Passer au contenu
ISMS.en ligne

Audits de surveillance ISO 27001 pour les MSPS – Comment se préparer en 30 jours

Les audits de surveillance ISO 27001 vérifient si les pratiques de sécurité de votre fournisseur de services gérés (MSP) correspondent réellement à la réalité quotidienne, et pas seulement à ce qui est écrit. Les auditeurs recherchent des contrôles opérationnels et pertinents qui s'adaptent à l'évolution de vos services et de vos clients. En intégrant les résultats de l'audit à vos processus métiers existants, vous pouvez transformer ce contrôle annuel en une opportunité de renforcer la confiance de vos clients et de démontrer une amélioration continue.

Auteur
Marc Sharron
Mise à jour: 1 décembre, 2025
4 / 5 Etoiles

De la certification à la réalité de la surveillance

Un audit de surveillance ISO 27001 est un contrôle régulier qui vérifie l'efficacité de votre système de gestion de la sécurité de l'information (SGSI) en situation réelle. Pour un fournisseur de services gérés (MSP), les 30 prochains jours seront consacrés à démontrer aux auditeurs que vos contrôles fonctionnent toujours comme prévu, sont toujours adaptés à vos services et continuent de prendre en charge vos clients sans perturber leurs activités quotidiennes.

Un audit de surveillance ISO 27001 doit être considéré comme une étape de contrôle régulière dans un cycle de trois ans, et non comme un événement imprévu. Après les audits initiaux de phase 1 et de phase 2, votre certification est généralement valable trois ans, avec des visites de surveillance plus courtes les deux premières années et une recertification complète la troisième année. Les guides d'accréditation pour les audits ISO/IEC 27001, tels que les présentations de la norme ISO/IEC 27006, décrivent ce cycle de trois ans avec une surveillance annuelle comme la norme. Les auditeurs s'attendent à constater un système de management de la sécurité de l'information (SMSI) qui a évolué depuis la certification, et non un système remis à l'état d'ébauche.

La surveillance paraît moins menaçante lorsqu'on la voit venir et qu'on sait ce qu'on va montrer.

Pour un fournisseur de services gérés (MSP), ces visites surviennent alors que les équipes sont déjà surchargées par la réalisation de projets, la gestion des incidents et le respect des SLA ; elles peuvent donc être perçues comme une interruption inopportune. Le problème concret est que les auditeurs arrivent pour tester la gouvernance en plein changement chez le client, et non dans un environnement statique.

Les audits de surveillance ne consistent pas à renouveler votre certificat. Ils visent à vérifier si le système de gestion de la sécurité de l'information (SGSI) ayant permis d'obtenir la certification est toujours en place, aligné sur vos services et efficace. Les auditeurs examinent donc attentivement les changements intervenus depuis la dernière visite : services, clients, sites, outils, fournisseurs et structure organisationnelle. Leur échantillonnage permet de déterminer si votre système est opérationnel, pertinent et en constante amélioration.

Un bon point de départ consiste à schématiser votre cycle de vie ISO 27001 sur une seule page : date d’obtention de la certification, dates des audits de surveillance et date de recertification. Ajoutez les dates clés telles que les renouvellements de contrats, les périodes de forte activité et les migrations majeures de plateforme. Ce calendrier simplifié facilite la planification et permet à la direction d’avoir une vision partagée du calendrier des audits.

Il est également pertinent de poser une question directe : qu’est-ce qui a changé dans l’entreprise depuis la phase 2 ? Les nouvelles offres de sécurité gérée, les migrations vers le cloud, les acquisitions, l’externalisation des services d’assistance et les nouveaux centres de données modifient tous le paysage des risques. Si le périmètre et la documentation du système de gestion de la sécurité de l’information (SGSI) n’ont pas suivi cette évolution, l’audit de surveillance révélera rapidement cette lacune.

Un autre changement de mentalité salutaire consiste à cesser de considérer la norme ISO 27001 comme un projet ponctuel qui s'achève avec l'obtention du certificat. Les audits de surveillance visent à vérifier si la sécurité de l'information fait désormais partie intégrante des activités courantes : les décisions fondées sur les risques, la gestion du changement, le contrôle des fournisseurs et la gestion des incidents doivent se refléter dans le travail quotidien, et non se limiter à un document.

Les équipes commerciales et de gestion de comptes bénéficient également de ce changement de perspective. Des audits de surveillance réguliers et concluants deviennent un atout majeur : une garantie indépendante que la sécurité et la gouvernance sont contrôlées chaque année. C’est un point crucial, car les entreprises clientes et les organismes de réglementation posent des questions plus pointues sur la résilience et les risques liés à la chaîne d’approvisionnement. Les rapports du secteur public et des agences, notamment l’analyse de l’ENISA sur les menaces pesant sur les fournisseurs de services gérés, soulignent l’augmentation, ces dernières années, des préoccupations concernant la résilience des MSP et les risques de compromission de la chaîne d’approvisionnement.

Enfin, contactez rapidement votre organisme de certification. Demandez-lui comment il compte procéder à l'échantillonnage de votre environnement cette année, quels sites ou services il prévoit de visiter et s'il compte donner suite à des non-conformités spécifiques relevées lors de la précédente inspection. Ces informations vous permettront d'orienter l'utilisation des 30 prochains jours et d'éviter de vous interroger sur les points les plus importants.

Les répondants à l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information ont indiqué que les clients s'attendent désormais généralement à ce que les fournisseurs s'alignent sur des cadres formels tels que l'ISO 27001, l'ISO 27701, le RGPD ou le SOC 2 au lieu de se fier à des assurances informelles.

Pourquoi les fournisseurs de services gérés (MSP) ressentent-ils plus fortement les audits de surveillance ?

Les fournisseurs de services gérés (MSP) ressentent plus fortement les audits de surveillance, car les auditeurs testent la sécurité alors que vous êtes constamment confrontés à l'évolution des besoins de vos clients, et non dans un environnement stable. La question fondamentale est de savoir si votre système de gestion de la sécurité de l'information (SGSI) a suivi le rythme de l'évolution des portefeuilles clients, des outils et des services, ou si la gouvernance a été négligée au profit de la mise en œuvre des services.

Pour un fournisseur de services gérés (MSP), le même cycle de certification triennal s'inscrit dans un environnement bien plus dynamique que pour de nombreuses organisations traditionnelles. Les portefeuilles clients, les plateformes cloud, le volume de tickets et les offres de services peuvent avoir considérablement évolué en une seule année. Les audits de surveillance interviennent donc au cœur de cette dynamique, permettant de vérifier si la gouvernance a suivi le rythme ou si elle a été dépassée par la frénésie des changements.

Là où une organisation plus statique pourrait présenter les mêmes systèmes et processus année après année, vous démontrez comment la sécurité et la gestion des services ont évolué sans que vous en perdiez le contrôle. Il est donc particulièrement important de souligner comment le périmètre, l'évaluation des risques et les contrôles ont été mis à jour pour refléter les nouveaux services, plateformes et engagements clients, plutôt que de s'appuyer sur une vision figée issue de la certification.

Transformer la surveillance en un rythme opérationnel

Les audits de surveillance sont bien moins contraignants lorsqu'ils s'intègrent aux processus existants, plutôt que de générer un travail parallèle annuel. L'objectif est d'intégrer la gestion des risques, l'évaluation et l'amélioration aux instances existantes afin que le délai de 30 jours serve à organiser les preuves, et non à créer de nouvelles activités.

La méthode la plus efficace consiste à intégrer la surveillance aux processus existants plutôt que de l'ajouter a posteriori. Si des revues d'activité trimestrielles, des comités d'évaluation des services et une planification stratégique existent déjà, ces instances peuvent accueillir des discussions sur les risques, des décisions stratégiques et des revues de contrôle qui constituent également des éléments probants pour l'audit. Le délai de préparation de 30 jours permet alors d'organiser et de recueillir ces éléments, et non d'improviser des activités à la dernière minute.

Lorsque les clients et les responsables internes constatent que les réunions qui orientent les décisions relatives aux services permettent également d'évaluer les performances en matière de sécurité et de définir des actions d'amélioration, la surveillance devient naturellement une étape de confirmation. Au fil du temps, ce rythme transforme les audits annuels en points de contrôle prévisibles plutôt qu'en événements perturbateurs.

Demander demo


Ce que les audits de surveillance ISO 27001 représentent réellement pour les MSP

Un audit de surveillance ISO 27001 est un examen externe périodique qui vérifie si votre système de management de la sécurité de l'information (SMSI) est toujours conforme à la norme et fonctionne au quotidien. Pour un fournisseur de services gérés (MSP), cela signifie démontrer aux auditeurs que les contrôles décrits dans votre documentation correspondent bien à ce qui se passe réellement dans vos outils, vos tickets et vos équipes, notamment au cours de l'année écoulée.

