience pratique.

Il n’est pas nécessaire de réinventer le renseignement sur les menaces pour commencer. Une démarche pratique consiste à explorer ces pistes et à se poser, pour chacune d’elles :

  • Que peut-on prévoir aujourd'hui si ce vecteur est utilisé ?
  • Comment savoir si les attentes sont satisfaites en situation réelle ?
  • Qui est responsable de combler les lacunes lorsque nous les constatons ?

Si la réponse pour les supports amovibles est « cela dépend de qui a configuré la machine », ou pour l'accès à distance est « nous faisons confiance à nos techniciens pour ne pas faire d'erreurs », c'est un signe que votre implémentation A.8.7 est centrée sur l'outil plutôt que sur le contrôle.

Un simple tableau peut vous aider à structurer cette réflexion :

vecteur Voici à quoi cela ressemble pour vous Contrôles de base typiques
Hameçonnage / pièces jointes Utilisateurs sur des plateformes de messagerie et de productivité gérées Filtrage des courriels, analyse des pièces jointes, formation des utilisateurs
Téléchargements Web Navigation depuis des ordinateurs portables et de bureau gérés Filtrage Web, filtrage DNS, renforcement de la sécurité des navigateurs
Accès à distance / RMM Des techniciens utilisent des outils de contrôle à distance pour accéder aux systèmes clients. authentification forte, approbations, surveillance des activités
Média amovible Périphériques USB connectés aux terminaux Contrôle des ports, exécution automatique désactivée, numérisation à l'insertion
utilisation abusive des outils d'administration Scripts et consoles d'administration utilisés pour les modifications en masse Contrôle des applications, journalisation, accès au principe du moindre privilège

L'objectif n'est pas la perfection dès le premier jour ; il s'agit de rendre explicite ce qui est implicite afin que vous puissiez voir où vos données de référence actuelles correspondent et où elles ne correspondent pas à votre risque.

Comment ces vecteurs correspondent à A.8.7

Conformément à la section A.8.7, vous devez définir comment vous vous protégez contre les principales sources de logiciels malveillants présentes dans votre environnement et démontrer que ces protections sont effectivement mises en œuvre. Cela implique d'avoir identifié les principaux vecteurs d'attaque, sélectionné les défenses appropriées et de pouvoir prouver leur mise en place et leur bon fonctionnement. Les recherches sur la gestion de la cybersécurité basée sur les risques préconisent d'adapter le niveau et la combinaison des contrôles au profil de risque des actifs et de l'organisation, plutôt que de tenter d'imposer systématiquement des contrôles « maximaux » identiques, quel que soit le contexte.

Pour les fournisseurs de services gérés (MSP), cela implique généralement de définir des exigences documentées concernant le filtrage des e-mails et du Web, les agents de sécurité des terminaux, l'utilisation sécurisée des supports amovibles, l'administration à distance sécurisée, ainsi que les procédures de surveillance, de réponse et de sensibilisation des utilisateurs en cas de détection d'attaques. Il n'est pas nécessaire d'appliquer les mêmes mesures à chaque client. Une petite entreprise locale, peu exposée aux sollicitations externes, peut raisonnablement utiliser une infrastructure plus simple qu'un établissement financier réglementé.

L'essentiel est de pouvoir expliquer, en fonction des risques, pourquoi un locataire donné dispose d'une combinaison particulière de contrôles et de démontrer que ces contrôles existent et fonctionnent. Si vous y parvenez, vous serez en bonne voie de satisfaire à l'exigence A.8.7 de manière crédible, tant lors des audits que dans vos échanges avec les clients.



Recadrer A.8.7 comme un problème de conception et de gouvernance des services MSP

Vous tirez le meilleur parti de la norme A.8.7 lorsque vous considérez la protection contre les logiciels malveillants comme un service structuré et encadré que vous proposez à vos clients, et non comme une simple formalité administrative dans un audit externe. Cette approche vous permet de standardiser les composants, de clarifier les responsabilités et d'améliorer vos marges, au lieu de devoir gérer les mêmes problèmes de manière légèrement différente pour chaque client.

De nombreux fournisseurs de services gérés (MSP) découvrent la norme A.8.7 lors d'un audit client ou dans un cahier des charges. Cette norme apparaît sous la forme d'une question demandant si vous « protégez contre les logiciels malveillants » et quels outils vous utilisez. Si vous vous contentez de la considérer comme une simple case à cocher, vous passerez à côté de l'opportunité d'en faire un service différenciateur et standardisé, permettant de réduire les risques et d'améliorer les marges.

Il est plutôt utile de considérer A.8.7 comme décrivant un service que vous fournissez : un service de protection contre les logiciels malveillants avec des composants, des responsabilités et des preuves définis, fourni de manière cohérente à tous les locataires.

Pensez en termes de services, pas d'outils

Adopter une approche par les services vous oblige à définir comment tous les éléments interagissent, et pas seulement les marques que vous installez. Les outils font partie de la solution, mais ils ne constituent pas le service que vous vendez ni celui que vous justifiez au regard de l'article A.8.7.

Un service de protection contre les logiciels malveillants performant comprend généralement :

  • Des politiques et des normes clairement documentées en matière de protection contre les logiciels malveillants.
  • Définition de valeurs de référence pour chaque type d'appareil et niveau de risque.
  • Processus de déploiement, de mise à jour et de contrôle de l'état de santé.
  • Procédures de surveillance et de gestion des alertes.
  • Sensibilisation des utilisateurs, formation et simulations d'hameçonnage.
  • Systèmes de gestion des exceptions et d'amélioration continue.

Les outils tels que les plateformes EDR, les systèmes de surveillance à distance et les passerelles de messagerie sécurisées prennent en charge ces éléments, mais ne les remplacent pas. En identifiant ces composantes, vous pouvez vous demander : « Où sont-elles consignées aujourd’hui ? » Vous constaterez peut-être que les référentiels sont répartis dans des documents de projet distincts, les règles de surveillance dans votre console EDR et les actions de sensibilisation dans des courriels ponctuels. Les regrouper dans une définition de service unique simplifie la gestion, l’explication et la tarification de vos prestations clients.

