ISO 27001 et RGPD pour les MSP : Gestion des données mutualisées et confiance des clients

Du « Faites-moi confiance » au « Prouvez-le » : Analyse des risques liés aux immeubles multi-locataires

Dans les environnements MSP mutualisés, les données personnelles de nombreux clients sont centralisées dans un nombre restreint d'outils partagés. Une simple erreur peut donc impacter plusieurs clients simultanément. Vous passez constamment d'un client à l'autre, utilisez des consoles partagées et conservez souvent des copies d'informations sensibles dans les tickets, les sauvegardes et les journaux. Ces informations sont d'ordre général et ne constituent pas un avis juridique, mais elles vous permettent d'identifier vos risques et de comprendre comment les normes ISO 27001 et RGPD peuvent se conjuguer pour les maîtriser.

La véritable assurance s'acquiert par une préparation sereine, et non par des promesses faites en temps de crise.

Si vous êtes fondateur, responsable des opérations ou instigateur de projets de conformité ISO 27001, voici la réalité à laquelle vous vous exposez. Pour les RSSI, responsables de la protection des données et experts plus expérimentés, c'est le contexte dans lequel votre conseil d'administration et vos clients vous jugent désormais.

La vérité qui dérange : votre infrastructure est de facto une plateforme de données mutualisée.

Votre infrastructure se comporte déjà comme une plateforme de données mutualisée, que vous la nommiez ainsi ou non. Les outils de surveillance et de gestion à distance, les plateformes PSA, les consoles cloud, les systèmes de sauvegarde et les outils de sécurité servent simultanément de nombreux clients ; les erreurs de conception ont donc un impact direct sur l’échelle. Les ingénieurs passent d’un client à l’autre toute la journée, les tickets contiennent des noms d’utilisateur et des adresses e-mail, et les systèmes de journalisation ou de sauvegarde centralisés contiennent souvent des données de toutes les organisations que vous prenez en charge.

C’est précisément le scénario que le RGPD et la norme ISO 27001 envisagent lorsqu’ils évoquent la « sécurité du traitement » et les « mesures techniques et organisationnelles appropriées ». Les travaux de mise en correspondance entre les contrôles de l’annexe A de la norme ISO 27001 et le RGPD, tels que les correspondances ISO 27001-RGPD publiées, montrent que de nombreuses organisations utilisent les contrôles de la norme pour mettre en œuvre ces obligations de « sécurité du traitement » de manière structurée. Un rôle d’administrateur global mal défini, une intégration d’API mal configurée ou un groupe hérité oublié peuvent ainsi transformer une simple négligence en un incident multi-locataires affectant simultanément des dizaines de clients. Pour votre RSSI et votre équipe d’audit interne, la prise en compte de cette réalité de plateforme partagée constitue la première étape de la construction d’un SMSI crédible.

Pourquoi l'affirmation « nos clients sont aux commandes » ne suffit pas

Affirmer que « le client est le responsable du traitement » ne vous exonère pas de vos obligations lors du traitement de ses données. Le client décide généralement des finalités du traitement de ses données personnelles et est donc juridiquement responsable du traitement. Toutefois, dès lors que vous exploitez des systèmes ou traitez des données personnelles pour son compte, vous devenez un sous-traitant soumis à des obligations directes au titre du RGPD. Le règlement définit explicitement les obligations des sous-traitants dans ses articles 28 à 32. Ainsi, les sous-traitants sont directement responsables de la manière dont ils traitent les données personnelles, et non pas seulement les responsables du traitement qui les emploient, comme le précise le texte du RGPD dans sa publication officielle.

Ces obligations comprennent la mise en œuvre de mesures de sécurité, la gestion des sous-traitants, le respect des droits des personnes concernées et la notification rapide des violations de données personnelles. Ces aspects sont omniprésents dans les dispositions du RGPD relatives aux sous-traitants, depuis les exigences contractuelles détaillées jusqu'aux règles de sécurité du traitement et de notification des violations prévues aux articles 28 à 33 ; il ne s'agit donc pas d'options supplémentaires.

Ces responsabilités existent même lorsque les contrats sont vagues ou qu'un client ne vous pose jamais de question relative à la sécurité. Les articles 4 à 10 de la norme ISO 27001:2022 vous aident à les mettre en évidence en considérant les clients, les autorités de réglementation et vos collaborateurs comme des « parties intéressées », en recensant leurs besoins et en les utilisant pour orienter votre évaluation des risques et le choix des mesures de contrôle. Ces articles vous obligent à comprendre le contexte organisationnel, à identifier les parties intéressées et à définir les objectifs de gestion des risques et des contrôles. C'est l'occasion idéale de faire émerger les attentes liées au RGPD de la part des clients, des autorités de réglementation et des collaborateurs, telles que reflétées dans la norme ISO 27001:2022. Si vous êtes RSSI ou responsable de la sécurité, c'est ici que vous démontrez aux parties prenantes que l'ISO 27001 n'est pas qu'un simple label, mais un cadre de gouvernance essentiel pour les services mutualisés.

Les clients et les organismes de réglementation attendent désormais des preuves, et non plus des assurances.

Les acheteurs et les autorités de régulation modernes ont constaté suffisamment de cas de mise en demeure pour savoir que l'affirmation « nous prenons la sécurité au sérieux » n'est pas un gage de fiabilité. Ils attendent de vous des explications claires et cohérentes sur la gestion concrète des risques liés aux environnements multi-locataires, et pas seulement sur vos déclarations. En particulier, les grandes entreprises et leurs délégués à la protection des données voudront comprendre comment vous assurez la séparation logique de leurs locataires, comment vous gérez les accès privilégiés, comment vous enregistrez et contrôlez ces accès, et comment vous collaborerez avec eux en cas de violation de données personnelles. Les décisions récentes des autorités de contrôle, telles que les mises en demeure publiées par la CNIL, critiquent fréquemment les assurances vagues et le manque de supervision des prestataires de services lors d'incidents.

Si vous ne pouvez pas répondre à ces questions de manière cohérente pour chaque client, vous vous fiez à vos espoirs plutôt qu'à vos garanties. Un système de gestion de la sécurité de l'information (SGSI) structuré transforme les bonnes intentions en politiques documentées, en revues régulières et en preuves reproductibles pouvant être partagées avec les clients, les auditeurs et la direction. Ces preuves permettent également de convaincre un conseil d'administration sceptique que vous comprenez réellement l'ampleur des risques liés aux environnements multi-locataires et que les familles de contrôles de l'annexe A ne se limitent pas à de simples cases à cocher.

Dans l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information, environ 41 % des organisations ont identifié la gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs comme un défi majeur.

Le risque commercial dépasse largement le cadre des amendes.

Les amendes réglementaires sont évidemment une préoccupation majeure, mais pour de nombreux fournisseurs de services gérés (MSP), les dommages les plus immédiats sont d'ordre commercial. Vous pouvez en ressentir les conséquences bien avant qu'un organisme de réglementation ne vous contacte. Vous risquez de perdre un appel d'offres faute de pouvoir décrire clairement votre périmètre de conformité à la norme ISO 27001 ou votre niveau de conformité au RGPD. Vous pouvez être exclu des référentiels exigeant des certifications formelles et des garanties pour les sous-traitants. Vous pourriez vous retrouver contraint de repenser vos outils dans des délais extrêmement courts suite à une demande de changement formulée par un client important, ou de gérer les répercussions négatives sur votre réputation si votre organisation est citée dans un rapport d'application de la réglementation.

Parmi les organisations ayant subi des incidents lors de l'enquête ISMS.online de 2025, les données des employés et des clients étaient les ensembles de données les plus fréquemment signalés comme compromis.

Envisager les risques liés à la mutualisation des ressources sous cet angle commercial permet aux fondateurs, aux responsables des ventes et aux gestionnaires de comptes de comprendre pourquoi un système de sécurité et de confidentialité intégré est un levier de croissance, et non une charge. Cela offre également aux professionnels et aux RSSI une argumentation plus claire lorsqu'ils sollicitent des investissements. Ces investissements commencent à porter leurs fruits lorsque vous pouvez démontrer précisément où se trouvent les données personnelles, comment vous les utilisez pour chaque service fourni et comment votre système de gestion soutient cette démarche.

Demander demo

Identification des données personnelles et attribution des rôles : cartographie des flux de données et responsabilités RGPD

Il est impossible de concevoir une approche efficace de conformité aux normes ISO 27001 et RGPD pour les services mutualisés sans connaître précisément l'emplacement des données personnelles, leur circulation et votre rôle dans chaque flux. Une cartographie claire et une définition précise des rôles permettent de transformer une perception floue du risque en une réalité que vous pouvez circonscrire, maîtriser et expliquer aux clients, aux autorités de régulation et aux auditeurs. Pour les entreprises qui se lancent dans la mise en conformité, c'est souvent la première fois que la complexité réelle de leurs services apparaît au grand jour ; pour les RSSI, les délégués à la protection des données et les experts, c'est le fondement de réponses crédibles aux questions complexes concernant les rôles et les responsabilités de chacun.

La clarté sur les flux de données actuels vaut plus qu'une carte parfaite demain.

Le point de départ le plus pratique consiste à réaliser des schémas simples illustrant la circulation des données personnelles pour chaque service géré que vous proposez. Pour chaque service – Microsoft 365, gestion des terminaux, sauvegarde gérée, opérations de sécurité ou identité, par exemple – créez un schéma d'une page décrivant les données traitées et leur destination. Il est important d'identifier les outils partagés qui stockent ou font transiter des données personnelles entre plusieurs clients, car ces composants partagés sont souvent les plus vulnérables en cas de problème.

