ISO27001

Gestion des fournisseurs ISO 27001 : exigences en matiere de risques lies aux tiers

Maitrisez la gestion des fournisseurs ISO 27001 et les exigences relatives aux risques tiers, y compris la diligence raisonnable des fournisseurs, les controles A.5.19-A.5.23, les evaluations cloud et la surveillance continue.

GT

GRCTrail Team

Guide de gestion des fournisseurs et des risques tiers ISO 27001

Votre ISMS n’est aussi solide que votre fournisseur le plus faible. Chaque entreprise SaaS depend d’un reseau de relations avec des tiers — fournisseurs d’infrastructure cloud hebergeant votre environnement de production, fournisseurs d’identite gerant l’authentification, processeurs de paiement traitant les donnees financieres, outils de surveillance ingerant votre telemetrie, et des dizaines d’autres services dont votre application depend pour fonctionner. ISO 27001 reconnait cette realite et exige que vous identifiiez, evaluiez et geriez systematiquement les risques de securite de l’information introduits par ces relations.

Ce n’est pas un probleme theorique. Lorsqu’un fournisseur subit une violation, sa defaillance devient votre exposition. Les donnees clients traitees par un sous-traitant compromis restent votre responsabilite. Une panne du fournisseur d’identite qui empeche vos utilisateurs d’acceder a votre plateforme reste votre defaillance de disponibilite. Une dependance avec une porte derobee injectee dans votre pipeline de construction reste votre incident de securite. Les controles Annex A ISO 27001 A.5.19 a A.5.23 existent precisement parce que les relations avec les fournisseurs sont l’une des sources les plus significatives et persistantes de risque de securite de l’information.

Ce guide couvre les exigences ISO 27001 pour la gestion des fournisseurs, explique chaque controle Annex A pertinent, presente les processus pratiques de diligence raisonnable, d’alignement contractuel et de surveillance continue, et aborde les defis specifiques de la chaine d’approvisionnement auxquels font face les entreprises SaaS.

Controles ISO 27001 de gestion des fournisseurs expliques

La revision 2022 d’ISO 27001 regroupe les controles de gestion des fournisseurs dans la section A.5, au sein de la categorie des controles organisationnels. Cinq controles creent un cadre complet pour la gestion des risques lies aux tiers.

A.5.19 — Securite de l’information dans les relations avec les fournisseurs

C’est le controle fondateur. Il exige que vous etablissiez et documentiez une politique et des procedures pour gerer les risques de securite de l’information associes a l’utilisation des produits et services des fournisseurs. La politique doit traiter :

  • Les types de fournisseurs et les types d’acces qu’ils ont a vos informations et systemes
  • Les exigences minimales de securite de l’information pour chaque type de relation fournisseur
  • Les processus d’evaluation des capacites de securite de l’information des fournisseurs avant d’entrer dans une relation
  • Les criteres de selection et d’approbation des fournisseurs
  • Les responsabilites de gestion des relations fournisseurs tout au long de leur cycle de vie

Ce controle etablit que la gestion des fournisseurs n’est pas ad hoc — c’est un processus defini et repetable regi par une politique documentee. Votre politique de securite de l’information des fournisseurs doit faire partie de votre cadre de politiques ISMS plus large.

A.5.20 — Traitement de la securite de l’information dans les accords avec les fournisseurs

Une fois que vous avez selectionne un fournisseur, ce controle exige que vous etablissiez et conveniez des exigences pertinentes de securite de l’information avec chaque fournisseur pouvant acceder, traiter, stocker, communiquer ou fournir des composants d’infrastructure informatique pour vos informations. En termes pratiques, cela signifie que vos contrats doivent inclure :

  • Une definition claire des informations et services auxquels le fournisseur accede ou qu’il fournit
  • Des exigences de securite de l’information specifiques a la relation (normes de chiffrement, controles d’acces, droits d’audit)
  • Des obligations de notification des incidents (dans quel delai le fournisseur doit vous informer des incidents de securite affectant vos donnees)
  • L’obligation du fournisseur de se conformer a vos exigences de securite de l’information ou a des normes equivalentes
  • Votre droit d’auditer la conformite du fournisseur aux exigences convenues
  • Les exigences pour la gestion par le fournisseur de ses propres sous-fournisseurs (votre risque de quatrieme partie)
  • La restitution ou la destruction de vos informations a la fin de la relation
  • Les obligations de confidentialite et de non-divulgation

Ces exigences sont generalement mises en oeuvre par une combinaison du contrat-cadre de services, d’un accord de traitement des donnees (voir notre guide DPA GDPR pour les exigences lorsque des donnees personnelles sont impliquees), et d’annexes ou d’avenants relatifs a la securite de l’information.

A.5.21 — Gestion de la securite de l’information dans la chaine d’approvisionnement TIC

Ce controle traite specifiquement des risques de la chaine d’approvisionnement dans les produits et services des technologies de l’information et de la communication (TIC). Pour les entreprises SaaS, cela est directement pertinent car votre chaine d’approvisionnement logicielle comprend des bibliotheques open source, des composants commerciaux, des services cloud et des integrations SaaS-vers-SaaS.

Le controle exige que vous :

  • Definissiez et mettiez en oeuvre des processus de gestion des risques de securite de la chaine d’approvisionnement TIC
  • Exigiez que les fournisseurs propagent des pratiques de securite appropriees tout au long de la chaine d’approvisionnement
  • Incluiez les risques de la chaine d’approvisionnement TIC dans votre processus d’evaluation des risques
  • Surveilliez les menaces de la chaine d’approvisionnement (dependances compromises, mises a jour malveillantes, violations de fournisseurs)

Dans le contexte SaaS, ce controle conduit a des pratiques telles que l’analyse de la composition logicielle, l’analyse des vulnerabilites des dependances, les programmes de questionnaires de securite des fournisseurs et la surveillance des sous-traitants.