Les organismes de certification suivent des règles internationalement reconnues qui les obligent à visiter les organisations certifiées à intervalles réguliers, généralement annuels, afin de maintenir la validité des certificats entre les audits complets. Les organismes de certification accrédités expliquent sur leurs pages dédiées à la norme ISO 27001, comme par exemple le guide de NQA, que le maintien des certificats repose sur des visites de surveillance planifiées, généralement annuelles, visant à confirmer la conformité continue. L'auditeur s'attend à observer un système vivant, et non pas seulement les documents examinés lors de la certification. Son rôle est de vérifier que votre système de management de la sécurité de l'information (SMSI) est toujours pertinent, toujours opérationnel et qu'il continue de s'améliorer face aux changements.

Presque toutes les organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information ont déclaré que l'obtention ou le maintien de certifications de sécurité telles que l'ISO 27001 ou le SOC 2 était une priorité.

La structure d'une visite de surveillance est généralement plus légère que celle de l'audit initial de phase 2. Au lieu de tester chaque exigence en profondeur, les auditeurs examinent un échantillon de clauses et de contrôles, analysent les changements survenus depuis la dernière visite et effectuent un suivi des non-conformités précédentes. Ils peuvent se concentrer sur des sites, des services, des processus ou des risques spécifiques, conformément au plan d'audit, qu'ils expliquent généralement au préalable.

Pour les fournisseurs de services gérés (MSP), la dimension « système en production » est primordiale. Une grande partie de votre environnement de contrôle repose sur des outils : plateformes PSA ou de gestion des services informatiques, solutions de surveillance et de gestion à distance, gestion des identités et des accès, systèmes de sauvegarde, solutions de surveillance et de journalisation de la sécurité, systèmes RH et portails fournisseurs. Les auditeurs souhaitent vérifier que vos processus documentés se reflètent bien dans l’utilisation de ces outils.

Cela permet de distinguer deux styles d'activité d'audit :

  • Contrôles axés sur les documents : – Politiques, énoncés de portée, méthodologies de gestion des risques, déclaration d’applicabilité, procédures et documents officiels tels que les procès-verbaux d’audit interne et de revue de direction. Ces éléments confirment que le SMSI est toujours défini et maintenu.
  • Présentations opérationnelles : – Suivre le cycle de vie d'une modification, d'un incident, d'une demande d'accès ou d'une évaluation fournisseur grâce aux tickets, aux approbations, aux journaux et aux rapports. Cela permet de vérifier que les contrôles sont opérationnels et que les personnes respectent la procédure convenue.

Les deux points de vue sont importants. Si les documents semblent irréprochables, mais que les tickets révèlent des modifications non maîtrisées ou une gestion incohérente des incidents, les auditeurs s'interrogeront sur la fiabilité du système de gestion de la sécurité de l'information (SGSI). Si les opérations paraissent rigoureuses, mais que la documentation est obsolète, ils pourraient remettre en question le cadre de gouvernance et votre capacité à reproduire les bonnes pratiques.

Un autre aspect important pour les fournisseurs de services gérés (MSP) réside dans l'articulation entre la protection de la vie privée et les obligations réglementaires. Nombre d'entre eux agissent en tant que sous-traitants de données personnelles, gèrent des volumes de données réglementées ou accompagnent des clients dans des secteurs fortement réglementés. Les auditeurs de surveillance n'appliqueront pas directement les lois sur la protection de la vie privée, mais ils s'attendront à constater comment votre système de gestion de la sécurité de l'information (SGSI) répond à ces obligations : protection des données dès la conception, traitement sécurisé des données clients, conformité aux accords de traitement des données et gestion rigoureuse des fournisseurs.

Les conclusions précédentes orientent également la visite. Les non-conformités et les observations issues des audits antérieurs sont rarement oubliées ; les auditeurs doivent vérifier que les actions correctives ont été mises en œuvre et efficaces. Les organismes de certification tels que BSI soulignent que les visites de surveillance doivent permettre d’assurer le suivi des non-conformités antérieures et de vérifier que les actions correctives ont été correctement mises en œuvre, et non pas simplement consignées puis ignorées.

S'il y avait des faiblesses dans des domaines tels que le contrôle d'accès, la sauvegarde, la réponse aux incidents ou la supervision des fournisseurs, ces problèmes ressurgiront presque certainement.

Domaines d'intervention typiques des audits de surveillance

La plupart des audits de surveillance ISO 27001 pour les fournisseurs de services gérés (MSP) se concentrent sur un nombre restreint de clauses essentielles de gouvernance, les principaux contrôles de l'annexe A, les changements importants survenus depuis l'année précédente et les non-conformités antérieures. La compréhension de cette liste restreinte permet de concentrer ses efforts sur les points clés, réduisant ainsi sensiblement le risque d'audit. Les guides de mise en œuvre destinés aux MSP, tels que les synthèses d'audits de surveillance indépendants, mettent également l'accent sur les clauses essentielles, les principaux contrôles de l'annexe A, les changements récents et les constats antérieurs, plutôt que de procéder à un audit complet à partir de zéro.

En pratique, la plupart des audits de surveillance des fournisseurs de services gérés (MSP) consacrent du temps à :

  • Les exigences des clauses 4 à 10, telles que le périmètre, l'engagement de la direction, la gestion des risques, l'audit interne, la revue de direction et l'amélioration continue.
  • L’annexe A contrôle les éléments suivants : contrôle d’accès, journalisation et surveillance, gestion des incidents, sauvegarde et relations avec les fournisseurs.
  • Des changements importants sont survenus au niveau des services, des lieux, des outils, de la structure ou du personnel clé depuis la dernière visite.
  • Preuve que les non-conformités antérieures ont été traitées et que des problèmes similaires ne se reproduisent pas.

Ensemble, ces axes prioritaires permettent à l'auditeur de déterminer si votre système de management de la sécurité de l'information (SMSI) est toujours pertinent, opérationnel et en constante amélioration, conformément aux exigences de la norme ISO 27001. Si vous êtes responsable du SMSI, considérer cette liste comme votre ensemble de priorités pour les 30 prochains jours vous garantira généralement un retour sur investissement optimal.

Ce que cela signifie pour votre période de 30 jours

Savoir ce que les auditeurs examinent habituellement vous permet d'aborder ces 30 jours comme un sprint ciblé plutôt que comme une course contre la montre. Vous cherchez à prouver que le SMSI est toujours adapté à la réalité, que les processus clés sont exécutés de manière cohérente et que les problèmes antérieurs ont été résolus.

Comprendre les objectifs de l'auditeur oriente votre préparation. Il ne s'agit pas de reconstruire l'intégralité du SMSI en 30 jours, mais plutôt de :

  • Vérifier que le système de gestion de la sécurité de l'information (SGSI) défini correspond toujours à la réalité.
  • Démontrer que les processus et contrôles essentiels ont fonctionné au fil du temps.
  • Démontrer que les faiblesses identifiées ont été gérées de manière professionnelle.
  • Facilitez le passage de l'auditeur des exigences aux preuves.

Si vous gardez ces quatre objectifs visibles dans chaque liste de tâches et réunion, il devient plus facile de dire « pas maintenant » aux tâches à faible impact et d’utiliser au mieux la fenêtre de 30 jours.



ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Le problème de la compression à 30 jours pour les fournisseurs de services gérés

Le principal défi d'une période de surveillance de 30 jours consiste à concilier les travaux d'audit proprement dits et les engagements clients existants. On ne peut pas reconstruire un système de management de la sécurité de l'information (SMSI) en un mois ; il est donc nécessaire d'élaborer un plan réaliste, fondé sur une analyse des risques, qui protège la certification tout en assurant la continuité des services.

Trente jours, ça paraît largement suffisant, jusqu'à ce qu'on prenne en compte les projets clients, les incidents, les congés et autres engagements. Les notifications de surveillance arrivent souvent avec ce délai, obligeant les responsables de la sécurité de l'information à jongler entre la préparation des audits et un emploi du temps déjà surchargé. Sans structure, on retrouve le même scénario : recherche de preuves tard dans la nuit, ingénieurs stressés et dirigeants qui se demandent pourquoi tout dégénère systématiquement en situation d'urgence.

Dans le cadre de l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information, environ deux tiers des organisations ont déclaré que la rapidité et le volume des changements réglementaires rendent la conformité de plus en plus difficile à maintenir.

Une première étape utile consiste à analyser cet exercice de simulation d'incendie comme une source de données. Estimez, même approximativement, le nombre d'heures consacrées à la préparation de l'audit précédent, les rôles impliqués, les projets clients retardés et le volume d'heures supplémentaires effectuées. Cela permet de transformer une frustration diffuse en un « coût de la désorganisation » concret que la direction peut identifier et prendre en charge.

