Questions fréquentes sur la norme ISO 27001 MSP : Explication des éléments de preuve, du champ d’application et des contrôles de l’annexe A

Pourquoi les questions relatives à la norme ISO 27001 sont-elles plus importantes que jamais pour les fournisseurs de services gérés (MSP) ?

Les questions relatives à la norme ISO 27001 posées aux fournisseurs de services gérés (MSP) sont aujourd'hui plus importantes que jamais, car leurs contrôles influencent directement les risques et l'exposition réglementaire de votre organisation. Les équipes de sécurité des entreprises, telles que les RSSI, les responsables de la sécurité, les responsables des risques fournisseurs et les responsables des risques liés aux tiers, dépendent désormais des MSP pour leurs opérations critiques. Par conséquent, une mise en conformité insuffisante avec la norme ISO 27001 chez un fournisseur devient rapidement problématique. Poser des questions plus précises sur la norme ISO 27001 vous permet d'observer le fonctionnement réel des contrôles au quotidien et de démontrer aux conseils d'administration, aux comités d'audit et aux autorités de réglementation que l'externalisation renforce, et non affaiblit, votre posture de sécurité.

Lors de votre première adoption de la norme ISO 27001 en interne, vous vous êtes probablement concentré sur vos propres centres de données, applications et équipes. Aujourd'hui, une part importante de ce parc informatique peut se trouver dans l'environnement d'un fournisseur de services gérés (MSP) ou sur des plateformes cloud qu'il gère. Cela peut inclure un centre d'opérations de sécurité (SOC) géré analysant tous vos journaux, ou une plateforme d'identité gérée sous-tendant l'authentification unique (SSO) pour chaque employé. La norme vous rend toujours responsable des risques liés à la sécurité de l'information, même lorsque d'autres organisations mettent en œuvre des contrôles clés pour votre compte. L'ISO 27001 le précise en exigeant que vous définissiez votre contexte organisationnel, évaluiez les risques liés à la sécurité de l'information et contrôliez les processus externalisés, plutôt que de transférer l'intégralité de la responsabilité aux fournisseurs, comme le soulignent les présentations générales de la famille ISO 27000, telles que l'introduction à la série ISO 27000. C'est pourquoi la question « Êtes-vous certifié ISO 27001 ? » est devenue un point de départ insuffisant, loin d'être une réponse suffisante.

Le rapport 2025 sur l'état de la sécurité de l'information note que les clients attendent de plus en plus des fournisseurs qu'ils s'alignent sur des cadres formels tels que l'ISO 27001, l'ISO 27701, le RGPD, Cyber Essentials et SOC 2 plutôt que de se fier à des bonnes pratiques génériques.

La confiance se renforce lorsqu'on observe le fonctionnement des contrôles au quotidien, et pas seulement au moment de la certification.

Il est essentiel de comprendre si le système de gestion de la sécurité de l'information (SGSI) d'un fournisseur de services gérés (MSP) couvre réellement les services que vous prévoyez d'utiliser, comment il conçoit la responsabilité partagée et comment il atteste du fonctionnement continu des contrôles. Chacun de ces points doit figurer dans les questions que vous posez à chaque fournisseur et dans l'argumentaire que vous présenterez ensuite en interne pour justifier le choix d'un MSP particulier. Cet article fournit des informations générales pour étayer ces discussions ; il ne constitue pas un avis juridique ou réglementaire et vous devez toujours consulter vos instances de gouvernance interne et des conseillers qualifiés avant de prendre vos décisions finales.

Comment l'externalisation a transformé votre environnement de risques ISO 27001

Votre environnement de risques a changé dès l'instant où vous avez confié la gestion de certaines parties de votre infrastructure technologique à un prestataire externe. Vous n'avez pas externalisé la responsabilité, mais seulement des activités. Par conséquent, la norme ISO 27001 exige toujours que vous gardiez la maîtrise de la gestion de la sécurité.

La majorité des organisations ont déclaré avoir été touchées par au moins un incident de sécurité lié à un tiers ou à un fournisseur au cours de l'année écoulée.

La norme ISO 27001 exige que vous :

Comprendre les enjeux internes et externes qui affectent votre SMSI.
Définir les parties intéressées, y compris les fournisseurs de services gérés, et leurs exigences.
Contrôlez les processus externalisés qui affectent la sécurité de l'information.

Lorsque des services essentiels tels que la gestion des identités, l'infrastructure, la surveillance ou la réponse aux incidents sont confiés à des fournisseurs de services gérés (MSP), ces processus externalisés deviennent un élément central de votre plan de gestion des risques. Si vous ne pouvez pas décrire comment les contrôles d'un MSP soutiennent vos propres contrôles (conformément à l'annexe A), vous risquez de créer une lacune importante susceptible d'inquiéter votre conseil d'administration, vos auditeurs, vos principaux clients et les autorités de réglementation. Les recommandations relatives à la chaîne d'approvisionnement des agences nationales de cybersécurité, notamment les ressources de la CISA, soulignent également que les contrôles non gérés des tiers constituent un risque majeur en matière de gouvernance. Une prochaine étape pratique consiste à s'assurer que chaque MSP stratégique figure explicitement dans votre registre des risques, avec des liens vers les contrôles dont vous vous appuyez sur lui.

Du point de vue du conseil d'administration, les questions portent désormais moins sur votre certification que sur la cohérence et la bonne gouvernance de votre écosystème étendu. C'est pourquoi votre diligence raisonnable en matière de prestataire de services gérés (MSP) doit s'inscrire dans la continuité de votre démarche interne de conformité à la norme ISO 27001, et non se limiter à une simple liste de contrôle d'achat ou à un questionnaire de sécurité ponctuel. Si vous pouvez démontrer que les contrôles mis en œuvre par le MSP sont intégrés à votre registre des risques, à votre déclaration d'applicabilité (SoA) et à vos revues de direction, il vous sera beaucoup plus facile de justifier vos décisions d'externalisation en cas de contrôle.

Pourquoi êtes-vous certifié ? La question « Pourquoi êtes-vous certifié ? » ne suffit pas.

Un certificat atteste qu'à des moments précis, un organisme de certification a jugé un système de management de la sécurité de l'information (SMSI) conforme dans un périmètre défini. Il ne précise pas quels services sont concernés, comment les contrôles de l'annexe A sont mis en œuvre, ni si ces contrôles restent efficaces.

Le document ne précise pas non plus la répartition des responsabilités entre fournisseur et client, un point pourtant souvent source d'incidents et de constats d'audit. Se limiter à la question « Êtes-vous certifié ? » ne vous apprend quasiment rien sur l'adéquation des contrôles du fournisseur de services gérés à votre profil de risque. Les équipes de sécurité des entreprises les plus performantes considèrent désormais la certification comme un sésame, et non comme une solution miracle.

Le vrai travail commence par des questions telles que :

Comment le périmètre de votre SMSI correspond-il aux services et aux régions que nous utiliserons réellement ?
Montrez-nous comment vos contrôles pour ce service correspondent à l'annexe A de la norme ISO 27001:2022.
Quelles preuves concrètes pouvez-vous fournir concernant l'efficacité continue de ces contrôles ?

Une plateforme de gestion de la sécurité de l'information (GSSI) partagée, telle que ISMS.online, vous permet de centraliser ces questions et réponses, transformant ainsi des échanges d'e-mails et des PDF épars en un ensemble d'informations structurées et reproductibles, facilement réutilisables par votre conseil d'administration, votre comité d'audit, votre forum sur les risques fournisseurs et les autorités de réglementation. Quel que soit l'outil choisi, la centralisation des réponses facilite grandement le maintien d'une version cohérente des informations fournies par les tiers dans le temps.

Demander demo

Qu’exige réellement la norme ISO 27001:2022 des fournisseurs de services gérés ?

La norme ISO 27001:2022 exige des fournisseurs de services gérés qu'ils mettent en œuvre un système de management de la sécurité de l'information (SMSI) fondé sur les risques, couvrant clairement les services, les sites et les processus ayant un impact sur vos informations, et qu'ils justifient leurs choix de mesures de contrôle (Annexe A). Pour vous, en tant que client, cela se traduit par des questions portant sur le périmètre, l'évaluation des risques, le choix des mesures de contrôle et leur pertinence pour les services spécifiques que le fournisseur de services gérés vous fournit.

De nombreux fournisseurs continuent de présenter la norme ISO 27001 comme une simple bibliothèque de contrôles. En réalité, cette norme définit un système de management complet qui doit appréhender le contexte organisationnel, évaluer les risques, planifier les mesures de contrôle, mettre en œuvre les contrôles, surveiller les performances et s'améliorer en continu. La révision de 2022 a précisé cette vision, modernisé l'annexe A et mis en lumière des sujets tels que le renseignement sur les menaces, la prévention des fuites de données et les risques spécifiques au cloud, désormais fréquemment abordés lors des audits préalables des entreprises. Les descriptions officielles de la norme ISO/IEC 27001:2022, notamment la présentation générale disponible sur le site web de l'ISO, insistent sur ces mises à jour structurelles et sur l'accent mis sur les menaces modernes et les scénarios liés au cloud.

Visuel : une carte simple qui relie les clauses de la norme ISO 27001 aux services MSP qui affectent vos données.