A.5.22 — Surveillance, revue et gestion des changements des services des fournisseurs

La gestion des fournisseurs n’est pas une activite ponctuelle. Ce controle exige une surveillance continue et une revue periodique des services des fournisseurs et de tout changement dans la prestation de services des fournisseurs. Plus specifiquement, vous devez :

  • Surveiller les performances et la securite des services des fournisseurs de maniere continue
  • Revoir la conformite des fournisseurs aux exigences de securite de l’information convenues
  • Gerer les changements dans les services des fournisseurs (y compris les changements des sous-fournisseurs du fournisseur, des plateformes technologiques ou de la posture de securite)
  • Evaluer si les changements dans le service du fournisseur affectent votre profil de risque de securite de l’information

Pour les entreprises SaaS, cela se traduit par une revue reguliere des rapports SOC 2 des fournisseurs, la surveillance des avis de securite des fournisseurs, le suivi des changements dans les listes de sous-traitants des fournisseurs et la reevaluation du risque fournisseur lorsque des changements significatifs surviennent.

A.5.23 — Securite de l’information pour l’utilisation des services cloud

C’est un nouveau controle introduit dans la revision 2022, refletant le role central des services cloud dans les systemes d’information modernes. Il exige que vous etablissiez des processus pour l’acquisition, l’utilisation, la gestion et la sortie des services cloud, avec une attention particuliere a :

  • La definition des exigences de securite de l’information pour les services cloud en fonction de vos besoins de securite
  • L’etablissement de criteres de selection des services cloud incluant les capacites de securite
  • La definition des roles et responsabilites entre votre organisation et le fournisseur de services cloud (le modele de responsabilite partagee)
  • La gestion des controles de securite qui sont de votre responsabilite dans le cadre du modele de responsabilite partagee
  • L’etablissement de strategies de sortie pour les services cloud, y compris la recuperation des donnees et la verification de suppression

Ce controle reconnait que les services cloud presentent des defis uniques de gestion des fournisseurs — vous partagez la responsabilite de la securite avec le fournisseur, et la frontiere de cette responsabilite partagee varie selon le modele de service (IaaS, PaaS, SaaS).

Pour une cartographie complete de tous les controles Annex A, consultez notre guide des controles Annex A ISO 27001.

Classification et hierarchisation des fournisseurs

Tous les fournisseurs ne portent pas le meme risque. Un fournisseur d’infrastructure cloud hebergeant votre base de donnees de production est fondamentalement different d’un outil de design utilise par votre equipe marketing. ISO 27001 exige que votre effort de gestion des fournisseurs soit proportionnel au risque que chaque fournisseur introduit. La classification et la hierarchisation rendent cela pratique.

Construire un inventaire des fournisseurs

Avant de pouvoir classifier les fournisseurs, vous avez besoin d’un inventaire complet. C’est plus difficile qu’il n’y parait car les entreprises SaaS adoptent generalement des outils rapidement et parfois sans supervision centralisee des achats.

Methodes de decouverte :

  • Registres financiers — Les factures, les releves de cartes de credit et les plateformes de gestion des abonnements revelent chaque outil et service pour lesquels l’organisation paie. C’est la source la plus fiable.
  • Journaux SSO et du fournisseur d’identite — Votre fournisseur d’identite (Okta, Google Workspace, Azure AD) montre quelles applications SaaS les employes utilisent. Les applications non integrees au SSO sont une lacune qui merite investigation.
  • Analyse du trafic reseau — Les journaux DNS et proxy revelent les services externes avec lesquels vos systemes communiquent, y compris ceux qui peuvent ne pas etre formellement approvisionnes.
  • Enquetes departementales — Demandez a chaque equipe quels outils et services elle utilise. Cela capture les outils gratuits et le shadow IT qui n’apparaissent pas dans les registres financiers.
  • Revue de l’architecture technique — Examinez vos diagrammes d’infrastructure, les manifestes de dependances (package.json, requirements.txt, Gemfile) et les configurations de deploiement pour identifier tous les services externes dont votre application depend.

Cadre de hierarchisation

Attribuez a chaque fournisseur un niveau en fonction du risque qu’il introduit. Un modele a trois niveaux equilibre la rigueur et la praticite :

NiveauCriteresNiveau de diligence raisonnableFrequence de revueExemples
Niveau 1 — CritiqueTraite ou stocke les donnees clients, heberge l’infrastructure de production, fournit des services critiques pour la securite, ou causerait une perturbation significative de l’activite s’il etait indisponibleDiligence raisonnable complete : questionnaire de securite, examen du rapport SOC 2/ISO 27001, resultats de tests de penetration, exigences de securite contractuellesAnnuellement (minimum), plus revues declenchees par des evenementsAWS/GCP/Azure, fournisseur principal de base de donnees, fournisseur d’identite, processeur de paiement
Niveau 2 — SignificatifAccede aux donnees internes sensibles, s’integre aux systemes de production ou fournit des services commerciaux importantsDiligence raisonnable standard : questionnaire de securite, examen des certifications, exigences de securite contractuellesAnnuellementPlateformes CI/CD, outils de surveillance, plateformes de communication avec integrations de donnees, systemes RH
Niveau 3 — FaiblePas d’acces aux donnees sensibles, pas d’integration avec les systemes de production, impact commercial limiteDiligence raisonnable basique : verification du statut de certification, examen de la politique de confidentialiteTous les 2 ansOutils de design, gestion de projet (sans donnees sensibles), fournitures de bureau, analyses marketing