Il est également important d'être honnête quant aux limites d'un délai de 30 jours. Ce court laps de temps ne saurait remplacer le travail initial de mise en œuvre d'un SMSI. Le plan présenté ici part du principe que vous êtes déjà certifié, que des processus de base existent et qu'un certain niveau de suivi et d'évaluation est en place. L'objectif est d'optimiser, de cibler et d'organiser, et non de partir de zéro.

Une manière simple d'expliquer cela aux dirigeants est de comparer les limites et les possibilités de la fenêtre d'opportunité :

  • Trente jours ne peut pas Créer un système de gestion de l'information crédible à partir de rien.
  • Trente jours ne peut pas Corrigez toutes les faiblesses techniques de votre infrastructure.
  • Trente jours Vous pouvez Actualiser le périmètre, les risques, l'état des affaires et les enregistrements clés.
  • Trente jours Vous pouvez Organiser les preuves et combler les lacunes les plus importantes.

Vu sous cet angle, le sprint devient un nettoyage basé sur les risques, et non une reconstruction irréaliste.

Une façon d'appréhender cette contrainte consiste à imaginer un cycle plus souple et idéal. Dans un monde idéal, il y aurait 90 jours de préparation continue : revues de risques régulières, audits internes planifiés, revues de direction au moins une fois par an et collecte continue de données probantes. Le délai de 30 jours servirait simplement à prélever des échantillons et à revérifier les enregistrements les plus récents.

La réalité est souvent différente pour de nombreux fournisseurs de services gérés (MSP). Leurs registres de risques peuvent ne pas avoir été mis à jour depuis plusieurs mois ; les audits internes peuvent avoir été négligés ; les sauvegardes et les revues d’accès sont peut-être effectuées, mais sans être consignées de manière facilement démontrable. Dans ce contexte, le sprint de 30 jours doit être axé sur les risques, en concentrant les efforts là où ils permettront de réduire au maximum le risque de découvertes graves.

Contraintes de temps et de charge de travail

Les contraintes de temps et de charge de travail constituent de véritables facteurs de risque lors d'un audit de surveillance, et non de simples problèmes d'organisation. Si vous ne les identifiez pas rapidement, la surveillance se transforme vite en un projet épuisant de dernière minute.

Commencez par analyser la période de 30 jours en fonction des engagements réels : migrations clients importantes, périodes de renouvellement, congés du personnel, pics d’activité liés au support et projets internes. Cela vous permettra d’identifier les moments où les personnes clés seront réellement disponibles pour les analyses de risques, les audits internes et la collecte de preuves, et de déterminer où il pourrait être nécessaire de reporter certaines tâches ou de solliciter du soutien externe.

En considérant la pression du temps comme un élément de planification plutôt que comme un inconvénient, vous pouvez définir les attentes en amont. La direction sera plus encline à libérer des ressources si elle constate que l'alternative est le recours aux heures supplémentaires, aux retards de projet et à un audit stressant susceptible d'ébranler la confiance des clients. Si vous êtes responsable des opérations, c'est l'occasion de négocier des charges de travail réalistes au lieu de tout absorber en silence.

Se concentrer sur les zones à risque le plus élevé

Étant donné le peu de temps disponible, il est judicieux de se concentrer d'abord sur les domaines les plus susceptibles de générer des non-conformités majeures. Si ces points sont correctement identifiés, le risque de mauvaises surprises diminue fortement, même si les éléments à moindre risque sont traités après l'audit.

Environ 41 % des organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information ont déclaré que la gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs constituent l'un de leurs principaux défis.

Commencez par vous poser la question suivante : si vous n’avez le temps de bien faire que quelques points, qu’est-ce qui réduirait le plus le risque de découvertes majeures ou de questions sérieuses ? Pour la plupart des fournisseurs de services gérés, la réponse se trouve dans quelques domaines :

  • Un énoncé de portée qui reflète les services, les emplacements et les plateformes clés actuels.
  • Une évaluation des risques et un plan de traitement récents couvrant les changements importants.
  • Preuve que des audits internes et des revues de direction ont eu lieu.
  • Des registres clairs pour le contrôle d'accès, la gestion des changements, les incidents, les sauvegardes et les fournisseurs.
  • Mesures correctives documentées pour toute non-conformité antérieure.

Parallèlement, réfléchissez à l'emplacement des preuves. Les tickets peuvent se trouver sur une plateforme PSA ; les journaux d'activité dans plusieurs outils de surveillance ou d'enregistrement ; les dossiers RH dans un système distinct ; les évaluations des fournisseurs dans des tableurs ou des référentiels de contrats. Il n'est pas nécessaire de tout déplacer, mais il est indispensable de pouvoir orienter rapidement les auditeurs d'un contrôle ou d'un processus vers des documents spécifiques.

Enfin, il est essentiel de veiller à ce que la préparation d'un audit n'interrompe pas la prestation de services. Intégrez le plan à 30 jours à votre calendrier réel. Si des migrations clients importantes, des périodes de renouvellement ou des lancements de nouveaux services sont déjà prévus, ajustez le planning ou mobilisez le soutien interne nécessaire afin d'éviter tout conflit entre les obligations de conformité et les engagements opérationnels.

Les équipes dirigeantes apprécient la clarté et n'aiment pas les surprises. Vous obtiendrez un meilleur soutien si vous présentez le plan sur 30 jours comme une initiative mesurée, axée en priorité sur les projets à haut risque, plutôt que comme une demande de délai sans limite de temps.

Présentez le plan sur 30 jours comme suit :

  • Un moyen de protéger le certificat et la confiance du client.
  • Un effort mesuré, ciblé sur les zones à haut risque.
  • Un pas vers un cycle de surveillance plus prévisible et moins pénible l'année prochaine.

Si vous gérez les appels d'offres clients ou les rapports de direction, formuler le plan en ces termes vous aide également à expliquer aux clients et aux parties prenantes pourquoi le travail d'audit est essentiel et comment il soutient leurs intérêts plutôt que de leur faire concurrence.



Semaine 1 : Stabiliser les fondations du SMSI

La première semaine est consacrée à la vérification de la solidité de votre système de management de la sécurité de l'information (SMSI) avant de commencer à recueillir des preuves. Il s'agit de s'assurer que le périmètre, les risques, la déclaration d'applicabilité (DA), les audits internes et les revues de direction sont à jour afin que tous les éléments présentés lors de l'audit soient cohérents.

Si les documents et processus fondamentaux sont obsolètes, la collecte de preuves ultérieure sera compromise. Repartir des bases permet également de repérer rapidement les problèmes importants et d'y remédier. Pour un fournisseur de services gérés (MSP) qui a évolué depuis sa certification, c'est souvent durant cette première semaine que les corrections les plus significatives sont apportées.

Commencez par les fondamentaux : périmètre, risques et architecture de services. Vérifiez que le périmètre décrit bien les services, les sites, les systèmes et les unités organisationnelles réellement opérationnels. Pour un fournisseur de services gérés (MSP), cela doit explicitement couvrir les services gérés, les plateformes clés, les centres de données ou les environnements cloud, ainsi que tout fournisseur tiers ayant un impact significatif sur la sécurité des informations.

Ensuite, examinez la dernière évaluation des risques et le plan de traitement des risques. Assurez-vous qu'ils ont été mis à jour dans un délai raisonnable et qu'ils prennent en compte les changements majeurs survenus dans votre environnement. Les nouveaux services, les clients importants, les modifications apportées à l'hébergement, les nouveaux outils ou le recours à des sous-traitants doivent tous avoir été considérés. Les auditeurs s'attendront à constater que les risques ont été réévalués depuis la certification et non pas laissés de côté.

L’état des contrôles (SoA) mérite une attention particulière. Il récapitule les contrôles de l’annexe A applicables et leur mise en œuvre. Vérifiez sa conformité avec l’ensemble des contrôles en vigueur et la pertinence des justifications des contrôles non applicables. Si vous êtes passé à la révision 2022 de la norme ISO 27001, assurez-vous que l’état des contrôles reflète la structure de contrôle mise à jour et les nouveaux contrôles introduits.

Les audits internes et les revues de direction constituent un autre pilier fondamental. Vérifiez la date du dernier audit interne, les conclusions qui en ont découlé et les mesures prises. Procédez de même pour les revues de direction : recherchez les comptes rendus des discussions relatives à la performance du SMSI, aux changements de contexte, aux niveaux de risque, aux incidents et aux pistes d’amélioration. Si l’une de ces activités a pris du retard, prévoyez comment la finaliser avant l’audit ou, à défaut, démontrez qu’elle est en cours en documentant les actions entreprises et les dates.

Réunir les bonnes parties prenantes

Une brève réunion préparatoire, organisée dès la première semaine, permet de réunir les personnes sur lesquelles vous comptez pour les preuves et les décisions. C'est l'occasion d'harmoniser les attentes, de partager le plan et de s'assurer que personne ne soit pris au dépourvu lors de l'arrivée de l'auditeur.