Les éléments de la norme ISO 27001:2022 qui concernent le plus les fournisseurs de services gérés (MSP).

Lorsque vous travaillez avec des fournisseurs de services gérés (MSP), plusieurs parties de la norme ISO 27001:2022 sont particulièrement pertinentes et doivent transparaître dans la manière dont ils répondent à vos questions.

Articles 4 à 6 (contexte, leadership, planification) : Le fournisseur de services gérés (MSP) doit définir un périmètre de système de gestion de la sécurité de l'information (SGSI) qui englobe clairement les services, les centres de données et les systèmes de support utilisés pour fournir les services gérés. Il doit également démontrer que la sécurité de l'information relève de la responsabilité de la direction, et non seulement du personnel d'exploitation.

Articles 6 à 8 (évaluation et traitement des risques) : Un fournisseur de services gérés certifié doit expliquer comment les risques liés aux données client, à la disponibilité du service et aux obligations réglementaires sont identifiés, évalués et traités. Ses registres de risques et ses plans de traitement doivent clairement orienter le choix des mesures de contrôle adaptées à votre type de service.

Contrôles de l'annexe A (93 contrôles répartis en quatre thèmes) : – dans l’édition 2022, l’annexe A contient 93 contrôles regroupés en organisationnel, humain, physique et technologique Les thèmes abordés sont décrits dans les résumés publics de la norme ISO/IEC 27001:2022 publiés par les organismes de normalisation, ainsi que dans des présentations telles que la page du BSI consacrée à la sécurité de l'information ISO 27001 et l'article sur la norme ISO/IEC 27001. Pour les fournisseurs de services gérés (MSP), le contrôle d'accès, la journalisation et la surveillance, la sécurité des opérations, les relations avec les fournisseurs et la continuité des activités sont des aspects essentiels, et il est important de savoir lesquels sont mis en œuvre pour les services que vous achetez.

Déclaration d'applicabilité (SoA) : Le document « SoA » recense les contrôles de l’annexe A applicables, leur mise en œuvre et les raisons de certaines exclusions. Il constitue pour vous le document de référence principal pour comprendre l’environnement de contrôle du fournisseur de services gérés et identifier les exclusions inhabituelles pour votre type de service.

Les prestataires les plus performants peuvent aborder chacun de ces points de manière concrète, en s'appuyant sur des processus et des exemples réels. Les prestataires moins performants ont tendance à se contenter de slogans tels que « conforme aux meilleures pratiques », sans relier ces affirmations à des clauses, des contrôles ou des services spécifiques. Pendant votre explication, demandez-vous si vous pourriez la reformuler à votre propre équipe de direction dans un langage clair et accessible.

Qu'est-ce que cela signifie pour vos questions de diligence raisonnable ?

Lorsque vous traduisez la norme en questions destinées aux fournisseurs de services gérés (MSP), vous leur demandez en réalité de vous présenter leur système de gestion de la sécurité de l'information (SGSI) en tenant compte de vos services. Concrètement, cela implique d'aller au-delà des réponses génériques par « oui » ou « non » et de les inviter à décrire le fonctionnement de leur système de gestion.

Voici quelques questions utiles :

Périmètre : « Décrivez le périmètre du SMSI et confirmez comment il couvre les services, les environnements et les régions spécifiques que vous utiliserez pour nous. »
Risque : « Comment les risques spécifiques aux clients influencent-ils votre registre des risques et vos plans de traitement ? »
Contrôles : « Quels contrôles de l’annexe A sont mis en œuvre pour notre service, et où en êtes-vous encore en train de progresser ? »
Opération : « Comment surveiller l’efficacité des contrôles et réagir lorsqu’un système ne fonctionne pas comme prévu ? »

Le calendrier de transition de 2013 à 2022 constitue un autre point de repère utile. Si un fournisseur de services gérés (MSP) est encore certifié selon l'ancienne version, demandez-lui son plan de transition, ses étapes clés et les changements qu'il prévoit pour la couverture des contrôles. Les guides de transition sectoriels pour la norme ISO/IEC 27001:2022, notamment les blogs de professionnels de fournisseurs tels que OneTrust, recommandent généralement de demander des plans de transition documentés et des explications sur l'impact des contrôles révisés sur les services, plutôt que de supposer que les nouvelles exigences sont déjà couvertes.

Les fournisseurs de services gérés (MSP) performants présentent généralement un plan clair et assorti d'échéances, avec des responsabilités clairement définies et des points de contact précis. Les MSP moins performants répondent souvent de manière vague ou se contentent d'affirmer qu'ils « travaillent dessus » sans proposer de mesures concrètes.

Une étape pratique consiste à consigner les réponses dans un modèle standard et à les lier à votre registre des risques et aux entrées de votre déclaration d'activité. Vous pourrez ainsi les consulter lors des revues de direction et des forums sur les risques fournisseurs, au lieu de les considérer comme des documents ponctuels classés après l'achat.

ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer

Comment passe-t-on des contrôles génériques aux mappages spécifiques au service de l'annexe A ?

On passe d'assurances génériques à des assurances spécifiques au service en exigeant une cartographie claire qui indique, pour chaque contrôle pertinent de l'annexe A, qui en est responsable, comment il est mis en œuvre et quelles preuves le justifient pour le service concerné. Cette cartographie transforme la norme ISO 27001, d'une simple notion rassurante, en une vision concrète et vérifiable de la manière dont vos risques sont gérés dans un environnement de fournisseur de services gérés (MSP).

La plupart des fournisseurs peuvent évoquer de manière générale un « contrôle d'accès strict » ou des « opérations sécurisées ». Rares sont ceux qui peuvent démontrer, pour un service géré donné, comment ces affirmations se traduisent concrètement par des contrôles spécifiques (Annexe A), des procédures documentées et une surveillance effective. C'est sur ce point que vos questions doivent porter si vous souhaitez obtenir des éléments réutilisables avec les auditeurs, le service des achats et les parties prenantes internes.

À quoi ressemble une bonne cartographie des contrôles spécifique à un service

Un document de cartographie complet pour un service géré unique comprend généralement une description claire du service, les contrôles de l'annexe A pertinents pour ce service, ainsi que la manière dont chaque contrôle est attribué et justifié. L'accent est mis sur la précision plutôt que sur les slogans.

Un document de cartographie solide comprend généralement :

Une description claire du service et de sa place dans le périmètre du SMSI du MSP.
Une liste des contrôles pertinents de l'annexe A, filtrée pour ne retenir que ceux qui sont réellement importants pour ce service.
Pour chaque contrôle :
Quoi que ce soit appartenant au fournisseur, appartenant aux clients, ou a partagé la publication de .
Une brève description du mode de mise en œuvre de la commande.
Références aux éléments de preuve tels que les politiques, les procédures, les journaux, les tickets et les rapports.

Voici un exemple simplifié :

Thème de contrôle	Réponse convaincante du MSP	Réponse du drapeau rouge
Contrôle d'accès	« Nous utilisons un système de contrôle d'accès basé sur les rôles pour ce service, avec des approbations, des examens périodiques et une journalisation centralisée. Vous gérez les rôles de vos utilisateurs ; nous gérons l'accès à la plateforme. »	« L’accès est restreint selon les besoins ; les détails sont internes. »
Journalisation et surveillance	« Toutes les actions d'administration effectuées sur votre environnement sont enregistrées, conservées pendant une période définie et examinées par notre équipe d'exploitation selon des règles d'escalade claires. »	« Nous avons des journaux d'activité, mais nous ne les consultons que si quelque chose ne va pas. »
Continuité de l'activité	« Ce service est couvert par des procédures de reprise, testées à intervalles convenus, avec des objectifs de temps et de point de reprise définis. »	« Notre fournisseur de centres de données garantit la disponibilité ; nous comptons sur lui. »
Détection et réponse aux incidents	« Nous gérons un SOC qui surveille votre service, avec des procédures établies, des SLA basés sur la gravité et des revues d'incidents conjointes pour les événements affectant vos données. »	« Nous vous tiendrons au courant si nous observons quoi que ce soit d'inhabituel. »

Les équipes de sécurité qui évaluent de nombreux fournisseurs de services gérés (MSP) constatent souvent les mêmes tendances : les fournisseurs les plus performants donnent des réponses comme celles de la colonne de gauche, avec une définition claire des responsabilités, des mécanismes précis et des tests périodiques. Les fournisseurs les plus fragiles se regroupent dans la colonne de droite, avec des garanties vagues, une dépendance excessive aux sous-traitants et peu de preuves de tests de reprise ou de réponse. Quelques exemples concrets suffisent pour expliquer plus facilement à vos parties prenantes internes ce qu’est une bonne pratique.

Comment demander et utiliser les correspondances spécifiques au service

Dans les demandes de propositions ou les demandes de vérification préalable, vous pouvez traduire cela en demandes explicites telles que :

« Pour ce service géré, veuillez fournir une matrice de contrôle associant vos contrôles à l’annexe A de la norme ISO 27001:2022, avec les responsabilités et les preuves pour chaque contrôle. »
« Lorsqu’une commande est partagée, décrivez ce que vous faites et ce que vous attendez de nous, y compris toute exigence de configuration ou de processus de notre côté. »
« Expliquez comment vous maintenez cette cartographie à jour lorsque vous modifiez le service ou lorsque la norme ISO 27001 est mise à jour. »

Une fois la cartographie établie, considérez-la comme un document de travail et non comme une simple pièce jointe. Vos architectes de sécurité pourront l'aligner sur votre cadre de contrôle et identifier les lacunes. Vos équipes GRC et gestion des risques fournisseurs pourront s'y référer dans les registres des risques, les entrées de la déclaration d'architecture et les rapports sur les risques fournisseurs. Vos équipes d'exploitation et de gestion des services pourront ainsi identifier précisément les éléments à configurer ou à surveiller pour garantir le respect des contrôles partagés.