Gouvernance, rôles et responsabilités partagées

Une conception sans gouvernance est vouée à l'échec. La norme A.8.7 s'inscrit dans un système de gestion de la sécurité de l'information plus vaste, qui exige une définition claire des personnes habilitées à apporter des modifications, à accepter les risques et à valider les exceptions. Sans cette clarté, même les meilleurs contrôles techniques deviennent incohérents au fil du temps et des conflits de responsabilité surgissent au pire moment.

Environ deux tiers des organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online affirment que la rapidité et l'ampleur des changements réglementaires rendent la conformité plus difficile à maintenir.

La gouvernance en matière de protection contre les logiciels malveillants implique de définir qui est responsable de la norme, qui peut approuver les dérogations, qui est chargé du suivi de sa mise en œuvre et comment les décisions sont consignées et examinées. Pour un fournisseur de services gérés (MSP), cela peut impliquer un responsable de la sécurité ou de la conformité, des responsables des opérations, des gestionnaires de compte et des interlocuteurs clients, chacun ayant des rôles clairement définis et transparents, contrairement aux accords informels.

Étant donné que vous fournissez des services au sein du système de gestion de la sécurité de l'information (SGSI) d'une autre organisation, il est essentiel de définir clairement les responsabilités partagées. Quels terminaux, charges de travail et canaux êtes-vous contractuellement tenu de protéger ? Lesquels ne relèvent pas de votre périmètre ? Comment gérez-vous les incidents impliquant les deux parties ? Les exceptions et l'acceptation des risques liés aux contrôles des logiciels malveillants doivent être documentées dans votre SGSI et, le cas échéant, intégrées à la déclaration d'applicabilité du client afin d'éviter toute ambiguïté ultérieure.

Pour les dirigeants de fournisseurs de services gérés non spécialisés en sécurité, cette structure va bien au-delà de la simple conformité. Des rôles clairement définis, des référentiels établis et des preuves tangibles permettent de réduire les interventions d'urgence, de standardiser les tâches et de faciliter une croissance rentable. Une plateforme de gestion de la sécurité de l'information (GSSI) comme ISMS.online vous permet de centraliser ces rôles, documents et décisions, garantissant ainsi une gouvernance visible et un suivi simplifié à mesure que votre entreprise se développe.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Conception d'une base de référence EDR standardisée et hiérarchisée selon les risques

Une configuration de base EDR et anti-malware basée sur les risques vous permet de définir une seule fois le niveau de protection nécessaire aux différents locataires et actifs, puis d'appliquer cette décision de manière cohérente. Au lieu de configurations sur mesure, vous disposez d'un ensemble restreint de niveaux standard adaptés au contexte des risques et de l'activité, que vous pouvez expliquer aux clients, aux employés et aux auditeurs.

Une fois que vous avez intégré le point A.8.7 dans le cadre de la conception des services, vous pouvez vous concentrer sur l'un de vos leviers les plus puissants : une configuration de base standardisée et hiérarchisée selon les risques pour la détection et la réponse aux incidents sur les terminaux, ainsi que pour la protection contre les logiciels malveillants. Cette configuration partagée vous permet de répondre à des questions telles que « Quelles sont les mesures minimales requises pour chaque poste de travail géré ? » ou « Comment adapter le traitement aux terminaux à haut risque ? » sans avoir à tout réinventer pour chaque client.

Définir vos niveaux de risque

Chaque client et chaque appareil n'a pas besoin du même niveau de protection, mais chaque choix doit être mûrement réfléchi. Une approche simple consiste à définir deux ou trois niveaux de risque qui tiennent compte de la sensibilité des données, des contraintes réglementaires, de l'exposition externe et de la tolérance aux interruptions de service.

Un modèle pratique de hiérarchisation des risques regroupe les clients et les systèmes en différents niveaux : standard, renforcé et à haut risque. Chaque niveau est ensuite associé à des contrôles spécifiques des terminaux, à un niveau de surveillance et à des attentes en matière de réponse. Les décisions relatives à l’appartenance des locataires et des catégories d’actifs à chaque niveau doivent reposer sur des évaluations des risques et le contexte commercial, et non uniquement sur le budget ou la facilité d’accès.

Lors de la définition de ces niveaux, consignez les critères. Par exemple, tout locataire traitant des données financières ou de santé réglementées pourrait être classé « à niveau de sécurité renforcé » par défaut, tandis que les postes de travail d'administration interne disposant d'un accès étendu à de nombreux locataires pourraient être automatiquement classés dans la catégorie « à haut risque ». Le fait de formaliser ces règles facilite leur justification lors des audits et leur explication aux clients et aux assureurs.

Élaboration de la base de référence EDR par niveau

Grâce à ces niveaux de risque définis, vous pouvez établir une base de référence pour chacun d'eux, passant ainsi de « nous utilisons une solution EDR » à « voici les capacités et paramètres minimaux attendus pour ce niveau de risque ». Cette clarté permet aux ingénieurs, aux gestionnaires de comptes et aux auditeurs de travailler de concert.

Une solution EDR de base bien conçue définit les fonctionnalités minimales telles que la détection comportementale et en temps réel, la gestion centralisée des politiques, les mises à jour automatiques, les options d'isolation et la conservation des journaux et des données de télémétrie. Elle prend également en compte les éléments de configuration, comme les comportements bloqués ou faisant l'objet d'alertes, la durée de conservation des journaux et les critères déclenchant une vérification humaine ou une isolation automatique pour chaque niveau de risque.

De plus, la configuration de base doit préciser comment l'EDR s'intègre aux autres composants de votre infrastructure : filtrage des e-mails et du Web en amont, gestion des identités et des accès pour les comptes à privilèges, et systèmes de gestion des incidents et des tickets pour le suivi. Une alerte qui n'atteint jamais une personne ou un processus est inutile dans votre plan de conformité A.8.7, aussi performante soit la technologie sous-jacente.

Il est important de trouver un équilibre entre ces éléments et la réalité opérationnelle. Les locataires à haut risque peuvent tolérer un blocage plus strict et des volumes d'alertes plus élevés ; les environnements à faible risque peuvent privilégier une approche plus souple. L'essentiel est de définir ces différences de manière intentionnelle, d'en mesurer l'impact et d'en consigner la justification afin de pouvoir les analyser et les adapter en fonction de l'évolution des menaces et des besoins de l'entreprise.