Ces schémas n'ont pas besoin d'être de beaux diagrammes ; ils doivent simplement consigner les faits essentiels. Pour chaque service, notez les catégories de données personnelles concernées, leur lieu de stockage ou de traitement, ainsi que les acteurs qui y ont accès. Grâce à ces informations, votre RSSI ou responsable de la sécurité pourra rapidement identifier les composants partagés présentant le plus grand risque, et votre délégué à la protection des données ou votre juriste pourra comparer les flux de données aux exigences du RGPD en matière de licéité, de minimisation et de sécurité du traitement.

Déterminez si vous êtes un processeur, un contrôleur ou les deux.

Une fois les flux de données identifiés, l'étape suivante consiste à clarifier les rôles. Le RGPD met l'accent sur la personne qui décide des finalités et des moyens essentiels du traitement, et cette décision détermine vos obligations. Si le client décide des raisons pour lesquelles les données sont traitées et que vous vous contentez d'exécuter des systèmes selon ses instructions, vous êtes généralement un sous-traitant. Si vous réutilisez des données pour vos propres analyses, la veille sur les menaces ou le développement de services, vous pouvez également être considéré comme un responsable du traitement pour cette utilisation secondaire et devez le documenter clairement. Les lignes directrices du Comité européen de la protection des données (CEPD) relatives aux rôles de responsable du traitement et de sous-traitant soulignent que c'est cette prise de décision réelle concernant les finalités et les moyens essentiels qui détermine votre rôle, et non les seuls intitulés de poste, comme indiqué dans ses lignes directrices.

Dans certains services, vous et le client pouvez définir conjointement une fonctionnalité basée sur les données, ce qui fait de vous des responsables conjoints du traitement pour cette partie du traitement. Ces distinctions ont une incidence sur vos engagements contractuels, vos registres de traitement et les obligations que vous devez refléter dans votre système de management de la sécurité de l'information (SMSI). Elles doivent être décidées délibérément et documentées, et non laissées au hasard ou dissimulées dans une formulation ambiguë qui ne devient claire qu'en cas d'incident ou d'enquête réglementaire.

Élaborez une matrice de responsabilités simple par service

Une matrice de responsabilités claire par ligne de service évite les longs désaccords ultérieurs sur les responsabilités de chacun. Un simple tableau de type RACI suffit souvent, listant les activités clés telles que le provisionnement, les approbations d'accès, la journalisation, la configuration des sauvegardes, le triage des incidents et le signalement des violations de données. Pour chaque activité, indiquez les responsabilités du client en tant que responsable du traitement, les vôtres en tant que sous-traitant ou responsable du traitement, et celles qui incombent aux fournisseurs de cloud ou de SaaS.

Cette matrice sert de guide pour vos accords de traitement des données, vos descriptions de services et vos procédures internes. Elle offre également un cadre de référence à vos équipes commerciales, vos responsables de comptes et vos experts informatiques et de sécurité lors de la réponse aux questionnaires et de la négociation des contrats, afin d'éviter qu'ils ne promettent plus que vous ne pouvez tenir ou qu'ils n'assument des obligations que vos outils ne peuvent pas gérer. Présenter cette matrice au délégué à la protection des données d'un client facilite grandement les échanges sur les responsabilités partagées, de manière structurée et professionnelle.

Alignez la cartographie des données avec votre inventaire des actifs et des processus ISO 27001

Considérez les travaux relatifs au RGPD et à la sécurité comme deux aspects d'un même système, et non comme des projets distincts avec des feuilles de calcul séparées. Les systèmes traitant des données personnelles constituent des actifs informationnels de votre SMSI, et les flux que vous avez schématisés sont des processus à part entière ; il convient donc d'exploiter cette superposition. La norme ISO 27001:2022 exige la tenue d'inventaires des actifs et des processus ; leur alignement avec les enregistrements RGPD permet d'éviter les doublons et les lacunes. Cette norme vous impose d'identifier les actifs informationnels et les processus concernés et de les maîtriser grâce à une planification et un contrôle opérationnels documentés. Par conséquent, dans un environnement conforme à la norme ISO 27001:2022, il est naturel et attendu de considérer les systèmes traitant des données personnelles comme des actifs du SMSI.

Reliez les schémas de flux de données et les matrices de responsabilités aux registres d'actifs des plateformes traitant ou stockant des données personnelles, aux enregistrements des fournisseurs de services cloud et des sous-traitants, ainsi qu'aux descriptions de processus telles que la gestion des incidents et des changements. En reliant ces éléments, toute modification apportée à un élément – par exemple, l'ajout d'un nouveau sous-traitant – déclenche automatiquement un examen de sécurité et de confidentialité. Cette approche est bien plus sûre que la création discrète de nouveaux flux de données qui ne sont jamais consignés dans vos registres de traitement ou votre registre des risques, et elle est conforme à l'approche de système de gestion intégré préconisée par l'annexe SL.

Définissez un référentiel de documentation que vous pouvez réellement maintenir

De nombreux fournisseurs de services gérés (MSP) ne compilent les documents de traitement ou les descriptions de rôles détaillées que lorsqu'un client important les exige, ce qui est risqué dans un environnement mutualisé. Il est donc préférable de viser une base de données modeste mais cohérente et facilement actualisable. Cela peut se traduire par un schéma de flux de données et une matrice des responsabilités par service, une liste évolutive des activités de traitement liées à ces services et un index simple des accords de traitement des données et des clauses contractuelles types par client et par service.

Vous pouvez ainsi approfondir et affiner votre documentation au fil du temps, au lieu de repartir de zéro pour chaque opportunité commerciale ou demande réglementaire. Votre responsable de la protection des données ou votre juriste peut également vérifier clairement si les obligations, telles que les droits des personnes concernées et les transferts transfrontaliers, sont correctement prises en compte, sans avoir à se fier à des notes éparses. Pour les professionnels, ce référentiel garantit une documentation réaliste, reflétant la réalité plutôt qu'une vision idéalisée et déconnectée de l'activité.

ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer

Un seul système de management de la sécurité de l'information (SMSI) ISO 27001:2022, plusieurs locataires : périmètre et structure

Il n'est généralement pas nécessaire de disposer d'un système de gestion de la sécurité de l'information (SGSI) distinct pour chaque client ; un SGSI unique, conçu au niveau du fournisseur et adapté aux locataires, est plus robuste, plus facile à auditer et bien plus évolutif. L'essentiel est de définir le périmètre, le contexte et les risques de manière à favoriser naturellement le multi-tenant, plutôt que de le combattre. Pour votre RSSI et les responsables de la sécurité, cela constitue la base des rapports au conseil d'administration ; pour les entreprises en phase de lancement de projets de conformité, il s'agit d'une structure qui ne se fragmente pas en une multitude de micro-systèmes à mesure que de nouveaux locataires et services sont ajoutés.

Définissez le périmètre au niveau du fournisseur, et non par client.

Pour la plupart des fournisseurs de services gérés (MSP), il est plus pratique que le périmètre de la norme ISO 27001 couvre l'ensemble de l'organisation et les services proposés, plutôt que de mentionner des clients individuels. Une formulation typique pourrait porter sur « la fourniture de services informatiques gérés, de cloud et de sécurité aux clients via des plateformes partagées et dédiées, incluant la conception, la mise en œuvre, le support et la surveillance ». Ainsi, l'accent est mis sur votre activité et non sur une liste de clients actuels susceptible d'évoluer. La norme exige un périmètre clairement défini, mais vous laisse la liberté de le décrire, pourvu qu'il reflète la réalité et que le système de management de la sécurité de l'information (SMSI) puisse être audité par rapport à cette description.

Dans ce cadre, les locataires et les organismes de réglementation apparaissent comme des « parties intéressées » dont les besoins – tels que la conformité au RGPD, la disponibilité et la séparation des données – orientent vos choix en matière d’évaluation des risques et de contrôle. Ce périmètre, défini au niveau du fournisseur, reflète la réalité : vos ingénieurs, vos outils et vos processus interviennent généralement chez de nombreux clients. Il permet également d’éviter les lourdeurs administratives liées à l’ajout ou à la suppression de locataires, car le système de gestion de la sécurité de l’information (SGSI) reste centré sur les services et les plateformes que vous exploitez, et non sur chaque contrat individuel.

Utilisez des niveaux de risque pour refléter les différents profils de locataires.

Une méthodologie d'évaluation des risques unique peut refléter des niveaux d'impact très différents selon les locataires. Une pratique courante consiste à regrouper les clients en trois à cinq catégories en fonction du secteur d'activité, du volume et de la sensibilité des données personnelles, des cadres réglementaires et des sanctions contractuelles. Ainsi, les locataires à risque élevé font automatiquement l'objet d'une surveillance accrue sans qu'il soit nécessaire d'établir des documents SMSI distincts, tandis que les clients à faible risque bénéficient d'une protection adaptée.

Par exemple, les organismes du secteur de la santé et du secteur public peuvent être classés dans un niveau de priorité plus élevé que les petites entreprises commerciales traitant peu de données personnelles. Il est essentiel d'attribuer ces niveaux aux actifs, aux risques et aux contrôles afin qu'un incident chez un organisme classé dans un niveau élevé soit automatiquement traité avec plus d'urgence qu'un problème chez un organisme classé dans un niveau inférieur. Cela permet à votre RSSI, à votre comité des risques et à vos experts de prioriser plus facilement les interventions les plus importantes et fournit aux auditeurs une explication claire quant à la rigueur accrue de certains contrôles dans certains secteurs de l'environnement.

