Registre des Sous-Traitants ISO 27001 : Template Excel [A.5.19-23]

Le registre des sous-traitants et fournisseurs de services numériques est devenu l'un des documents les plus stratégiques du SMSI à l'ère de la cybersécurité de la chaîne d'approvisionnement. Les attaques de type "supply chain" — comme SolarWinds, Kaseya, ou MOVEit — ont démontré que compromettre un fournisseur de confiance peut donner accès à des centaines d'organisations clientes simultanément. La norme ISO/IEC 27001:2022 répond à cette menace avec les contrôles A.5.19 à A.5.23 qui forment le bloc "Sécurité de la chaîne d'approvisionnement" : A.5.19 (Sécurité de l'information dans les relations avec les fournisseurs), A.5.20 (Traitement de la sécurité dans les accords avec les fournisseurs), A.5.21 (Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC), A.5.22 (Surveillance, revue et gestion des changements des services des fournisseurs), et A.5.23 (Sécurité de l'information pour l'utilisation des services en nuage). En parallèle, la directive NIS 2 impose une gestion rigoureuse des risques liés aux prestataires, et le règlement DORA (Digital Operational Resilience Act) impose des exigences très précises sur la gestion des tiers pour les entités financières. Ce template Excel, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, permet de maintenir un registre exhaustif et structuré de vos sous-traitants : identification, nature des services fournis, données accessibles, niveau de risque évalué, mesures de sécurité contractuelles, résultats des évaluations périodiques, et statut des audits fournisseurs. Il est aligné avec la norme ISO/IEC 27036 (Sécurité des relations avec les fournisseurs), qui constitue le cadre normatif de référence pour la gestion des risques fournisseurs dans un SMSI certifié. Ce document est indispensable pour tout RSSI souhaitant démontrer en audit de certification que sa chaîne d'approvisionnement est sous contrôle, et pour tout DPO qui doit vérifier que les sous-traitants traitant des données personnelles respectent les obligations de l'Article 28 du RGPD.

Contexte réglementaire et normatif

ISO/IEC 27001:2022 — Contrôles A.5.19 à A.5.23

• A.5.19 : des politiques et des procédures doivent être définies pour identifier et réduire les risques liés à l'utilisation de produits ou services des fournisseurs qui pourraient avoir un impact sur la sécurité de l'information de l'organisation.
• A.5.20 : les exigences de sécurité pertinentes pour chaque fournisseur doivent être établies et convenues avec celui-ci dans le cadre d'un accord formel.
• A.5.21 : l'organisation doit gérer les risques liés à la chaîne d'approvisionnement en matière de produits et services informatiques en tenant compte des pratiques de sécurité de l'information des fournisseurs.
• A.5.22 : les services, rapports et registres fournis par les fournisseurs doivent être régulièrement surveillés et examinés, et des changements doivent être gérés.
• A.5.23 : les processus d'acquisition, d'utilisation, de gestion et de sortie des services en nuage doivent être établis en accord avec les exigences de sécurité de l'organisation.

Directive NIS 2 — Gestion des risques de la chaîne d'approvisionnement

La directive NIS 2 (Article 21) impose aux entités essentielles et importantes la gestion des risques liés à la chaîne d'approvisionnement, incluant les aspects de sécurité dans les relations avec les prestataires de services et les fournisseurs de logiciels. Elle exige une évaluation des risques spécifique à chaque relation fournisseur significative et la mise en place de mesures contractuelles appropriées. Pour plus de détails sur les obligations NIS 2, consultez notre article sur la conformité NIS 2.

RGPD — Article 28 (Sous-traitant)

L'Article 28 du RGPD impose que tout traitement de données personnelles pour le compte d'un responsable de traitement soit encadré par un contrat écrit avec le sous-traitant. Ce contrat doit définir l'objet, la durée, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées, et les obligations et droits du responsable de traitement. Le registre des sous-traitants ISO 27001 doit être cohérent avec le registre RGPD des sous-traitants : chaque sous-traitant qui traite des données personnelles doit apparaître dans les deux registres avec des informations cohérentes.

