Que sont les parties intéressées dans l'ISO 27001 ?

Aperçu

Les parties intéressées sont des individus, des groupes ou des organisations qui peuvent affecter, être affectés par, ou se percevoir comme étant affectés par votre SMSI. L'identification des parties intéressées est une exigence fondamentale de la clause 4.2 de l'ISO 27001:2022 qui façonne le périmètre, les objectifs et les priorités de votre SMSI.

Comprendre les parties intéressées vous aide à définir des exigences de sécurité qui équilibrent les besoins et les attentes des parties prenantes avec des mesures de sécurité pratiques.

Les parties intéressées en pratique

L'ISO 27001:2022 exige que vous déterminiez :

• Qui sont les parties intéressées pertinentes pour votre SMSI

• Leurs exigences liées à la sécurité de l'information

• Quelles exigences seront traitées par votre SMSI

Cette analyse alimente le périmètre de votre SMSI (Clause 4.3), vos objectifs de sécurité de l'information (Clause 6.2) et les mesures de l'Annexe A que vous mettez en œuvre.

Catégories de parties intéressées

Parties intéressées internes

Parties prenantes au sein de votre organisation :

• Direction générale : Exige l'assurance que la sécurité de l'information soutient les objectifs commerciaux et protège l'organisation contre les risques juridiques/financiers

• Employés : Ont besoin de systèmes sécurisés pour effectuer leur travail et s'attendent à la protection de leurs données personnelles

• Équipes informatiques et de sécurité : Responsables de la mise en œuvre et de la maintenance des mesures de sécurité

• Juridique et conformité : S'assurent que les obligations réglementaires sont respectées

• Responsables d'unités opérationnelles : Équilibrent les exigences de sécurité avec l'efficacité opérationnelle

Parties intéressées externes

Parties prenantes à l'extérieur de votre organisation :

• Clients : Exigent la protection de leurs données et peuvent imposer des contrôles spécifiques (ex : chiffrement, restrictions d'accès)

• Fournisseurs et partenaires : Ont besoin d'échanges de données sécurisés et peuvent avoir des exigences de sécurité contractuelles

• Régulateurs : Font respecter la conformité aux lois comme le RGPD, HIPAA ou les réglementations sectorielles

• Organismes de certification : Audite votre SMSI par rapport aux exigences de l'ISO 27001:2022

• Actionnaires/investisseurs : Attendent la protection de la continuité des activités et de la réputation

• Assureurs : Peuvent exiger des contrôles spécifiques pour la couverture d'assurance cyber

Identification des exigences

Pour chaque partie intéressée, déterminez ses besoins en matière de sécurité de l'information :

Exemple - Clients :

• Exigence : Protéger les données personnelles des clients conformément au RGPD

• Réponse du SMSI : Mettre en œuvre le chiffrement (A.8.24), les contrôles d'accès (A.5.15), les politiques de rétention des données (A.5.34)

Exemple - Régulateurs :

• Exigence : Démontrer la conformité aux lois sur la protection des données du secteur

• Réponse du SMSI : Effectuer des évaluations de risques régulières, maintenir des pistes d'audit, réaliser des audits internes

Exemple - Partenaires commerciaux :

• Exigence : Sécuriser les connexions API pour l'échange de données

• Réponse du SMSI : Mettre en œuvre une authentification sécurisée (A.5.17), la sécurité du réseau (A.8.20-A.8.23)

Documentation des parties intéressées

Bien que l'ISO 27001:2022 n'impose pas de format spécifique, votre documentation doit inclure :

• Liste des parties intéressées identifiées (internes et externes)

• Leurs exigences en matière de sécurité de l'information

• Comment les exigences sont traitées dans votre SMSI (liées aux mesures, objectifs ou politiques)

• Toute exigence explicitement exclue et sa justification

Lien avec d'autres éléments du SMSI

L'analyse des parties intéressées influence directement :

• Périmètre du SMSI (Clause 4.3) : Définit les limites basées sur les exigences des parties intéressées

• Politique de sécurité de l'information (Clause 5.2) : Reflète les engagements envers les parties prenantes

• Évaluation des risques (Clause 6.1.2) : Analyse les risques pesant sur les exigences des parties intéressées

• Objectifs de sécurité de l'information (Clause 6.2) : S'alignent sur les attentes des parties intéressées

• Communication (Clause 7.4) : Détermine quoi communiquer et à quelles parties prenantes

Exemples pratiques

Organisation de santé

Parties intéressées : Patients (confidentialité des données), régulateurs de santé (conformité HIPAA), compagnies d'assurance (sécurité des données de remboursement), fournisseurs de dispositifs médicaux (intégrations sécurisées).

Exigences clés : Gestion du consentement des patients, journalisation des audits, chiffrement des dossiers de santé, évaluations de sécurité des fournisseurs.

Entreprise SaaS

Parties intéressées : Clients entreprises (certification SOC 2/ISO 27001), utilisateurs finaux (protection des données), fournisseurs de cloud (responsabilité partagée), investisseurs (continuité des activités).

Exigences clés : Audits tiers, capacités de réponse aux incidents, contrôles de résidence des données, planification de la continuité des activités.

Termes connexes

• SMSI – Façonné par les exigences des parties intéressées

• Évaluation des risques – Prend en compte les risques pour les parties intéressées

• Politique de sécurité de l'information – Communique les engagements aux parties prenantes

• Revue de direction – Examine les retours des parties intéressées