La première semaine devrait inclure une réunion préparatoire avec les principales parties prenantes : responsable du SMSI, responsable des opérations ou de la prestation de services, RH, finance et service juridique ou protection des données. Profitez de cette réunion pour convenir des points suivants :

  • Ce sur quoi l'auditeur est susceptible de se concentrer.
  • Quels processus serviront d'exemples principaux, tels que l'intégration des clients, les changements à haut risque ou la gestion des incidents ?
  • Qui agira en tant que responsable des processus et expert en la matière pendant l'audit ?
  • Comment les preuves seront recueillies et partagées en interne.

Les faiblesses connues doivent être abordées en toute transparence. Si les revues d'accès accusent du retard, si les évaluations des fournisseurs sont incomplètes ou si certains contrôles ne sont pas pleinement mis en œuvre, dissimuler ces faits est risqué. Il convient plutôt de documenter les mesures transitoires, les décisions d'acceptation des risques et les plans de finalisation réalistes. Les auditeurs sont plus à l'aise avec des écarts transparents et maîtrisés qu'avec des surprises, surtout lorsqu'ils constatent des actions correctives claires.

Liste de vérification de la semaine 1 en bref

Une liste de contrôle concise pour la première semaine facilite le suivi des progrès et la délégation efficace des tâches, notamment lorsque plusieurs personnes contribuent à la préparation de l'audit.

Le tableau suivant récapitule les principales activités de la semaine 1 :

Région Question clé Résultat souhaité
Domaine Cela reflète-t-il les services et les emplacements actuels ? Déclaration de portée mise à jour et précise
Risque et traitement Les changements majeurs se reflètent-ils dans les décisions relatives aux risques ? Registre des risques actuel et plan de traitement
Déclaration d'applicabilité Est-ce compatible avec l'environnement de contrôle ? SoA aligné sur les contrôles et la version actuels
Audit Interne Un audit a-t-il été réalisé ou est-il prévu ? Audit finalisé ou plan et actions documentés
Examen de la gestion Les performances ont-elles été évaluées par la direction ? Procès-verbaux et décisions récents des commissions d'examen
Faiblesses connues Les lacunes sont-elles reconnues et gérées ? Contrôles intérimaires et plans d'action documentés

En consacrant la première semaine à la stabilisation de ces éléments, les semaines 2 et 3 pourront se concentrer sur la démonstration du fonctionnement des commandes plutôt que sur l'étude des principes fondamentaux. Par la suite, vous pourrez vous référer à cette liste de contrôle et éviter ainsi de revenir sur les mêmes points depuis le début.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Semaines 2 et 3 : Démontrer que les annexes A 5 à 8 sont toujours d’actualité dans votre MSP

Les semaines 2 et 3 sont consacrées à démontrer aux auditeurs que les contrôles de l'annexe A auxquels vous vous êtes engagés sont réellement opérationnels au sein de votre organisation, concernant vos équipes, votre environnement physique et vos technologies. Vous passez ainsi de vos déclarations à la démonstration concrète de vos actions, à l'aide d'exemples réels tirés de votre MSP.

Une fois les bases stabilisées, l'attention peut se porter sur les contrôles ayant l'impact le plus direct sur la prestation des services. Dans la révision de 2022, l'annexe A est regroupée en contrôles organisationnels (A.5), humains (A.6), physiques (A.7) et technologiques (A.8). L'édition 2022 de la norme ISO/CEI 27001 réorganise explicitement l'annexe A en ces quatre groupes (A.5 à A.8), comme décrit dans la présentation générale de la révision publiée par l'ISO. Les auditeurs de surveillance ont tendance à privilégier un échantillonnage représentatif de ces groupes plutôt que de les tester exhaustivement un par un ; par conséquent, des exemples pertinents sont essentiels.

Preuves d’échantillonnage dans l’annexe A 5–8

Les auditeurs examinent généralement un nombre restreint de contrôles et d'exemples présentés dans les annexes A 5 à 8, plutôt que d'exiger une documentation exhaustive. Afin d'optimiser votre temps, privilégiez des exemples pertinents illustrant le fonctionnement des contrôles dans des situations concrètes, plutôt que de constituer une masse de documents disparate.

Pour les contrôles organisationnels (A.5), rassemblez des éléments illustrant la gouvernance et la gestion des risques en action. À titre d'exemples utiles, citons les journaux ou registres de risques récents comportant les mises à jour et les décisions, les comptes rendus des forums de gouvernance ou des comités consultatifs sur les changements où des sujets liés à la sécurité de l'information ont été abordés, ainsi que les mises à jour des politiques et procédures liées aux changements de services ou de risques.

Les contrôles relatifs aux personnes (A.6) portent sur la manière dont les individus ayant accès aux informations et aux systèmes sont sélectionnés, formés et gérés. Pour un fournisseur de services gérés (MSP), les ingénieurs disposent souvent d'un accès privilégié à plusieurs environnements clients, ce qui rend ces contrôles particulièrement importants. Les éléments de preuve peuvent inclure les dossiers d'intégration attestant des vérifications d'antécédents et de la prise de connaissance des politiques, les dossiers de départ prouvant la suppression en temps voulu des accès et les journaux de formation portant sur la sensibilisation à la sécurité et le signalement des incidents.

Les contrôles physiques (A.7) restent pertinents même dans un monde fortement dépendant du cloud. Les fournisseurs de services gérés (MSP) exploitent souvent des bureaux, des laboratoires, des salles de communication sur site et des baies partagées. Les auditeurs peuvent s'enquérir des définitions des zones sécurisées, des registres de visiteurs, de l'attribution des cartes d'accès et des registres d'équipements, ainsi que des procédures de mise au rebut ou de réutilisation sécurisée du matériel.

Les contrôles technologiques (A.8) sont généralement les plus chronophages. Ils régissent la gestion des accès, la journalisation et la surveillance, la sauvegarde et la restauration, le renforcement de la sécurité du système, la gestion des vulnérabilités et, plus largement, les opérations techniques. Plutôt que de tenter de tout présenter, préparez des exemples ciblés couvrant la création et la suppression de comptes utilisateurs, les tickets de modification, les rapports de sauvegarde et les tests de restauration, les analyses de vulnérabilité avec les comptes rendus de correction, ainsi que les tickets d'incident illustrant la détection, le confinement et les enseignements tirés.

Utilisation de récits de bout en bout pour lier les contrôles

Des scénarios complets, couvrant plusieurs contrôles, permettent aux auditeurs de comprendre le fonctionnement réel de votre système de gestion de la sécurité de l'information (SGSI). L'idéal est de disposer de quelques scénarios permettant de retracer l'évolution du risque, du contrôle et des éléments probants au sein d'un récit unique et cohérent.

Par exemple, vous pourriez présenter l'intégration d'un nouveau client. Commencez par l'évaluation des risques et la revue du contrat, puis montrez la création du compte, la configuration du réseau, la mise en place des accès et la documentation. Vous aborderez ainsi la gouvernance, les ressources humaines et les contrôles physiques et technologiques, reflétant le fonctionnement réel de votre fournisseur de services gérés.

Un autre exemple pertinent est celui d'un incident critique affectant un client important. Il convient de démontrer comment l'incident a été détecté, comment les communications ont été gérées, comment le service a été rétabli et quelles mesures préventives ont été prises. Ce récit unique peut attester de la journalisation et de la surveillance, de la gestion des incidents, de la sauvegarde et de la restauration, de la communication et des améliorations, autant d'éléments que les auditeurs s'attendent à voir fonctionner de concert.

Chacune de ces histoires peut être mise en correspondance avec les contrôles pertinents de l'annexe A, aux points A.5 à A.8. Cette mise en correspondance offre aux auditeurs un cadre de référence et réduit le besoin de recherches ponctuelles pendant l'audit. Elle vous assure également que vos éléments probants reposent sur des cas concrets et non sur des exemples théoriques conçus uniquement à l'intention de l'auditeur.

Éviter les pièges courants en matière de contrôle dans les MSP

La plupart des constats d'audit de surveillance chez les fournisseurs de services gérés (MSP) proviennent de faiblesses de contrôle bien connues, plutôt que de défaillances techniques complexes. En consacrant un peu de temps à identifier et à renforcer ces points faibles, vous réduisez considérablement le risque de non-conformités gênantes le jour J.

L'enquête 2025 d'ISMS.online sur l'état de la sécurité de l'information a révélé que la plupart des organisations avaient été touchées par au moins un incident de sécurité lié à un tiers ou à un fournisseur au cours de l'année précédente.

Les audits de surveillance des fournisseurs de services gérés mettent fréquemment en évidence des problèmes récurrents :

  • Accès qui n'a pas été révoqué rapidement suite à des changements de rôle ou à des départs.
  • Gestion incohérente des changements entre les environnements clients et les systèmes internes.
  • Des processus de sauvegarde et de restauration bien conçus mais mal documentés.
  • Incidents gérés opérationnellement mais non consignés ni analysés en vue d'améliorations.
  • Un contrôle des fournisseurs qui omet des plateformes cloud ou des fournisseurs de sécurité clés.