Structure détaillée du registre des sous-traitants

Onglet 1 — Registre principal des fournisseurs et sous-traitants

Pour chaque fournisseur ou sous-traitant, le registre documente : identifiant unique du fournisseur, raison sociale et coordonnées, type de fournisseur (hébergeur, éditeur logiciel, infogérant, prestataire de service, maintenance), nature des services fournis, systèmes et données accessibles (avec référence à l'inventaire des actifs), données personnelles traitées (O/N, type, volume estimé), pays de traitement et transferts hors UE, criticité du fournisseur (critique/important/standard selon son impact potentiel sur la sécurité du SI), niveau de risque évalué (1-4), certifications et attestations de conformité obtenues par le fournisseur (ISO 27001, SOC 2, HDS, etc.), date de la dernière évaluation de sécurité, résultat de la dernière évaluation, prochaine date d'évaluation planifiée, statut du contrat (actif, en renouvellement, en fin de contrat), numéro du contrat et date d'expiration, clauses de sécurité incluses dans le contrat (O/N), clauses RGPD Article 28 incluses (O/N), et contact de sécurité chez le fournisseur.

Onglet 2 — Matrice de criticité et d'évaluation des risques

Ce référentiel définit les critères de criticité des fournisseurs : un fournisseur est "critique" s'il a accès à des données classifiées Restreint/Confidentiel, si la défaillance de son service impacte directement les activités essentielles de l'organisation, si son périmètre d'accès inclut des systèmes d'administration ou des infrastructures critiques, ou si son périmètre inclut des données personnelles de catégorie particulière (santé, données financières). La matrice de risque évalue chaque fournisseur critique selon l'impact potentiel d'un incident de sécurité chez ce fournisseur sur votre organisation (de 1-faible à 4-critique), et la probabilité d'un tel incident (basée sur l'historique de sécurité du fournisseur, sa certification, ses pratiques observées).

Onglet 3 — Suivi des évaluations fournisseurs

Pour chaque évaluation réalisée : date, méthode (questionnaire, audit sur site, revue documentaire, certification vérifiée), résultats (note ou niveaux de conformité par domaine), points d'amélioration identifiés, plan d'action du fournisseur, et date de suivi prévue. Cet onglet permet de démontrer que les fournisseurs critiques font l'objet d'une surveillance continue, pas seulement d'une évaluation lors de la contractualisation.

Onglet 4 — Tableau de bord fournisseurs

Un dashboard synthétique : nombre de fournisseurs par catégorie de criticité, taux de fournisseurs critiques avec évaluation à jour (< 12 mois), taux de fournisseurs critiques avec certification ISO 27001 ou SOC 2, fournisseurs dont le contrat arrive à expiration dans les 90 jours, et fournisseurs avec une évaluation dégradée nécessitant une action.

Guide d'utilisation étape par étape

1. Recenser tous les fournisseurs et sous-traitants : commencez par une collecte exhaustive de tous les contrats de prestation actifs (DSI, Achats, Finance, DRH). N'oubliez pas les services cloud (SaaS, IaaS, PaaS) qui sont souvent souscrits directement par les métiers sans passer par la DSI (shadow IT).
2. Catégoriser par criticité : appliquez les critères de criticité pour identifier vos fournisseurs critiques (généralement 20 à 30% du total). Ces fournisseurs feront l'objet d'une attention particulière en termes d'évaluation et de surveillance.
3. Vérifier la conformité contractuelle : pour chaque fournisseur, vérifiez que le contrat inclut les clauses de sécurité requises (A.5.20) et, si applicable, les clauses RGPD Article 28. Identifiez les contrats déficients et planifiez leur mise à jour lors du prochain renouvellement.
4. Conduire les évaluations initiales : pour les fournisseurs critiques sans évaluation récente, réalisez une évaluation de sécurité initiale : envoi d'un questionnaire de sécurité standardisé (CAIQ, SIG, ou questionnaire maison), vérification des certifications (ISO 27001, SOC 2, HDS), et si nécessaire, audit sur site ou entretien avec le RSSI du fournisseur.
5. Planifier la surveillance continue : définissez un calendrier d'évaluation périodique pour les fournisseurs critiques (annuelle minimum) et importants (tous les 2 ans). Intégrez ces évaluations dans le plan d'audit interne pour garantir leur réalisation.
6. Intégrer dans les processus d'achat : pour tout nouveau fournisseur ou renouvellement de contrat, une évaluation de sécurité doit être réalisée avant la signature. La DSI ou le RSSI doit être consulté lors de tout achat de service numérique ou d'externalisation de données.
7. Gérer les fins de contrat : lors de la fin d'un contrat avec un fournisseur, vérifiez la restitution ou la destruction sécurisée des données de l'organisation hébergées chez le fournisseur, la révocation de tous les accès accordés au fournisseur, et la récupération des équipements et supports si applicable.