Avec le temps, vous pouvez standardiser la structure de ces matrices pour tous les fournisseurs de services gérés (MSP). À ce stade, l'utilisation d'une plateforme ISMS partagée comme ISMS.online devient précieuse, car elle vous permet de stocker, comparer et gérer ces matrices de manière centralisée, au lieu de les jongler dans des feuilles de calcul ou des archives de courriels disparates. Même en commençant par des documents simples, convenir d'un format commun constitue une première étape pratique.

Comment lire d'un œil sceptique le certificat ISO 27001 et la déclaration d'activité d'un fournisseur de services gérés (MSP) ?

Il convient de considérer la certification ISO 27001 et la déclaration d'applicabilité d'un fournisseur de services gérés (MSP) comme des points de départ permettant d'approfondir la question du périmètre, des contrôles et du niveau de maturité. Une analyse critique s'intéresse à ce qui est inclus dans le périmètre de la certification, à ce qui n'en est pas concerné et à la façon dont cela correspond aux services, aux sites et aux sous-traitants qui vous importent, plutôt que de supposer que la certification couvre tous vos besoins.

Presque tous les répondants ont indiqué que l'obtention ou le maintien de certifications de sécurité telles que l'ISO 27001 ou le SOC 2 figurait parmi leurs principales priorités pour l'année à venir.

Un certificat qui paraît impressionnant au premier abord peut masquer d'importantes lacunes. Les organismes de certification et d'audit rappellent régulièrement aux organisations qu'un certificat ne constitue qu'une assurance sur un périmètre et une période définis, et non une garantie absolue de sécurité. Par exemple, les présentations de la certification ISO 27001 par des fournisseurs tels que TÜV insistent sur l'importance de bien comprendre le périmètre et les limites de la norme. Adopter le point de vue d'un auditeur ou d'un organisme de réglementation lors de la lecture de ces documents facilite grandement la détection précoce de tels problèmes.

Lire le périmètre et l'état des affaires comme un auditeur

Lorsque vous examinez un certificat et les documents connexes, concentrez-vous sur quelques points clés qui révèlent si les documents correspondent à la réalité des services que vous achetez.

Portez une attention particulière à :

Énoncé de portée : – Le document mentionne-t-il explicitement le type de services que vous prévoyez d’utiliser (par exemple, « centre d’opérations de sécurité géré » ou « hébergement cloud géré ») et les lieux à partir desquels ils sont fournis ?

Lieux, entités juridiques et sous-traitants : – Les centres de données, les centres de support, les sociétés du groupe et les sous-traitants nommés qui traiteront vos données sont-ils répertoriés, ou bien certains éléments critiques sont-ils absents ou seulement mentionnés indirectement ?

Couverture et exclusions de la SoA : Quels contrôles de l'annexe A sont jugés applicables, lesquels sont exclus et pourquoi ? Certaines exclusions sont-elles surprenantes pour un fournisseur de ce type, comme l'exclusion des contrôles de sauvegarde, de journalisation, de continuité d'activité ou des contrôles fournisseurs ?

Cycle d’audit et conclusions : – Quand a eu lieu la dernière certification ou le dernier audit de surveillance, et des non-conformités connues susceptibles d’affecter les services que vous recevez sont-elles en cours de traitement ?

Les équipes d'entreprise expérimentées peuvent identifier les services fournis depuis des sites non mentionnés dans le périmètre, les sous-traitants ou centres de données non couverts par le SMSI, ou encore les contrôles de l'annexe A marqués « non applicable » qu'elles jugent essentiels. Les évaluations des risques et les analyses de consultants tiers, notamment les rapports sur les cyber-risques de cabinets comme Deloitte, font état de lacunes dans le périmètre et d'exclusions surprenantes comme des constats fréquents lors de l'examen des certifications fournisseurs. Les équipes ayant subi plusieurs audits externes observent souvent une tendance : les fournisseurs performants peuvent analyser le périmètre et l'architecture d'entreprise avec assurance, expliquer les exclusions clairement et identifier les axes d'amélioration. Les fournisseurs moins performants peinent à relier les documents aux services réels et perçoivent parfois les questions relatives aux exclusions comme une attitude hostile. Concrètement, vous pouvez résumer vos principales observations et les conserver avec le certificat dans votre dossier de risques fournisseurs.

Des questions qui révèlent les limites du certificat

Fort de cette approche critique, vous pouvez poser des questions qui enrichissent le dialogue autour des documents statiques, au lieu de vous fier uniquement au certificat. L'objectif est de comprendre dans quelle mesure le périmètre et les contrôles documentés répondent réellement à vos besoins.

Des questions comme celles-ci sont utiles :

« Parmi nos services prévus, lesquels relèvent entièrement du périmètre du SMSI, et lesquels ne le sont que partiellement ou pas encore ? »
« Veuillez nous expliquer en détail les principaux contrôles de l’annexe A qui sous-tendent ce service, et nous indiquer les exclusions qui pourraient nous concerner. »
« Comment décidez-vous du moment opportun pour intégrer un nouveau service, une nouvelle fonctionnalité, un nouveau sous-processeur ou un nouveau site au périmètre, et comment informez-vous les clients lorsque cela se produit ? »
« Quels points vos audits internes et externes les plus récents ont-ils mis en évidence comme axes d’amélioration susceptibles d’avoir un impact sur nous ? »

Ces questions rappellent au fournisseur que vous considérez la norme ISO 27001 comme un système évolutif, et non comme un simple argument marketing. Elles préparent également le terrain pour des échanges ultérieurs sur le partage des responsabilités en matière de risques, de gestion des incidents, de continuité d'activité et de notifications réglementaires, domaines où la clarté du périmètre devient primordiale pour votre propre architecture système et vos plans de traitement des risques. Consigner les réponses dans vos outils de gouvernance interne facilite la démonstration aux instances dirigeantes et aux organismes de réglementation de votre raisonnement.

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo

Comment définir les limites de la responsabilité partagée en matière de risques, d'incidents et de continuité d'activité ?

Vous définissez clairement les responsabilités partagées en traduisant les rôles et responsabilités de haut niveau définis par la norme ISO 27001 en accords écrits et concrets. Ces accords précisent, pour chaque domaine de risque majeur, les actions du fournisseur de services gérés (MSP), vos obligations et les modalités de coordination entre les deux parties. Sans ce niveau de clarté, même un prestataire certifié peut vous laisser dans une situation délicate en cas d'incidents ou de perturbations.

La norme ISO 27001 exige que les rôles, les responsabilités et les pouvoirs relatifs à la sécurité de l'information soient définis et communiqués. L'article 5.3 de la norme ISO/CEI 27001 impose explicitement la définition et la communication de ces rôles, responsabilités et pouvoirs, comme le soulignent les commentaires des normes fondamentales, notamment l'introduction de la série ISO 27000. Dans le cadre d'une relation avec un fournisseur de services gérés (MSP), cette exigence s'étend aux contrats, aux descriptions de services et aux procédures opérationnelles, qui doivent résister aux audits et aux contrôles réglementaires en cas d'incident.

Des limites claires permettent d'éviter les désaccords sur les responsabilités lorsque la pression est à son comble.

Clarification des responsabilités en matière de gestion des risques

Clarifier les responsabilités en matière de gestion des risques commence par comprendre comment vos risques apparaissent dans la planification du fournisseur de services gérés (MSP) et comment les siens apparaissent dans la vôtre. De nombreux problèmes ultérieurs surviennent parce qu'aucune des deux parties n'a formalisé ces informations par écrit.

Voici quelques étapes et questions utiles :

Demandez au fournisseur de services gérés comment les risques liés à vos services et à vos données sont intégrés à son registre des risques et à ses plans de traitement.
Précisez s'ils attendent de vous que vous réalisiez des évaluations de risques spécifiques ou que vous leur fournissiez des informations sur les risques pour leur propre planification, y compris des analyses d'impact sur la protection des données lorsque la confidentialité est concernée.
Veillez à ce que votre propre registre des risques consigne l'utilisation du MSP et les contrôles dont vous vous appuyez sur lui.

Les bons modèles de responsabilité partagée incluent souvent une matrice RACI (responsable, redevable, consulté, informé) pour les activités clés telles que :

Gestion des accès et examens périodiques.
Gestion de la configuration et des modifications pour les plateformes partagées.
Gestion des correctifs et des vulnérabilités au niveau de l'infrastructure et des applications.
Surveillance, gestion des alertes et escalade.