Facteurs de classification a evaluer :

  • Acces aux donnees : Quels types de donnees le fournisseur accede-t-il ? Donnees clients, donnees des employes, donnees financieres, propriete intellectuelle ?
  • Traitement des donnees : Le fournisseur stocke-t-il vos donnees, les traite-t-il ou ne fait-il que les transiter ?
  • Integration systeme : Le fournisseur est-il integre a votre environnement de production ? Une compromission du fournisseur peut-elle atteindre vos systemes ?
  • Criticite commerciale : Que se passe-t-il si ce fournisseur devient indisponible ? Des minutes d’arret ou un simple desagrement ?
  • Exposition reglementaire : L’acces du fournisseur aux donnees personnelles cree-t-il des obligations en vertu du GDPR ou d’autres reglementations sur la vie privee ?
  • Remplacabilite : A quelle vitesse pourriez-vous passer a une alternative ? Des couts de changement eleves augmentent le risque de dependance a un fournisseur.

Processus de diligence raisonnable des fournisseurs

La diligence raisonnable est le processus d’evaluation de la posture de securite de l’information d’un fournisseur avant d’entrer dans une relation et periodiquement par la suite. La profondeur de la diligence raisonnable doit etre proportionnelle a la classification du niveau du fournisseur.

Evaluation prealable a l’engagement

Etape 1 : Collecter la documentation de securite du fournisseur.

Demandez les elements suivants en fonction du niveau du fournisseur :

Pour les fournisseurs de Niveau 1 :

  • Certificat ISO 27001 (verifiez que le perimetre couvre les services que vous utiliserez, verifiez le certificat aupres de l’organisme de certification)
  • Rapport SOC 2 Type II (lisez le rapport complet, pas seulement l’opinion — verifiez les exceptions, les opinions avec reserves et les controles complementaires de l’entite utilisatrice)
  • Resume du test de penetration ou rapport de synthese (recherchez les constatations critiques et elevees et si elles ont ete remediees)
  • Questionnaire de securite complete (SIG, CAIQ ou votre questionnaire personnalise)
  • Documentation de continuite d’activite et de reprise apres sinistre
  • Documentation sur la vie privee et le traitement des donnees (DPA, liste des sous-traitants, diagrammes de flux de donnees)
  • Certificats d’assurance (responsabilite cyber, indemnite professionnelle)

Pour les fournisseurs de Niveau 2 :

  • Certificat ISO 27001 ou rapport SOC 2
  • Questionnaire de securite complete (version abregee acceptable)
  • Politique de confidentialite et conditions de traitement des donnees
  • Procedures de notification des incidents

Pour les fournisseurs de Niveau 3 :

  • Examen de la page de securite publique ou du centre de confiance
  • Examen de la politique de confidentialite
  • Questionnaire basique (5-10 questions couvrant le chiffrement, le controle d’acces, la reponse aux incidents)

Etape 2 : Evaluer la documentation.

Ne vous contentez pas de cocher des cases. Analysez la documentation de maniere critique :

  • Perimetre du rapport SOC 2 : Le perimetre du rapport couvre-t-il les services specifiques que vous utilisez ? Une entreprise peut avoir un rapport SOC 2 pour un produit mais pas pour le produit que vous achetez.
  • Exceptions et reserves : Les rapports SOC 2 peuvent contenir des exceptions — des cas ou un controle n’a pas fonctionne efficacement. Lisez-les attentivement et evaluez si elles affectent votre risque.
  • Validite du certificat ISO 27001 : Verifiez la date d’expiration du certificat et verifiez-le aupres de l’organisme de certification emetteur. Certaines organisations continuent de presenter des certificats expires.
  • Constatations des tests de penetration : Concentrez-vous sur les constatations pertinentes pour les services que vous utilisez. Les constatations critiques ou elevees qui restent ouvertes sont des indicateurs de risque significatifs.
  • Liste des sous-traitants : Identifiez les propres tiers du fournisseur qui peuvent acceder a vos donnees. Votre risque de quatrieme partie fait partie de votre risque de tierce partie.

Etape 3 : Evaluer le risque residuel.

Apres avoir examine la documentation, determinez si des risques residuels necessitent des controles supplementaires, une acceptation du risque ou sont redhibitoires. Documentez votre evaluation des risques pour chaque fournisseur de Niveau 1 et de Niveau 2 et integrez-la dans votre evaluation globale des risques.

Conception du questionnaire de securite

Si vous utilisez un questionnaire de securite personnalise (plutot que ou en complement de cadres standard comme SIG ou CAIQ), concentrez-vous sur des questions qui produisent des reponses exploitables :

Gestion des identites et des acces :

  • Comment le fournisseur controle-t-il l’acces a vos donnees ? Quels mecanismes d’authentification sont utilises ?
  • Le fournisseur impose-t-il la MFA pour tout acces aux systemes qui traitent vos donnees ?
  • Comment les droits d’acces sont-ils revus et revoques pour les employes licencies ?

Protection des donnees :

  • Comment vos donnees sont-elles chiffrees au repos et en transit ? Quelles normes de chiffrement et longueurs de cle sont utilisees ?
  • Ou vos donnees sont-elles stockees geographiquement ? Le fournisseur utilise-t-il des sous-traitants dans des juridictions en dehors de votre liste approuvee ?
  • Quelle est la politique de retention des donnees du fournisseur ? Comment vos donnees sont-elles supprimees a la fin du contrat ?

