Norme ISO/IEC 27036-2

Norme ISO/IEC 27036-2

Introduction

La norme ISO/IEC 27036-2 définit les exigences et bonnes pratiques relatives à la sécurité de l’information dans les relations avec les fournisseurs et partenaires externes. Publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), cette norme fait partie de la famille ISO/IEC 27000, dédiée au management de la sécurité de l’information.

Son objectif est de garantir la protection des actifs informationnels tout au long du cycle de vie de la relation fournisseur — depuis la sélection jusqu’à la fin du contrat — en intégrant la sécurité dès la phase d’approvisionnement.
La norme ISO/IEC 27036-2 s’applique à toutes les organisations qui externalisent des services, des processus ou des systèmes d’information, et vise à réduire les risques liés à la dépendance, aux accès tiers et aux transferts de données sensibles.

Comprendre la norme ISO/IEC 27036-2

Objectif et portée

La norme ISO/IEC 27036-2 fournit un cadre pour intégrer la sécurité de l’information dans les relations contractuelles entre une organisation et ses fournisseurs.
Elle vise à :

  • Identifier et maîtriser les risques liés à la chaîne d’approvisionnement numérique et physique ;

  • Définir les exigences de sécurité dans les contrats et accords de services ;

  • Assurer la conformité réglementaire (RGPD, législations sectorielles, etc.) ;

  • Protéger la confidentialité, l’intégrité et la disponibilité des données échangées.

Cette norme concerne tous les types de relations : sous-traitance, externalisation IT, hébergement, cloud, maintenance, conseil ou prestation technique.

Les principes fondamentaux de la norme ISO/IEC 27036-2

La norme ISO/IEC 27036-2 repose sur plusieurs principes essentiels :

  1. Intégration de la sécurité dès l’approvisionnement – la sécurité doit être prise en compte dès les appels d’offres et la sélection des fournisseurs.

  2. Évaluation des risques fournisseurs – chaque prestataire doit être évalué selon la nature des services, les données traitées et les impacts potentiels.

  3. Clauses contractuelles de sécurité – les obligations de confidentialité, d’audit, de signalement d’incident et de restitution des données doivent être formalisées.

  4. Contrôle et suivi – les fournisseurs doivent être surveillés tout au long de la relation contractuelle via des audits, indicateurs et rapports réguliers.

  5. Amélioration continue – le dispositif de sécurité doit évoluer selon les changements de contexte, de réglementation et de menaces.

Ces principes garantissent une maîtrise proactive de la sécurité dans la chaîne d’approvisionnement, contribuant à la confiance numérique.

Mise en œuvre de la norme ISO/IEC 27036-2

Les étapes clés d’application

La mise en œuvre de la norme ISO/IEC 27036-2 suit un processus structuré en cinq étapes :

  1. Définir le périmètre et les objectifs – identifier les services externalisés et les données partagées.

  2. Évaluer les risques liés aux fournisseurs – utiliser des matrices d’analyse basées sur la sensibilité des informations.

  3. Intégrer les exigences dans les contrats – inclure des clauses relatives à la sécurité, à la confidentialité et à la conformité réglementaire.

  4. Surveiller la conformité et la performance – mettre en place des audits, des revues de sécurité et des indicateurs de suivi.

  5. Clôturer la relation fournisseur en sécurité – assurer la restitution ou la destruction des données, et révoquer les accès.

Cette approche garantit que la sécurité de l’information reste un critère central tout au long de la relation d’affaires.

Documentation et livrables attendus

La norme ISO/IEC 27036-2 recommande la création de documents et procédures formalisées :

  • Politique de gestion des relations fournisseurs,

  • Registre des fournisseurs critiques,

  • Procédure d’évaluation et de sélection des prestataires,

  • Clauses contractuelles de sécurité,

  • Plans de contrôle et rapports d’audit fournisseurs,

  • Registre des incidents impliquant des tiers.

Ces documents servent à démontrer la conformité du dispositif de sécurité et à tracer toutes les décisions relatives aux relations externes.

Lien avec les autres normes ISO/IEC

La norme ISO/IEC 27036-2 s’inscrit dans la série ISO/IEC 27036, qui comprend :

  • Partie 1 : Concepts et principes généraux ;

  • Partie 2 : Exigences pour les relations avec les fournisseurs ;

  • Partie 3 : Cloud computing et services numériques ;

  • Partie 4 : Chaîne d’approvisionnement et sous-traitance TIC.

Elle est également étroitement liée à d’autres référentiels :

  • ISO/IEC 27001 : système de management de la sécurité de l’information ;

  • ISO/IEC 27005 : gestion des risques liés à la sécurité de l’information ;

  • ISO 9001 : gestion des fournisseurs et assurance qualité ;

  • ISO 22301 : continuité d’activité et résilience organisationnelle.

Ces interconnexions assurent une cohérence globale entre qualité, sécurité et gouvernance des relations externes.

Compétences développées grâce à la norme ISO/IEC 27036-2

La maîtrise de la norme ISO/IEC 27036-2 développe des compétences stratégiques et opérationnelles, notamment :

  • Capacité à intégrer la sécurité dans les contrats et appels d’offres.

  • Compétence en analyse de risques liés aux fournisseurs.

  • Connaissance des clauses contractuelles et réglementaires en matière de sécurité.

  • Gestion des audits de conformité et suivi de la performance fournisseurs.

  • Maîtrise de la sécurité des données dans les environnements externalisés ou en cloud.

Ces compétences sont essentielles pour les responsables sécurité (RSSI), acheteurs stratégiques, auditeurs IT, juristes en conformité et consultants en cybersécurité.

Public concerné

La norme ISO/IEC 27036-2 s’adresse à :

  • Responsables sécurité de l’information (CISO/RSSI),

  • Directeurs des achats et responsables des contrats,

  • Chefs de projet cloud et infogérance,

  • Auditeurs internes et externes en sécurité IT,

  • Consultants et formateurs en management de la sécurité.

Passerelles et débouchés

L’adoption de la norme ISO/IEC 27036-2 permet :

  • De renforcer la conformité du SMSI ISO/IEC 27001 avec la gestion sécurisée des tiers.

  • D’améliorer la maîtrise des risques liés à l’externalisation et aux prestataires cloud.

  • De se préparer à la certification Lead Implementer ou Lead Auditor ISO/IEC 27001 et 27036.

  • De valoriser la maturité de l’organisation vis-à-vis de ses partenaires et clients.

  • De contribuer à la résilience et à la confiance numérique dans les écosystèmes interconnectés.

Elle constitue un levier stratégique pour la gestion responsable et sécurisée des relations d’affaires.

Conclusion

La norme ISO/IEC 27036-2 est un pilier essentiel de la sécurité de l’information dans les relations fournisseurs.
Elle fournit un cadre opérationnel permettant d’intégrer la sécurité dans les processus d’achat, de contractualisation et de suivi, tout en renforçant la confiance mutuelle entre clients et prestataires.
Adopter la norme ISO/IEC 27036-2, c’est instaurer une culture de sécurité partagée, garantir la conformité et protéger durablement les données échangées avec les partenaires externes.

Achetez la Norme
Visitez le site AUDICIAUX
Visitez le site PECB
Formez-vous