Les guides ISO 27001 axés sur les MSP, y compris les articles pratiques sur la mise en œuvre, font régulièrement état des mêmes thèmes parmi les constats courants lors des audits.

Disposant de deux à trois semaines, concentrez-vous sur l'échantillonnage de ces zones, la réduction des lacunes lorsque cela est possible et la documentation de l'acceptation des risques lorsque des corrections immédiates sont irréalistes. Reportez-vous à votre cartographie de l'annexe A afin que les améliorations apportées soient intégrées au SMSI et non considérées comme des mesures ponctuelles qui seront oubliées avant la prochaine visite de surveillance.



Preuves et documentation : du chaos à la clarté dans l’audit

Même un système de gestion de la sécurité de l'information (SGSI) bien conçu paraîtra fragile si vous ne pouvez pas fournir rapidement des preuves sur demande. L'essentiel de votre préparation de 30 jours consiste à transformer des documents épars en un ensemble que votre auditeur pourra consulter en quelques clics, sans que vous ayez à fouiller frénétiquement dans vos disques durs et vos outils.

De nombreux fournisseurs de services gérés (MSP) possèdent une quantité considérable de données, mais peu de structure : politiques d'un côté, registres des risques de l'autre, tickets d'incident répartis dans plusieurs outils, journaux d'activité dans de multiples systèmes et rapports éparpillés sur des lecteurs partagés. Les auditeurs connaissent bien ce schéma et décèlent rapidement si vos preuves sont organisées ou improvisées. L'objectif de cette étape est de rendre ces preuves facilement accessibles. Vous devez pouvoir passer immédiatement d'une clause ou d'un contrôle à un ticket, un journal d'activité ou un enregistrement spécifique qui prouve votre activité.

Une approche simple mais efficace consiste à élaborer une cartographie des preuves. Pour chaque exigence pertinente de la norme ISO 27001 et chaque contrôle de l'annexe A, veuillez noter :

  • Une brève description en langage clair.
  • Le principal responsable ou gestionnaire du processus au sein de votre organisation.
  • Les principaux éléments qui témoignent du fonctionnement, tels que les documents, les tickets, les journaux ou les rapports.
  • Où se trouvent ces artefacts, y compris le système et l'emplacement.

Cette carte peut être intégrée à un tableur, un outil de documentation ou une plateforme SMSI dédiée. L'important est que les auditeurs et les équipes internes puissent partir d'un contrôle et identifier rapidement les éléments justificatifs. Si vous êtes responsable du SMSI, elle vous servira également de référence rapide lors des vérifications préalables à la clientèle et des rapports internes.

Les journaux et les tickets méritent une attention particulière. Ils constituent souvent la source de preuves la plus riche, mais aussi la plus difficile à interpréter si la dénomination et l'étiquetage sont incohérents. Il convient de définir des conventions pour :

  • Types et gravités des incidents.
  • Modifier les catégories telles que standard, normal et urgence.
  • Identifiants clients pour les travaux ayant un impact sur l'environnement client.
  • Étiquetage des billets à caractère sécuritaire.

Avec le temps, ces conventions simplifient considérablement l'extraction d'échantillons pertinents sans avoir à les analyser manuellement. Elles aident également les nouveaux employés à comprendre comment consigner leur travail de manière à satisfaire à la fois les clients et à faciliter les audits.

Il est également utile de mettre en place un registre unique des preuves. Plutôt que de copier les fichiers dans plusieurs dossiers d'audit et de risquer de se retrouver avec des versions obsolètes, il est préférable de stocker les documents une seule fois dans leurs systèmes d'origine et de tenir un registre des liens. Ce registre peut comprendre :

  • Référence de contrôle ou de clause.
  • Description des preuves.
  • Lien ou chemin d'accès à l'enregistrement.
  • Propriétaire.
  • Date de dernière vérification.

Lors d'un audit de surveillance, le registre devient votre point de départ. Pour chaque sujet abordé par l'auditeur, vous pouvez accéder directement aux documents pertinents. Cela réduit non seulement le stress, mais témoigne également de votre professionnalisme : les auditeurs ont davantage confiance lorsqu'ils constatent que vous trouvez rapidement l'information recherchée.

Avant l’audit, il convient de normaliser la création des preuves ad hoc, telles que les captures d’écran ou les exportations. Des pratiques simples, comme l’intégration des dates, des noms de systèmes et des personnes responsables dans les noms de fichiers ou les en-têtes, facilitent grandement la réutilisation ultérieure de ces preuves et permettent de démontrer leur pertinence pour la période examinée.

Un dossier d'information sur la gestion des preuves peut faciliter le processus. Un court diaporama ou document expliquant la structure du SMSI, les systèmes qui contiennent quels types d'enregistrements et l'organisation du registre des preuves permet de gagner du temps le jour J. Il constitue également une ressource d'intégration utile pour les nouveaux employés participant au SMSI.

Enfin, entraînez-vous. Demandez aux responsables des preuves de parcourir quelques exemples à l'aide du registre, en ouvrant les enregistrements en direct. Cela permet de déceler rapidement les liens brisés, les problèmes d'autorisation ou les noms confus. Il est préférable de les découvrir lors d'une répétition interne plutôt que devant l'auditeur.

Créer une cartographie des preuves que votre équipe peut réellement utiliser

Une cartographie des preuves n'est utile que si les membres de votre association parlementaire la comprennent et peuvent l'utiliser sous pression. L'objectif n'est pas de créer un document parfait, mais un guide pratique qui raccourcit les échanges et aide chacun à trouver les informations nécessaires lors d'une visite de surveillance.

Lors de la création de la cartographie, rédigez les descriptions en langage clair et désignez les responsables par rôle plutôt que par individu, dans la mesure du possible. Ainsi, même en cas de changement de membres de l'équipe, la cartographie restera pertinente. Concentrez-vous sur les contrôles que l'auditeur est le plus susceptible d'examiner, puis élargissez progressivement la cartographie lors des périodes plus calmes, au lieu de tenter de tout couvrir d'un coup.

Au fil du temps, considérez la cartographie des preuves comme un outil évolutif. Mettez-la à jour après chaque audit interne et chaque visite de surveillance, surtout si l'auditeur a rencontré des difficultés pour trouver un élément ou a particulièrement apprécié un exemple. Ce processus de rétroaction améliore progressivement votre expérience d'audit et réduit le volume de corrections nécessaires à chaque cycle de 30 jours.

Répéter votre navigation dans les preuves

La répétition transforme un document statique de suivi des preuves en automatismes. Un bref mini-audit interne avant la visite de surveillance permet de déceler rapidement les problèmes et de renforcer la confiance au sein de l'équipe.

Demandez à chaque responsable de preuve de parcourir deux ou trois contrôles à l'aide du registre, en ouvrant les tickets, les journaux ou les enregistrements comme si l'auditeur était présent. Cela permet de déceler rapidement les autorisations manquantes, les noms ambigus ou les liens obsolètes. Vous pouvez ainsi corriger discrètement ces problèmes avant l'audit proprement dit, au lieu de les résoudre à tâtons devant l'organisme de certification.

Cette étape de répétition permet également aux nouveaux employés de comprendre le fonctionnement concret du système de management de la sécurité de l'information (SMSI). S'étant entraînés à trouver rapidement des preuves, ils sont plus détendus et plus confiants le jour de l'audit, ce qui est généralement apprécié des auditeurs.

Choisir des outils qui étayent les preuves, et pas seulement les documents

Les outils utilisés doivent permettre de passer facilement d'une clause ou d'un contrôle à des enregistrements fiables et à jour en un ou deux clics. Qu'il s'agisse de dossiers soigneusement structurés ou d'une plateforme SMSI dédiée, le véritable critère est la rapidité avec laquelle un auditeur peut trouver les informations demandées.

Certaines organisations gèrent les preuves via des lecteurs partagés et des tableurs. D'autres utilisent un espace de travail centralisé pour leur système de gestion de la sécurité de l'information (SGSI) afin de centraliser le périmètre, les risques, la déclaration d'architecture, les audits et les revues de direction, et d'accéder aux tickets et aux journaux dans les outils opérationnels. Si votre environnement correspond à cette description de « fichiers dispersés », explorer comment une plateforme dédiée telle que ISMS.online peut organiser ces preuves pourrait s'avérer l'un des moyens les plus efficaces de réduire le stress lié aux audits futurs.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Conception d'un plan de surveillance réutilisable sur 30 jours

Votre premier sprint de surveillance structuré de 30 jours vous apprend quelles activités sont réellement importantes et lesquelles peuvent attendre. Capitaliser sur cette expérience et la transformer en un guide réutilisable permet d'instaurer un cycle plus serein et reproductible, plutôt que de devoir se démener à nouveau l'année prochaine.