Gestion des incidents :

  • Quel est le delai de notification des incidents du fournisseur ? (Recherchez des engagements specifiques — « rapidement » n’est pas un delai)
  • Le fournisseur effectue-t-il des revues post-incident et partage-t-il les conclusions pertinentes avec les clients affectes ?
  • Le fournisseur a-t-il subi des incidents de securite au cours des 24 derniers mois ?

Continuite d’activite :

  • Quels sont les objectifs de temps de recuperation et de point de recuperation du fournisseur ?
  • Le fournisseur teste-t-il ses procedures de reprise apres sinistre ? A quelle frequence ?
  • Quel est le bilan de disponibilite et le SLA du fournisseur ?

Maturite du programme de securite :

  • Le fournisseur detient-il la certification ISO 27001 ou l’attestation SOC 2 ?
  • Le fournisseur effectue-t-il des tests de penetration reguliers ? Par qui ?
  • Le fournisseur dispose-t-il d’un programme de divulgation des vulnerabilites ?

Exigences de securite contractuelles

Le controle A.5.20 exige que les exigences de securite de l’information soient formellement convenues dans les contrats fournisseurs. Ces exigences protegent votre organisation juridiquement et operationnellement lorsque les relations fournisseurs ne se deroulent pas comme prevu.

Clauses contractuelles essentielles

Conditions de traitement des donnees. Definissez exactement quelles donnees le fournisseur accede, comment il peut les traiter, ou il peut les stocker et pour combien de temps. Si des donnees personnelles sont impliquees, un Accord de Traitement des Donnees formel est requis en vertu du GDPR (voir notre guide DPA GDPR).

Exigences de securite. Specifiez les controles de securite minimaux que le fournisseur doit maintenir :

  • Normes de chiffrement (TLS 1.2+ en transit, AES-256 au repos)
  • Exigences de controle d’acces (MFA, acces base sur les roles, gestion des acces privilegies)
  • Obligations de journalisation et de surveillance
  • Attentes en matiere de gestion des vulnerabilites (SLA de correctifs, frequence des tests de penetration)
  • Exigences de verification des antecedents des employes ayant acces a vos donnees

Notification des incidents. Exigez que le fournisseur vous notifie des incidents de securite affectant vos donnees dans un delai defini. Pour les fournisseurs traitant des donnees personnelles soumises au GDPR, ce delai doit etre suffisamment court pour vous permettre de respecter votre propre obligation de notification de 72 heures. Un standard courant consiste a exiger une notification dans les 24-48 heures. Incluez des exigences relatives au contenu de la notification : ce qui s’est passe, quelles donnees ont ete affectees, ce que le fournisseur fait a ce sujet et les coordonnees de leur equipe d’incident.

Droits d’audit. Reservez-vous le droit d’auditer la conformite du fournisseur aux exigences de securite convenues, soit directement, soit par l’intermediaire d’un tiers independant. Pour les fournisseurs de Niveau 1, cette clause est non negociable. En pratique, la plupart des entreprises SaaS exercent leurs droits d’audit par l’examen des rapports SOC 2 plutot que par des audits sur site, mais disposer du droit contractuel vous permet de mener un audit direct si le rapport SOC 2 souleve des preoccupations.

Gestion des sous-traitants. Exigez que le fournisseur vous notifie avant d’engager de nouveaux sous-traitants qui accederont a vos donnees. Definissez votre droit d’objection aux changements de sous-traitants. C’est particulierement important en vertu du GDPR, ou vous devez maintenir une image precise de toutes les entites traitant des donnees personnelles pour votre compte.

Restitution et destruction des donnees. A la fin du contrat, le fournisseur doit restituer toutes vos donnees dans un format utilisable et certifier que toutes les copies ont ete detruites de maniere securisee. Definissez le delai de restitution et de destruction (30 jours est courant) et la methode de certification de destruction (attestation ecrite d’un responsable autorise, certificat de destruction).

Obligations de conformite. Exigez que le fournisseur maintienne les certifications pertinentes (ISO 27001, SOC 2) pendant toute la duree de l’accord et vous notifie si sa certification expire ou s’il recoit des opinions d’audit avec reserves.

Responsabilite et indemnisation. Definissez la responsabilite du fournisseur en cas de violation de securite causee par son manquement aux exigences de securite convenues. Incluez l’indemnisation pour les amendes reglementaires, les couts de notification et les reclamations clients resultant des violations du fournisseur.

Evaluation des fournisseurs cloud et modele de responsabilite partagee

Le controle A.5.23 traite specifiquement des services cloud, reconnaissant que les relations avec les fournisseurs cloud sont fondamentalement differentes des relations traditionnelles avec les fournisseurs en raison du modele de responsabilite partagee.

Comprendre la responsabilite partagee

Dans un environnement cloud, la securite est repartie entre le fournisseur cloud et le client. La repartition exacte depend du modele de service :

Infrastructure en tant que Service (IaaS) — AWS EC2, GCP Compute Engine, Azure VMs :

  • Responsabilite du fournisseur : Securite physique, hyperviseur, infrastructure reseau, infrastructure de stockage
  • Votre responsabilite : Correctifs du systeme d’exploitation, securite applicative, chiffrement des donnees, gestion des acces, configuration reseau, journalisation, surveillance

Plateforme en tant que Service (PaaS) — AWS RDS, Google App Engine, Azure App Service :

  • Responsabilite du fournisseur : Tout ce qui est dans l’IaaS plus le systeme d’exploitation, l’environnement d’execution et le middleware
  • Votre responsabilite : Code applicatif, donnees, gestion des acces, chiffrement au niveau applicatif, surveillance