Introduire une couche de contrôle commune pour les composants partagés

De nombreux contrôles – sécurité physique des centres de données, vérifications de base des ressources humaines, configuration du cloud et politiques d'identité – s'appliquent à tous les clients. Plutôt que de les documenter à plusieurs reprises et à différents endroits, définissez-les comme des contrôles communs à l'ensemble de votre périmètre. Documentez-les une seule fois, clairement et dans un langage accessible. Associez-les aux familles de contrôles pertinentes de l'annexe A de la norme ISO 27001 et aux principes du RGPD. Référez-vous-y en tant que mesures d'atténuation héritées, en vous référant aux risques spécifiques à un client ou à un service, plutôt que de copier des blocs de texte entiers.

Cette approche garantit la lisibilité de votre Déclaration d'applicabilité et démontre aux auditeurs l'application cohérente des mesures de protection fondamentales. Elle offre également à vos équipes informatiques et de sécurité un point de référence unique lors de la configuration des plateformes partagées. De nombreux fournisseurs de services gérés (MSP) utilisent une plateforme de gestion de la sécurité de l'information (GSSI) dédiée, telle que ISMS.online, afin de maintenir la cohérence de cette structure malgré leur croissance et de montrer comment les contrôles communs se déclinent en dispositifs et traitements des risques spécifiques à chaque locataire.

Contrôlez les dérives de périmètre grâce à un mécanisme de gouvernance simple.

L'ajout de nouvelles plateformes, régions ou services peut engendrer un risque réel de dérive de votre système de gestion de la sécurité de l'information (SGSI). Pour éviter toute extension insidieuse du périmètre, il est essentiel d'intégrer les modifications à un processus de gouvernance existant afin que l'évolution du périmètre soit maîtrisée et non accidentelle. Considérez tout nouveau service ou changement majeur de plateforme comme une procédure formelle de gestion du changement. Intégrez une brève section sur l'impact du SGSI dans les propositions et exigez la validation du responsable du SGSI, généralement le responsable de la sécurité ou de la conformité.

Cela vous permet de conserver une trace de l'évolution du périmètre et de ses raisons, et garantit la mise à jour appropriée des risques, des contrôles et de la documentation. Cela rassure également votre RSSI et votre conseil d'administration quant au maintien de la conformité malgré une expansion rapide des services. À terme, ce lien entre la gestion du changement et les articles 6 et 8 de la norme ISO 27001:2022 constitue une preuve tangible que vous intégrez la gestion des risques liés aux environnements mutualisés à votre processus décisionnel global, et non comme une simple considération secondaire.

Comparer les modèles réactifs et intégrés

Le tableau ci-dessous compare la conformité ad hoc, locataire par locataire, avec un système de gestion de la sécurité de l'information (SGSI) fourni par un prestataire intégré, afin que vous puissiez expliquer la différence à la direction.

Environ deux tiers des organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information ont déclaré que la rapidité et le volume des changements réglementaires rendent la conformité plus difficile à maintenir.

Dimension	Approche réactive, locataire par locataire	Approche ISMS du fournisseur intégré
Structure du SMSI	Des classeurs séparés, difficiles à maintenir cohérents	Un seul système couvrant tous les services et locataires
L'évaluation des risques	Au cas par cas, par client important	Méthode courante avec des locataires à plusieurs niveaux
Mise en œuvre du contrôle	Les exceptions par client dominent	Modèles standard avec exceptions documentées
Preuves pour les audits	Recherche de preuves de dernière minute	Les enregistrements centraux sont liés aux processus en direct
Amélioration et leçons	Rarement partagé entre les locataires	Partagé entre les services et les niveaux de risque

En présentant le choix de cette manière, on transforme le slogan « il nous faut un SMSI » en une décision stratégique claire quant à la gestion et au développement de votre entreprise multi-locataires. Une fois cette décision prise, la question suivante est de savoir comment traduire les obligations de l’Annexe A et du RGPD en contrôles que les ingénieurs peuvent réellement mettre en œuvre dans vos outils.

Création d'une architecture de contrôle sécurisée pour les locataires : l'annexe A et le RGPD dans des outils concrets

Une fois votre périmètre et vos rôles définis, vous avez besoin de contrôles qui garantissent la sécurité des données personnelles pour l'ensemble des utilisateurs et qui soient compréhensibles en termes simples. L'annexe A de la norme ISO 27001 fournit un catalogue de contrôles de sécurité ; le RGPD définit les principes de protection des données et les obligations des sous-traitants ; vos outils et processus concrets se situent à leur point de convergence. Des analyses indépendantes de cartographie des contrôles, telles que les analyses de correspondance ISO 27001-RGPD, montrent comment de nombreuses organisations utilisent l'annexe A comme base pour la mise en œuvre pratique des principes de « sécurité du traitement » et de responsabilité du RGPD. Pour les RSSI et les praticiens, c'est là que le travail de configuration quotidien s'aligne sur l'annexe A ; pour les responsables de la protection des données et les juristes, c'est là que les obligations abstraites deviennent des garanties tangibles, capables de résister au contrôle des autorités de régulation et aux questionnaires clients.

Distinguer les commandes de la plateforme partagée des superpositions locataires

Commencez par distinguer les contrôles qui protègent l'ensemble de votre plateforme partagée de ceux adaptés à chaque locataire. Les contrôles de base de la plateforme partagée couvrent des aspects tels que la gestion des identités et des accès, la journalisation centralisée, les configurations de référence, la supervision des fournisseurs et l'administration sécurisée. Les mesures de sécurité spécifiques à chaque locataire incluent des paramètres de renforcement de la sécurité, la prévention des pertes de données, l'authentification multifacteur et une surveillance adaptée aux besoins et au niveau de risque de chaque client.

La plupart des organisations ayant participé à l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information ont déclaré avoir été touchées par au moins un incident de sécurité lié à un tiers ou à un fournisseur au cours de l'année écoulée.

En structurant les contrôles de l'annexe A de cette manière, vous pouvez expliquer pour chaque service quelles mesures protègent la plateforme dans son ensemble et lesquelles sont personnalisées pour un client spécifique. Cela met également en évidence les cas où une défaillance d'un contrôle partagé pourrait avoir un impact sur plusieurs clients, vous aidant ainsi à prioriser les efforts d'ingénierie, de surveillance et d'assurance qualité. Les clients et les auditeurs sont généralement réceptifs lorsqu'ils constatent une distinction claire entre les contrôles communs et les contrôles personnalisés, et lorsqu'ils comprennent comment les deux contribuent à l'exigence de « sécurité du traitement » du RGPD.

Associer les contrôles aux obligations du RGPD en langage clair

Pour de nombreuses parties prenantes, des références telles que « A.5.15 – Contrôle d’accès » ou « A.8 – Contrôles techniques » restent floues. Elles souhaitent savoir si vous êtes en mesure de garantir la confidentialité, l’intégrité, la disponibilité et la responsabilité du traitement de leurs données personnelles. Élaborez un schéma simple décrivant, pour chaque domaine de contrôle majeur – comme l’accès, la journalisation, le chiffrement, la gestion des fournisseurs et la gestion des incidents – les principes du RGPD et les obligations du sous-traitant qu’il respecte et comment.

Par exemple, votre modèle de contrôle d'accès doit garantir la confidentialité et la minimisation des données. Votre approche de journalisation et de surveillance doit favoriser la responsabilisation et la détection des violations. Votre plan de sauvegarde et de restauration doit garantir la disponibilité et la limitation du stockage. Cette cartographie constitue la base de vos réponses aux questionnaires et aux entretiens d'audit, et permet aux responsables de la protection des données de constater que l'annexe A n'est pas une simple liste de contrôle de sécurité, mais un moyen concret de faire respecter les exigences réglementaires.

Intégrez des extensions cloud et de confidentialité là où elles apportent plus de clarté

Si vous exploitez des plateformes cloud ou SaaS de grande envergure, les recommandations de sécurité et les extensions relatives à la protection de la vie privée spécifiques au cloud, telles que les normes ISO 27017 ou ISO 27701, peuvent apporter des précisions utiles lorsqu'elles sont pertinentes pour vos services. Ces référentiels fournissent des exemples de segmentation des locataires dans les environnements virtuels, clarifient les responsabilités partagées entre fournisseur et client et proposent des contrôles supplémentaires concernant les données personnelles, les droits des personnes concernées et la gouvernance de la protection de la vie privée. Ils complètent la norme ISO 27001 sans la concurrencer, mais vous pouvez décider au cas par cas de l'opportunité d'une adoption ou d'une certification formelle.

Il n'est pas nécessaire d'obtenir la certification pour chaque norme existante, mais s'appuyer sur des modèles reconnus issus de ces extensions permet de concevoir des contrôles fiables et rassure les clients et auditeurs les plus expérimentés. Cela fournit également à vos équipes des modèles concrets à suivre lors de la mise en œuvre ou de l'examen des architectures, leur évitant ainsi de réinventer de toutes pièces les structures de sécurité et de confidentialité fondamentales. Pour les équipes juridiques et de protection des données, cela démontre que vous utilisez les bonnes pratiques comme référence, et non que vous inventez vos propres règles.

Utiliser des référentiels externes pour concrétiser les normes techniques

L’annexe A reste volontairement générale afin de pouvoir s’appliquer à de nombreux contextes. Pour traduire ses exigences en configurations concrètes, référez-vous aux référentiels techniques reconnus pour les plateformes clés telles que Microsoft 365, Azure, AWS, les systèmes d’exploitation principaux et les services SaaS critiques. Ces référentiels proposent des paramètres spécifiques pour la journalisation, le chiffrement, le contrôle d’accès et le renforcement de la sécurité que vous pouvez adopter ou adapter à votre environnement, puis intégrer à votre système de gestion de la sécurité de l’information (SGSI).