Après avoir passé avec succès un audit de surveillance grâce à une méthode structurée de 30 jours, la tentation est grande de se relâcher et d'oublier les détails. Ce serait pourtant une erreur. Consigner les points forts et les points faibles permet de transformer cette expérience durement acquise en un guide réutilisable qui vous protège l'année suivante et facilite l'intégration des nouveaux membres de l'équipe. Les recommandations des organismes de certification et des auditeurs, notamment des prestataires comme SGS, soulignent qu'une approche documentée et reproductible permet de mieux démontrer la maîtrise de votre système de management de la sécurité de l'information (SMSI) qu'une préparation improvisée et ponctuelle.

Commencez par documenter le calendrier que vous avez réellement suivi. Utilisez un format de compte à rebours : J-30, J-21, J-14, J-7, J-1. Pour chaque étape, indiquez les activités réalisées, les personnes responsables et les dépendances existantes. Incluez les tâches telles que la demande du plan d’audit, la mise à jour du périmètre, la vérification des évaluations des risques, la clôture des actions d’audit interne, la collecte d’échantillons de preuves et la planification des réunions d’information.

Capturer ce qui s'est réellement passé cette fois-ci

La version la plus fidèle de votre plan d'action est celle qui repose sur vos actions réelles, et non sur vos regrets. Le fait de le consigner par écrit peu après l'audit permet de le rendre concret et crédible.

Des fiches récapitulatives des questions d'audit courantes constituent un autre atout précieux. En voici quelques exemples :

  • Comment le périmètre est défini et maintenu dans le temps.
  • Comment les nouveaux clients et services sont intégrés en toute sécurité.
  • Comment les changements affectant l'environnement des clients sont évalués et approuvés.
  • Comment les incidents sont détectés, signalés et examinés.
  • Comment l'accès est géré pour le personnel et les sous-traitants.

Ces notes, assorties de références claires aux documents justificatifs, permettent de garantir des réponses cohérentes et assurées, quel que soit l'interlocuteur. Elles facilitent également la préparation des audits futurs, car il n'est pas nécessaire de réexpliquer les choses à partir de zéro. Si vous gérez le système de management de la sécurité de l'information (SMSI), ces notes deviendront vos supports de référence pour former vos collègues à la conduite des entretiens d'audit.

Une simple liste d'étapes décomptées peut rendre le cycle suivant plus prévisible :

T-30 : Confirmer le périmètre et le plan d’audit

Confirmez les dates, la portée, les lieux et les domaines d'intervention de la surveillance auprès de l'organisme de certification et partagez ces informations avec les parties prenantes.

T‑21 : Mettre à jour les risques et finaliser les principales actions internes

Mettre à jour le registre des risques et faire progresser les actions d'audit interne et de revue de direction qui affectent les domaines à haut risque.

T-14 : Élaborez et testez votre carte des preuves

Remplissez le registre des preuves, vérifiez les liens et effectuez une courte répétition interne sur des échantillons de contrôle.

T-7 : Finaliser les briefings et la logistique

Confirmer qui participera à quelles séances et garantir l'accès à tous les systèmes, lieux et documents dont l'auditeur pourrait avoir besoin.

T‑1 : Échantillons de vérification de cohérence et communications

Vérifiez que les principaux échantillons de preuves sont toujours en bon état et que votre équipe comprend l’ordre de déroulement et les transferts de responsabilité.

Intégrer le plan de jeu dans les activités courantes

Un guide de bonnes pratiques n'est utile que s'il oriente les actions menées entre les audits. L'objectif principal est d'avancer le travail dans le cycle afin que la période de 30 jours serve à peaufiner les choses plutôt qu'à rattraper le retard.

Il est important de bien définir les rôles. Établissez une matrice RACI (responsable, redevable, consulté, informé) pour les activités clés avant, pendant et après l'audit. Les rôles typiques sont les suivants :

  • Parrain exécutif, tel que le directeur général ou le directeur des opérations.
  • Responsable du SMSI ou gestionnaire de la sécurité de l'information.
  • Responsable du service ou des opérations.
  • Représentant(e) des ressources humaines.
  • Responsable des finances ou des achats pour les questions relatives aux fournisseurs.
  • Protection des données ou responsabilité juridique.
  • Experts techniques en la matière.

Pour chaque tâche du plan trimestriel, indiquez qui est responsable de son exécution, qui est responsable des résultats, qui doit être consulté et qui doit être tenu informé. Cela permet de réduire les risques de confusion et d'éviter de surcharger une seule personne.

La communication pendant l'audit doit également être planifiée. Il convient de définir les canaux de communication pour la coordination des réponses, la méthode de priorisation des questions de l'auditeur et les personnes habilitées à prendre des décisions sur place en cas de problème. Il est essentiel de convenir à l'avance de la procédure à suivre en cas de constatations inattendues ou de demandes de pièces justificatives complémentaires, afin de garantir la continuité des opérations.

Après l'audit, tirez-en des enseignements tant qu'ils sont encore frais dans votre mémoire. Demandez-vous quels éléments probants ont impressionné l'auditeur, sur quels points il a approfondi ses investigations, quels contrôles ont semblé fragiles et où l'équipe a eu des difficultés à retrouver rapidement les documents. Utilisez les réponses pour affiner la cartographie des éléments probants, mettre à jour les procédures et ajuster le plan à 30 jours.

Enfin, intégrez la préparation aux audits aux objectifs de performance des responsables concernés. Si des objectifs sont fixés pour la finalisation des actions correctives, la mise à jour des preuves et le maintien de l'engagement dans les activités du SMSI, le guide sera appliqué plus systématiquement. Les audits de surveillance deviendront alors une responsabilité partagée, et non plus une charge pesant sur un seul responsable de la conformité. Si vous choisissez ultérieurement de gérer ce guide sur une plateforme SMSI centralisée, vous pourrez associer ces responsabilités à des tâches et des rappels visibles, plutôt que de vous fier à la mémoire.



Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous aide à transformer vos audits de surveillance ISO 27001 en sprints prévisibles de 30 jours en centralisant le périmètre, les risques, les contrôles et les preuves dans un espace structuré. Lorsque les risques, les contrôles et les enregistrements sont organisés dans un espace de travail ISMS unique plutôt que dispersés dans différents outils et dossiers, il devient beaucoup plus facile de visualiser les éléments couverts, les lacunes et les enregistrements qui démontrent le mieux le fonctionnement des contrôles. Vous pouvez ainsi passer rapidement de la question d'audit à une preuve fiable, tant pour les auditeurs que pour le contrôle de conformité du client.

ISMS.online est conçu pour servir de couche d'organisation. Il offre un espace structuré pour votre périmètre, vos évaluations des risques, votre référentiel d'architecture, vos politiques, vos audits internes, vos revues de direction et vos actions d'amélioration, tout en se connectant naturellement aux tickets, journaux et enregistrements générés par vos outils de gestion de la sécurité existants. Cette combinaison simplifie la mise en correspondance des contrôles de l'Annexe A avec les processus opérationnels et la mise à jour des preuves entre les audits.

Préparer votre prochain audit de surveillance dans un environnement dédié comme celui-ci facilite également les répétitions. Vous pouvez ainsi passer en revue le plan sur 30 jours avec les parties prenantes, suivre des exemples de scénarios, de la gestion des risques aux contrôles, jusqu'à l'enregistrement, et vérifier que les autorisations et les liens fonctionnent correctement de bout en bout avant l'arrivée de l'auditeur. Au fil du temps, ce même espace de travail répond à d'autres besoins d'assurance, tels que la vérification de la clientèle, les normes supplémentaires et les exigences réglementaires.

Comment ISMS.online réduit le stress des audits de surveillance

Au sein de votre fournisseur de services gérés (MSP), les différents rôles subissent la pression de la surveillance de manière différente, et un système de gestion de la sécurité de l'information (SGSI) partagé apporte à chacun une aide concrète et pratique. Lorsque tous ont une vision commune des risques, des contrôles et des preuves, l'audit devient un effort coordonné plutôt qu'une course contre la montre de dernière minute.

Si vous êtes responsable du SMSI, ISMS.online vous évite de rechercher des preuves en pleine nuit en centralisant la gestion de votre plan à 30 jours, des actions correctives et de l'historique des audits. Si vous êtes responsable des opérations, cette solution réduit les perturbations en alignant la préparation des audits sur les processus existants et en simplifiant la planification des interventions en fonction des pics d'activité. Si vous gérez les appels d'offres clients, le succès répété des surveillances, étayé par des preuves tangibles, renforce vos arguments lors des soumissions et des renouvellements.

Que pouvez-vous attendre d'une démonstration d'ISMS.online ?