Tableau des contrôles — Checklist gestion des sous-traitants ISO 27001

Points de vigilance pour l'audit de certification

1. Registre incomplet — oubli des services cloud SaaS : les abonnements SaaS souscrits directement par les métiers (Salesforce, HubSpot, Slack, Notion, etc.) sont systématiquement absents des registres. Remédiation : réalisez un audit de shadow IT (analyse des flux DNS, des dépenses IT par direction) pour identifier les services non répertoriés.
2. Pas de clauses de sécurité dans les contrats anciens : les contrats signés avant la mise en place du SMSI ne contiennent souvent pas les clauses de sécurité requises. Remédiation : identifiez les contrats déficients et planifiez leur mise à jour lors du renouvellement. Pour les fournisseurs critiques dont le contrat ne renouvelle pas bientôt, négociez un avenant ou une lettre d'engagement.
3. Absence de DPA (Data Processing Agreement) RGPD : pour tout fournisseur qui traite des données personnelles pour votre compte, un DPA conforme à l'Article 28 est obligatoire. Son absence expose votre organisation à des sanctions CNIL significatives. Remédiation : inventoriez tous les fournisseurs traitant des données personnelles et vérifiez que chacun a signé un DPA.
4. Fournisseurs critiques jamais évalués : un fournisseur qui héberge vos données les plus sensibles sans avoir jamais fait l'objet d'une évaluation de sécurité est un risque majeur. Remédiation : planifiez immédiatement une évaluation (même un questionnaire simple) pour vos 5 à 10 fournisseurs les plus critiques.
5. Transferts de données hors UE non documentés : de nombreux services cloud américains (AWS, Google Cloud, Microsoft Azure, Salesforce) transfèrent des données hors UE. Ces transferts doivent être encadrés par des mécanismes légaux (SCCs, décisions d'adéquation). L'absence de documentation est un risque RGPD et ISO 27001 simultané. Remédiation : pour chaque fournisseur cloud, documentez la localisation des données et le mécanisme légal de transfert.

Intégration dans le SMSI : liens avec les autres documents

REGISTRE DES SOUS-TRAITANTS (A.5.19-23) ← Cartographie fournisseurs
│
├── S'APPUIE SUR →
│   ├── Inventaire des actifs (A.5.9) — actifs accessibles aux fournisseurs
│   ├── Registre des risques — risques fournisseurs identifiés
│   └── Politique de classification (A.5.12) — données accessibles classifiées
│
├── ALIMENTE →
│   ├── Analyse de risques — risques supply chain
│   ├── Plan d'audit interne — évaluations fournisseurs planifiées
│   ├── Registre incidents — incidents chez les fournisseurs
│   └── Registre RGPD Art.28 — sous-traitants données personnelles
│
├── EST COHÉRENT AVEC →
│   ├── Politique accès logiques — accès fournisseurs limités
│   ├── Procédure gestion incidents — notification incidents fournisseurs
│   └── Contrats de prestation — clauses sécurité et RGPD
│
└── EST VÉRIFIÉ PAR →
    ├── Audit interne (Clause 9.2) — vérification évaluations fournisseurs
    └── Audit de certification — A.5.19-23 vérifiés en Stage 2

Bonnes pratiques terrain

• Adoptez un questionnaire de sécurité standardisé : utilisez des questionnaires reconnus comme le Consensus Assessments Initiative Questionnaire (CAIQ) de la Cloud Security Alliance, le Standardized Information Gathering (SIG) questionnaire, ou le VSAQ (Vendor Security Assessment Questionnaire). Ces standards permettent de comparer les réponses des fournisseurs sur une base homogène.
• Impliquez les Achats comme partenaire stratégique : les RSSI qui travaillent en silos avec les Achats laissent passer des contrats sans clauses de sécurité. Construisez un partenariat formel : la DSI ou le RSSI doit être consulté lors de toute nouvelle contractualisation avec un fournisseur de services numériques ou d'accès aux données.
• Concentrez l'effort sur les fournisseurs Tier 1 : vous ne pouvez pas évaluer rigoureusement 200 fournisseurs. Identifiez les 10-15 fournisseurs critiques qui concentrent l'essentiel du risque et consacrez-leur une attention particulière : évaluation annuelle approfondie, revue des rapports de sécurité (SOC 2 Type II, pénétration tests reports), et réunion sécurité annuelle avec leur RSSI.
• Vérifiez la chaîne d'approvisionnement des fournisseurs critiques (Tier 2) : vos fournisseurs critiques ont eux-mêmes des sous-traitants. Si votre hébergeur cloud sous-traite la maintenance physique à un prestataire tiers non vérifié, votre chaîne d'approvisionnement a un maillon faible que vous ne contrôlez pas. Incluez dans votre questionnaire une section sur les pratiques de gestion des sous-traitants de vos fournisseurs.