L'utilisation de telles références démontre aux clients et aux auditeurs que vos normes s'appuient sur des pratiques largement acceptées plutôt que d'être le fruit d'une invention isolée. Reliez-les à l'annexe A et au RGPD afin de montrer comment les principes juridiques, les contrôles du système de management et les configurations techniques s'articulent. Cela facilite également le maintien de configurations cohérentes entre les différents locataires, car les ingénieurs peuvent se baser sur une norme technique commune plutôt que sur des préférences personnelles ou des décisions hâtives prises sous pression.

Documentez comment et pourquoi vous utilisez des contrôles compensatoires

Dans les environnements mutualisés, vous rencontrerez inévitablement des situations où une mesure de contrôle standard ne peut être appliquée, par exemple en raison des limitations d'un système existant ou des contraintes imposées par une plateforme fournisseur. Dans ces cas, il est indispensable de mettre en place des mesures de contrôle compensatoires claires et de documenter leur justification. Expliquez pourquoi la mesure standard n'est pas applicable, définissez les mesures compensatoires utilisées et justifiez en quoi elles permettent de réduire le risque à un niveau acceptable.

Planifiez des examens réguliers pour vérifier si une meilleure option est disponible. Cette transparence garantit la crédibilité de votre déclaration d'applicabilité, évite les mauvaises surprises lors des audits ou des revues clients et aide les professionnels à distinguer les solutions de contournement justifiées des raccourcis qu'il convient de remettre en question. Pour votre équipe d'audit interne, des contrôles compensatoires bien documentés facilitent la vérification de la maîtrise réelle du risque, et non son acceptation purement formelle.

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo

Filets de sécurité au quotidien : minimisation, accès et journalisation acceptables pour les ingénieurs

Les contrôles ne sont efficaces que si vos ingénieurs et équipes de support peuvent les appliquer. La minimisation des données, le principe du moindre privilège et une journalisation robuste doivent se traduire par des pratiques simples, s'intégrant naturellement au travail quotidien dans un environnement mutualisé, plutôt que par des idéaux abstraits qui ralentissent tout. Pour les professionnels de l'informatique et de la sécurité, c'est là que les normes ISO 27001 et RGPD deviennent des garde-fous concrets et non une simple formalité administrative ; pour les RSSI, c'est là que la politique se concrétise et que la plupart des incidents sont soit évités, soit grandement facilités dans leurs investigations.

Les ingénieurs utilisent souvent les données client dans les tickets, les discussions internes, les captures d'écran et les bases de connaissances, car c'est le moyen le plus rapide de résoudre les problèmes. À terme, cela peut créer une masse de données personnelles cachées au sein de vos propres systèmes, ce qui accroît votre risque en tant que responsable du traitement et complique la gestion des demandes d'accès aux données. Une approche plus durable consiste à conserver les données personnelles au plus près des systèmes du client et à utiliser vos outils comme des outils de référence plutôt que comme des référentiels, chaque fois que cela est possible.

Concrètement, cela signifie privilégier la création de liens vers les enregistrements dans les systèmes clients plutôt que la copie intégrale des données, utiliser des identifiants pseudonymes lorsque cela est possible, masquer ou flouter les informations sensibles dans les captures d'écran et définir des règles claires concernant les données pouvant être stockées dans les bases de connaissances internes. Ces pratiques permettent de limiter l'impact d'une éventuelle compromission d'un compte interne et sont parfaitement conformes aux principes de minimisation et de limitation de la conservation des données du RGPD. Les autorités de régulation mettent régulièrement en garde contre l'augmentation des risques liés à la duplication inutile de données personnelles entre les outils internes et les sauvegardes, et les recommandations en matière de minimisation des données émanant d'organismes tels que la Federal Trade Commission (FTC) américaine et les autorités européennes de protection des données vont dans le même sens.

Elles permettent également à votre responsable de la protection des données ou à votre conseiller juridique de répondre beaucoup plus clairement lorsqu'on leur demande où se trouvent réellement les données personnelles au sein de votre organisation.

Mettre en œuvre le contrôle d'accès basé sur les rôles (RBAC) et le contrôle d'accès basé sur les acteurs (ABAC) prenant en compte les locataires dans les plateformes partagées.

De nombreux outils de niveau MSP largement utilisés prennent en charge le contrôle d'accès basé sur les rôles (RBAC) et, dans certains cas, le contrôle d'accès basé sur les attributs (ABAC). Leur combinaison permet de garantir deux principes essentiels : les ingénieurs ne doivent avoir accès qu'aux environnements dont ils sont responsables et, au sein de ces environnements, ils ne doivent disposer que des privilèges nécessaires à leur fonction, idéalement uniquement lorsque cela est requis. Les recommandations en matière de gestion des identités et des accès, telles que celles de la Cloud Security Alliance, soulignent comment les modèles RBAC et ABAC contribuent à traduire ces principes en politiques concrètes pour les plateformes cloud et SaaS. Ce modèle transforme le principe du « moindre privilège » d'un simple slogan en une pratique compréhensible et applicable.

Une approche pratique consiste à définir un ensemble restreint et bien défini de rôles – tels que technicien support de premier niveau, ingénieur senior, ingénieur plateforme et responsable de service – puis à associer ces rôles aux attributs du locataire ou de son niveau dans les politiques de sécurité. L’objectif est de limiter les accès inter-locataires non autorisés et non audités, tout en permettant aux ingénieurs expérimentés d’assurer un support efficace à plusieurs clients en cas de besoin. Ce type de contrôle répond précisément aux exigences de la norme ISO 27001 en matière de contrôle d’accès et aux exigences du RGPD en matière de sécurité du traitement. Les analyses de correspondance ISO-RGPD, telles que les guides de correspondance des contrôles, citent régulièrement des modèles d’accès bien définis comme éléments constitutifs des deux référentiels.

Standardisez les flux de travail d'accès et capturez automatiquement les preuves.

Dans un environnement mutualisé, les demandes d'accès et les approbations manuelles par e-mail ne sont pas adaptées. Il est donc préférable d'intégrer des flux de travail de gestion des arrivées, des mutations, des départs et des élévations de privilèges à votre système de gestion des tickets ou des identités. Les demandes devront alors préciser le locataire, le rôle et la durée. Les approbations doivent être enregistrées et horodatées. Les accès privilégiés doivent expirer automatiquement lorsque cela est possible et toutes les modifications doivent être consignées de manière à permettre une recherche par utilisateur, locataire ou période.

Cela vous offre une piste d'audit fiable pour la norme ISO 27001 et facilite la conformité au RGPD. Elle permet également de répondre clairement aux questions des clients, auditeurs et autorités de contrôle concernant les accès aux différents environnements et les dates d'accès. Pour les professionnels, cela réduit la charge cognitive en simplifiant le processus à suivre, évitant ainsi de dépendre de la mémoire des utilisateurs pour des règles ad hoc lors de périodes de forte activité. À terme, ces flux de travail constituent des éléments probants pour les revues de direction et les tests de contrôle de l'Annexe A.

Journalisation de la conception afin que les enquêtes puissent se concentrer sur un seul locataire

Dans un environnement mutualisé, l'utilité de la journalisation réside moins dans le volume que dans la précision du ciblage des investigations. Pour ce faire, il est essentiel d'étiqueter les événements avec des identifiants ou attributs de locataire, de conserver suffisamment de contexte (utilisateur, action, système et résultat) pour reconstituer les incidents, de garantir l'intégrité des journaux et de contrôler rigoureusement leur accès afin que les enquêteurs ne consultent que les informations nécessaires. Les journaux deviennent ainsi un outil d'investigation plutôt qu'une simple contrainte de conformité.

Vous devriez pouvoir répondre à des questions spécifiques à un locataire, telles que « Une personne extérieure à notre organisation a-t-elle accédé à cette boîte mail ? » ou « Quel technicien a restauré ce serveur ? », grâce à une requête ciblée plutôt qu'à une recherche manuelle dans les journaux globaux. Pour vos équipes et experts SOC, cela accélère les investigations et réduit les risques d'erreur. Pour les équipes juridiques et de protection des données, cela renforce la certitude que les données personnelles ne sont pas divulguées inutilement lors de la gestion des incidents, ce qui facilite la détermination de la nature d'un incident : constitue-t-il une violation de données personnelles ?

Établissez des règles de conservation qui concilient valeur médico-légale et respect de la vie privée.

Les journaux et les sauvegardes sont des lieux courants où des données personnelles s'accumulent discrètement, parfois bien plus longtemps que nécessaire. Vous avez besoin de politiques de conservation conformes aux exigences légales et contractuelles, qui permettent des délais d'enquête réalistes et respectent le principe de limitation de la conservation du RGPD. Documentez la durée de conservation de chaque type de journal (par exemple, les événements d'authentification, les actions administratives et les accès au contenu), justifiez cette durée et décrivez comment la suppression est appliquée concrètement.

Soyez prêt à expliquer ces choix aux auditeurs et aux clients en termes simples. Pour les responsables de la protection des données ou les juristes, cette clarté permet de démontrer que vos besoins en matière d'analyse forensique sont véritablement mis en balance avec les droits des individus, et non utilisés comme prétexte pour tout conserver indéfiniment. Ces explications sont grandement facilitées lorsque les modèles et contrôles de gestion des données sous-jacents sont conçus et testés de manière rigoureuse, et lorsque vous pouvez démontrer comment les articles 9 et 10 de la norme ISO 27001:2022 contribuent à la mesure et à l'amélioration.