Niveaux de référence en matière de protection contre les logiciels malveillants et de réponse aux incidents de sécurité (EDR) par type d'appareil et d'environnement

La norme A.8.7 exige également que la protection contre les logiciels malveillants soit adaptée aux différents types d'appareils et d'environnements, et non qu'une seule configuration convienne à tous : postes de travail, serveurs, terminaux d'administration, utilisateurs distants, bureaux virtuels, charges de travail cloud et technologies opérationnelles présentent tous des risques et des contraintes différents. Vos configurations de référence doivent donc tenir compte de ces différences. Les niveaux de risque définissent le niveau de protection requis ; les types d'appareils et d'environnements définissent où et comment elle est appliquée. Une mise en œuvre efficace de la norme A.8.7 doit prendre en considération ces réalités. Une approche A.8.7 crédible pour un fournisseur de services gérés (MSP) définit donc des configurations de référence pratiques pour chaque catégorie, ainsi qu'une gestion claire des exceptions lorsque vos contrôles préférés ne peuvent être appliqués.

Dans de nombreux environnements de fournisseurs de services gérés (MSP), quelques catégories de terminaux prédominent : les postes de travail et ordinateurs portables des utilisateurs, les serveurs et les terminaux d’administration privilégiés utilisés pour gérer plusieurs environnements. Chaque catégorie ayant un rôle et un profil de risque différents, elle mérite une configuration de base adaptée, mais standardisée.

Chaque catégorie de point final doit avoir une base de référence documentée décrivant :

  • Quel agent anti-malware ou EDR doit être présent ?
  • Quelles sont les fonctions de protection essentielles qui doivent être activées ?
  • Fréquence de mise à jour des signatures et des moteurs.
  • Fréquence des analyses et contenu des analyses.
  • Quels comportements sont bloqués ou font seulement l'objet d'une alerte ?
  • Comment les journaux sont collectés et conservés.
  • Quels contrôles supplémentaires s'appliquent à cette catégorie ?

Pour les postes de travail, cela pourrait inclure le filtrage web et le contrôle des pièces jointes. Pour les serveurs, cela pourrait impliquer un contrôle des modifications plus strict et des réponses automatisées plus prudentes. Pour les postes d'administration, vous pourriez exiger un renforcement de la sécurité, la mise en place d'une liste blanche d'applications et une journalisation plus poussée afin de pouvoir reconstituer l'activité en cas d'incident.

Les télétravailleurs et les utilisateurs hybrides méritent une attention particulière. Les appareils qui restent longtemps hors du réseau d'entreprise ou hors de votre champ d'action habituel peuvent facilement devenir non conformes. Des études sur les erreurs de configuration et les dérives de configuration des terminaux montrent que les appareils hors réseau ou non gérés sont particulièrement susceptibles de manquer des mises à jour ou de s'écarter des configurations de référence attendues ; c'est pourquoi ils doivent faire l'objet d'une attention particulière dans vos normes.

Gestion des contraintes liées au travail à distance, au cloud, aux technologies opérationnelles et aux systèmes existants

Tous les environnements ne permettent pas d'exécuter le même agent ou la même configuration. Les applications métiers peuvent entrer en conflit avec certaines analyses, certains systèmes d'exploitation peuvent ne pas être pris en charge par les outils que vous avez choisis, et les technologies opérationnelles sont souvent soumises à des contraintes strictes de performance et de gestion des changements qui limitent les éléments que vous pouvez installer.

Ces réalités ne vous dispensent pas de respecter la norme A.8.7 ; elles vous incitent simplement à mettre en place des mesures de contrôle compensatoires et des exceptions documentées. Lorsqu’il est impossible d’exécuter un agent complet, vous pouvez privilégier l’isolation du réseau, un contrôle d’accès plus strict, une surveillance accrue aux limites du réseau ou des sauvegardes et tests de restauration plus fréquents. Si vous devez exclure des répertoires ou des processus de l’analyse, ces exclusions doivent être considérées comme des décisions relatives aux risques : approuvées par une personne habilitée, justifiées, consignées et régulièrement réexaminées.

Dans tous ces cas, la transparence est essentielle. Vous devez savoir quels systèmes s'écartent de votre configuration de référence, pourquoi, quelles protections alternatives s'appliquent et à quel moment vous réévaluerez la nécessité de ces exceptions. Ce registre, conservé dans votre SMSI et reflété dans les déclarations d'applicabilité de vos clients le cas échéant, constitue un élément crucial pour démontrer que votre mise en œuvre de l'article 8.7 est fondée sur une analyse des risques et délibérée, et non pas superficielle ou accidentelle.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Documentation, suivi et justification de l'article 8.7 pour les audits et les clients

Pour satisfaire à l'exigence A.8.7, vous devez être en mesure de démontrer vos prévisions, leur réalisation effective et les améliorations que vous apportez au fil du temps. La documentation, le suivi et les preuves permettent de transformer vos bonnes intentions en un récit crédible auprès des auditeurs, des clients et des responsables non spécialisés en sécurité qui doivent s'assurer que leurs risques opérationnels sont maîtrisés.

Même une configuration de base bien conçue ne suffit pas à satisfaire à elle seule à l'exigence A.8.7. Le contrôle suppose que la protection soit mise en œuvre, surveillée et améliorée au fil du temps. Les clients et les auditeurs souhaitent une progression claire et compréhensible, et les propriétaires de fournisseurs de services gérés veulent s'assurer que cela permette de réduire les interventions d'urgence plutôt que de les aggraver.

Si vous considérez les preuves comme une simple formalité, vous vous retrouverez pris au dépourvu à chaque questionnaire ou audit. En les intégrant à vos processus, vous pourrez répondre à la plupart des questions grâce aux rapports que vous utilisez déjà pour gérer votre entreprise et suivre son évolution.

Votre chaîne de preuves A.8.7

Une chaîne de preuves robuste pour la protection contre les logiciels malveillants relie vos politiques, vos configurations de référence, vos enregistrements de déploiement, vos détections et vos activités d'analyse en une vision unique et cohérente. L'objectif est de faciliter la traçabilité entre une attente écrite et son exécution concrète.

En pratique, cela signifie généralement avoir :

  • Politiques et normes documentées en matière de protection contre les logiciels malveillants.
  • Configurations de base par niveau, type de périphérique et d'environnement.
  • Dossiers de déploiement, santé des agents et couverture.
  • Journaux des détections, des réponses et des tickets d'incident.
  • Notes ou comptes rendus des revues et des actions d'amélioration.