Logiciel en tant que Service (SaaS) — Salesforce, Slack, Datadog :

  • Responsabilite du fournisseur : Presque tout — infrastructure, plateforme, application, securite physique
  • Votre responsabilite : Classification des donnees, gestion des acces (provisionnement/deprovisionnement des utilisateurs, application de la MFA), parametres de configuration, securite des integrations

Evaluer les fournisseurs cloud

Pour les fournisseurs IaaS et PaaS (vos fournisseurs de Niveau 1), l’evaluation se concentre sur :

Certifications et attestations. Les principaux fournisseurs cloud maintiennent des portefeuilles de certifications complets. Verifiez que les services et regions specifiques que vous utilisez sont dans le perimetre de leurs certifications. Le certificat ISO 27001 d’AWS, par exemple, couvre des services specifiques listes dans le perimetre — verifiez que vos services sont inclus.

Documentation de responsabilite partagee. Examinez la documentation du modele de responsabilite partagee du fournisseur pour comprendre exactement ce qu’il securise et ce que vous devez securiser. Comparez cela avec vos exigences de controle pour vous assurer qu’il n’y a pas de lacunes.

Controles complementaires de l’entite utilisatrice (CUECs) / Controles complementaires de l’organisation de sous-service (CSOCs). Les rapports SOC 2 des fournisseurs cloud listent les controles qu’ils attendent que vous mettiez en oeuvre de votre cote. Si vous comptez sur AWS mais n’avez pas mis en oeuvre leurs CUECs concernant la gestion des cles de chiffrement, la securite reseau et les controles d’acces, il y a une lacune dans votre environnement de controle que votre auditeur identifiera.

Residence et souverainete des donnees. Verifiez que le fournisseur peut repondre a vos exigences de residence des donnees. Si vous vous etes engage a stocker les donnees clients de l’UE dans l’UE, confirmez que les regions et services cloud specifiques que vous utilisez sont conformes. Tenez compte de la replication des donnees, des emplacements de stockage des sauvegardes et de l’acces au support qui peut traverser les frontieres geographiques.

Strategie de sortie. Le controle A.5.23 exige une planification de sortie. Evaluez la faisabilite de la migration hors du fournisseur cloud : formats d’export des donnees, compatibilite API, conditions contractuelles pour la recuperation des donnees et calendrier de suppression des donnees apres la fin du contrat. La dependance a un fournisseur est un risque qui doit etre gere.

Surveillance et revue continues

Le controle A.5.22 exige une surveillance continue — la gestion des fournisseurs ne s’arrete pas apres la signature du contrat. Votre programme de surveillance doit suivre la posture de securite des fournisseurs, les performances des services et les changements qui affectent votre profil de risque.

Activites de surveillance continue

Suivi des certifications et rapports. Suivez les dates d’expiration du certificat ISO 27001 et de la periode d’observation du rapport SOC 2 de chaque fournisseur. Demandez des rapports mis a jour avant leur expiration. Un fournisseur dont le rapport SOC 2 a expire il y a six mois et qui n’en a pas produit de nouveau est un indicateur de risque necessitant une investigation.

Surveillance des avis de securite. Surveillez les avis de securite, les notifications de violation et les divulgations de vulnerabilites des fournisseurs. De nombreux fournisseurs publient des avis de securite par le biais de listes de diffusion, de pages de statut ou de portails de confiance. Abonnez-vous a ces canaux pour tous les fournisseurs de Niveau 1 et de Niveau 2.

Notifications de changement de sous-traitants. Suivez les changements dans les listes de sous-traitants des fournisseurs. En vertu du GDPR, les sous-traitants doivent vous informer des nouveaux sous-traitants avant de les engager. En vertu d’ISO 27001, les changements de sous-traitants peuvent affecter votre profil de risque et necessiter une reevaluation.

Suivi des performances et de la disponibilite. Surveillez la disponibilite, les temps de reponse et la conformite aux SLA des fournisseurs. Une degradation persistante des performances peut indiquer des problemes sous-jacents de securite ou operationnels.

Actualites et renseignement sur les menaces. Surveillez les sources d’actualites de securite et les flux de renseignement sur les menaces pour les rapports de violations, vulnerabilites ou autres evenements de securite affectant vos fournisseurs. Vous pouvez prendre connaissance d’une compromission de fournisseur par des rapports publics avant que le fournisseur ne vous en informe formellement.

Processus de revue periodique

Revue annuelle des fournisseurs (Niveau 1). Effectuez une revue annuelle complete de chaque fournisseur de Niveau 1 :

  • Demander et examiner le rapport SOC 2 Type II mis a jour ou les resultats de l’audit de surveillance ISO 27001
  • Examiner tous les incidents de securite que le fournisseur a signales au cours de l’annee
  • Reevaluer la classification de risque du fournisseur en fonction de tout changement dans la relation
  • Examiner les conditions contractuelles pour leur adequation (exigences de securite, delais de notification, droits d’audit)
  • Verifier que vos controles complementaires sont toujours efficaces
  • Mettre a jour votre registre des risques avec tout changement des risques lies aux fournisseurs

Revue annuelle des fournisseurs (Niveau 2). Effectuez une revue plus legere des fournisseurs de Niveau 2 :

  • Verifier le statut de certification
  • Examiner les incidents signales
  • Confirmer que les activites de traitement des donnees n’ont pas change de maniere substantielle
  • Mettre a jour la classification de risque si necessaire

Revue biennale des fournisseurs (Niveau 3). Examinez les fournisseurs de Niveau 3 tous les deux ans :

  • Verifier que le fournisseur est toujours adapte au service fourni
  • Verifier s’il y a eu des evenements de securite significatifs
  • Confirmer que la relation ne s’est pas elargie en perimetre (ce qui pourrait justifier une reclassification)

Gestion des changements de risque fournisseur

Lorsque la surveillance revele un changement dans le risque fournisseur, vous avez besoin d’un processus de reponse defini :

Le fournisseur signale un incident de securite. Activez vos propres procedures de gestion des incidents. Evaluez si vos donnees ont ete affectees. Determinez si l’incident du fournisseur declenche vos propres obligations de notification. Demandez un rapport post-incident au fournisseur et evaluez si votre evaluation des risques et vos controles doivent etre mis a jour.