Rendre la séparation des locataires réelle : mesures techniques et organisationnelles

Les principes généraux de ségrégation et de moindre privilège sont utiles, mais la sécurité des environnements mutualisés repose en définitive sur des mesures techniques et organisationnelles concrètes, démontrables aux clients, aux auditeurs et aux autorités de réglementation. Cela exige des modèles standardisés, une gestion rigoureuse des changements et une vérification régulière, et non des solutions ponctuelles qui se dégradent insidieusement avec le temps. Les RSSI et les architectes peuvent s'appuyer sur ces modèles pour maîtriser la complexité ; les praticiens bénéficient ainsi d'une connaissance précise du traitement des différents types de clients, sans avoir à deviner ce qui est « normal » pour chaque nouveau projet.

Choisissez un petit ensemble de modèles de location pris en charge

Concevoir des architectures sur mesure pour chaque client est source d'incohérences et de risques cachés. Il est préférable de définir un nombre restreint de modèles de location standard, tels que des environnements dédiés pour les clients à très haut risque, des environnements mutualisés avec une isolation logique renforcée et des clés par client, ainsi que des variantes régionales lorsque la résidence ou la localisation des données est requise. Les nouveaux clients peuvent ainsi choisir le modèle qui correspond à leurs besoins et à leur budget, au lieu de partir de zéro.

Pour chaque modèle, documentez le fonctionnement de la segmentation du réseau, de la gestion des identités, du chiffrement, de la gestion des clés, de la journalisation et des accès administratifs. Les exceptions deviennent ainsi des décisions réfléchies, consignées dans des registres de risques et des contrats, et non plus des arrangements ponctuels. Il est alors beaucoup plus facile de démontrer aux auditeurs et aux organismes de réglementation que vous appliquez un raisonnement structuré et fondé sur les risques à la conception multi-locataires, et non que vous vous fiez à des pratiques informelles.

Appliquer des modèles avec l'infrastructure en tant que code et la gestion de la configuration

Une fois les modèles de location définis, traduisez-les autant que possible en code et en modèles. Définissez les règles de réseau et de pare-feu dans des modèles déclaratifs, intégrez les rôles et politiques d'identité de base dans le système de contrôle de version, appliquez automatiquement les configurations standard de journalisation et de surveillance et incluez des contrôles de conformité dans les pipelines d'intégration, de livraison ou de déploiement continus. Ceci établit un lien direct entre les objectifs de contrôle de l'Annexe A et les configurations concrètes.

Cette approche réduit les écarts de configuration entre les locataires, rend les modifications vérifiables et assure une traçabilité claire entre les normes documentées et l'environnement de production. Pour les praticiens, cela se traduit par un gain de temps considérable en matière de réimplémentation manuelle des modèles et une plus grande assurance quant à la cohérence des environnements. Pour les auditeurs, elle renforce le lien entre le système de gestion et la configuration réelle des systèmes, ce qui correspond précisément à leurs attentes lors de la mise en œuvre pratique des contrôles de l'Annexe A.

Concevoir des voies d'évacuation qui respectent la séparation

En situation d'urgence, les contrôles sont plus susceptibles d'être contournés, souvent avec les meilleures intentions. Pour éviter que les solutions d'urgence ne créent de nouveaux risques, il est essentiel de définir le fonctionnement de l'accès « brèche » avant qu'une crise ne survienne, afin d'empêcher toute improvisation dangereuse. Cela doit préciser qui peut y recourir, dans quelles conditions, comment l'accès est techniquement accordé, ce qui doit être consigné et examiné, et comment les actions sont enregistrées dans les tickets ou les rapports d'incident.

Les ingénieurs disposent ainsi d'une méthode sûre et documentée pour intervenir rapidement, sans avoir recours à des comptes d'administrateur partagés ni à des modifications non documentées. Vous obtenez ensuite des preuves claires pour les rapports d'incidents, les revues de direction et toute évaluation de conformité au RGPD qui pourrait être requise. Étant donné que la classification des incidents et les seuils de déclaration dépendent des faits et des juridictions, il est toujours conseillé de consulter un avocat avant de décider comment et quand informer les autorités de régulation ou les personnes concernées.

Gérer délibérément les exigences en matière de résidence des données et les exigences spécifiques au secteur

Certains locataires auront besoin que leurs données restent dans des juridictions spécifiques ou nécessiteront des contrôles supplémentaires en raison de réglementations sectorielles, notamment dans les domaines de la santé, de la finance ou du secteur public. Plutôt que de disperser ces exigences dans des courriels et des notes de configuration ponctuelles, il est préférable de les consigner explicitement dans les contrats et les diagrammes de flux de données, de les associer à des modèles de location et des configurations de service spécifiques, et de les intégrer comme obligations dans votre système de gestion de la sécurité de l'information (SGSI) et votre registre des risques.

Cela garantit la visibilité des contrôles de résidence et de secteur auprès des équipes techniques, des gestionnaires de comptes et des auditeurs. Cela réduit également le risque de non-conformité accidentelle lors des migrations, des mises à niveau de plateforme ou des incidents majeurs, situations dans lesquelles les équipes travaillent sous pression et peuvent oublier certains cas particuliers. Les recommandations relatives à la résidence des données et à la conformité sectorielle du cloud soulignent régulièrement la nécessité d'une telle approche structurée des exigences transfrontalières et sectorielles, notamment dans les environnements mutualisés où un seul choix de conception peut impacter de nombreux clients simultanément.

Testez l'isolement ainsi que la disponibilité

La plupart des fournisseurs de services gérés (MSP) testent régulièrement leurs sauvegardes, la reprise après sinistre et la capacité de stockage ; en revanche, rares sont ceux qui vérifient systématiquement le bon fonctionnement des contrôles d’isolation. Intégrez des tests d’isolation à vos plans de sécurité et d’assurance qualité, par exemple en tentant d’accéder aux données d’un autre client avec des rôles standard pour confirmer le blocage, en vérifiant que les restaurations ne peuvent pas cibler le mauvais client et en vous assurant que les journaux et les tableaux de bord n’affichent qu’un seul client pour les rôles en contact avec la clientèle.

Documentez les résultats et intégrez-les à vos plans de gestion des risques et d'amélioration. Pour les RSSI et les équipes d'audit interne, cela transforme l'affirmation « nous pensons que les locataires sont séparés » en « nous testons et vérifions régulièrement la séparation des locataires », un message bien plus convaincant pour les clients et les organismes de réglementation. Ces résultats de tests alimentent alors le dossier de preuves que vous pouvez présenter lorsqu'on vous demande : « Comment prouvez-vous concrètement que cela fonctionne dans un environnement multi-locataires réel ? »

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo

Preuves locataire par locataire : témoignages, incidents et impact commercial

Au final, clients, auditeurs et organismes de réglementation vous évaluent sur vos preuves concrètes, et non sur vos déclarations concernant votre engagement en matière de sécurité. Un système de gestion de la sécurité de l'information (SGSI) multi-locataires doit permettre de répondre facilement, pour chaque locataire, aux questions suivantes : quelles mesures prenez-vous pour lui ? Comment gérez-vous les incidents ? Quelles preuves pouvez-vous fournir ? Pour les RSSI, il s'agit des éléments qui alimentent les rapports du conseil d'administration et des comités ; pour les responsables de la protection des données et les juristes, c'est la garantie de la transparence ; pour les praticiens, c'est la preuve que leur travail quotidien a un réel impact et ne se résume pas à de la « documentation pour les auditeurs ».

Créer des ensembles d'assurance qualité standardisés à partir de preuves partagées

Créer un nouveau « pack de sécurité » pour chaque prospect est une perte de temps et risque d'entraîner des incohérences. Privilégiez plutôt la constitution d'un ensemble restreint de rapports et de documents standard réutilisables, avec une légère personnalisation pour chaque client. Un pack type pourrait inclure une description du périmètre de votre système de gestion de la sécurité de l'information (SGSI), les politiques et certifications clés, des résumés des contrôles pertinents et des modèles de location, des exemples anonymisés de résultats de tests d'incidents, d'examens d'accès et de sauvegarde, ainsi qu'une explication claire des rôles et responsabilités.

Ajoutez ensuite un document simplifié et personnalisé pour chaque locataire, reprenant son niveau de risque, son offre de services, ses implantations et tout engagement particulier convenu. Cette approche est bien plus évolutive que des documents sur mesure pour chaque client et rassure vos équipes commerciales, de gestion de comptes et juridiques quant à l'exactitude, la cohérence et la validité des informations partagées. Elle accélère également les cycles d'approvisionnement, car vous n'avez plus besoin de réinventer la roue à chaque demande de « preuve » de conformité aux normes ISO 27001 et RGPD.

Concevoir des procédures d'intervention multi-locataires dès la conception

Une fuite de données personnelles affectant un seul locataire est déjà suffisamment stressante ; un incident impliquant plusieurs locataires peut rapidement devenir chaotique si vous n’avez pas anticipé ce type de situation. Concevez votre processus de gestion des incidents de manière à ce qu’il prenne explicitement en compte les impacts sur plusieurs locataires, au lieu de supposer que chaque incident est isolé. Illustration : un flux présentant la détection, l’identification du locataire, l’analyse d’impact, la notification du responsable du traitement et les enseignements tirés.

