Politique de sécurité des fournisseurs et des prestataires tiers - PME

La P26S – Politique de sécurité des fournisseurs et des prestataires tiers est spécifiquement adaptée aux PME, reflétant une structure de gouvernance où des rôles informatiques dédiés tels que le RSSI ou le Centre opérationnel de sécurité (SOC) sont généralement absents. La responsabilité est plutôt centralisée sous le Directeur général (DG), ce qui simplifie l’autorité et la responsabilité tout en maintenant une forte conformité à ISO/IEC 27001:2022 et à d’autres cadres réglementaires clés. Cette conception garantit une supervision de la sécurité robuste, même pour les petites organisations sans personnel spécialisé. L’objectif principal de la politique est de formaliser et de faire appliquer des mesures de sécurité essentielles lors de l’engagement, de la gestion ou de la résiliation de relations avec des tiers et des fournisseurs qui interagissent avec, ou ont un impact sur, les données, les systèmes ou les services de l’organisation. Les fournisseurs couverts vont des prestataires tiers de services informatiques et cloud aux développeurs de logiciels, ainsi qu’aux consultants RH ou finance. En clarifiant les attentes de sécurité, en documentant les risques fournisseurs avant d’accorder un accès et en exigeant des mesures de protection contractuelles exécutoires, la politique réduit les risques de fuites de données, de changements non autorisés ou non planifiés, d’infractions réglementaires et de perturbation de l’activité. La politique définit explicitement son champ d’application afin d’inclure à la fois tous les tiers susceptibles d’avoir un accès aux systèmes d'information de l'organisation, et le personnel interne impliqué dans la sélection des fournisseurs, la supervision, l’intégration des fournisseurs, la contractualisation ou la revue. Les rôles centralisés incluent le Directeur général, le prestataire informatique ou le contact interne de sécurité, ainsi que les contacts achats ou administratifs, garantissant une responsabilité claire tout au long du cycle de vie des fournisseurs. Le fournisseur est tenu d’accepter par écrit de respecter les obligations de sécurité et de notifier les incidents. Les exigences clés de gouvernance couvrent les revues du risque fournisseur avant engagement, des clauses de sécurité obligatoires dans tous les contrats, la tenue d’un registre des actifs détaillé des fournisseurs, ainsi que des procédures de surveillance des changements de propriété, de périmètre de service ou de sous-traitance. Les étapes de mise en œuvre exigent qu’aucun fournisseur ne se voie accorder un accès avant la diligence raisonnable des fournisseurs et sans approbation explicite, que seul un accès minimal aux systèmes/données soit accordé, et que toute transmission de données soit correctement chiffrée. Les exigences continues incluent un audit et une revue périodiques, au moins annuellement pour les fournisseurs à haut risque, ainsi que des procédures strictes de résiliation des contrats et de révocation des accès. La politique intègre un processus structuré de traitement des risques et de gestion des exceptions, garantissant que tout écart est géré via des mesures compensatoires et qu’aucune dérogation ne peut contrevenir aux obligations légales ou réglementaires (p. ex., exigences du RGPD ou de DORA). La mise en application est clairement décrite, avec des sanctions pouvant aller jusqu’à la résiliation du contrat et des actions en justice. La préparation à l’audit est intégrée, exigeant une documentation suffisante pour réussir les audits au titre d’ISO 27001, du RGPD et des normes associées. Enfin, le cycle de revue annuelle et le lien avec des politiques de sécurité de l’information étroitement liées garantissent que la politique reste à jour, efficace et intégrée au cadre de sécurité plus large.