Concrètement, vous pouvez stocker votre politique de protection contre les logiciels malveillants et vos normes de sécurité des terminaux dans votre système de gestion de la sécurité de l'information (SGSI), exporter régulièrement des rapports de couverture et de conformité depuis vos outils EDR et de surveillance à distance, lier les tickets d'incident aux contrôles correspondants et consigner les décisions clés de chaque réunion d'examen. Ainsi, lorsqu'un auditeur vous demande « montrez-moi comment vous vous protégez contre les logiciels malveillants », vous pouvez lui fournir un dossier cohérent plutôt qu'un simple ensemble de captures d'écran disparates. Une plateforme SGSI comme ISMS.online vous permet de centraliser ces éléments afin que la chaîne de preuves soit visible et facile à maintenir.

Indicateurs clés de performance (KPI), évaluations et rapports clients

Les indicateurs et les rapports constituent le point de convergence entre la norme A.8.7 et l'amélioration continue. Ils permettent de dépasser la simple conformité ponctuelle et d'instaurer un dialogue plus transparent sur l'efficacité des contrôles, les points à améliorer et l'impact de la qualité du service sur les résultats de l'entreprise. Les analyses spécialisées sur l'utilisation des indicateurs pour la gestion des cyber-risques recommandent fréquemment la couverture et les indicateurs de santé des contrôles comme mesures clés de la performance en matière de sécurité opérationnelle, ce qui est en parfaite adéquation avec la norme A.8.7.

Dans l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information, environ 41 % des organisations ont cité la gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs comme un défi majeur.

Les indicateurs utiles comprennent :

  • Pourcentage de critères d'évaluation pertinents avec un agent actif et sain.
  • Temps nécessaire à la mise à jour des moteurs et des signatures sur l'ensemble des domaines.
  • Taux de détection de logiciels malveillants par locataire ou segment.
  • Délai entre l'alerte et le confinement ou la résolution du problème.
  • Nombre et ancienneté des exceptions en suspens.
  • Nombre d’incidents ou d’incidents évités de justesse liés à des logiciels malveillants.

Un examen régulier de ces chiffres avec les bonnes personnes vous permet d'identifier les points à améliorer dans votre stratégie de référence. Pour les clients, des rapports clairs et concis instaurent la confiance. Nombre d'entre eux ne souhaiteront pas un exposé technique exhaustif, mais apprécieront des affirmations claires telles que : « Tous les terminaux concernés bénéficiaient d'une protection active lors du dernier contrôle », « Trois incidents de logiciels malveillants ont été détectés et neutralisés dans les délais convenus » et « Une exclusion d'analyse de longue date a été supprimée suite aux mises à jour de l'application ».

Lorsque ces résumés sont étayés par des preuves plus détaillées disponibles sur demande, les deux parties peuvent avoir davantage confiance dans leur risque partagé. Vous facilitez également grandement les réponses cohérentes aux questionnaires, aux demandes de renouvellement et aux demandes de vérification préalable, et vous pouvez démontrer aux dirigeants des fournisseurs de services gérés qu'une gestion rigoureuse de l'article 8.7 réduit le travail imprévu au lieu d'augmenter les frais généraux.



Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous aide à transformer vos obligations A.8.7 en un récit cohérent, facile à partager avec les auditeurs, les clients et les parties prenantes internes. En centralisant les risques, les politiques, les référentiels, les exceptions et les preuves, ISMS.online simplifie la démonstration de votre maîtrise des risques liés aux logiciels malveillants et explique comment votre fournisseur de services gérés (MSP) soutient le système de gestion de la sécurité de l'information (SGSI) de chaque client.

Visualisez votre étage A.8.7 en un seul endroit

Grâce à une plateforme de gestion de la sécurité de l'information (GSSI) comme ISMS.online, vous pouvez modéliser vos politiques et normes de protection contre les logiciels malveillants, les lier directement à l'annexe A.8.7, consigner vos configurations de référence pour différents niveaux et types d'appareils, et y associer des preuves pertinentes telles que des rapports, des tickets et des notes d'examen. Il devient ainsi beaucoup plus facile de démontrer comment vos services gérés répondent aux certifications de vos clients et à vos propres exigences d'assurance qualité interne, sans avoir à tout reconstituer avant chaque audit.

Pour les dirigeants de fournisseurs de services gérés (MSP), cette vue d'ensemble centralisée révèle également les doublons et les lacunes. Elle permet d'identifier les clients qui utilisent encore des méthodes obsolètes, les exclusions qui s'accumulent et les solutions de base performantes. Ces informations facilitent les décisions concernant les prochains investissements, l'amélioration des marges par la standardisation des services et la présentation du niveau de maturité en matière de sécurité lors des appels d'offres et des renouvellements.

Démontrez rapidement votre valeur grâce à un pilote ciblé

Adopter une approche plus structurée ne signifie pas forcément entreprendre un projet de grande envergure et perturbateur. Une approche pragmatique consiste à choisir un ou deux clients représentatifs et à utiliser une plateforme comme ISMS.online pour modéliser de bout en bout leur mise en œuvre de la norme A.8.7, depuis les risques et les politiques jusqu'aux données de référence et aux preuves.

Vous pourrez alors comparer l'effort requis pour préparer un audit ou répondre à un questionnaire client avec votre méthode actuelle, ponctuelle, par rapport à l'obtention des mêmes réponses dans un environnement unique et organisé. Constater à quel point la préparation des audits est plus rapide et plus claire lors du projet pilote vous fournira des arguments concrets pour étendre cette approche à l'ensemble de votre clientèle et de vos contrôles.

En définitive, la conformité à la norme A.8.7 ne se limite pas à cocher une case. Il s'agit de démontrer votre capacité à prévenir, détecter et contenir les logiciels malveillants, protégeant ainsi vos clients et la réputation de votre entreprise de services gérés (MSP). Une infrastructure EDR et anti-malware bien conçue, étayée par une documentation claire et une plateforme ISMS intégrée telle qu'ISMS.online, vous permet de le prouver au quotidien, et pas seulement lors d'un audit. Si vous souhaitez découvrir comment cela pourrait s'intégrer à votre environnement, notre équipe peut vous proposer une brève démonstration et vous aider à déterminer si ISMS.online correspond à vos méthodes de travail actuelles.

Demander demo


Foire aux questions

Comment la norme ISO 27001:2022 A.8.7 rehausse-t-elle concrètement le niveau de protection contre les logiciels malveillants dans un fournisseur de services gérés (MSP) ?