Les ressources sur les meilleures pratiques en matière d'exploitation et de sécurité, notamment les recommandations RACI dans les livres blancs du SANS Institute, préconisent fréquemment ce type de matrice afin d'éviter les lacunes et les chevauchements de responsabilités. Concrètement, une matrice RACI de gestion des correctifs pourrait indiquer que le fournisseur de services gérés (MSP) est… Voyages pour la mise à jour du système d'exploitation et de la plateforme sous-jacents ; vous êtes responsable pour approuver les fenêtres de maintenance et corriger vos propres applications ; votre équipe de sécurité est consulté sur les changements à haut risque ; et vos responsables de service sont Actualités des prochains cycles de correctifs. Une fois cette répartition validée, vous pouvez l'intégrer à votre registre des risques et à votre déclaration d'architecture (SoA) afin que les auditeurs disposent d'une vision cohérente.

Vos questions doivent viser à identifier ces modèles et à vérifier s'ils sont compris de part et d'autre. Si vos équipes et celles du fournisseur de services gérés (MSP) donnent des réponses différentes quant à la responsabilité d'une tâche, vous devrez approfondir la question avant de pouvoir affirmer à votre conseil d'administration que les risques sont maîtrisés.

Séparation de la réponse aux incidents et de la continuité des opérations dans la pratique

La gestion des risques devient cruciale lorsqu'un incident survient ; il est donc essentiel d'avoir la même clarté pour la réponse aux incidents et la continuité des activités. Dans ce contexte, il faut privilégier des procédures de transfert, des échéanciers et des hypothèses précis plutôt que des promesses vagues.

Deux domaines critiques sont :

Réponse aux incidents: – qui surveille les événements, qui trie les alertes, dans quelles conditions le MSP vous contacte, par quels canaux, et qui est responsable de l’analyse forensique, de la préservation des preuves, des notifications aux clients et aux organismes de réglementation, et des examens post-incident.

Continuité des activités et reprise après sinistre : – les objectifs de temps et de point de récupération auxquels le MSP s’engage pour le service, comment ceux-ci s’alignent sur votre analyse d’impact sur l’activité et quelles hypothèses le MSP formule concernant vos propres dispositifs de continuité d’activité, tels que des voies d’accès alternatives ou des solutions de contournement manuelles.

Vos questions pourraient ressembler à ceci :

« Décrivez le processus de bout en bout pour la gestion d'un incident affectant notre service géré, de la détection à la résolution, et indiquez-nous où commencent nos responsabilités. »
« Pour ce service, quels scénarios de panne et de perte de données sont couverts par vos plans de continuité et de reprise, et quels scénarios attendez-vous de nous ? »
« À quelle fréquence testez-vous les processus conjoints de gestion des incidents et de continuité des activités avec des clients comme nous, et comment pouvons-nous y participer ? »

Les réponses apportées font partie intégrante de votre plan de réponse aux incidents et de continuité des activités. Elles rassurent les parties prenantes, comme votre comité d'audit, votre responsable de la protection des données et l'autorité de régulation, lorsqu'elles examinent vos dispositifs. Elles alimentent également le dossier de preuves que vous demanderez ultérieurement : rapports de tests, analyses post-incident et améliorations mises en œuvre conjointement. Consigner les répartitions convenues dans vos procédures d'intervention et vos plans de continuité est un moyen concret de transformer ces échanges en une réalité vérifiable.

Comment un fournisseur de services gérés (MSP) peut-il prouver sa conformité continue à la norme ISO 27001, et non pas seulement une certification ponctuelle ?

Un fournisseur de services gérés (MSP) peut prouver sa conformité continue à la norme ISO 27001 en fournissant des preuves structurées démontrant que son système de management de la sécurité de l'information (SMSI) et ses contrôles sont opérationnels et s'améliorent tout au long de l'année, et pas seulement au moment de la certification. Ces preuves englobent les audits internes et externes, les tests techniques, les activités de gestion des vulnérabilités, les évaluations des fournisseurs, les résultats des formations et les indicateurs permettant de suivre la détection et la résolution des problèmes.

Un certificat, à lui seul, ne constitue qu'un jugement ponctuel : les directives d'assurance précisent que les certifications sont des opinions fondées sur les éléments de preuve disponibles à la date de l'audit, et non des garanties de performance future, une distinction soulignée dans des ressources spécialisées en audit telles qu'Audit Analytics. Des éléments de preuve continus démontrent un comportement rassurant pour votre conseil d'administration, vos auditeurs, les autorités de protection des données et les instances d'évaluation des risques liés aux fournisseurs, quant au fait que la sécurité du fournisseur de services gérés (MSP) est activement contrôlée et non négligée. Vos questions devraient donc porter sur la manière dont ils planifient, testent et améliorent la sécurité en continu, et non pas uniquement sur le contenu d'un certificat.

Environ deux tiers des organisations interrogées dans le cadre de l'enquête 2025 d'ISMS.online ont déclaré que la rapidité et l'ampleur des changements réglementaires rendent la conformité plus difficile à maintenir.

Types de preuves démontrant l'existence d'un ISMS vivant

Lorsque vous demandez des preuves autres que le certificat, vous demandez en réalité au prestataire de démontrer que son cycle PDCA (Planifier-Déployer-Contrôler-Améliorer) est appliqué concrètement à vos services. Vous n'avez pas besoin de tous les détails, mais suffisamment d'informations pour constater que les contrôles, les conclusions et les améliorations sont bien réels.

Les preuves utiles comprennent :

Rapports ou résumés d'audit interne : – ces éléments démontrent que le fournisseur de services gérés évalue régulièrement son propre système de gestion de l’information, constate les non-conformités et met en œuvre des actions correctives plutôt que d’attendre que des audits externes découvrent les problèmes.

Résultats de la surveillance et de la recertification : – les résultats de haut niveau des audits externes montrent qu’un organisme indépendant vérifie également la conformité entre les principaux événements de certification et si les actions d’amélioration sont menées à bien dans les délais prévus.

Tests d'intrusion et évaluations de vulnérabilité : – Des rapports correctement nettoyés peuvent indiquer ce qui a été testé, les problèmes rencontrés, leur classification et la rapidité avec laquelle ils ont été résolus pour les systèmes concernés par vos services.

Métriques de gestion des vulnérabilités : – les tendances en matière de déploiement de correctifs, le temps moyen de résolution des problèmes les plus graves et le volume des vulnérabilités non résolues sur les plateformes qui traitent vos informations.

Évaluations des fournisseurs et des sous-traitants : – la preuve que le MSP gère les risques liés aux tiers d’une manière qui répond à vos exigences ISO 27001 et NIS 2, plutôt que de faire aveuglément confiance aux fournisseurs en amont.

Dossiers de formation et de sensibilisation : – données sur les taux de réussite des formations à la sécurité, des exercices de phishing et des activités de sensibilisation spécifiques aux rôles pour le personnel impliqué dans la prestation de vos services gérés.

Les organismes de certification et les fournisseurs d'assurance qui décrivent les programmes ISO 27001, comme le TÜV dans sa présentation, font généralement référence à ces types d'éléments comme composantes typiques d'un système d'assurance SMSI efficace. Dans de nombreux cas, vous trouverez des synthèses, des tendances et des exemples d'éléments plutôt que des rapports complets et confidentiels, ce qui est généralement justifié. L'essentiel est de pouvoir constater des contrôles réguliers, des conclusions claires et un suivi directement lié à vos services. Une mesure pratique consiste à définir les types de preuves attendus pour chaque MSP stratégique et à consigner les éléments reçus lors des revues annuelles.

Des indicateurs et des questions qui rendent le « continu » réel

Pour que le terme « continu » ne soit pas qu'un simple mot à la mode, vous pouvez demander et suivre des indicateurs spécifiques dans le temps qui influent directement sur votre évaluation des risques. Cela facilite également la communication avec les parties prenantes internes sans les noyer sous un flot de données brutes.

Les mesures utiles incluent :

Le nombre et la gravité des constats ouverts par rapport aux constats clos issus des audits internes et des tests techniques des systèmes qui prennent en charge vos services.
Temps moyen nécessaire pour corriger les vulnérabilités critiques de ces systèmes, par rapport aux objectifs convenus.
Fréquence et étendue des tests de continuité ou de reprise affectant vos services, et atteinte des objectifs.
Taux d'achèvement des formations pour le personnel ayant un accès privilégié à vos environnements ou aux données clients.
Le nombre, l'impact et les causes profondes des incidents ayant affecté vos services gérés au cours de l'année écoulée.

Vos questions pourraient inclure :

« À quelle fréquence effectuez-vous des audits internes de votre système de gestion de la sécurité de l'information (SGSI), et quand a eu lieu le dernier audit portant sur les systèmes utilisés pour nos services ? »
« Quels objectifs de niveau de service vous fixez-vous pour résoudre les vulnérabilités critiques, et dans quelle mesure les avez-vous atteints au cours des douze derniers mois ? »
« Comment partagez-vous les enseignements tirés des incidents ou des tests susceptibles d’affecter notre profil de risque, y compris les notifications réglementaires ou clients qui ont suivi ? »

Les fournisseurs de services gérés (MSP) les plus performants seront en mesure de présenter des indicateurs clairs, des tendances d'évolution et des exemples concrets de leur impact sur les améliorations, une tendance que l'on retrouve dans les études sur les risques liés aux tiers et la maturité en cybersécurité menées par des cabinets de conseil comme KPMG. Les MSP les moins performants se contentent souvent d'affirmations statiques telles que « nous appliquons les correctifs rapidement », sans les étayer. Une fois l'évolution des comportements comprise, il est possible de standardiser la manière de recueillir, d'enregistrer et de comparer ces réponses entre les fournisseurs, au lieu de considérer chaque mission comme un cas isolé.

