Accueil

La norme ISO 27036 fournit un cadre normalisé pour les relations entre acquéreurs et fournisseurs

ISO 27036 fournit un cadre normalisé pour les relations entre acquéreur et fournisseur afin de gérer les risques liés à la sécurité de l'information lors de l'acquisition de biens et de services auprès d'un tiers.
6 minutes de lecture
Achint Sharma
Achint Sharma
Consultant, cybersécurité, HCLTech
6 minutes de lecture
Gérez plus efficacement vos relations avec des tierces parties

Il ne fait aucun doute que les organisations investissent énormément d’argent dans la sécurité de l’information récemment en raison de l’augmentation des incidents de violation de données et des attentes des clients clés. C’est désormais une exigence pour faire des affaires. Contrairement au passé, de plus en plus d’organisations augmentent leur dépendance envers des tiers pour la fourniture de biens et services à leurs clients. Ceci est dû aux raisons suivantes :

  • Cibler la main-d’œuvre interne sur les processus d’affaires principaux, ce qui permet d’économiser de l’argent et d’offrir un meilleur rendement du capital investi
  • Acquérir une compétence de niche que l’organisation pourrait ne pas avoir à l’interne, pour atteindre certains objectifs d’affaires
  • Acquérir un service de base qui ne peut pas être efficacement fourni par l’organisation (comme l’électricité)

Mais comme toute chose a ses avantages et inconvénients, le revers de l’utilisation de fournisseurs tiers est que l’organisation doit exposer ou donner accès à ses systèmes d’information qui hébergent et traitent des données critiques. Gérer le profil de risque d’une organisation n’a jamais été aussi difficile. Une autre préoccupation des hauts dirigeants est de savoir dans quelle mesure chaque fournisseur tiers gère sa propre posture de sécurité. Si ce n’est pas sécuritaire, cela pourrait affecter directement ou indirectement l’organisation principale en termes de risques et d’expositions financiers, réputationnels, de conformité et réglementaires.

Risques de sécurité de l’information impliquant des tiers

Les organisations et leurs tiers peuvent causer des risques pour la sécurité de l’information les uns aux autres. Certains de ces risques sont expliqués ci-dessous :

  • La dépendance de l’organisation envers les tiers complique sa propre continuité des affaires et ses dispositions de résilience
  • Les responsabilités partagées entre une organisation et des tiers vont à l’encontre du modèle zéro-confiance
  • Comprendre la coordination complexe entre une organisation et des tiers afin de s’adapter et de répondre aux changements légaux/réglementaires
  • Le décalage entre les politiques organisationnelles et celles des tiers, en termes de maturité
  • Et bien plus encore.

La norme ISO 27036 fournit des recommandations sur la gestion des risques liés à la sécurité de l’information lors de l’acquisition de biens et de services auprès de tiers. La norme utilise des termes tels que « acquéreur » et « fournisseur » plutôt que l’organisation et le tiers.

Qu’est-ce que l’ISO 27036 et comment aide-t-elle à gérer les relations complexes avec des tiers ?

L’ISO 27036 fait partie de la famille des normes ISO 27000, qui fournit un cadre pour améliorer les pratiques lors du développement de Systèmes de gestion de la sécurité de l’information (SGSI). L’ISO 27036 fournit des recommandations sur la gestion des risques liés à la sécurité de l’information lors de l’acquisition de biens et de services auprès de tiers. La norme utilise des termes tels que « acquéreur » et « fournisseur » plutôt que l’organisation et le tiers.

Portée et application de l’ISO 27036

La norme s’applique aux relations commerciales entre un acquéreur et un fournisseur pour la fourniture de biens et services, comme :

  • Fourniture de matériel, de logiciels et de technologies de l’information et des communications (TIC)
  • Services d’informatique en nuage
  • Services de soutien tels que l’entretien ménager et la sécurité
  • Services publics comme l’électricité, l’eau, etc.

Architecture de l’ISO 27036

L’ISO 27036 est une norme multipartite. La figure ci-dessous présente l’architecture notionnelle de la norme :

ISO-27036-Architecture

Fig 1 : Architecture de l’ISO 27036

  1. Partie 1 : ISO 27036-1:2021 - Vue d’ensemble et concepts

    La partie 1 est la partie introductive de l’ISO 27036, qui vise à soutenir un acquéreur dans la sécurisation de ses systèmes d’information dans le contexte des relations avec les fournisseurs. Elle présente également les principaux termes et concepts ainsi que les risques liés à la sécurité de l’information dans les relations avec les fournisseurs.

  2. Partie 2 : ISO 27036-2:2022 - Exigences

    La partie 2 expose les exigences en matière de sécurité de l’information pour définir, mettre en œuvre, gérer, surveiller, revoir, maintenir et améliorer les relations entre les acquéreurs et les fournisseurs. Ces exigences sont d’ordre général et peuvent être appliquées dans toute relation d’approvisionnement ou de fourniture de biens et services entre acquéreur et fournisseur. Bien que le titre mentionne « Exigences », elle n’est pas destinée à des fins de certification. Les articles 6 et 7 définissent les exigences et sont regroupés dans l’annexe C de la norme. Pour répondre à ces exigences, l’organisation doit avoir mis en place en interne des fonctions de soutien telles qu’une fonction robuste de gestion d’entreprise, de gestion des risques, de gestion opérationnelle et des ressources humaines ainsi que des systèmes de gestion de la sécurité de l’information.