La norme ISO 27001:2022 A.8.7 rehausse le niveau d'exigence, passant de « nous avons de l'audiovisuel partout » à une véritable approche globale. Un contrôle des logiciels malveillants conçu et reproductible dont vous pouvez prouver l'efficacité. dans tous les environnements gérés. Pour un fournisseur de services gérés (MSP), cela signifie que vous pouvez démontrer comment vous identifiez les risques liés aux logiciels malveillants, définissez des normes, exploitez le service et l'améliorez au fil du temps pour n'importe quel client représentatif.

À quoi ressemble un résultat « suffisant » sous la version A.8.7 pour un fournisseur de services gérés ?

Selon la section A.8.7, « suffisamment bon » signifie que vous pouvez présenter à un auditeur sceptique ou au RSSI d'une entreprise une histoire cohérente et logique :

  • Vous comprenez le risque :

Vous avez réfléchi à la manière dont les logiciels malveillants pourraient concrètement nuire à vos clients et à vos propres opérations – des ransomwares sur des ordinateurs portables distants aux vers sur des serveurs partagés – et vous consignez ces risques dans votre système de gestion de la sécurité de l'information (SGSI).

  • Vous avez transformé ce risque en politique et en périmètre :

Vous maintenez une politique de sécurité des logiciels malveillants et des terminaux courte et approuvée qui :

  • Explique l'objectif du contrôle en termes commerciaux.
  • Définit les locataires, les emplacements, les systèmes et les types d'appareils concernés.
  • Voir l'annexe A.8.7 pour une correspondance explicite.
  • Indique les contrôles de support comme A.8.8 (gestion des vulnérabilités) et A.5.24–A.5.28 (gestion des incidents).
  • Vous avez une base de référence standard, et non pas « ce que l'ingénieur a configuré » :

Vous pouvez présenter des configurations de référence écrites et versionnées (standard / améliorées / à haut risque) pour différentes classes d'appareils qui définissent :

  • Capacités minimales (EDR/AV, protection en temps réel, surveillance du comportement, mises à jour).
  • Planification des analyses, conservation des journaux et seuils d'alerte.
  • Paramètres plus stricts pour les points de terminaison d'administration, les machines partagées et les systèmes exposés.
  • Vous gérez le service comme un service :

Derrière l'agent que vous exécutez :

  • Procédures de triage, d'isolement, de nettoyage et de remise en service.
  • Détermination claire des responsabilités en matière de paramétrage des politiques et de gestion des exclusions.
  • Historique des tickets et indicateurs montrant ce qui se passe réellement lorsque des alertes sont déclenchées.
  • Des revues de gestion régulières portant sur la couverture, les incidents, les exceptions et les dérives.
  • Vous formez les personnes qui peuvent faire ou défaire le contrôle :

Votre personnel maîtrise l'administration sécurisée, l'accès à distance et l'utilisation des outils privilégiés. Lorsque vos contrats stipulent que vous avez une influence sur les utilisateurs finaux, vous fournissez des instructions claires et simples concernant les pièces jointes aux courriels, les macros et les supports amovibles, au lieu de les noyer dans des documents PDF de politique interne.

Si vous parvenez à rassembler rapidement tous ces éléments – politiques, normes, décisions relatives aux risques et preuves au sein d'un système unique de gestion de la sécurité de l'information – la question A.8.7 devient moins un piège et davantage une occasion de démontrer la maturité de votre sécurité gérée. ISMS.online vous offre cet espace unique pour centraliser ces informations et les préparer aux audits.

Comment un fournisseur de services gérés peut-il transformer A.8.7 en un service EDR/anti-malware standard qui s'adapte à plusieurs locataires ?

Vous rendez A.8.7 évolutif en traitant la protection contre les logiciels malveillants comme un produit reproductible avec une base de référence documentéeIl ne s'agit pas de créer un nouveau logo pour chaque nouvelle création. Un modèle de base définit ce qu'est un logo « réussi » ; des niveaux de risque et des exceptions permettent de l'adapter judicieusement à chaque client.

Que doit contenir une base de référence réutilisable en matière de logiciels malveillants pour les fournisseurs de services gérés ?

Une base solide comporte généralement quatre éléments constitutifs que l'on peut réutiliser partout et justifier rapidement.

1. Un minimum clair pour chaque catégorie d'appareils

Vous définissez les caractéristiques minimales que chaque appareil concerné doit posséder :

  • Points de terminaison des utilisateurs (ordinateurs portables, ordinateurs de bureau, tablettes, le cas échéant) :
  • EDR ou agent anti-malware géré de manière centralisée.
  • Protection en temps réel et analyse comportementale.
  • Mises à jour automatiques des signatures et du moteur, avec une solution de repli judicieuse.
  • Filtrage Web/URL pour les chemins de diffusion courants.
  • Capacité d'isolement local en cas de suspicion de compromission.
  • Serveurs et systèmes critiques :
  • Une protection comparable, adaptée pour éviter toute interruption d'activité.
  • Enregistrement et alerte supplémentaires en cas d'activité inhabituelle.
  • Contrôle plus strict des changements de politique.
  • Hôtes d'administration et de rebond :
  • Des profils plus stricts avec liste blanche, journalisation améliorée et tolérance réduite aux exceptions.
  • Authentification multifactorielle et utilisation restreinte.

Pouvoir démontrer « voici le minimum requis pour chaque type d'appareil » rassure immédiatement les clients et les auditeurs quant au fait que vous n'improvisez pas avec chaque technicien.

2. Des profils standard au lieu du folklore des consoles

Vous consignez une seule fois, par écrit, le comportement de vos profils :

  • Ce que vous bloquez immédiatement par opposition à ce que vous signalez comme une alerte.
  • Quand les analyses complètes et rapides sont-elles exécutées et qui examine les échecs ?
  • Combien de temps les grumes sont-elles conservées et où sont-elles stockées ?
  • Quels événements doivent toujours ouvrir un ticket (par exemple, un comportement de type ransomware, des scripts bloqués de manière répétée).
  • Quels groupes de points de terminaison sont soumis à des profils plus stricts, et pourquoi ?

Ces profils doivent être versionnés au sein de votre système de gestion de la sécurité de l'information (SGSI), avec un historique des modifications et des approbations, afin que les audits futurs permettent de présenter la norme actuelle et non de reconstituer les meilleures estimations de l'année précédente.