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo

Comment transformer les questions de la norme ISO 27001 en un guide de cartographie des contrôles pour les services gérés ?

Vous transformez les questions de la norme ISO 27001 en un guide de cartographie des contrôles en standardisant la structure des questions posées, les réponses des fournisseurs de services gérés (MSP) et la manière dont ces réponses sont associées aux contrôles, aux responsabilités et aux preuves. Ce guide constitue une base réutilisable pour la vérification préalable, la comparaison, l'intégration et la gouvernance continue des MSP au sein des équipes de sécurité, de gestion des risques, de gestion des fournisseurs et d'approvisionnement.

Environ 41 % des organisations interrogées dans le cadre de l’enquête 2025 d’ISMS.online ont déclaré que la gestion des risques liés aux tiers et le suivi de la conformité des fournisseurs constituaient l’un de leurs principaux défis en matière de sécurité.

Au lieu de réinventer votre approche à chaque nouveau fournisseur, vous créez un modèle uniforme que tout MSP peut compléter et que vos équipes peuvent interpréter rapidement. À terme, vous obtenez ainsi une vision globale de la maturité de vos MSP, que vous pouvez présenter aux conseils d'administration et aux organismes de réglementation sans avoir à analyser chaque contrat individuellement, car le format et le système de notation sont déjà définis.

Conception d'un modèle de cartographie réutilisable

Un bon modèle de guide de jeu comporte généralement trois niveaux interdépendants : des questions structurées, des correspondances de contrôle et des commentaires ou un système de notation. Il est plus important de garantir la cohérence de ces niveaux entre les différents fournisseurs que de viser la perfection dès le premier jour.

Un modèle pratique comprend généralement :

Aux Questions – des invites alignées sur les principaux thèmes de la norme ISO 27001, tels que le champ d’application, l’évaluation des risques, les contrôles de l’annexe A, la responsabilité partagée, les preuves et les obligations en matière de confidentialité ou de réglementation, le cas échéant. Par exemple :

« Décrivez comment le périmètre de votre SMSI couvre ce service. »
« Fournir une annexe A décrivant ce service et précisant les responsabilités. »

Cartographie de contrôle – un tableau qui, pour chaque contrôle pertinent de l’annexe A :

Indique s'il appartient au fournisseur, au client ou s'il est partagé.
Lien vers une brève description de la mise en œuvre.
Indiquez les types de preuves et leur emplacement, y compris les liens vers vos propres procédures.

Score et commentaires – une façon d’évaluer la clarté et la pertinence des réponses et de consigner les commentaires, les lacunes ou les actions de suivi que vous souhaitez que le fournisseur de services gérés prenne en compte.

L'utilisation de ce modèle chez tous les fournisseurs de services gérés (MSP) permet d'obtenir une vision comparable de leur maturité et de leur adéquation. Les services achats, sécurité, GRC, juridique, protection des données et gestion des risques fournisseurs peuvent ainsi se référer au même document, évitant la création de questionnaires ou de feuilles de calcul distincts et potentiellement obsolètes. Une mise à jour annuelle du guide, ou en cas d'évolution des services ou de la réglementation, garantit son actualité et évite qu'il ne devienne une simple base de données obsolète. Dans une démarche neutre, il est possible de tester le modèle auprès d'un ou deux fournisseurs à haut risque avant de le généraliser.

Transformer les réponses en un tableau de bord comparatif

Une fois votre grille d'évaluation établie, le système de notation devient plus systématique et moins subjectif. Vous pouvez pondérer les critères les plus importants pour votre organisation, puis évaluer chaque prestataire de manière cohérente selon ces critères.

Les pratiques typiques incluent :

Accorder une importance particulière à certains domaines, tels que :
Clarté et exhaustivité de la description du périmètre.
Profondeur et spécificité des cartographies de l'annexe A.
Qualité et fraîcheur des preuves en cours.
Précision des définitions de la responsabilité partagée.
En adéquation avec votre appétit pour le risque et votre profil réglementaire.

Définir à l’avance ce à quoi ressemble une réponse « pertinente », afin que l’évaluation des réponses soit moins subjective et plus facile à expliquer aux parties prenantes.

Par exemple, à la question « Comment gérez-vous les incidents impliquant nos données ? », une réponse pertinente pourrait inclure des processus de détection et de triage clairement définis, avec des responsabilités clairement identifiées, des délais et canaux de notification convenus en fonction de la gravité et des seuils réglementaires, des étapes d'enquête conjointe et d'analyse des causes profondes, ainsi que des liens avec des objectifs de reprise alignés sur votre analyse d'impact sur l'activité. Une réponse insuffisante pourrait se contenter d'affirmer : « Nous enquêtons et vous informons si nécessaire », sans préciser les délais, les rôles ou les éléments de preuve.

En appliquant ce guide de manière systématique, vous constituez une bibliothèque de profils de fournisseurs de services gérés (MSP) conformes à la norme ISO 27001, et non à des objectifs marketing. Son alignement avec vos processus internes ISO 27001 le rend encore plus performant : ce guide peut alimenter les revues de direction, les mises à jour du registre des risques, les modifications des déclarations d’activité (SoA) et les rapports destinés au conseil d’administration. Le stockage des modèles, des correspondances et des scores sur une plateforme collaborative de gestion de la sécurité de l’information (ISMS) telle que ISMS.online vous permet ensuite de réutiliser ce travail lors des audits, des renouvellements et des nouveaux projets, au lieu de repartir de zéro à chaque fois qu’une partie prenante demande : « Comment savoir si nos MSP sont réellement conformes à la norme ISO 27001 ? »

Réservez une démo avec ISMS.online dès aujourd'hui

ISMS.online vous offre une plateforme unique pour structurer vos questions relatives à la norme ISO 27001, vos cartographies de contrôles et vos preuves avec vos prestataires de services de gestion (MSP). L'assurance tierce devient ainsi plus rapide, plus claire et plus facile à défendre. Fini la gestion fastidieuse des certificats, des tableurs et des échanges d'e-mails : vous visualisez comment les contrôles internes et externes se complètent pour protéger votre organisation et satisfaire vos parties prenantes.

Pourquoi une plateforme ISMS partagée est avantageuse pour vous et vos MSP

Une plateforme ISMS partagée vous aide, vous et vos fournisseurs de services gérés (MSP), à garantir la cohérence des réponses, la centralisation des preuves et la reproductibilité des assurances, même en cas d'évolution des services, des contrôles et des réglementations. Lorsque les équipes de sécurité des entreprises et les MSP tentent de collaborer uniquement à partir de documents statiques, trois problèmes se répètent sans cesse.

Les problèmes courants incluent :

Les réponses se désynchronisent à mesure que les services évoluent.
Les preuves sont dispersées dans de multiples outils et sont difficiles à relier aux contrôles.
Chaque audit ou appel d'offres oblige les deux parties à réitérer les mêmes explications.

Une plateforme ISMS partagée change la donne. Avec ISMS.online, vous pouvez définir une seule fois votre questionnaire standard ISO 27001 MSP et le réutiliser pour tous vos prestataires. Vous pouvez stocker les correspondances de l'Annexe A spécifiques à chaque service et les matrices de responsabilité partagée dans la même structure que celle utilisée pour vos contrôles internes. Vous pouvez lier directement les éléments de preuve MSP, tels que les synthèses d'audit, les rapports de tests et les indicateurs clés, aux contrôles et aux risques qu'ils couvrent.

Cette structure est également avantageuse pour vos fournisseurs de services gérés (MSP). Ils peuvent ainsi répondre à plusieurs clients à partir d'un ensemble unique et fiable de correspondances et de preuves, au lieu de recréer du contenu pour chaque questionnaire. À terme, cela fluidifie les échanges et améliore la qualité des discussions d'assurance qualité, en évitant de les transformer en simples formalités administratives. Même en cas de changement de fournisseur ultérieur, un modèle cohérent facilite grandement la transition et permet d'expliquer plus aisément la situation aux instances dirigeantes et aux organismes de réglementation.

Prochaines étapes pratiques pour explorer ISMS.online

Si vous reconnaissez les difficultés décrites ici, il n'est pas nécessaire de repenser entièrement votre gouvernance des tiers. Un essai ciblé suffit souvent à démontrer sa valeur ajoutée sans entreprendre une transformation radicale, et vous pouvez le mener en parallèle de vos processus actuels.

Tu pourrais:

Choisissez un ou deux fournisseurs de services gérés stratégiques qui prennent en charge des services à fort impact.
Utilisez votre ensemble de questions ISO 27001 existant comme point de départ.
Configurez un modèle de mappage simple et un modèle de responsabilité partagée dans ISMS.online.
Invitez vos homologues MSP à collaborer pour compléter et peaufiner le contenu.
Utilisez ces résultats pour informer votre conseil d'administration ou votre comité d'audit de la manière dont les contrôles tiers sont désormais intégrés à votre SMSI.