Une brève démonstration suffit généralement pour comprendre comment votre documentation et vos outils actuels s'intègrent à un système de gestion de l'information (SGSI) structuré et où vous pourriez en tirer un avantage immédiat. L'objectif n'est pas de vous submerger de fonctionnalités, mais de vous montrer comment une approche plus organisée peut faciliter la mise en œuvre du plan d'action sur 30 jours décrit ici.

Au cours d'une session, vous pourrez explorer comment le périmètre, les risques, la norme d'architecture, les audits et les revues de direction s'articulent, comment les registres de preuves sont liés aux tickets et aux journaux de vos plateformes existantes et comment les tâches et les rappels permettent à chacun de rester aligné avant les dates de surveillance. Vous pourrez également discuter de ce à quoi ressemblerait un flux de travail de préparation à la surveillance sur 30 jours pour votre organisation et comment passer d'une conformité par projet à une assurance continue et fondée sur les preuves, grâce à ISMS.online.

Pour réduire le stress lié aux audits, préserver votre certification et renforcer la confiance de vos clients dans la gestion de leurs informations, une brève démonstration constitue une solution pratique. C'est un moyen simple de vérifier si un espace de travail ISMS centralisé peut transformer les audits de surveillance, actuellement perçus comme des exercices annuels de simulation d'incendie, en points de contrôle prévisibles et bien gérés pour votre MSP, avec ISMS.online comme partenaire centralisant toutes les informations.

Demander demo


Foire aux questions

En quoi un audit de surveillance ISO 27001 diffère-t-il d'une certification complète pour un MSP ?

Un audit de surveillance ISO 27001 est un contrôle ciblé de votre système de gestion de la sécurité de l'information (SGSI) en production, et non une répétition de votre projet initial de construction et de certification.

Pour un fournisseur de services gérés, les certifications de niveau 1 et 2 consistent à concevoir et à valider son système de gestion de la sécurité de l'information (SGSI) de A à Z : définir le périmètre, élaborer les politiques, identifier les risques, mettre en place les contrôles de l'annexe A et démontrer leur efficacité dans l'ensemble de l'environnement. L'auditeur consacre beaucoup de temps à vérifier que les fondements existent et sont suffisamment complets.

Un audit de surveillance part du principe que ces fondements sont en place. La question passe de « Avez-vous mis en place un SMSI ? » à « Votre SMSI est-il toujours précis, opérationnel et en constante amélioration ? ». Pour un fournisseur de services gérés (MSP), cela signifie généralement que l'auditeur devra :

  • Vérifiez que votre périmètre reflète toujours les services, les emplacements, les plateformes et les principaux fournisseurs actuels.
  • Confirmer que l'évaluation des risques, l'audit interne et la revue de direction sont mis en œuvre et génèrent des actions.
  • Suivi des non-conformités et observations de l'année dernière
  • Exemples de contrôles à fort impact (souvent liés à l'accès, la sauvegarde, la surveillance, le contrôle des fournisseurs et la gestion des incidents) utilisant récent preuve

De ce fait, la préparation consiste moins à réécrire des documents qu'à compiler les activités réelles des 6 à 12 derniers mois. Il s'agit de se concentrer sur le périmètre et les risques actualisés, les derniers audits internes et revues de direction, ainsi que sur quelques exemples concrets illustrant la gestion actuelle de la sécurité pour vos clients. Si cela implique actuellement de parcourir de multiples outils et lecteurs partagés chaque année, l'adoption d'une plateforme SMSI structurée comme ISMS.online vous permet de centraliser ces éléments fondamentaux et vos enregistrements quotidiens, faisant ainsi de la surveillance un simple contrôle de routine, et non une seconde certification complète.

En quoi cette différence change-t-elle votre façon de vous préparer ?

Le principal changement s'opère du passage du « mode projet » au « mode cycle de vie ».

Au lieu de considérer l'audit comme un événement pour lequel vous devez réviser à la dernière minute, concentrez-vous sur :

  • Qu'est-ce qui a changé depuis la dernière visite (services, clients, fournisseurs, incidents) ?
  • Vérifiez si vos processus clés (risque, audit interne, revue de direction, actions correctives) sont exécutés conformément au calendrier.
  • Vérifiez si vos contrôles de l'annexe A sont visibles dans les tickets, les journaux et les décisions réels.

Cet état d'esprit réduit généralement le stress au sein de votre équipe et fait des audits de surveillance une confirmation que votre système fonctionne correctement, plutôt qu'une répétition des aspects les plus difficiles de la certification initiale.

À quelle fréquence votre fournisseur de services gérés (MSP) sera-t-il soumis à des audits de surveillance ISO 27001 au cours du cycle de trois ans ?

La plupart des MSP certifiés ISO 27001 feront l'objet d'un audit de surveillance annuel pendant deux ans, suivi d'une recertification plus approfondie la troisième année.

Lors de votre première certification, votre certificat ISO 27001 est généralement délivré pour une période de validité de trois ans. Pour maintenir sa validité, vous convenez d'un plan de surveillance avec l'organisme de certification que vous avez choisi. Voici un exemple courant :

  • Année 1: L'audit de surveillance s'est concentré sur les changements, les processus clés et un échantillon de contrôles à risque élevé.
  • Année 2: Deuxième audit de surveillance d'une ampleur similaire, avec une attention plus soutenue portée aux thèmes ou problèmes récurrents.
  • Année 3: Un audit de recertification qui s'apparente davantage à un audit approfondi de niveau 2 initial, avant le début du prochain cycle triennal.

Pour un fournisseur de services gérés (MSP) dont les clients, les plateformes et les fournisseurs évoluent constamment, le risque concret n'est pas de savoir si l'auditeur se présentera, mais plutôt si l'on se souviendra de la date d'audit uniquement à la réception du courriel de confirmation. La solution la plus simple consiste à traiter les dates d'audit au même titre que les mises à jour majeures et les renouvellements de contrats : les intégrer au même calendrier, en définissant des étapes clés internes claires.

Une fois que vous connaissez le mois approximatif de chaque visite, vous pouvez planifier à rebours. Par exemple, vous pourriez effectuer un audit interne trois à quatre mois avant, une revue de direction deux mois avant et des contrôles ciblés 30 à 14 jours avant, afin que vos preuves soient à jour. Si vous ne connaissez pas votre calendrier actuel, votre organisme de certification peut généralement vous fournir les dates et les périodes prévues dans un seul courriel. De nombreux fournisseurs de services gérés (MSP) intègrent ensuite ce plan dans un espace de travail centralisé pour la gestion de la sécurité de l'information (GSSI), tel que ISMS.online, où les calendriers, les tâches et les preuves sont regroupés. Cela permet de limiter les surprises et d'éviter les préparatifs de dernière minute à l'ouverture de la période de surveillance.

Quelles sont les actions les plus importantes pour un fournisseur de services gérés (MSP) au cours des 7 premiers jours suivant la fixation d'une date d'audit de surveillance ?

Durant la première semaine, votre action la plus précieuse consiste à vérifier que la « structure » de votre système de gestion de la sécurité de l'information (SGSI) correspond toujours au fonctionnement actuel de votre fournisseur de services gérés (MSP), avant de vous perdre dans les tickets et les journaux individuels.

Ce squelette couvre généralement :

  • Portée et limites : du SMSI (services, sites, systèmes, fournisseurs, types de clients)
  • Évaluation des risques et plan de traitement actuels : , y compris tout changement majeur survenu au cours de la dernière année
  • Déclaration d'applicabilité : qui correspond à la configuration des commandes et à l'édition standard que vous utilisez réellement
  • Activités récentes d'audit interne : , résultats et actions de suivi
  • Dernière revue de direction : , décisions et propriétaires désignés

Pour commencer, une approche pratique consiste à lire votre périmètre et votre registre des risques comme si vous étiez un ingénieur ou un gestionnaire de compte nouvellement embauché. Reconnaîtraient-ils les services, les plateformes et les comportements clients qui y sont décrits, ou auraient-ils l'impression d'être loin de la réalité ? Tout changement majeur – comme le déploiement d'une nouvelle plateforme cloud, l'acquisition d'un client important, le déménagement d'un centre de données ou une externalisation accrue – doit être pris en compte dans votre évaluation des risques et vos décisions de traitement.

Ensuite, vérifiez que votre déclaration d'applicabilité est conforme à la version de la norme ISO 27001 à laquelle votre certificat fait référence et qu'elle reflète bien votre gestion du contrôle d'accès, des sauvegardes, de la journalisation, du contrôle des fournisseurs et de la réponse aux incidents. Enfin, examinez le calendrier et les résultats de votre dernier audit interne et de votre revue de direction, en portant une attention particulière aux actions en cours et à leurs responsables.