3. Un traitement basé sur les niveaux de risque plutôt que sur la marque

Au lieu de déterminer le niveau de rigueur en fonction du logo ou de la valeur du contrat, vous associez les locataires et les appareils à un modèle simple de niveaux de risque :

Niveau Qu'est-ce qui le motive ? Exemples typiques
Standard Impact commercial faible/normal Utilisateurs internes de bureaux dans des organisations non réglementées
Renforcer la compréhension Impact financier ou opérationnel plus élevé Équipes financières, bornes interactives partagées, PC d'ingénierie sur site
À haut risque Charges de travail réglementaires, privilégiées ou exposées à Internet Locataires du secteur de la santé ou de la finance, points d'accès administratifs

Cette cartographie est consignée dans vos registres d'actifs et de risques. Ainsi, lorsqu'on vous demande « pourquoi cet environnement est-il plus sécurisé que celui-ci ? », vous pouvez vous appuyer sur des critères clairs, et non sur la personnalité ou l'historique des négociations.

4. Un processus d'exception contrôlé et visible

La réalité nous réserve toujours des imprévus : applications obsolètes, problèmes de performance, difficultés d’intégration. La version A.8.7 n’interdit pas les exceptions ; elle exige qu’elles soient gérées.

  • Chaque écart par rapport à la valeur de référence est consigné dans un registre d'exceptions.
  • Chaque enregistrement indique le motif, le risque, les mesures de contrôle compensatoires et l'approbation.
  • Les exceptions ont un propriétaire et une date de révision.
  • Vous pouvez indiquer combien de comptes ont été fermés ou resserrés au cours de la dernière période.

Lorsque vos référentiels, niveaux et exceptions sont tous hébergés dans ISMS.online avec une responsabilité clairement définie, trois avantages se produisent simultanément :

  • Les ingénieurs n'ont plus à se souvenir des « paramètres tribaux » par locataire.
  • Les équipes commerciales peuvent décrire le service de manière cohérente dans les propositions et les renouvellements.
  • A.8.7 Les conversations avec les auditeurs ou les clients se réduisent à passer en revue la base de référence, le modèle à plusieurs niveaux et quelques exemples d'exceptions.

Si vous souhaitez que cette base de référence s'intègre à un système de gestion de la sécurité de l'information (SGSI) cohérent plutôt qu'à des fichiers dispersés, la créer et la maintenir dans ISMS.online vous offre structure et réutilisabilité dès le premier jour.

De quels contrôles techniques et opérationnels un MSP a-t-il réellement besoin pour se sentir en sécurité lors de la validation de la norme A.8.7 ?

Vous voulez pouvoir consulter votre catalogue de services et dire, sans sourciller, que Chaque appareil concerné est véritablement protégé et que les alertes se transforment systématiquement en actionsCette confiance dépend à la fois de la technologie que vous déployez et de la manière dont votre équipe la gère.

Quels contrôles techniques doivent être non négociables ?

Un service de point de terminaison réaliste conforme à la norme A.8.7 comprend souvent :

  • Discipline de couverture et de déploiement :
  • Application de la règle selon laquelle tous les terminaux concernés – y compris les télétravailleurs et les nouveaux appareils – reçoivent automatiquement l’agent.
  • Contrôles de santé pour les agents absents ou malades, avec alertes au niveau du locataire et du portefeuille.
  • Intégration avec vos outils RMM ou de provisionnement pour minimiser les lacunes d'intégration.
  • Étendue de la protection et de la détection :
  • Analyse permanente des fichiers, processus et scripts.
  • Détection comportementale des ransomwares, des utilisations abusives de scripts et des processus enfants inhabituels.
  • Mises à jour automatiques avec garde-fous pour les interventions manuelles.
  • Prise en charge de l'isolation ou d'un interrupteur d'arrêt d'urgence permettant aux ingénieurs de contenir un incident en quelques minutes, et non en quelques heures.
  • Contrôles de soutien en amont et en aval :
  • Filtrage des courriels et du Web pour bloquer les charges utiles des logiciels malveillants courants.
  • Gestion des correctifs et de la configuration pour réduire l'exposition.
  • Sauvegarde et restauration testées pour une récupération en toute confiance en cas de compromission des défenses des terminaux.

Présenter votre contrôle comme l'ensemble de la pile – et pas seulement comme l'agent – ​​permet d'expliquer plus facilement aux clients comment vous gérez le risque de logiciels malveillants sur plusieurs chemins, et pas seulement au dernier point de contrôle.

Quelles preuves opérationnelles rassurent les auditeurs et les acheteurs d'entreprises ?

La plupart des évaluateurs s'intéressent moins au logo sur l'agent qu'à la cohérence du comportement de votre entreprise dans les moments importants :

  • Manuels de jeu documentés :
  • Étapes claires pour le tri des alertes selon leur gravité et leur contexte.
  • Actions définies en cas de suspicion de compromission : isoler, enquêter, nettoyer, valider.
  • Critères relatifs au moment et à la manière de procéder à la conservation médico-légale.
  • Points de contact avec les clients pour informer ou transmettre les informations.
  • Niveaux de service et responsabilité :
  • Délais de réponse cibles pour les alertes hautement prioritaires.
  • Responsables désignés pour le réglage de base, les listes d'exclusion et les indicateurs de couverture.
  • Dispositions d’astreinte pour les interventions en dehors des heures ouvrables, si les contrats l’exigent.
  • Preuve que le processus fonctionne comme prévu :
  • Suivi des tickets depuis leur détection jusqu'à leur résolution, avec horodatage et résultats.
  • Des synthèses régulières indiquant le temps moyen nécessaire pour examiner, contenir et clore les incidents.
  • Remarques issues des analyses où des tendances dans les détections ou les faux positifs ont conduit à des changements.

Si ces éléments, indicateurs et décisions sont liés à votre politique A.8.7 et à vos référentiels dans ISMS.online, vous pouvez passer d'une approche passive (« faites-nous confiance, on s'en occupe ») à une présentation claire et détaillée du fonctionnement du contrôle. Ce changement est généralement bien accueilli par les auditeurs et les grandes entreprises qui comparent vos contrôles à la norme ISO 27001 et aux référentiels associés tels que NIST CSF ou SOC 2.