L'utilisation d'un environnement partagé de cette manière peut vous aider à établir des cartographies plus claires pour les services critiques, à limiter les mauvaises surprises lors des audits impliquant les fournisseurs de services gérés (MSP) et à présenter un récit plus convaincant aux organismes de réglementation et aux principaux clients. Réserver une démonstration est un moyen simple de voir à quoi cela pourrait ressembler dans votre propre environnement et de déterminer si une plateforme SMSI partagée est la solution adaptée à sa gestion.

Si vous prévoyez ou êtes en train de migrer vers la norme ISO 27001:2022, le même environnement peut vous aider à mettre à jour les correspondances de l'Annexe A avec le jeu de contrôles révisé, tant pour les services internes que pour les services gérés par un prestataire de services gérés (MSP). Le guide de transition pour l'ISO/CEI 27001:2022 indique que les organismes doivent mettre à jour les correspondances de l'Annexe A, les descriptions du périmètre et les informations documentées. L'utilisation d'un environnement partagé prenant en charge les services internes et les services gérés par un MSP facilite la coordination de ces mises à jour, comme le soulignent les présentations de la série ISO 27000, telles que l'introduction à la norme ISO 27000. Toute décision d'adopter de nouveaux outils ou de changer de prestataire doit néanmoins respecter vos processus de gouvernance habituels et, le cas échéant, être examinée par des conseillers juridiques ou réglementaires qualifiés.

En définitive, vos questions relatives à la norme ISO 27001 adressées aux fournisseurs de services gérés (MSP) vont bien au-delà des simples listes de vérification de diligence raisonnable. Il s'agit de démontrer que votre écosystème numérique étendu fonctionne comme un système de gestion cohérent et fondé sur les risques, auquel les conseils d'administration, les organismes de réglementation et vos clients peuvent faire confiance. Réserver une démonstration avec ISMS.online est un moyen simple d'explorer comment cette cohérence pourrait se traduire concrètement pour votre organisation et vos principaux fournisseurs, et de vérifier si une plateforme ISMS partagée peut vous aider à transformer vos bonnes questions en une assurance tierce durable.

Demander demo

Foire aux questions

Comment aligner la diligence raisonnable des fournisseurs de services gérés (MSP) avec la norme ISO 27001:2022 sans noyer les parties prenantes sous un flot de numéros de clauses ?

Vous alignez la diligence raisonnable des MSP sur la norme ISO 27001:2022 en formulant des questions autour des résultats commerciaux (risque, disponibilité, gestion des données et responsabilité) et en ne rattachant ces réponses qu'aux clauses et aux contrôles de l'annexe A de votre propre SMSI.

Comment transformer la norme ISO 27001 en thèmes que les entreprises et les fournisseurs de services gérés (MSP) reconnaissent réellement ?

Partez des conversations que vous avez déjà avec les parties prenantes et les fournisseurs de services gérés, puis articulez-les autour de quelques thèmes récurrents :

Adéquation du service et du périmètre : – « Lesquels de vos services, sites, plateformes et sous-traitants auront effectivement accès à nos données, et font-ils partie du périmètre de votre SMSI ? »
Risque et résilience : – « Où apparaissent nos risques liés à la disponibilité, à la confidentialité et à la réglementation dans votre registre des risques, et comment sont-ils traités ? »
Contrôle de la propriété et des tests : – « Pour ce service, quels contrôles prévus à l’annexe A:2022 sont en place, à qui ils appartiennent et comment sont-ils testés au cours de l’année ? »
Assurance opérationnelle dans le temps : – « Qu’est-ce que les audits internes, les tests d’intrusion, la surveillance et les analyses d’incidents vous ont appris sur ce service au cours des 12 à 18 derniers mois ? »
Responsabilité partagée : – « En matière d’accès, de configuration, de surveillance, d’incidents, de continuité et de gestion des fournisseurs, quelles activités vous incombent, lesquelles nous incombent et qu’est-ce qui est réellement partagé ? »
Changement et feuille de route : – « Comment les nouveaux services, les migrations de plateformes et les changements réglementaires s’intègrent-ils à votre périmètre, à vos évaluations des risques et à vos contrôles ? »

Ces thèmes constituent une base solide pour vos questionnaires de diligence raisonnable, vos appels d'offres et vos revues de renouvellement de contrat. En interne, vous pouvez établir une correspondance claire entre chaque thème et question et les clauses de la norme ISO 27001:2022, les contrôles de l'annexe A et les processus de gestion des fournisseurs de votre système de management de la sécurité de l'information (SMSI) ou de votre système de management intégré conforme à l'annexe L. En externe, votre fournisseur de services de gestion (MSP) ne voit que des questions claires et axées sur le niveau de service, sans références aux clauses.

Si vous utilisez une plateforme comme ISMS.online, il est facile d'y stocker le questionnaire, les réponses et les correspondances avec votre déclaration d'applicabilité et les enregistrements de vos fournisseurs. Ainsi, vous pouvez rapidement démontrer aux auditeurs que le contrôle par un tiers est intégré à votre système de management de la sécurité de l'information (SMSI) et non improvisé en fonction des délais d'approvisionnement.

Comment concevoir des questions MSP qui renvoient aux clauses de la norme ISO 27001 sans les citer ?

Travaillez à partir de situations réelles et à rebours à partir de la norme ISO 27001, et non l'inverse :

Contexte, leadership et planification (articles 4 à 6) :

Demandez comment le fournisseur de services gérés définit le périmètre d'intervention, comprend les besoins des clients et prévoit la gestion des risques susceptibles de vous affecter :
« Montrez-nous comment les risques liés à nos données, à la disponibilité de nos services et à nos obligations réglementaires sont identifiés, évalués et hiérarchisés dans votre registre des risques. »

Assistance et exploitation (articles 7 à 8) :

Mettez l'accent sur les personnes, les procédures documentées et le fonctionnement réel du service géré :
« Quelles sont les procédures et les compétences documentées requises pour fournir ce service, et comment les maintenir à jour ? »

Évaluation et amélioration des performances (articles 9 à 10) :

Découvrez comment ils évaluent leur efficacité, s'auto-évaluent et impulsent le changement :
« Au cours de l’année écoulée, quels audits, indicateurs clés de performance (KPI) et actions correctives ont eu un impact direct sur les systèmes sur lesquels nous nous appuyions ? »

Pour que votre mise en œuvre de la norme ISO 27001:2022 soit justifiée, il n'est pas nécessaire de demander « Comment respectez-vous la clause 8.1 ? ». En revanche, vous devez définir un ensemble de questions cohérentes permettant d'évaluer le comportement du système de management du fournisseur de services gérés (MSP) pour vos services, et mettre en place une méthode rigoureuse pour relier ces réponses aux clauses et aux contrôles de l'annexe A de votre propre système de management de la sécurité de l'information (SMSI). Centraliser cette correspondance dans un environnement partagé tel que ISMS.online permet à votre équipe d'affiner continuellement les questions tout en conservant une piste d'audit claire pour les autorités de réglementation, les clients et les organismes de certification.

Comment savoir rapidement si le certificat ISO 27001 d'un fournisseur de services gérés couvre réellement les services que nous prévoyons d'utiliser ?

Vous pouvez vérifier si le certificat ISO 27001 d'un MSP couvre réellement vos services en lisant le périmètre, la déclaration d'applicabilité et les rapports d'audit récents comme s'il s'agissait des vôtres, puis en testant les éventuelles lacunes avec des questions concrètes et axées sur le niveau de service.

Quelles parties du pack de certificats sont les plus importantes pour les services MSP ?

Considérez la documentation comme une preuve de risque, et non comme un argument de vente :

Description du périmètre : – Vérifiez qu’il mentionne les types de services spécifiques qui vous intéressent (par exemple, SOC géré, base de données gérée, identité gérée, hébergement géré) ainsi que les technologies et plateformes clés impliquées.
Lieux et chaîne de livraison : – Confirmez que les centres de données, les sites de support et les sous-processeurs importants pour vos charges de travail sont explicitement inclus dans le périmètre, ou relèvent clairement d’une entité au périmètre plus large.
Applicabilité du contrôle : – Examinez l’applicabilité des contrôles de l’Annexe A:2022 dans la SoA ; contestez les exclusions concernant la journalisation, la surveillance, la sauvegarde, la continuité, la supervision des fournisseurs et le développement sécurisé lorsque votre propre évaluation des risques considère ces domaines comme non négociables.
Actualité et orientation de l'audit : – Veuillez noter la date du dernier audit de surveillance ou de recertification, et indiquer si les conclusions récentes concernent les environnements et les services que vous prévoyez d’utiliser.

Passez ensuite directement à des questions précises, par exemple :

« Parmi les services que nous évaluons, lesquels sont entièrement inclus dans le périmètre actuel de votre norme ISO 27001, lesquels ne le sont que partiellement et lesquels sont hors périmètre aujourd'hui ? »
« Pour les systèmes qui prennent en charge nos données et qui ne relèvent pas de votre périmètre de certification, quels contrôles et mécanismes d'assurance s'appliquent ? »

Consigner ces réponses dans vos dossiers de risques fournisseurs vous permettra de justifier votre choix si vos auditeurs, votre conseil d'administration ou vos clients vous demandent ultérieurement pourquoi vous avez fait confiance à un fournisseur en particulier.