La certification du fournisseur expire. Un certificat ISO 27001 expire ou un rapport SOC 2 en retard est un indicateur de risque significatif. Contactez le fournisseur pour comprendre pourquoi. Demandez des preuves alternatives de leur posture de securite (test de penetration recent, mise a jour du questionnaire de securite). Escaladez en interne et determinez si des controles compensatoires sont necessaires pendant que la lacune de certification persiste.

Changement de sous-traitant du fournisseur. Evaluez le nouveau sous-traitant par rapport a vos exigences de securite. Evaluez si le changement introduit de nouveaux risques (nouvelle juridiction, nouvel acces aux donnees, posture de securite differente). Exercez votre droit d’objection si le changement est inacceptable.

Acquisition ou changement commercial significatif du fournisseur. Lorsqu’un fournisseur est acquis, sa posture de securite peut changer. Reevaluez la relation, examinez les conditions et certifications mises a jour et determinez si l’entite acquerante repond a vos exigences.

Gestion des incidents fournisseurs

Lorsqu’un fournisseur subit un incident de securite pouvant affecter votre organisation, votre reponse doit etre coordonnee avec celle du fournisseur.

Reception de la notification d’incident du fournisseur. Lorsque vous recevez une notification d’incident d’un fournisseur :

  1. Enregistrez la notification avec l’horodatage, la source et le contenu
  2. Evaluez l’impact potentiel sur vos donnees et systemes
  3. Determinez si vos propres procedures de reponse aux incidents doivent etre activees
  4. Identifiez si l’incident du fournisseur declenche vos obligations de notification envers les clients ou les regulateurs
  5. Demandez des mises a jour regulieres au fournisseur sur l’avancement de l’investigation et de la remediation

Vos responsabilites pendant un incident fournisseur :

  • Mettre en oeuvre les mesures d’attenuation recommandees (rotation des identifiants, restriction d’acces, surveillance renforcee)
  • Evaluer le rayon d’explosion au sein de votre propre environnement
  • Conserver les journaux et preuves pertinents de vos systemes pouvant aider l’investigation
  • Coordonner les communications client si les donnees clients peuvent etre affectees
  • Suivre l’avancement de la remediation du fournisseur et verifier que les vulnerabilites sont traitees

Revue post-incident du fournisseur. Apres la resolution de l’incident du fournisseur :

  • Demander un rapport post-incident detaille au fournisseur
  • Evaluer si la reponse du fournisseur etait adequate
  • Reevaluer la classification de risque du fournisseur
  • Determiner si des changements contractuels sont necessaires (exigences de notification plus strictes, obligations de securite supplementaires)
  • Mettre a jour votre registre des risques et vos controles en fonction des lecons apprises

Depart du fournisseur et restitution/destruction des donnees

La fin d’une relation fournisseur est une periode a haut risque que de nombreuses organisations gerent mal. ISO 27001 exige que vous geriez les sorties de fournisseurs avec la meme rigueur que l’integration des fournisseurs.

Processus de depart

Etape 1 : Inventaire et restitution des donnees. Avant de mettre fin a la relation :

  • Identifiez toutes les donnees detenues par le fournisseur (donnees de production, sauvegardes, journaux, donnees de test)
  • Demandez l’export de toutes les donnees dans un format utilisable et portable
  • Verifiez la completude des donnees restituees
  • Transferez les donnees vers vos systemes ou un fournisseur de remplacement

Etape 2 : Revocation des acces. Immediatement apres la fin du contrat :

  • Revoquez l’acces du fournisseur a vos systemes (cles API, comptes de service, acces VPN, cles SSH)
  • Revoquez l’acces de votre equipe aux systemes du fournisseur (pour eviter une utilisation continue accidentelle)
  • Supprimez le fournisseur de vos integrations SSO/fournisseur d’identite
  • Mettez a jour les regles de pare-feu et les configurations reseau pour bloquer la connectivite du fournisseur

Etape 3 : Verification de la destruction des donnees.

  • Demandez une certification ecrite du fournisseur attestant que toutes les copies de vos donnees ont ete detruites de maniere securisee
  • La certification doit preciser la methode de destruction, la date et les jeux de donnees detruits
  • Pour les fournisseurs traitant des donnees personnelles en vertu du GDPR, la verification de la destruction des donnees est une exigence legale
  • Definissez un rappel de suivi pour confirmer la destruction dans le delai contractuellement convenu (generalement 30-90 jours)

Etape 4 : Mise a jour de la documentation.

  • Mettez a jour votre inventaire des fournisseurs pour refleter la relation terminee
  • Mettez a jour votre registre des risques pour supprimer ou modifier les risques lies au fournisseur
  • Archivez la documentation de securite, le contrat et la correspondance du fournisseur pour vos archives
  • Si le fournisseur etait un sous-traitant liste dans votre documentation de traitement des donnees destinee aux clients, mettez a jour ces enregistrements

Considerations relatives a la chaine d’approvisionnement SaaS

Les entreprises SaaS font face a des risques de chaine d’approvisionnement distincts de la gestion traditionnelle des fournisseurs d’entreprise. Votre programme ISO 27001 doit en tenir compte.

