Dans les contextes industriels et manufacturiers réglementés, il ne suffit généralement pas d’interroger les fournisseurs uniquement sur ISO 27001. Vous devez également examiner la manière dont ils utilisent ISO 27002 pour sélectionner et mettre en œuvre des contrôles de sécurité spécifiques, en particulier lorsqu’ils traitent vos conceptions, vos données de fabrication ou des informations produit réglementées.
Différences entre ISO 27001 et ISO 27002 pour l’évaluation des fournisseurs
- ISO 27001 définit les exigences relatives à un système de management de la sécurité de l’information (SMSI) : gouvernance, évaluation des risques, objectifs et amélioration continue. La certification est réalisée selon ISO 27001.
- ISO 27002 est un catalogue de contrôles et de recommandations de mise en œuvre. Elle aide à répondre aux questions suivantes : quels contrôles ont été sélectionnés, pourquoi, et comment sont-ils appliqués en pratique.
Un certificat ISO 27001 à lui seul n’indique pas quels contrôles sont effectivement en place, quel est leur niveau de robustesse, ni dans quelle mesure ils sont alignés avec vos obligations spécifiques en matière de fabrication, de protection de la propriété intellectuelle ou de conformité réglementaire.
Quelles questions poser aux fournisseurs en pratique
Au lieu de demander uniquement « Êtes-vous certifié ISO 27001 ? », élargissez votre due diligence afin d’inclure ISO 27002 en demandant :
- Statut ISO 27001 : périmètre de certification, sites couverts et validité du certificat. Confirmez si les principaux sites de production ou de traitement des données sont effectivement inclus dans le périmètre.
- Déclaration d’applicabilité (SoA) : une liste des contrôles issus d’ISO 27002 (ou équivalent), avec la justification de leur inclusion ou de leur exclusion. Cet élément est critique ; il montre comment le fournisseur a traduit les recommandations d’ISO 27002 dans son référentiel de contrôles.
- Couverture des contrôles clés : éléments probants ou description de la manière dont des contrôles ISO 27002 spécifiques sont mis en œuvre pour :
- Le contrôle d’accès aux données de conception et de processus
- La ségrégation réseau entre OT et IT lorsque cela est pertinent
- La sauvegarde et la reprise des données de production et de qualité
- La gestion des changements concernant les systèmes de fabrication et de qualité
- Les processus de journalisation et de réponse aux incidents
- Adaptation fondée sur les risques : la manière dont le fournisseur utilise l’évaluation des risques pour décider quels contrôles ISO 27002 sont renforcés ou allégés pour les données critiques de fabrication et les données réglementées.
Où approfondir le niveau de questionnement
Il est particulièrement important d’aller au-delà d’une simple question sur ISO 27001 lorsque les fournisseurs :
- hébergent ou exploitent votre MES, QMS, PLM ou des services cloud associés ;
- disposent d’un accès à distance à votre réseau OT, à vos équipements ou à vos données d’usine ;
- traitent des données de conception soumises au contrôle des exportations, critiques pour la sécurité ou hautement sensibles ;
- fournissent des équipements à longue durée de vie pour lesquels les mises à jour logicielles et firmware se poursuivront pendant de nombreuses années.
Dans ces cas, vous devez vous aligner sur des attentes précises en matière de contrôles ISO 27002 et sur la manière dont les preuves seront fournies dans la durée, et pas uniquement lors de l’intégration du fournisseur.
Réalités des environnements brownfield et de la coexistence
Dans des environnements mixtes avec des MES/ERP/PLM historiques et des fournisseurs externes, vos questions sur ISO 27001 et ISO 27002 doivent tenir compte du fait que :
- certains fournisseurs peuvent avoir une couverture ISO 27001 partielle (par exemple, l’IT bureautique, mais pas l’OT ni les plateformes hébergées) ;
- les contrôles guidés par ISO 27002 peuvent être mis en œuvre différemment selon les sites, les systèmes et les fournisseurs, en particulier lorsqu’il existe des actifs historiques ou des contraintes d’intégration ;
- le remplacement complet de systèmes non conformes est souvent peu réaliste en raison de la charge de validation, du risque d’arrêt de production et de la qualification de nouvelles plateformes. Vous pouvez devoir recourir à des contrôles compensatoires et à une supervision renforcée à la place.
Pour cette raison, les questions doivent porter sur la manière dont les contrôles fondés sur ISO 27002 coexistent avec les systèmes historiques, sur la façon dont les changements sont maîtrisés, et sur la manière dont la traçabilité et les preuves de validation sont maintenues.
Comment formuler les exigences sans s’engager excessivement
Dans les contrats et questionnaires fournisseurs, vous pouvez :
- faire référence à la certification ISO 27001 comme attente de base lorsqu’elle est proportionnée au risque ;
- exiger une déclaration d’applicabilité alignée sur ISO 27002 ou sur un référentiel de contrôles équivalent ;
- préciser quels domaines de contrôle ISO 27002 sont les plus critiques pour votre cas d’usage (par exemple, le contrôle d’accès, la sécurité des opérations, les relations avec les fournisseurs, ainsi que l’acquisition et le développement de systèmes) ;
- demander des mises à jour périodiques et des preuves lorsque des changements majeurs sont apportés aux systèmes qui traitent vos données, en les reliant aux exigences de maîtrise des changements et de validation.
En bref
Vous ne devriez pas vous limiter à demander si un fournisseur est certifié ISO 27001. Pour les environnements de fabrication réglementés et à cycle de vie long, vous devez également comprendre comment il applique ISO 27002 en pratique : quels contrôles sont inclus dans le périmètre, comment ces contrôles coexistent avec les systèmes legacy et OT, et comment il maintient la traçabilité, la validation et la maîtrise des changements dans la durée.