En organisant les justificatifs et les notes des fournisseurs dans un système comme ISMS.online, vous pouvez stocker les énoncés de périmètre, les extraits clés des déclarations d'activité, vos questions et les réponses du prestataire de services de gestion, ainsi que les contrôles et les risques de l'annexe A qu'ils prennent en charge. Vous pouvez ainsi réutiliser la même évaluation lors d'un renouvellement, d'un nouvel appel d'offres ou d'une surveillance interne, au lieu de repartir de zéro à chaque fois.

Quels sont les signaux d'alerte pratiques dans le périmètre MSP et les documents SoA ?

Il n'est pas nécessaire d'être un spécialiste des normes ISO pour repérer les tendances qui méritent un examen plus approfondi :

Une portée manifestement plus restreinte que la réalité de la mise en œuvre : , par exemple un certificat qui ne couvre que les « opérations du siège social » alors que la prestation de services réelle s'effectue à partir de plusieurs régions et plateformes cloud.
Formulation excessivement promotionnelle : au lieu d'informations concrètes sur les actifs, les systèmes et les responsabilités.
Audits obsolètes : ou un calendrier de surveillance imprécis, ce qui peut indiquer des pratiques fluctuantes.
Groupes de contrôles « non applicables » : dans les domaines que votre propre registre des risques considère comme importants, notamment la surveillance, la sauvegarde, la continuité, la supervision des fournisseurs ou le développement sécurisé.

Si un point vous semble flou, demandez au fournisseur de services gérés (MSP) de vous expliquer en détail un service spécifique qui vous importe : où seraient stockées vos données, quelles équipes pourraient y accéder et quels aspects précis de leur système de gestion de la sécurité de l’information (SGSI) et de leurs contrôles couvrent ces éléments. Les fournisseurs sérieux vous fourniront une explication cohérente et vérifiable. Vous pourrez ensuite intégrer ce récit comme preuve structurée dans votre propre SGSI, afin de pouvoir vous appuyer sur des documents clairs et précis plutôt que sur vos souvenirs en cas de questions de clients ou d’auditeurs.

Comment convenir d'une responsabilité partagée avec un fournisseur de services gérés certifié ISO afin que personne ne soit pris au dépourvu en cas d'incident réel ?

Vous devriez convenir d'une responsabilité partagée avec un MSP certifié ISO en reprenant les contrôles de l'Annexe A:2022 qui concernent les deux organisations, en décidant qui fait quoi pour chacune, puis en reflétant cette répartition de manière cohérente dans les contrats, les manuels d'exploitation et votre SMSI.

Quels domaines de responsabilité partagée méritent le plus d'attention ?

Commencez là où l'ambiguïté devient coûteuse lors des opérations quotidiennes ou des incidents :

Gestion et planification des risques :

Établissez clairement le lien entre vos risques commerciaux et les risques techniques du fournisseur de services gérés.
– Demandez-leur comment les scénarios de votre registre des risques – tels que la perte d’une région, la compromission d’un accès privilégié ou une violation de la réglementation – apparaissent dans leurs plans d’évaluation et de traitement des risques.
– Élaborer une matrice RACI concise qui couvre les revues d'accès, les configurations de référence, la gestion des vulnérabilités, la surveillance, la sauvegarde et la restauration, ainsi que l'évaluation régulière des fournisseurs.
– Conservez cette matrice RACI dans vos dossiers de traitement des risques, vos états d'activité et vos notes fournisseurs afin que les auditeurs et les gestionnaires aient la même vision.

Détection, réponse et communication :

– Précisez quelles alertes et données de télémétrie le fournisseur de services gérés (MSP) doit surveiller, lesquelles votre propre équipe doit surveiller et comment les incidents sont transmis entre les deux.
– Définir les seuils et les délais de notification des incidents, et déterminer quelle organisation est chargée de la communication avec les autorités de réglementation, les clients et les personnes concernées en vertu de lois telles que le RGPD ou les règles sectorielles.
– Documentez ces flux dans des manuels d'exploitation communs et mettez-les en pratique à l'aide de scénarios réalistes sur table.

Continuité et reprise :

– Vérifiez que les objectifs de temps et de point de récupération du fournisseur de services gérés (MSP) correspondent à votre analyse d'impact sur l'activité et à vos engagements contractuels.
– Demandez-leur de faire clairement la distinction entre les perturbations dont ils sont responsables (par exemple, une panne de plateforme) et celles qui vous incombent (par exemple, une compromission du réseau local ou d'un point de terminaison).

Demandez au fournisseur de services gérés (MSP) de vous présenter un scénario d'incident complet et spécifique au service : quels indicateurs déclenchent une action, qui prend en charge la première intervention, à quel moment votre équipe est impliquée et comment les enseignements sont tirés de part et d'autre. Une fois ce modèle validé pour un service stratégique, vous pouvez le reproduire chez d'autres MSP et le centraliser sur une plateforme comme ISMS.online, en reliant chaque cartographie des responsabilités partagées aux contrôles, risques et contrats pertinents de l'annexe A.

Comment maintenir le modèle de responsabilité partagée aligné sur la norme ISO 27001 et un système intégré conforme à l'annexe L ?

Utilisez la norme ISO 27001:2022 et toutes les normes complémentaires comme structure fondamentale plutôt que comme une réflexion après coup :

Identifiez les contrôles de l'annexe A qui concernent manifestement le fournisseur et le client (par exemple, ceux relatifs à la journalisation et à la surveillance, à la configuration sécurisée, à la sauvegarde, à la gestion des fournisseurs, à la sécurité du réseau et à la gestion des incidents) et déterminez si chacun relève principalement de votre responsabilité, de la leur ou est partagé.
Intégrez ces décisions dans votre activités de planification en vertu de la clause 6 et descriptions opérationnelles en vertu de la clause 8, les choix et interfaces d'externalisation apparaissent donc dans les plans de traitement des risques, les procédures documentées et les notes relatives aux processus externalisés.
Veillez à ce que la même répartition soit respectée lors de vos opérations. évaluation des performances en vertu de la clause 9 et amélioration au titre de la clause 10, de sorte que les incidents communs entraînent des actions correctives dans les systèmes de gestion des deux organisations et pas seulement dans les files d'attente des tickets opérationnels.

Si vous utilisez un système de gestion intégré conforme à l'Annexe L et combinant la norme ISO 27001 avec des normes telles que l'ISO 22301 pour la continuité d'activité ou l'ISO 27701 pour la protection des données, réutilisez la même logique de responsabilité partagée. Les auditeurs doivent pouvoir suivre un cheminement logique depuis un service géré jusqu'aux responsabilités en matière de sécurité, de continuité d'activité et de protection des données, sans rencontrer de contradictions dans les différentes parties de votre système.

Quelles preuves devons-nous demander aux fournisseurs de services gérés pour attester de leur mise en œuvre continue de la norme ISO 27001, et pas seulement un certificat encadré ?

Vous devriez demander aux fournisseurs de services gérés des preuves montrant comment leurs contrôles ISMS et de l'annexe A fonctionnent au fil du temps pour les services dont vous dépendez : des documents structurés récents qui démontrent la planification, le fonctionnement, la mesure et l'amélioration sur au moins l'année écoulée.

Quels types de preuves MSP résistent le mieux aux audits internes et externes ?

Prioriser un petit ensemble d'artefacts qui correspondent clairement aux contrôles et aux changements réels :

Rapports ou instantanés d'audits internes du SMSI : – quels contrôles ont été échantillonnés, quelles non-conformités ou faiblesses ont été constatées et comment les actions correctives ont été suivies jusqu’à leur résolution.
Résumés de surveillance externe ou de recertification : – les résultats de l’organisme de certification, avec toutes les conclusions ou observations concernant vos services, plateformes ou lieux de prestation.
Résultats des tests de sécurité : – des tests d'intrusion et des analyses de vulnérabilité ciblés pour les systèmes qui sous-tendent vos charges de travail, avec un plan de remédiation clair et un état d'avancement pour les constatations importantes.
Métriques de gestion des vulnérabilités : – tendances en matière de délais de résolution, nombre de problèmes ouverts par gravité et exceptions formellement acceptées.
Supervision des fournisseurs et des sous-traitants : – des documents ou des tableaux de bord montrant comment ils évaluent et surveillent leurs propres fournisseurs stratégiques et plateformes cloud.
Indicateurs de formation et de sensibilisation : – la preuve que les personnes qui conçoivent, exploitent et prennent en charge les services gérés ont suivi une formation pertinente en matière de sécurité et de confidentialité.

Associez-les à des questions directes telles que :

« À quelle fréquence les audits internes, les tests techniques et les revues de direction portent-ils sur les systèmes qui prennent en charge les services que nous utiliserons, et quels changements avez-vous apportés en conséquence ? »
« Quel objectif vous êtes-vous fixé pour corriger les vulnérabilités critiques et élevées, et quels ont été vos résultats par rapport à ces objectifs au cours des 12 derniers mois ? »

Vous avez rarement besoin des journaux d'événements bruts ni de tous les détails fournis par leurs outils, mais vous devez disposer de preuves structurées et à jour en quantité suffisante pour démontrer que le système de gestion de la sécurité de l'information (SGSI) du fournisseur de services gérés est actif et efficace. Définir à l'avance ce que votre organisation considère comme un « dossier de preuves complet » et intégrer cette exigence à votre procédure de gestion des fournisseurs permet de réduire les frictions ultérieures et de simplifier vos propres audits ISO 27001 et de systèmes intégrés.