  3. Partie 3 : ISO 27036-3:2013 - Lignes directrices pour la sécurité de la chaîne d’approvisionnement des technologies de l’information et des communications (TIC)

    La partie 3 aide les acquéreurs et fournisseurs impliqués dans la fourniture de biens et services dans le secteur des TIC, en ce qui concerne les risques liés à la sécurité de l’information et leur gestion, se rapportant à l’utilisation de chaînes d’approvisionnement complexes. Elle couvre un large éventail de contrôles de sécurité de l’information tels que :

    • Chaîne de traçabilité
    • Accès selon le principe du moindre privilège
    • Séparation des tâches
    • Gestion de la conformité
    • Formation à la sécurité de la chaîne d’approvisionnement TIC
    • Propriété et responsabilités
    • Éviter les composants du marché gris

  4. Partie 4 : ISO 27036-4:2016 – Lignes directrices pour la sécurité des services en nuage

    La partie 4 fournit des recommandations sur la sécurité de l’information aux clients des services en nuage et aux fournisseurs de services en nuage. Elle traite également de la manière de gérer efficacement les risques pour les modèles de déploiement de nuages publics, hybrides et privés, en mettant en œuvre des contrôles spécifiques pour les atténuer.

Cycle de vie de l’ISO 27036

La figure ci-dessous illustre les différentes phases de la relation avec le fournisseur :

ISO-27036-Lifecycle

Fig 2 : Cycle de vie de l’ISO 27036

  1. Initier

    Durant la phase d’initiation, la portée des biens et services à externaliser est définie, une comparaison est faite entre les options d’internalisation et d’externalisation, puis une analyse coûts-avantages est réalisée pour chaque option.

  2. Besoins

    Les exigences découlant de la relation sont identifiées, ainsi que les considérations relatives à la sécurité de l’information.

  3. Approvisionnement

    Différentes parties fournissant les services requis sont analysées et la sélection et la contractualisation sont effectuées après une évaluation minutieuse.

  4. Exploitation

    Cela comprend les activités habituelles ainsi que la gestion de la conformité.

  5. Révision

    Il s’agit d’une étape optionnelle où, une fois le terme initial du contrat expiré et si la relation doit être prolongée, une révision des termes et conditions ainsi que des processus de travail, etc., est effectuée.

  6. Résiliation

    C’est la phase finale de la relation, qui marque la fin de la collaboration dans un contexte contrôlé.

Principaux points à retenir de l’ISO 27036

Les parties 3 et 4 de la norme mettent en évidence les lignes directrices pour la sécurité de la chaîne d’approvisionnement des TIC et la sécurité des services en nuage, respectivement. Voici quelques considérations clés concernant la sécurité de l’information, pour aider à gérer une relation robuste avec les fournisseurs :

  1. Avant d’entrer dans une relation commerciale, une analyse appropriée doit être effectuée en préparant une solide analyse de rentabilité et en tenant compte des risques, contrôles, coûts et avantages associés au maintien d’un niveau adéquat de sécurité de l’information.
  2. Création d’objectifs stratégiques communs pour aligner l’acquéreur et le fournisseur sur des aspects tels que la sécurité de l’information, etc.
  3. Stipulation que les fournisseurs se conforment à la norme ISO 27001 dans le cadre du contrat-cadre de services.
  4. La relation doit être régie par une gestion opérationnelle, une gestion des risques et des procédures de gestion des incidents robustes.
  5. Définir clairement les rôles et responsabilités en matière d’exploitation et de sécurité entre l’acquéreur et le fournisseur.
  6. Inclusion d’une clause de « droit d’audit » dans le contrat-cadre de services et précision des sanctions ou responsabilités en cas de non-conformité.

La norme comprend des risques professionnels tels que le personnel de sécurité, l’entretien de l’équipement, le personnel d’entretien ménager, les services de livraison, ainsi que d’autres processus normalisés concernant l’utilisation de « services en nuage, domiciliation des données, processus de conformité partagés et autres demandes ». Elle pourrait aussi être unifiée avec la norme ISO 27001 et les politiques et processus de l’acquéreur, ce qui offrirait un cadre global.

Related Contenu

Cybersécurité
VERITY Frontier AI Resilience: Securing Digital Transformation at AI Speed
Lire la suite
Cybersécurité
Exercices de simulation de rançongiciels : Guide du professionnel en résilience pour la reprise des activités en entreprise
En savoir plus
Fondation numérique
Avant que des agents IA gèrent votre entreprise : Réglez leur crise d'identité dès maintenant
En savoir plus
Etiquettes
Cybersécurité
Sciences de la vie et soins de santé
BioPharma
MedTech
Fournisseurs de soins de santé
Assureurs maladie
Partager sur
copy-link Copier le lien copié!

Plus de Achint Sharma

Considérations en cybersécurité pour le secteur manufacturier
Fondation numérique Blogues

Naviguez dans la dépendance croissante de l'industrie manufacturière aux systèmes OT tels que SCADA et PLC, et découvrez les défis cruciaux en cybersécurité posés par la transformation numérique de l'industrie.

DFS Cybersécurité Blogues La norme ISO 27036 fournit un cadre normalisé pour les relations entre acquéreurs et fournisseurs