Risque lie aux dependances open source

Votre application depend probablement de centaines ou de milliers de bibliotheques open source. Chacune fait partie de votre chaine d’approvisionnement, et chacune comporte un risque.

Analyse de la composition logicielle (SCA). Mettez en place une analyse automatisee de vos manifestes de dependances pour identifier les vulnerabilites connues, les problemes de conformite des licences et les paquets obsoletes. L’analyse SCA doit etre integree a votre pipeline CI/CD afin que les dependances vulnerables soient detectees avant le deploiement.

Epinglage des dependances et verification de l’integrite. Epinglez les versions des dependances et verifiez l’integrite des paquets a l’aide de sommes de controle ou de signatures. Cela previent les attaques ou un acteur malveillant publie une version compromise d’un paquet populaire.

Surveillance des attaques de chaine d’approvisionnement. Abonnez-vous aux avis de securite pour vos dependances critiques. Surveillez les rapports de paquets compromis, les attaques de typosquatting et les compromissions de comptes de mainteneurs.

Integrations SaaS-vers-SaaS

Les architectures SaaS modernes impliquent souvent de nombreuses integrations entre services SaaS. Chaque integration cree un flux de donnees qui doit etre evalue comme une relation fournisseur.

Gestion des jetons OAuth. Les integrations SaaS utilisent generalement des jetons OAuth pour l’authentification. Ces jetons accordent l’acces a vos donnees et doivent etre geres comme des identifiants : inventories, avec des portees minimales, regulierement revus et revoques lorsqu’ils ne sont plus necessaires.

Cartographie des flux de donnees. Pour chaque integration SaaS-vers-SaaS, documentez quelles donnees circulent entre les services, dans quelle direction, dans quel but et ce que le service recepteur en fait. Cette cartographie soutient a la fois votre conformite ISO 27001 et vos registres de traitement des donnees GDPR.

Revues d’acces des integrations. Examinez periodiquement toutes les integrations SaaS actives. Identifiez les integrations qui ne sont plus necessaires, les integrations avec des permissions excessives et les integrations connectees par d’anciens employes dont les comptes ont ete deprovisionnes mais dont les integrations persistent.

Securite des API dans les relations fournisseurs

Les API sont le tissu connectif des chaines d’approvisionnement SaaS. Les API des fournisseurs introduisent des risques qui doivent etre geres :

Authentification et autorisation des API. Assurez-vous que les integrations API des fournisseurs utilisent une authentification forte (cles API, OAuth, TLS mutuel). Examinez la documentation de securite des API du fournisseur pour la limitation de debit, la validation des entrees et les pratiques de controle d’acces.

Versionnement et depreciation des API. Surveillez les annonces de versions d’API des fournisseurs. Les API depreciees peuvent recevoir moins d’attention en matiere de securite. Planifiez les migrations vers les versions d’API supportees dans le delai de depreciation du fournisseur.

Minimisation des donnees dans les appels API. Demandez uniquement les donnees dont vous avez besoin aux API des fournisseurs. Des requetes API trop larges recuperent et transmettent des donnees inutilement, augmentant l’impact d’une interception potentielle ou d’une violation du fournisseur.

Construire un programme de gestion des fournisseurs conforme a ISO 27001 : etape par etape

Pour les entreprises SaaS construisant leur programme de gestion des fournisseurs dans le cadre de la mise en oeuvre d’ISO 27001, voici une feuille de route pratique :

Mois 1 : Fondation

  • Rediger et approuver votre politique de securite de l’information des fournisseurs (A.5.19)
  • Definir votre cadre de hierarchisation des fournisseurs
  • Commencer l’inventaire des fournisseurs en analysant les registres financiers et les journaux SSO

Mois 2 : Inventaire et classification

  • Completer l’inventaire des fournisseurs dans tous les departements
  • Classifier chaque fournisseur dans le niveau approprie
  • Prioriser les fournisseurs de Niveau 1 pour une diligence raisonnable immediate

Mois 3-4 : Diligence raisonnable de Niveau 1

  • Demander la documentation de securite a tous les fournisseurs de Niveau 1
  • Evaluer les rapports SOC 2, les certificats ISO 27001 et les reponses aux questionnaires
  • Identifier les lacunes contractuelles et initier la renegociation pour les clauses de securite manquantes
  • Documenter les evaluations des risques pour chaque fournisseur de Niveau 1

Mois 5 : Diligence raisonnable de Niveau 2 et alignement contractuel

  • Completer les evaluations des fournisseurs de Niveau 2
  • S’assurer que tous les contrats de Niveau 1 et de Niveau 2 incluent les clauses de securite requises (A.5.20)
  • Executer les DPA la ou le traitement de donnees personnelles l’exige

Mois 6 : Lancement du programme de surveillance

  • Etablir le suivi des certifications et rapports pour tous les fournisseurs de Niveau 1 et de Niveau 2
  • S’abonner aux canaux d’avis de securite des fournisseurs critiques
  • Configurer des rappels de calendrier pour les cycles de revue annuelle
  • Documenter vos procedures de surveillance

En continu : Operer et ameliorer

  • Effectuer les revues annuelles des fournisseurs selon votre calendrier de hierarchisation
  • Traiter les notifications d’incidents fournisseurs via vos procedures de gestion des incidents
  • Gerer l’integration et le depart des fournisseurs en utilisant vos processus definis
  • Rapporter le statut des risques fournisseurs lors des revues de direction
  • Mettre a jour votre programme de gestion des fournisseurs en fonction des lecons apprises et des conclusions d’audit

Ce programme doit s’aligner sur votre liste de controle de certification ISO 27001 globale et se connecter a vos processus d’evaluation des risques et d’amelioration continue.