Comment pouvons-nous archiver et réutiliser efficacement les preuves MSP au sein de notre SMSI ou de notre SMSI de l'Annexe L ?

Traitez les preuves MSP avec la même structure et la même rigueur que vous exigez en interne :

Associez chaque artefact à des commandes et services spécifiques : – associer les documents aux contrôles, risques, enregistrements des fournisseurs et définitions de services pertinents de l’annexe A:2022, afin de pouvoir expliquer exactement ce que chaque élément de preuve soutient.
Propriété des étiquettes et fréquence de révision : – consigner qui est responsable de l’examen des preuves, la fréquence à laquelle elles doivent être mises à jour, ainsi que toutes les conditions ou tous les risques résiduels acceptés.
Réutiliser, le cas échéant, dans différents frameworks : – par exemple, un test d’intrusion qui couvre les systèmes relevant des normes ISO 27001, SOC 2 et NIS 2 devrait être référencé une seule fois de manière à satisfaire aux trois régimes, plutôt que d’être dupliqué dans des silos séparés.

Une plateforme de gestion de la sécurité de l'information (GSSI) partagée, telle que ISMS.online, facilite la liaison et la réutilisation des données : les preuves relatives aux prestataires de services gérés (PSG) peuvent être directement associées aux contrôles, aux risques, aux audits et aux dossiers fournisseurs. Lorsque les décideurs ou les auditeurs demandent : « Comment savez-vous que ce PSG opère toujours en toute sécurité et conformément à vos politiques ? », vous pouvez leur présenter les éléments liés directement à l'écran, sans qu'ils aient à parcourir des disques durs ou des échanges de courriels.

Comment comparer le niveau de maturité ISO 27001 de plusieurs MSP sans faire appel à des consultants à chaque fois ?

Vous pouvez comparer le niveau de maturité ISO 27001 des différents MSP en posant à chaque fournisseur le même ensemble de questions structurées et en convertissant leurs réponses en un modèle de notation simple qui reflète vos priorités en matière de risques, plutôt que d'essayer de pondérer chaque réponse isolément.

À quoi ressemble un tableau de bord pratique pour les fournisseurs de services gérés (MSP) basé sur la norme ISO 27001 ?

Un tableau de bord utile reste suffisamment concis pour être compris par des non-spécialistes, mais suffisamment riche pour orienter les décisions :

Portée et adéquation du certificat (1–5) : – dans quelle mesure le périmètre certifié du fournisseur de services gérés couvre clairement les services, les emplacements et les plateformes que vous prévoyez d'utiliser.
Cartographie des contrôles spécifiques au service (1–5) : – dans quelle mesure ils appliquent les contrôles de l’annexe A:2022 et autres contrôles pertinents à vos services et flux de données, avec les propriétaires désignés.
Clarté de la responsabilité partagée (1–5) : – dans quelle mesure leurs contrats, SLA et RACI précisent « qui fait quoi » en matière de traitement des risques, de surveillance, d’incidents et de continuité.
Profondeur et fraîcheur des preuves (1–5) : – dans quelle mesure leurs résultats d’audit, leurs tests, leurs indicateurs et leurs évaluations des fournisseurs sont complets et à jour pour les environnements dont vous dépendez.
Ouverture et réactivité (1–5) : – leur empressement à fournir des détails supplémentaires, à reconnaître les lacunes et à s’engager dans des plans d’amélioration réalistes.

Vous pouvez pondérer ces dimensions en fonction de votre secteur et de vos obligations. Par exemple, une organisation soumise à une réglementation en matière de résilience opérationnelle pourrait privilégier la continuité et les preuves ; un fournisseur SaaS en forte croissance pourrait mettre l’accent sur la transparence, la rigueur des tests de sécurité et la maîtrise de la plateforme.

L'utilisation conjointe de cette grille d'évaluation avec les services achats, juridiques, de sécurité et les responsables métiers permet d'établir un langage commun pour expliquer pourquoi un fournisseur de services gérés (MSP) représente une meilleure adéquation globale aux risques, même lorsque les conditions commerciales semblent similaires. Consigner les réponses, les scores et la justification dans votre système de gestion de la sécurité de l'information (SGSI) – plutôt que dans une simple présentation – permet de réutiliser et de mettre à jour l'évaluation lors des renouvellements et des audits, au lieu de devoir reconstituer la justification de mémoire à chaque fois que l'on vous demande « pourquoi avons-nous choisi ce fournisseur ? ».

Comment un tableau de bord MSP peut-il rester utile malgré des normes et des régions différentes ?

Un bon tableau de bord se concentre sur les comportements et les mécanismes d'assurance qui importent à de multiples normes et organismes de réglementation, et pas seulement sur la documentation relative à la norme ISO 27001 :

Vous pouvez appliquer le même modèle de base aux MSP qui prennent également en charge des régimes tels que PCI DSS, SOC 2, NIS 2 ou DORA, car vous évaluez la manière dont ils définissent le périmètre des services, mettent en œuvre et testent les contrôles, gèrent les fournisseurs et communiquent les risques.
Les conseils d'administration et les organismes de réglementation voient un une vision cohérente et comparable du risque lié aux tiers en matière de sécurité, de continuité et de confidentialité, plutôt qu'un ensemble disparate de questionnaires distincts pour chaque cadre.
Votre système de gestion intégré de l'Annexe L bénéficie d'une méthode reproductible pour traiter les questions externes et les parties intéressées en vertu de la clause 4, quelles que soient les normes spécifiques en vigueur à un moment donné.

Au fur et à mesure que vous collectez des résultats, le tableau de bord devient un outil de référence évolutif. Vous pouvez affiner les questions, ajuster la pondération en fonction de l'évolution de la réglementation ou de la tolérance au risque de l'entreprise, et établir des indicateurs de performance internes qui rendent chaque nouvelle évaluation MSP plus rapide, plus cohérente et plus facile à justifier auprès des décideurs.

Quand devient-il judicieux de transférer la supervision des fournisseurs de services gérés (MSP) vers une plateforme ISMS partagée plutôt que de la laisser reposer sur des courriels et des feuilles de calcul ?

Il est judicieux de transférer la supervision des MSP vers une plateforme ISMS partagée lorsque votre équipe recherche sans cesse les mêmes informations ISO 27001 auprès de plusieurs fournisseurs stratégiques, peine à maintenir à jour les preuves et les correspondances entre les documents, et a du mal à présenter un tableau cohérent des risques liés aux tiers à votre direction ou à vos auditeurs.

Quels avantages concrets pouvons-nous attendre de la gestion des MSP au sein d'une plateforme ISMS partagée ?

Commencer par un ou deux services gérés à fort impact permet de déterminer rapidement si ce modèle vous convient :

Structures de contrôle alignées : – vos ensembles de questions ISO 27001, vos matrices de contrôle spécifiques au service de l’annexe A:2022, vos répartitions de responsabilités partagées et vos enregistrements de risques sont regroupés dans un seul environnement auquel votre équipe et le MSP peuvent accéder sous des autorisations contrôlées.
Preuves en direct et essentielles : – Les résumés d’audits internes et externes, les rapports de tests d’intrusion, les indicateurs de vulnérabilité et les évaluations des fournisseurs peuvent être directement liés aux contrôles, aux risques et aux services qu’ils prennent en charge, ce qui vous permet de répondre aux demandes de type « montrez-moi » sans avoir à parcourir des dossiers.
Une source unique pour de multiples publics : – les mêmes informations structurées servent à la préparation des dossiers du conseil d’administration, aux mises à jour du comité des risques, aux réponses aux demandes de vérification préalable des clients et aux audits de certification, sans avoir à demander au fournisseur de services gérés les mêmes données dans plusieurs formats différents.
Évaluations et renouvellements plus rapides : – lorsque vous pouvez visualiser côte à côte la portée, la couverture des contrôles, les preuves et les résultats du tableau de bord au sein de votre système de gestion de la sécurité de l'information (SGSI), la comparaison des fournisseurs et la justification des renouvellements deviennent moins un exercice ponctuel basé sur une feuille de calcul.

Une première étape judicieuse consiste à choisir un service essentiel à votre activité, comme la surveillance de sécurité gérée ou une plateforme cloud centrale, à mettre en place une structure simple et conforme aux normes ISO pour ce service à l'aide d'un outil tel que ISMS.online, et à inviter le fournisseur de services gérés (MSP) à y contribuer en fournissant des éléments de preuve et des améliorations. Si, après un trimestre, vous pouvez présenter cette vision partagée à votre conseil d'administration, votre comité d'audit ou vos principaux clients sans avoir à rechercher des documents à la dernière minute, vous aurez la preuve que l'extension de cette approche à d'autres MSP sera rentable. Parallèlement, votre propre système de gestion de la sécurité de l'information (SGSI) ou votre système intégré conforme à l'Annexe L gagnera en maturité, car la supervision par un tiers deviendra une composante de la gestion courante plutôt qu'une corvée administrative annuelle.

Nous sommes un leader dans notre domaine

Responsable régional - Hiver 2026 Royaume-Uni

Responsable régional - Hiver 2026 Marché intermédiaire UE

Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »
— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »
— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »
— Ben H.

Principales questions que les équipes de sécurité des entreprises posent aux MSPS concernant la norme ISO 27001