Cela implique d'inclure des étapes permettant d'identifier rapidement les locataires concernés, de faire la distinction entre les incidents de sécurité et les violations de données personnelles au sens du RGPD, de définir comment et quand notifier les responsables du traitement et de décrire les informations à fournir. Intégrez ces étapes aux plans de continuité d'activité et de communication qui gèrent les messages clients et la restauration des services. La mise en pratique de ces scénarios, plutôt que leur simple accumulation dans des documents, renforce la confiance de vos équipes et constitue un élément probant pour les audits internes ISO 27001, les audits externes et la conformité au RGPD.

Aligner l'audit interne sur les risques inter-locataires

Les audits internes doivent se concentrer en priorité sur les contrôles dont la défaillance impacterait simultanément de nombreux clients, tels que les systèmes d'identité partagés, la journalisation centralisée, l'infrastructure de sauvegarde et les principaux environnements cloud. Dans ce cadre, il convient d'inclure un échantillon de clients de chaque niveau de risque afin de démontrer le fonctionnement des contrôles dans des contextes clients réels, et non uniquement en théorie. Cette approche fondée sur les risques répond aux exigences de la norme ISO 27001 et rassure les clients quant à la qualité de l'audit, qui ne se limite pas aux aspects les plus faciles.

Cela permet également à votre RSSI et à votre service d'audit interne de réutiliser les conclusions et les preuves lorsqu'ils répondent aux questions individuelles des clients, plutôt que de reproduire le même travail pour chaque client. Au fil du temps, la récurrence des conclusions chez différents clients met en évidence les modifications de conception nécessaires au sein des plateformes partagées, plutôt que des solutions de fortune ponctuelles. Ce passage de correctifs isolés à des améliorations structurelles est précisément ce que les articles 9 et 10 de la norme ISO 27001:2022 visent à encourager.

Établir des règles claires pour les tests et les audits initiés par le client

Les grands clients souhaitent de plus en plus souvent effectuer leurs propres tests sur les plateformes que vous utilisez également pour d'autres clients. Pour gérer cela en toute sécurité, définissez une politique standard pour les tests d'intrusion et les audits clients sur les plateformes partagées. Précisez la planification, le périmètre, les mesures de protection des données et les exigences de notification, et assurez-vous que les tests effectués pour un client ne perturbent pas les autres ni ne divulguent leurs informations. Documenter cette politique dans votre système de gestion de la sécurité de l'information (SGSI) témoigne d'une approche proactive plutôt que de réactions improvisées.

Disposer d'une telle politique protège non seulement vos opérations, mais témoigne également de votre maturité lorsque vos prospects vous interrogent à ce sujet. Pour vos responsables de la protection des données ou juridiques, elle fournit également un cadre permettant de garantir que tous les tests clients sont conformes au RGPD et aux engagements contractuels, notamment lorsque des testeurs tiers pourraient avoir un accès étendu aux systèmes partagés. Pour les professionnels, elle réduit l'incertitude lorsque les clients proposent leurs propres programmes de test.

Considérez la conformité comme un levier commercial, et non comme un simple bouclier.

Des pratiques rigoureuses en matière de normes ISO 27001 et de RGPD permettent de raccourcir les questionnaires de sécurité, de simplifier les contrôles d'approvisionnement et d'accéder à des secteurs plus réglementés. Les études de cas de fournisseurs de services gérés (MSP) et les témoignages de partenaires indiquent fréquemment que des certifications visibles et des dossiers d'assurance complets sont corrélés à un traitement plus rapide des questionnaires et à un meilleur accès aux clients soumis à la réglementation, comme le soulignent les discussions au sein de la communauté, notamment les guides de vente pour MSP axés sur la certification de sécurité. Suivez des indicateurs tels que le temps de réponse aux demandes de diligence raisonnable classiques avant et après les améliorations apportées à votre système de gestion de la sécurité de l'information (SGSI), les taux de réussite lorsque votre certification ou votre approche structurée de la protection de la vie privée a été citée comme facteur déterminant, ainsi que les retours des équipes de sécurité et de protection de la vie privée de vos clients. Ces mesures permettent de relier directement les actions de gouvernance aux résultats commerciaux.

Dans l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information, la quasi-totalité des répondants ont indiqué que l'obtention ou le maintien de certifications de sécurité telles que l'ISO 27001 ou le SOC 2 constituait une priorité absolue.

Partager ces informations avec la direction permet de repositionner l'investissement dans la gouvernance et les outils comme un élément de votre stratégie de croissance, et non comme une simple mesure de protection contre les amendes. Cela offre également aux responsables de la conformité, aux RSSI, aux délégués à la protection des données et aux experts un discours commun : la gouvernance renforce la confiance, et la confiance génère des revenus. Ce discours commun est d'autant plus convaincant lorsqu'il est possible de démontrer comment une plateforme de gestion de la sécurité de l'information (SGSI) le soutient pour l'ensemble des locataires, services et juridictions.

Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous aide à transformer vos intentions en matière de normes ISO 27001 et RGPD en un système de gestion de la sécurité de l'information (SGSI) opérationnel et mutualisé, transparent et fiable pour vos clients. Au lieu de juxtaposer des politiques dans des dossiers et de disperser les preuves dans des tableurs, vous pouvez centraliser la gestion du périmètre, des risques, des contrôles de l'Annexe A, des enregistrements RGPD et des pistes d'audit, tout en laissant vos outils de gestion des tickets, de journalisation et de cloud existants se concentrer sur leurs fonctions principales. Les études de marché indépendantes sur les outils SGSI, telles que les guides d'analystes sur les plateformes SGSI, soulignent régulièrement que les systèmes dédiés de ce type simplifient la gestion de la documentation, des flux de travail et de la collecte des preuves à grande échelle.

Pourquoi une plateforme ISMS est un multiplicateur de force pour les MSP

Une plateforme SMSI dédiée vous offre un espace de travail unique où les responsables de la conformité, les RSSI, les juristes et les responsables de la protection des données peuvent collaborer à partir d'une même représentation de votre entreprise. Vous pouvez modéliser une seule fois le périmètre et les niveaux de risque multi-locataires, réutiliser les ensembles de contrôles et les modèles de preuves pour tous les services et locataires, et relier les risques, les incidents, les accords de traitement des données et les améliorations afin d'éviter tout oubli. Cette structure partagée simplifie la démonstration de votre conformité pour chaque locataire, sans avoir à recréer les documents à chaque fois.

Lorsqu'un prospect ou un organisme de réglementation vous interroge sur la protection des données personnelles entre vos différents clients, vous pouvez lui présenter le système utilisé quotidiennement par vos équipes, plutôt que de vous démener pour rassembler des captures d'écran et des feuilles de calcul improvisées. Vos ingénieurs comprennent ainsi clairement quels contrôles s'appliquent et où ; la direction identifie les investissements qui réduisent les risques et améliorent les taux de réussite. Cette combinaison de clarté opérationnelle et de preuves tangibles est difficile à obtenir uniquement avec des documents et des feuilles de calcul, surtout lorsque votre parc de clients s'agrandit et que la réglementation se durcit.

Une brève conversation qui transforme les projets en réalité

Découvrir ISMS.online en action est souvent le moyen le plus rapide de déterminer si cette approche convient à votre fournisseur de services gérés (MSP). Un échange bref et ciblé, ainsi qu'une démonstration personnalisée, vous permettront de constater comment vos services existants s'intègrent à un système de gestion de la sécurité de l'information (SGSI) unique, comment les obligations de l'Annexe A et du RGPD se traduisent dans des flux de travail concrets et comment des dossiers d'assurance spécifiques à chaque client peuvent être générés à partir de preuves partagées. Vous exposez vos questions et vos difficultés actuelles ; la session les transformera en modèles concrets que vous pourrez adopter.

Choisissez ISMS.online si vous souhaitez que votre démarche ISO 27001 et RGPD devienne un système dynamique et mutualisé, et non une simple collection de documents statiques. Si vous privilégiez des preuves tangibles, une structure facilitant le travail d'audit et un environnement partagé où fondateurs, RSSI, délégués à la protection des données et experts partagent la même vision, organiser cette première discussion est une étape concrète qui transforme votre confiance en une démonstration tangible de notre engagement envers chaque utilisateur.

Demander demo

Foire aux questions

Comment un fournisseur de services gérés (MSP) doit-il définir le périmètre de son système de gestion de la sécurité de l'information (SGSI) ISO 27001:2022 lorsqu'il dessert de nombreux clients soumis au RGPD ?

Évaluez la portée de votre système de gestion de la sécurité de l'information (SGSI) ISO 27001:2022 une fois à niveau du fournisseur autour des services et plateformes que vous exploitez, exprimez ensuite les différences entre locataires par le biais de niveaux de risque et d'attentes des « parties intéressées » au lieu de créer un SMSI distinct pour chaque client.

Comment définir un périmètre clair pour un fournisseur dans le cadre de la norme ISO 27001 ?

Décrire ce que vous fournissez, et non la liste des clients à qui vous la fournissez. Un énoncé de portée pratique pour un fournisseur de services gérés pourrait être :

La fourniture de services informatiques, de cloud et de sécurité gérés utilisant des plateformes partagées et dédiées exploitées par .

Incluez tous les systèmes et environnements susceptibles de consulter, traiter ou influencer les données personnelles des locataires : solutions RMM et PSA, plateformes de sauvegarde et de reprise après sinistre, outils SOC, consoles d’administration cloud, passerelles d’accès à distance, plateformes d’identité partagée et lieux de travail de vos administrateurs. Ces plateformes, réseaux et équipes constituent le cœur de votre système de gestion de la sécurité de l’information (SGSI) ; les exclure entraîne généralement des désaccords sur le périmètre lors des audits.