Comment un fournisseur de services gérés (MSP) peut-il documenter, surveiller et rendre compte de l'A.8.7 pour que les audits soient perçus comme un mois normal et non comme un projet spécial ?

Les audits A.8.7 semblent routiniers lorsque votre documentation, vos tableaux de bord et vos enregistrements sont bien organisés. Reproduisez la manière dont vous gérez déjà le service, plutôt que de vous plonger dans un univers parallèle. L’objectif est de proposer un ensemble restreint et bien structuré d’objets correspondant à la pratique quotidienne.

Quels documents méritent d'être conservés en parfait état ?

Vous n’avez pas besoin de dizaines de polices d’assurance ; il vous en faut quelques-unes à jour, liées entre elles et faciles à trouver :

  • Politique de sécurité des logiciels malveillants et des terminaux :
  • Indique l’objectif, la portée, les responsabilités et les liens avec l’annexe A.8.7 (et les contrôles connexes).
  • Faites référence à votre méthode d'évaluation des risques et à vos normes de référence.
  • Intégré à votre système de gestion de la sécurité de l'information (SMSI) avec un système de versionnage et d'approbations clair.
  • Normes de base et de profil :
  • Décrivez vos niveaux de risque, vos classes d'appareils et vos configurations standard.
  • Notez les suppléments spécifiques au secteur (par exemple, santé, finance).
  • Elles sont mises à jour délibérément, et non par des modifications silencieuses dans une console.
  • Procédures opérationnelles:
  • Intégration : comment les nouveaux locataires et les nouveaux actifs sont intégrés au service.
  • Surveillance : comment les consoles et les flux sont contrôlés, et par qui.
  • Intervention en cas d'incident : le chemin qui mène de l'alerte au confinement, au rétablissement et à la clôture.
  • Gestion des exceptions : comment les dérogations sont proposées, approuvées, enregistrées et examinées.
  • Registres d'exceptions et d'écarts :
  • Identifiez les points de divergence entre la réalité et votre situation de référence, et analysez-en les raisons.
  • Afficher les propriétaires, les contrôles compensatoires et les dates d'examen.

Le fait de rassembler ces éléments dans ISMS.online vous permet de générer rapidement un dossier d'audit et garantit que vos équipes internes travaillent toujours à partir du même ensemble de références.

Que faut-il surveiller, et comment le présenter sans noyer les gens sous un flot de données ?

On peut généralement répondre à la plupart des questions A.8.7 avec quelques indicateurs classiques :

  • Couverture et indicateurs de santé :
  • % des appareils concernés disposant d'un agent sain et à jour et d'une politique appropriée par locataire.
  • Nombre d'appareils non couverts, avec les raisons (nouveaux, mis hors service, exception).
  • Évolution des courbes au fil du temps, indiquant si la couverture est stable, en amélioration ou en déclin.
  • Indicateurs de détection et de réponse :
  • Nombre et gravité des détections de logiciels malveillants par locataire et par niveau.
  • Durée moyenne et durée maximale d'examen et de maîtrise des événements critiques.
  • Cas où le confinement reposait sur la sauvegarde/restauration, et les résultats obtenus.
  • Indicateurs d'exception et de dérive :
  • Nombre total d'exclusions actives et leur âge moyen.
  • Nombre d'exceptions ajoutées et supprimées par période.
  • Dérive observée entre les configurations prévues et les configurations réelles chez des locataires représentatifs.

Ces éléments peuvent être résumés de manière concise et compréhensible par tous, par exemple, pour les audits et les évaluations clients :

Au cours du dernier trimestre, nous avons maintenu une protection active sur 98.7 % des terminaux concernés de votre parc informatique. Nous avons examiné 11 alertes liées à des logiciels malveillants, maîtrisé trois incidents confirmés dans les délais convenus et supprimé cinq exclusions obsolètes devenues inutiles suite à des modifications d'applications.

Lorsque votre système de gestion de la sécurité de l'information (SGSI), vos outils de point de terminaison et vos rapports sont alignés de cette manière – une configuration que ISMS.online est conçu pour prendre en charge – les audits ressemblent davantage à une visite structurée de votre télémétrie habituelle qu'à une course effrénée à la capture d'écran.

Quelles sont les faiblesses concernant le point A.8.7 que les auditeurs et les clients constatent généralement chez les MSP ? Et comment garder une longueur d’avance ?

Les résultats les plus inquiétants se regroupent là où votre La promesse marketing, l'historique des billets et les normes officielles ne correspondent pas.. La reconnaissance des modes de défaillance courants vous permet de concevoir votre contrôle A.8.7 de sorte que les contrôles externes confirment ce que vous savez déjà, au lieu de révéler des lacunes.

Où les fournisseurs de services gérés rencontrent-ils le plus souvent des difficultés avec la version A.8.7 ?

Les schémas typiques comprennent :

  • Couverture incohérente ou incomplète :
  • Appareils distants et BYOD qui ne reçoivent jamais l'agent.
  • De nouveaux locataires ont été ajoutés sans être associés à un niveau de risque ou à un profil de référence.
  • Des systèmes critiques laissés trop longtemps avec des paramètres par défaut ou obsolètes.
  • Lignes de base non écrites et réglages ad hoc :
  • Les ingénieurs savent « à peu près » ce qu'il faut configurer, mais il n'existe pas de norme écrite convenue.
  • Les paramètres varient considérablement d'un locataire à l'autre, même avec des profils de risque similaires.
  • Aucune trace des raisons pour lesquelles des paramètres plus stricts ou plus souples ont été choisis.
  • Exceptions non gérées et violations silencieuses des politiques :
  • De nombreuses exclusions ont été ajoutées lors du dépannage et n'ont jamais été réexaminées.
  • La numérisation a été désactivée afin de corriger des problèmes de performance sans mesures de compensation.
  • Des débats sur la question de savoir qui supporte le risque lorsque ces problèmes sont découverts.
  • Preuves minces et éparses :
  • Journaux et tickets stockés dans plusieurs systèmes non connectés.
  • Il est difficile de prouver ce qui s'est passé lors d'un incident au-delà de quelques messages de chat.
  • Il n'existe pas de moyen simple de démontrer une amélioration au fil du temps.

Ce sont précisément ces faiblesses qui inquiètent les acheteurs de grande taille, surtout lorsqu'ils vous comparent à l'annexe A de la norme ISO 27001 ou à leurs politiques internes.