Erreurs courantes dans la gestion des fournisseurs ISO 27001

Pas d’inventaire des fournisseurs. Vous ne pouvez pas gerer ce que vous n’avez pas identifie. Les organisations qui sautent l’etape de l’inventaire et ne gerent que les fournisseurs auxquels elles pensent auront des lacunes. Le shadow IT — les outils adoptes par des equipes individuelles sans achat centralise — est la source la plus courante de risque fournisseur non gere.

Traiter tous les fournisseurs de la meme maniere. Appliquer la meme rigueur de diligence raisonnable a votre fournisseur de fournitures de bureau qu’a votre fournisseur d’infrastructure cloud gaspille des ressources sur les fournisseurs a faible risque tout en sous-investissant potentiellement dans les fournisseurs critiques. La hierarchisation rend votre programme proportionnel et durable.

Accepter l’auto-attestation comme diligence raisonnable. Un fournisseur qui vous dit qu’il est securise n’est pas une preuve qu’il l’est. Exigez des preuves independantes : certificats ISO 27001 emis par des organismes de certification accredites, rapports SOC 2 de cabinets d’audit qualifies, rapports de tests de penetration de testeurs reputes. Les questionnaires de securite auto-remplis completent mais ne remplacent pas l’attestation independante.

Contrats sans clauses de securite. Si votre contrat avec un fournisseur critique n’inclut pas d’exigences de securite, d’obligations de notification des incidents et de droits d’audit, vous n’avez aucune base contractuelle pour le tenir responsable quand quelque chose tourne mal. L’ajout retroactif de clauses de securite dans les contrats existants est difficile — incluez-les des le depart.

Diligence raisonnable unique sans surveillance continue. Un fournisseur qui a reussi votre evaluation il y a deux ans peut ne plus repondre a vos exigences aujourd’hui. Les personnes changent, les architectures changent, la propriete change. La surveillance continue (A.5.22) n’est pas optionnelle — c’est une exigence de controle distincte et explicite.

Ignorer le modele de responsabilite partagee. Les entreprises SaaS qui supposent que leur fournisseur cloud gere toute la securite creent des lacunes critiques. Votre fournisseur cloud securise son infrastructure. Vous devez securiser votre configuration, votre gestion des acces, vos donnees et vos applications. Le manquement a mettre en oeuvre vos controles complementaires est une constatation dans votre audit ISO 27001 et une veritable vulnerabilite de securite.

Pas de processus de depart. Les fournisseurs avec un acces persistant apres la fin du contrat representent un risque de securite. Les donnees dont la destruction n’est pas confirmee apres la fin d’une relation representent un risque de conformite. Definissez et executez un processus de depart pour chaque relation fournisseur qui prend fin.

Ne pas surveiller les integrations SaaS-vers-SaaS. Les jetons OAuth et les integrations API crees entre les services SaaS sont des relations fournisseurs que de nombreuses organisations ne parviennent pas a inventorier et a gerer. Une integration inutilisee avec des permissions larges est une surface d’attaque qui attend d’etre exploitee.

Comment GRCTrail peut vous aider

GRCTrail fournit aux entreprises SaaS un programme structure de gestion des fournisseurs qui satisfait les controles Annex A ISO 27001 A.5.19-A.5.23 tout en rendant la supervision continue des fournisseurs gerable a grande echelle.

  • Registre centralise des fournisseurs avec hierarchisation qui inventorie chaque fournisseur, les classe par niveau de risque, suit leur documentation de securite (certificats ISO 27001, rapports SOC 2, reponses aux questionnaires) et vous alerte lorsque les certifications ou rapports approchent de leur expiration
  • Automatisation du workflow de diligence raisonnable qui guide votre equipe a travers le processus d’evaluation pour chaque niveau de fournisseur, suit la collecte de documents et enregistre les decisions d’evaluation des risques dans un format auditable que votre organisme de certification peut examiner
  • Tableaux de bord de surveillance continue avec rappels automatises pour les revues annuelles, suivi des changements de sous-traitants et integration avec votre registre des risques afin que les changements de risques fournisseurs alimentent directement votre revue de direction ISMS

Commencez avec GRCTrail →

Guides connexes

#iso-27001 #gestion-des-fournisseurs #risques-tiers #saas #securite #gestion-des-prestataires

Articles connexes

ISO27001

Controle d'acces ISO 27001 : exigences, mesures et mise en oeuvre SaaS

Un guide complet sur les exigences de controle d'acces ISO 27001, les mesures de l'Annex A et la mise en oeuvre pratique pour les entreprises SaaS, incluant IAM, MFA et revues d'acces.

ISO27001

Gestion des incidents ISO 27001 : exigences et cadre de reponse

Decouvrez les exigences de gestion des incidents ISO 27001, notamment les procedures de reponse aux incidents, les controles Annex A A.5.24-A.5.28, la classification, le signalement et les processus de revue post-incident.

ISO27001

Politiques ISO 27001 : quelles politiques sont necessaires et comment les rediger

Decouvrez quelles politiques ISO 27001 votre ISMS necessite, comment rediger une politique de securite de l'information qui passe la certification, et des conseils pratiques pour les equipes SaaS.

Retour à tous les articles