Traitez les clients, les organismes de réglementation et les fournisseurs essentiels comme parties intéressées Conformément à la clause 4.2 de la norme ISO 27001:2022, recueillez leurs attentes – RGPD, règles sectorielles, SLA, accords de traitement des données, sanctions en cas de violation, contraintes de résidence – et intégrez-les à votre évaluation des risques, à vos objectifs et à vos revues de direction intégrées de type Annexe L. La portée reste alors stable, tandis que votre compréhension des obligations et des risques évolue.

L'intégration de ce modèle dans un environnement structuré comme ISMS.online simplifie la gestion du périmètre, des limites et des attentes des parties prenantes lors de l'ajout de régions, de services ou de nouveaux modèles de location. Vous pouvez ainsi établir un lien clair entre le périmètre, les parties prenantes, les risques et les contrôles, ce qui rassure les auditeurs et les clients exigeants.

Comment prendre en compte les différences entre locataires sans multiplier les périmètres des SMSI ?

Au lieu d’« un SMSI par locataire », regroupez les clients en un petit nombre de niveaux de risque En fonction de la sensibilité des données et des contraintes réglementaires, de nombreux fournisseurs de services gérés (MSP) estiment que trois niveaux de tarification conviennent :

Niveau A – Hautement réglementé / à fort impact : (secteur public, santé, finance, infrastructures critiques).
Niveau B – Sensibilité moyenne : (grands clients commerciaux soumis à des règles de sécurité strictes ou à des pénalités).
Niveau C – SMB standard / sensibilité réduite : (services professionnels, charges de travail typiques des PME).

Étiquetez les actifs, les services, les risques et les traitements avec ces niveaux plutôt qu'avec les noms des clients individuels. Lorsque vous améliorez un contrôle de niveau A, chaque locataire à fort impact en bénéficie immédiatement et vous évitez de gérer des dizaines de registres de risques similaires. Si un client ou un secteur particulier a besoin de mesures supplémentaires, consignez-le comme un exception de niveau supérieur plutôt qu'un SMSI autonome.

Utilisez la clause 4.3 de la norme ISO 27001:2022 relative au périmètre, ainsi que les contrôles de l'annexe A concernant la gestion des actifs, le contrôle d'accès et les relations fournisseurs, afin de garantir la transparence de la structure. Sur une plateforme de SMSI, vous pouvez lier les niveaux de risque, les exigences des parties prenantes et les correspondances de contrôle aux mêmes enregistrements. Le modèle est ainsi auditable, reproductible et indépendant de la mémoire d'un seul ingénieur. ISMS.online centralise les énoncés de périmètre, la logique de hiérarchisation et les justificatifs, vous permettant ainsi de faire évoluer vos services gérés sans avoir à reconstruire la gouvernance à chaque nouvelle signature de contrat.

Quels sont les rôles et responsabilités habituels d'un fournisseur de services gérés (MSP) en matière de RGPD pour plusieurs clients ?

Dans la plupart des services, vous êtes un processeur pour les données des locataires, mais certaines activités font de vous un contrôleur indépendant or responsable conjoint du traitementVous avez également des obligations en matière de RGPD pour vos propres traitements de données internes. Il est essentiel de définir clairement ces limites si vous souhaitez des contrats sans ambiguïté, des enregistrements de SMSI crédibles et des échanges aisés avec les autorités de contrôle.

Comment savoir si vous êtes contrôleur, processeur ou cocontrôleur ?

Examinez chaque service et activité de traitement et posez-vous deux questions simples :

Qui décide pourquoi ces données personnelles sont traitées et quel résultat commercial est requis ?
Qui décide des moyens essentiels – systèmes centraux, logique, règles de conservation et informations à fournir ?

Lorsque le client définit la finalité (« protéger notre messagerie », « héberger notre application métier ») et les moyens essentiels, et que vous vous contentez d'exploiter les systèmes pour son compte, il est le contrôleur et vous êtes un processeur (Articles 4(7)–(8) et 28 du RGPD). Votre SMSI devrait alors mettre l'accent sur les contrôles de niveau sous-traitant : contrôle d'accès, journalisation, confidentialité, supervision des sous-traitants et gestion des incidents.

Si vous réutilisez des données personnelles pour vos propres analyses, renseignements sur les menaces, amélioration des services ou optimisation de la facturation, vous devenez un contrôleur Pour cette réutilisation, des obligations indépendantes s'appliquent, telles que l'identification d'une base légale, le respect des exigences de transparence et des droits des personnes concernées (articles 5 à 6 et 13 à 15). L'anonymisation des données n'est efficace que si vos mesures techniques et organisationnelles soutiennent véritablement l'anonymisation ou une pseudonymisation robuste.

Dans certaines offres conjointes – portails de surveillance partagés, capacités d'IA co-conçues, plateformes multipartites – vous et le client pouvez devenir responsables conjoints du traitement (Article 26), lorsque vous définissez conjointement les objectifs et les moyens essentiels. Ces cas nécessitent des dispositions explicites et une communication externe claire, car les autorités de réglementation examineront la répartition des responsabilités et des obligations, et non pas seulement l'intitulé figurant dans votre contrat.

Comment transformer les décisions relatives aux rôles en quelque chose que votre équipe peut réellement mettre en œuvre ?

Activités de traitement des catalogues par service et locataire : quelles catégories de données personnelles traitez-vous, à quelles fins, sur instruction de qui et dans quels systèmes ? Pour chaque activité, indiquez si vous êtes :

Processeur uniquement.
Contrôleur indépendant.
Responsable conjoint du traitement avec le client ou une autre partie.

Veillez à ce que la classification apparaisse de manière cohérente dans :

Registres des activités de traitement : (article 30).
Accords de traitement des données : et les contrats de services de base.
Descriptions de service, manuels d'exploitation et enregistrements d'actifs du système de gestion de la sécurité de l'information (SGSI) :

Construire un matrice de responsabilité Pour chaque service, il est clairement indiqué qui est responsable des autorisations d'accès, de la journalisation, des sauvegardes, du triage des incidents, de la notification des violations de données et des demandes d'accès aux données. Cela évite les malentendus qui peuvent engendrer des litiges et facilite grandement la communication des rôles et responsabilités aux équipes commerciales, de support et d'ingénierie.

L'intégration de ce modèle à votre SMSI – et son lien avec les actifs, les fournisseurs et les risques – garantit qu'une nouvelle fonctionnalité, un sous-traitant ou une zone géographique supplémentaire déclenche un examen plutôt que de passer inaperçu. Lorsqu'un DPO d'un prospect demande « Qui est responsable de quoi ? », vous pouvez présenter une matrice adaptée aux besoins des utilisateurs et basée sur votre Système de Gestion de la Sécurité de l'Information, au lieu d'improviser lors d'un appel. ISMS.online vous aide à centraliser ces cartographies, contrats et décisions relatives aux risques afin de répondre avec assurance, même face à l'évolution de vos services.

Quelles sont les mesures de contrôle les plus importantes de l'annexe A de la norme ISO 27001 pour la séparation et la protection des données personnelles des locataires ?

Pour un fournisseur de services gérés, les contrôles de l'annexe A les plus importants sont ceux qui régissent Gestion des identités, des accès, de la configuration, de la journalisation et des fournisseurs sur vos plateformes partagées, car une simple erreur de configuration peut affecter plusieurs locataires simultanément.

Comment transformer l'annexe A en une pile de contrôle multi-locataires pratique ?

Divisez votre environnement de contrôle en deux couches :

A infrastructure de plateforme partagée couvrant la gestion centralisée des identités et des accès (IAM), les flux de travail d'accès privilégié, les chemins d'administration sécurisés, les configurations de base renforcées, la journalisation centralisée, l'infrastructure de sauvegarde et la supervision des principaux fournisseurs.
Superpositions locataires : – MFA par locataire, segmentation du réseau, règles DLP, seuils de journalisation spécifiques au client et variantes de politiques locales documentées.

Pour chaque contrôle fondamental, associez les références pertinentes de l'annexe A aux principes du RGPD, tels que l'intégrité et la confidentialité, ainsi que l'obligation de garantir une sécurité appropriée du traitement (articles 5(1)(f) et 32). Par exemple, pour une plateforme de gestion à distance partagée, mentionnez explicitement les risques inter-locataires, comme « Une élévation de privilèges dans la plateforme de gestion à distance pourrait exposer les terminaux de plusieurs locataires », et reliez-les à vos contrôles de l'annexe A, aux normes de configuration, aux flux d'approbation et à la surveillance.

Lorsque les contrôles standard de l'annexe A ne peuvent être appliqués sans difficulté – environnements existants, acquisitions, outils spécifiques à une région – définir contrôles compensatoires (Surveillance accrue, approbations plus strictes, journalisation renforcée, contrôles de séparation supplémentaires) et consigner les raisons pour lesquelles le risque résiduel est acceptable. Mettre en place un processus de révision régulier afin que ces exceptions soient réexaminées et ne deviennent pas permanentes par inadvertance.

Les recommandations des normes ISO 27017 (sécurité du cloud) et ISO 27701 (extension relative à la protection des données personnelles de la norme ISO 27001) peuvent vous aider à interpréter l'annexe A dans les environnements hébergés et mutualisés. En centralisant les correspondances, les exceptions et les justifications dans un système de gestion de la sécurité de l'information (SGSI) unique plutôt que dans des documents dispersés, vous pouvez présenter un discours cohérent aux auditeurs et aux utilisateurs : voici comment notre SGSI, les contrôles de l'annexe A et nos modèles de location interagissent pour protéger les données personnelles. ISMS.online vous offre cette source unique de référence, vous permettant ainsi de justifier vos décisions au lieu de vous fier à des tableurs épars et à des connaissances empiriques.