Questions fréquentes sur le registre des sous-traitants ISO 27001

Dois-je imposer une certification ISO 27001 à mes fournisseurs critiques ?

La certification ISO 27001 de vos fournisseurs n'est pas une exigence explicite de la norme ISO 27001, mais c'est la preuve de conformité la plus solide et la plus vérifiable. En pratique : pour les fournisseurs qui hébergent des données très sensibles ou qui ont un accès administrateur à vos systèmes, exiger ou fortement préférer une certification ISO 27001 ou SOC 2 Type II est une bonne pratique. Pour les fournisseurs d'importance moindre, un questionnaire de sécurité rempli honnêtement et une déclaration sur l'honneur peuvent suffire. La nuance est importante : une certification ISO 27001 atteste qu'un SMSI existe et a été audité par un organisme indépendant — mais elle n'atteste pas l'absence de vulnérabilités. Un fournisseur non certifié avec de bonnes pratiques de sécurité documentées peut être moins risqué qu'un fournisseur certifié qui a laissé son SMSI se dégrader. La combinaison certification + audit contractuel + surveillance continue est la meilleure approche pour les fournisseurs critiques.

Comment gérer les fournisseurs qui refusent de répondre aux questionnaires de sécurité ?

Le refus d'un fournisseur de répondre à un questionnaire de sécurité est lui-même un signal de risque significatif. La démarche recommandée est la suivante : formulez votre demande de questionnaire comme une exigence contractuelle standard (pas comme une demande exceptionnelle) et justifiez-la par vos obligations ISO 27001 et NIS 2 ; proposez des alternatives si le fournisseur invoque des raisons de confidentialité : rapport SOC 2 Type II (qui peut être partagé sous NDA), résumé exécutif des contrôles de sécurité, ou visite de leurs installations sécurité ; si le fournisseur refuse catégoriquement toute forme d'évaluation, documentez ce refus dans votre registre et évaluez si le risque est acceptable — pour des fournisseurs critiques, un refus catégoriel peut justifier une recherche d'alternative. Les grands éditeurs (Microsoft, AWS, Google) publient leurs rapports SOC 2 Type II et leurs certifications ISO 27001 publiquement — une organisation qui refuse toute transparence sur ses pratiques de sécurité doit être considérée à risque élevé.

Pour aller plus loin

• Inventaire des actifs ISO 27001 [A.5.9] — Template Excel
• Politique de gestion des accès logiques [A.5.15-18]
• Registre des incidents ISO 27001 [A.5.24]
• Gap Analysis ISO 27001:2022 — 93 contrôles [outil Excel]
• Notre service d'accompagnement ISO 27001 complet

Le registre des sous-traitants ISO 27001 doit être traité comme un actif informationnel critique du SMSI, soumis aux mêmes exigences de disponibilité, d'intégrité et de confidentialité que les autres documents de sécurité. La norme ISO 27036 fournit un cadre complémentaire spécifiquement dédié à la sécurité des relations avec les fournisseurs, en définissant les exigences pour l'évaluation des risques liés à la chaîne d'approvisionnement, la vérification des contrôles de sécurité chez les tiers et la gestion des incidents impliquant des prestataires externes.

Dans le contexte de la directive NIS 2, les organisations doivent désormais évaluer non seulement les risques directs posés par leurs fournisseurs, mais aussi les risques de quatrième partie, c'est-à-dire les sous-traitants de leurs sous-traitants. Cette extension de la chaîne de responsabilité impose une cartographie approfondie des dépendances de la supply chain numérique et renforce l'importance d'un registre des fournisseurs exhaustif, maintenu à jour et régulièrement audité par les équipes de conformité et de sécurité.