En quoi une approche plus rigoureuse et centrée sur le SMSI change-t-elle la donne ?

Il n’est pas nécessaire de devenir une multinationale pour éviter ces pièges. Quelques habitudes rigoureuses, ancrées dans un système de gestion de l’information (SGSI), suffisent amplement :

  • Appliquez votre ligne de base hiérarchisée par défaut à chaque nouveau locataire et actif, grâce à vos modèles d'intégration.
  • Exécuter un flux de travail d'exception unique et simple où tous les écarts sont consignés, examinés selon un calendrier précis et liés aux décisions relatives aux risques.
  • Marque rapports de couverture et d'exception un élément régulier des revues de service internes et des échanges avec les clients, et pas seulement pendant la période d'audit.
  • Intégrez les enseignements tirés des incidents et des faux positifs dans les mises à jour des procédures de référence, des manuels d'exploitation et du matériel de formation.

Lorsque vous gérez tout cela via ISMS.online – où les politiques, les risques, les contrôles, les exceptions et les preuves sont regroupés – vous pouvez répondre sereinement aux questions A.8.7 :

  • Voici comment nous un le contrôle.
  • Voici comment nous exploiter et mesurer le
  • Voici comment nous améliorer Cela au fil du temps.

Cette clarté tend à déplacer la discussion de « pourquoi cela a-t-il mal tourné ? » vers « comment pouvons-nous étendre cette force à d'autres domaines de votre service ? »

Comment un fournisseur de services gérés peut-il choisir et défendre des outils EDR/anti-malware pour Android 8.7 sans se retrouver coincé dans des arguments de fournisseurs ?

L'annexe A.8.7 ne se soucie pas du fournisseur que vous utilisez ; ce qui compte, c'est que votre protection contre les logiciels malveillants soit efficace. adapté au risque, appliqué de manière cohérente et dont l'efficacité a été démontréeVotre tâche consiste à démontrer que vos choix d'outils soutiennent la conception de contrôle que vous avez adoptée, et non l'inverse.

Quels critères doivent guider le choix des outils pour A.8.7 ?

Une méthode pratique pour prendre une décision consiste à partir de votre situation de référence et de vos contraintes opérationnelles, puis à vous poser les questions suivantes pour chaque produit :

  • Cela correspond-il à votre scénario de base ou vous oblige-t-il à faire des compromis ?
  • Pouvez-vous configurer les capacités en temps réel, comportementales et d'isolation requises par vos niveaux ?
  • Est-il possible de mettre en œuvre des profils plus stricts pour les appareils à haut risque sans recourir à des solutions de contournement complexes ?
  • Fournit-il les journaux nécessaires à la détection, au confinement et à la récupération des preuves ?
  • Est-ce vraiment adapté à la colocation ?
  • Est-il possible de gérer plusieurs locataires depuis un seul endroit sans duplication interminable des politiques ?
  • Est-il possible d'imposer des normes globales tout en autorisant des variations contrôlées par locataire ?
  • Existe-t-il des contrôles d'accès clairs basés sur les rôles afin que le personnel ne voie que ce dont il a besoin ?
  • Est-ce compatible avec votre architecture de services existante ?
  • S'intègre-t-il à votre système de billetterie, SIEM et RMM, de sorte que les alertes se transforment naturellement en actions ?
  • Est-il possible d'aligner les outils d'identité, de messagerie et de sauvegarde avec la réponse des points de terminaison ?
  • Est-ce que cela prend en charge le niveau d'automatisation que votre équipe peut raisonnablement gérer ?
  • La charge opérationnelle est-elle acceptable ?
  • Quel niveau de réglage est nécessaire pour atteindre un rapport signal/bruit acceptable ?
  • Avec quelle facilité vos ingénieurs peuvent-ils acquérir et maintenir leurs compétences ?
  • Que se passe-t-il en cas de mise à jour majeure ou de changement de modèle de politique ?

Présenter la sélection en ces termes vous aide à centrer les conversations avec les clients et les auditeurs sur la pertinence et l'efficacité, et non sur les arguments marketing des fournisseurs.

Une fois que vous aurez standardisé votre utilisation sur une ou deux plateformes, vous devriez être en mesure de répondre à trois questions simples en fournissant des preuves :

  1. La pertinence
  • Un bref exposé dans votre SMSI expliquant pourquoi l'outil est bien adapté à votre clientèle et à votre profil de risque.
  • Un schéma qui montre comment les fonctionnalités clés prennent en charge votre politique en matière de logiciels malveillants et la configuration de base A.8.7.
  1. Déploiement et comportement
  • Tableaux de bord de couverture et de santé au niveau du locataire et du portefeuille.
  • Comptes rendus des revues de configuration et des approbations de modifications.
  • Exemples de rapports d'incidents illustrant la détection, le confinement et le nettoyage effectués à l'aide de l'outil.
  1. Adaptabilité au fil du temps
  • Un processus simple pour réévaluer l'ensemble des outils lorsque de nouvelles menaces, réglementations ou exigences clients apparaissent.
  • Exemples de changements que vous avez déjà mis en œuvre, comme le renforcement des contrôles suite à une campagne de ransomware dans votre secteur.

En gérant ce récit via ISMS.online – en reliant les risques, les contrôles, les choix d'outils, les incidents et les revues – vous pouvez orienter les discussions relatives à l'A.8.7, en passant de la question « Quel produit utilisez-vous ? » à « Voici comment nous maîtrisons les risques liés aux logiciels malveillants pour les organisations comme la vôtre ». C'est le type de réponse qui rassure les équipes de conformité, les responsables de la sécurité et les conseils d'administration, en leur montrant que votre fournisseur de services gérés (MSP) ne se contente pas d'installer des logiciels, mais met en œuvre un contrôle réfléchi et étayé par des preuves.

Marc Sharron

Mark Sharron dirige la stratégie de recherche et d'IA générative chez ISMS.online. Il se concentre sur la communication sur le fonctionnement pratique des normes ISO 27001, ISO 42001 et SOC 2, en reliant les risques aux contrôles, aux politiques et aux preuves grâce à une traçabilité adaptée aux audits. Mark collabore avec les équipes produit et client pour intégrer cette logique aux flux de travail et au contenu web, aidant ainsi les organisations à comprendre et à prouver en toute confiance la sécurité, la confidentialité et la gouvernance de l'IA.

Twitter

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.