Comment un fournisseur de services gérés peut-il appliquer la minimisation des données, le contrôle d'accès et la journalisation à de nombreux locataires dans des outils partagés ?

Vous rendez la minimisation des données, l'accès au moindre privilège et la journalisation pertinente durables en les transformant en modèles de travail standard Intégrés à vos outils et procédures partagés, plutôt que des options supplémentaires réglées séparément pour chaque locataire.

Commencez par réduire les données personnelles que vous intégrez à vos systèmes internes. Dans les outils de gestion des tickets, de collaboration et de documentation :

Privilégiez les identifiants clients, les étiquettes d'actifs ou les pseudonymes aux noms complets lorsque la qualité du service le permet.
Avant de les télécharger, masquez ou occultez les captures d'écran qui révèlent des informations relatives à la santé, aux finances ou aux ressources humaines.
Pour obtenir un contexte détaillé, veuillez vous référer aux systèmes clients plutôt que de copier l'intégralité des enregistrements dans vos notes.

Alignez ces pratiques avec le RGPD minimisation des données et limite de stockage les principes de l'article 5. Combiné à un périmètre d'ISMS clairement défini, cela permet à votre propre système de gestion de la sécurité de l'information de rester concentré sur les données dont vous avez réellement besoin pour fournir des services, ce qui facilite la conception et la défense des contrôles d'accès et de journalisation de l'annexe A.

Comment garantir un accès et une journalisation robustes sans paralyser les ingénieurs ?

Mettre en œuvre le contrôle d'accès basé sur les rôles et, dans la mesure du possible, politiques basées sur les attributs Ainsi, les critères du locataire et de l'ingénieur doivent être remplis avant que les actions à haut risque ne soient autorisées. Un spécialiste intervenant auprès de locataires du secteur public peut avoir un profil d'accès et un processus d'approbation très différents de ceux d'un spécialiste travaillant avec des PME clientes présentant un risque moindre.

Standardisez les processus d'arrivée, de mutation, de départ et d'élévation de privilèges afin que les approbations, les justifications et les dates d'expiration soient enregistrées automatiquement. Vous disposerez ainsi de preuves solides pour répondre aux exigences de l'annexe A relatives à la gestion des accès utilisateurs, aux accès privilégiés et à la journalisation, sans avoir recours aux échanges de courriels.

Pour la journalisation, assurez-vous au moins que :

Les événements d'authentification, les actions administratives, les modifications de configuration et les opérations de restauration sont enregistrés.
Chaque entrée de journal est étiquetée avec le locataire, le système et l'utilisateur concernés.
Les paramètres de conservation sont documentés avec une justification qui équilibre les besoins d'enquête, les attentes contractuelles, les coûts de stockage et le principe de limitation de la conservation du RGPD.

Intégrez ces pratiques sous forme de politiques, de manuels d'exploitation et de modèles dans votre SMSI et appliquez-les de manière cohérente à l'ensemble de vos outils RMM, PSA, de sauvegarde, SOC et cloud. Vous pourrez ainsi démontrer aux autorités de réglementation, aux auditeurs et à vos clients que la minimisation des données, le contrôle d'accès et la journalisation sont des pratiques courantes au sein de vos équipes, et non de simples formalités administratives. ISMS.online facilite cette démarche en vous permettant de connecter les pratiques, les outils, les contrôles de l'Annexe A et les preuves, afin de démontrer que ces mesures de protection sont actives pour tous vos clients.

À quoi ressemble réellement la « séparation des locataires » pour les MSP dans leurs opérations quotidiennes ?

La séparation des locataires est la combinaison de architecture, configuration codifiée et opérations disciplinées qui empêche l'environnement, les données ou le contexte administratif d'un client de se retrouver dans celui d'un autre – même en cas d'incidents, de changements urgents et de travaux en dehors des heures normales de travail.

Définir un petit ensemble de modèles de location pris en charge Ainsi, chacun comprend le fonctionnement de la séparation. Voici quelques exemples courants :

Dévoué: Un seul locataire par environnement, avec des réseaux isolés, des chemins d'administration dédiés et un chiffrement.
Regroupés avec une isolation logique stricte : Plusieurs locataires partagent des plateformes mais disposent d'une identité, d'un réseau et d'une séparation des clés bien définis.
Région épinglée : Les données et l'administration sont limitées à des juridictions spécifiques afin de respecter le RGPD et les autres exigences en matière de protection de la vie privée.

Pour chaque modèle, documentez le comportement attendu de la segmentation du réseau, de l'accès administrateur, de l'authentification, du chiffrement, de la gestion des clés et de la journalisation. Encodez autant que possible ces informations dans le code. infrastructure en tant que code et la gestion de la configuration afin que les configurations de base soient déployées de manière cohérente, et utiliser des contrôles automatisés pour signaler les dérives.

Sur le plan opérationnel, définissez des procédures claires pour l'accès d'urgence, les modifications majeures et la gestion des incidents. Les ingénieurs doivent savoir comment intervenir rapidement. sans contourner les contrôles de séparation. Intégrez des tests spécifiques à votre programme d'audit interne et de continuité des activités qui exercent délibérément l'isolation : tentatives d'accès au mauvais locataire, exercices de restauration dans un environnement inapproprié ou examens ciblés des journaux partagés pour détecter les fuites entre locataires.

Consignez les modèles de location, les exceptions, les tests et les résultats dans votre SMSI afin de pouvoir les présenter aux clients et aux auditeurs. conception et preuvesLe modèle que vous utilisez, les contrôles sur lesquels vous vous appuyez et la preuve de leur bon fonctionnement sont essentiels. Des plateformes comme ISMS.online facilitent l'intégration des descriptions architecturales, des correspondances de l'Annexe A et des comptes rendus de tests au sein d'un système de gestion de la sécurité de l'information unique. Vous évitez ainsi de dépendre de schémas dans un outil et de preuves dispersées ailleurs.

Comment un fournisseur de services gérés peut-il démontrer sa conformité aux normes ISO 27001 et RGPD à chaque client sans réaliser un audit distinct pour chaque client ?

Créer dossiers de preuves standardisés À partir de votre système ISMS central, ajoutez une couche légère spécifique au locataire afin de pouvoir répondre systématiquement à la question « Que faites-vous pour nos données ? » sans avoir à programmer un nouvel audit pour chaque client qui pose la question.

Comment passer de réponses ponctuelles à une assurance reproductible au niveau du locataire ?

Assembler un réutilisable ensemble de preuves de base par exemple, depuis votre système de gestion de la sécurité de l'information :

Un ISMS clair énoncé de portée ce document explique quels services, systèmes et sites sont concernés.
Politiques clés telles que la sécurité de l'information, le contrôle d'accès, la gestion des incidents, la gestion des fournisseurs et la continuité des activités.
Une description concise de vos modèles de location, de votre intégration de type Annexe L avec les cadres connexes (par exemple, la gestion de la qualité ou des services) et de la manière dont les contrôles partagés protègent les données personnelles.
Exemples d’incidents traités, d’examens d’accès, de tests de sauvegarde et de restauration, et de conclusions d’audits internes relatifs aux contrôles interlocataires.
Un concentré matrice des rôles et responsabilités Résumé des fonctions du contrôleur/traiteur, des responsabilités en matière d'opérations de sécurité et des attentes en matière de signalement des incidents.

Ensuite, pour chaque locataire ou niveau de risque, ajoutez un bref complément détaillant les services utilisés, l'emplacement des données pertinentes, le niveau de risque, les exigences réglementaires ou contractuelles supplémentaires, ainsi qu'une vue filtrée des incidents, des contrôles d'accès et des tests de continuité qui lui sont applicables. Vous démontrez ainsi comment votre système de gestion de la sécurité de l'information (SGSI) partagé et les contrôles de l'annexe A s'appliquent. spécifiquement à leur environnement sans exposer les données des autres clients.

Alignez votre plan d'audit interne sur ce modèle en vous concentrant sur contrôles interlocataires Il est préférable de procéder à un échantillonnage des locataires de chaque niveau plutôt que de proposer un audit complet et personnalisé à chaque client. Définissez un modèle standard pour les évaluations initiées par les clients sur les plateformes partagées afin de pouvoir prendre en charge les évaluations par des tiers sans compromettre les autres locataires ni fragmenter votre système de gestion de la sécurité de l'information (SGSI).

Lorsque les énoncés de portée, les politiques, les modèles de location, les journaux et les rapports sont centralisés dans un système unique tel que ISMS.online, vous pouvez générer rapidement des preuves exploitables par les locataires à mesure que les services, les emplacements et la réglementation évoluent. Cela vous permet de rassurer vos clients, prospects et auditeurs quant à la conformité, en démontrant qu'il s'agit d'un système de gestion de la sécurité de l'information multi-locataire opérationnel et non d'un ensemble de documents que vous devez rassembler à la hâte à chaque nouvelle demande de contrat important ou de vérification préalable.

Nous sommes un leader dans notre domaine

Responsable régional - Hiver 2026 Royaume-Uni

Responsable régional - Hiver 2026 Marché intermédiaire UE

Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »
— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »
— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »
— Ben H.

ISO 27001 et RGPD pour les MSPS – Gestion des données personnelles des clients entre locataires