Enfin, réunissez les personnes concernées pour un bref échange téléphonique : responsables du SMSI, opérations, assistance technique, RH et un représentant des finances ou du service juridique. Profitez de cette discussion pour identifier vos points forts, vos lacunes connues et les points que l’auditeur est susceptible d’approfondir. Si le contenu, les risques, les actions et les comptes rendus de réunion de votre SMSI sont centralisés sur une plateforme unique et organisée comme ISMS.online, la revue de la première semaine se transforme en une analyse structurée plutôt qu’en une recherche fastidieuse dans des disques partagés et des boîtes de réception individuelles.

Comment un député peut-il présenter des preuves solides à partir des annexes A 5 à 8 sans surcharger son équipe de travail supplémentaire ?

Vous pouvez présenter l’annexe A 5-8 de manière convaincante en construisant quelques histoires claires et complètes à partir du travail réel que votre MSP effectue déjà, au lieu d’inventer des documents spéciaux « pour l’audit ».

Ces quatre sections couvrent :

  • A.5 Contrôles organisationnels : – Comment vous gérez la sécurité (politiques, décisions relatives aux risques, supervision des fournisseurs, instances de gestion du changement)
  • A.6 Contrôles des personnes : – comment vous sélectionnez, intégrez, formez et congédiez votre personnel et vos sous-traitants
  • A.7 Commandes physiques : – Comment protéger vos bureaux, vos centres de données et vos équipements traitant les données clients
  • A.8 Contrôles technologiques : – comment vous gérez les accès, les modifications, les sauvegardes, la surveillance, les vulnérabilités et les incidents

Une tactique pratique consiste à sélectionner deux ou trois événements réels survenus au cours des 6 à 12 derniers mois et qui ont eu une incidence sur les clients, tels que :

  • Intégration d'un nouveau client géré avec des charges de travail sensibles
  • Migration vers une plateforme cloud ou un centre de données, ou extension de ceux-ci.
  • Réagir à un incident de sécurité ou à une panne de service majeure

Pour chaque événement, rassemblez les tickets, les approbations, les journaux, les rapports et les comptes rendus de réunion qui retracent son déroulement de bout en bout. L'intégration d'un client, par exemple, pourrait naturellement inclure :

  • Évaluation des risques et décisions de traitement (A.5)
  • Documents de formation ou de briefing pour l'équipe en charge de ce client (A.6)
  • Contrôles d'accès au site pour tous les emplacements stockant leurs données (A.7)
  • Provisionnement des accès, vérification des sauvegardes, surveillance et enregistrements des modifications (A.8)

Les auditeurs apprécient généralement cette approche car elle illustre le fonctionnement conjoint des contrôles dans un scénario réaliste, plutôt que de les présenter comme des exemples isolés. Pour la pérenniser, il est conseillé de conserver une table de correspondance simple entre les contrôles et les preuves, répertoriant pour chaque contrôle les sources de preuves habituelles (PSA, RMM, SIEM, RH, documentation) ainsi qu'un exemple d'enregistrement. Grâce à une plateforme de gestion de la sécurité de l'information (SGSI) comme ISMS.online, vous pouvez associer ces tables de correspondance et quelques exemples pertinents directement à chaque contrôle. Ainsi, lors des audits de surveillance, vous pouvez réutiliser des cas concrets au lieu de devoir recommencer la recherche de preuves à zéro.

Quels documents et enregistrements un MSP doit-il préparer pour la surveillance ISO 27001, et comment peuvent-ils être organisés pour que les audits se déroulent sereinement ?

Vous avez besoin d'un petit ensemble bien structuré de documents officiels et de registres opérationnels relatifs au SMSI, qui permette à un auditeur de suivre facilement la trace de la politique à la pratique.

Sur le plan formel, la plupart des MSP auront :

  • Un courant Portée du SMSI et les limites
  • An politique de sécurité de l'information et un ensemble concis de politiques de soutien (accès, utilisation acceptable, gestion des incidents, etc.)
  • Un défini méthode d'évaluation des risques, un registre des risques en temps réel et un plan de traitement à jour
  • A Déclaration d'applicabilité qui est conforme à la norme ISO 27001 et à vos contrôles mis en œuvre
  • Audit interne : plans, rapports et actions de suivi
  • Revue de direction : procès-verbaux et décisions
  • A Journal des actions correctives et des améliorations affichage des problèmes, des propriétaires et de l'état

Sur le plan opérationnel, on présente généralement des échantillons plutôt que tout ce que l'on possède :

  • Gestion des tickets de service pour les incidents, les changements, les demandes d'accès et les problèmes
  • Journaux et rapports système pour l'authentification, la surveillance, la sauvegarde et l'analyse des vulnérabilités
  • Dossiers RH des nouveaux employés, des personnes qui déménagent et de celles qui quittent l'entreprise, ainsi que la formation de sensibilisation à la sécurité
  • Évaluations des fournisseurs, vérifications d'intégration et examens de contrats pour les fournisseurs critiques et les fournisseurs de services cloud

Pour que le processus se déroule sereinement, rassemblez ces éléments dans un registre de preuves afin que toute personne impliquée puisse rapidement répondre à la question : « Où devons-nous présenter cela ? ». Une structure simple suffit souvent.

  • Référence de contrôle de la clause ou de l'annexe A
  • Sujet en langage clair, comme « départ de l’administrateur » ou « vérification de la sauvegarde du client »
  • Système ou référentiel (PSA, RMM, SIEM, RH, ISMS, chemin d'accès aux fichiers)
  • Exemples d'identifiants d'enregistrement ou de noms de rapports
  • Rôle ou équipe responsable

Si vous gérez ce registre dans un espace de travail centralisé pour votre système de gestion de la sécurité de l'information (SGSI), tel que ISMS.online, chaque clause et contrôle peut être lié directement à ses documents et exemples d'enregistrements. Ainsi, lorsque votre auditeur souhaite examiner un point précis, vous pouvez y accéder directement, sans interrompre la session pendant qu'un auditeur effectue des recherches dans les dossiers et les e-mails. Plus cette expérience est fluide et prévisible pour votre équipe, plus il est facile d'intégrer la surveillance à la gestion courante d'un service de sécurité géré.

Comment un fournisseur de services gérés (MSP) doit-il gérer les non-conformités antérieures et les lacunes connues lorsqu'il ne reste que 30 jours avant un audit de surveillance ?

À un mois de l'échéance, votre meilleure stratégie consiste à faire preuve d'une maîtrise rigoureuse des problèmes connus, plutôt que de prétendre que vous n'en avez aucun.

Commencez par constituer une vue consolidée de :

  • Non-conformités et observations issues du dernier audit externe
  • Résultats d'audits internes ou de tests d'intrusion récents
  • Risques et problèmes importants mis en évidence dans vos revues de gestion

Pour chaque article, cochez trois points :

  • Statut: Est-ce terminé, en cours ou pas encore commencé ?
  • Preuve: Si vous affirmez que le problème est résolu, pouvez-vous indiquer la modification qui l'a résolu ?
  • Propriété et calendrier : Existe-t-il un propriétaire désigné, une date d'échéance réaliste et une visibilité au niveau de direction approprié ?

Lorsque des actions sont encore en cours, décrivez clairement ce qui a été réalisé, ce qui reste à faire et les mesures temporaires mises en place pour réduire les risques pendant la finalisation des travaux. Il est utile de signaler les points en suspens qui présentent le risque le plus élevé pour les clients ou pour votre entreprise et de montrer comment la direction a été informée et impliquée dans leur priorisation.

La plupart des auditeurs savent que les environnements de services gérés évoluent rapidement et que les problèmes sont inévitables. Ce qui les inquiète, c'est la récurrence d'un même problème année après année, le non-respect des échéances sans explication ou encore des contradictions dans les différents journaux d'activité. Si votre registre des actions correctives, votre registre des risques et les comptes rendus des revues de direction concordent, ils perçoivent une démarche d'amélioration continue et non une réaction ponctuelle.

L'utilisation d'une plateforme comme ISMS.online pour centraliser vos actions correctives, vos risques et les résultats de vos revues de direction simplifie les choses. Vous pouvez ainsi montrer à l'auditeur comment les points sont identifiés, priorisés, attribués, suivis et clôturés, et démontrer que la direction a bien compris et discute des principaux écarts. Les 30 derniers jours avant l'audit deviennent alors une période de consolidation et de communication sur la gestion des risques, au lieu d'une tentative frénétique de tout corriger en quelques semaines.

Marc Sharron

Mark Sharron dirige la stratégie de recherche et d'IA générative chez ISMS.online. Il se concentre sur la communication sur le fonctionnement pratique des normes ISO 27001, ISO 42001 et SOC 2, en reliant les risques aux contrôles, aux politiques et aux preuves grâce à une traçabilité adaptée aux audits. Mark collabore avec les équipes produit et client pour intégrer cette logique aux flux de travail et au contenu web, aidant ainsi les organisations à comprendre et à prouver en toute confiance la sécurité, la confidentialité et la gouvernance de l'IA.

Twitter

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.