FAQ

Faut-il interroger les fournisseurs sur ISO 27002 en plus d’ISO 27001 ?

Dans les contextes industriels et de fabrication réglementés, il ne suffit généralement pas d’interroger les fournisseurs uniquement sur ISO 27001. Vous devez également examiner la manière dont ils utilisent ISO 27002 pour sélectionner et mettre en œuvre des mesures de sécurité spécifiques, en particulier lorsqu’ils traitent vos conceptions, vos données de fabrication ou des informations produit réglementées.

Différences entre ISO 27001 et ISO 27002 pour les évaluations fournisseurs

  • ISO 27001 définit les exigences relatives à un système de management de la sécurité de l’information (SMSI) : gouvernance, évaluation des risques, objectifs et amélioration continue. La certification est délivrée par rapport à ISO 27001.
  • ISO 27002 est un catalogue de mesures de sécurité et de recommandations de mise en œuvre. Elle aide à répondre aux questions suivantes : quelles mesures ont été sélectionnées, pourquoi, et comment elles sont appliquées en pratique.

Un certificat ISO 27001 à lui seul ne vous indique pas quelles mesures sont effectivement en place, quel est leur niveau de robustesse, ni dans quelle mesure elles sont alignées sur vos obligations spécifiques en matière de fabrication, de protection de la propriété intellectuelle ou de conformité réglementaire.

Ce qu’il faut demander aux fournisseurs en pratique

Au lieu de demander uniquement « Êtes-vous certifié ISO 27001 ? », étendez votre due diligence pour inclure ISO 27002 en demandant :

  • Statut ISO 27001 : périmètre de certification, sites couverts et validité du certificat. Vérifiez si les sites clés de production ou de traitement des données sont effectivement inclus dans le périmètre.
  • Déclaration d’applicabilité (SoA) : une liste des mesures issues d’ISO 27002 (ou équivalent), avec justification de leur inclusion ou de leur exclusion. C’est essentiel ; elle montre comment le fournisseur a traduit les recommandations d’ISO 27002 dans son référentiel de mesures.
  • Couverture des mesures clés : preuves ou description de la manière dont certaines mesures ISO 27002 spécifiques sont mises en œuvre pour :
    • Le contrôle des accès aux données de conception et de processus
    • La segmentation réseau entre OT et IT lorsque cela est pertinent
    • La sauvegarde et la restauration des données de production et de qualité
    • La gestion des changements autour des systèmes de fabrication et de qualité
    • Les processus de journalisation et de réponse aux incidents
  • Adaptation fondée sur les risques : la manière dont le fournisseur utilise l’évaluation des risques pour décider quelles mesures ISO 27002 sont renforcées ou allégées pour les données critiques de fabrication et les données réglementées.

Où approfondir le questionnement

Il est particulièrement important d’aller au-delà d’une simple question sur ISO 27001 lorsque les fournisseurs :

  • Hébergent ou exploitent votre MES, QMS, PLM ou des services cloud associés.
  • Disposent d’un accès distant à votre réseau OT, à vos équipements ou aux données de votre site.
  • Traitent des données de conception soumises au contrôle des exportations, critiques pour la sécurité ou hautement sensibles.
  • Fournissent des équipements à longue durée de vie, pour lesquels les mises à jour logicielles et de micrologiciels se poursuivront pendant de nombreuses années.

Dans ces cas, vous devez vous aligner sur des attentes spécifiques relatives aux mesures ISO 27002 et sur la manière dont les éléments probants seront fournis dans la durée, et pas seulement lors de l’intégration initiale.

Réalités des environnements brownfield et de la coexistence

Dans des environnements mixtes comprenant des MES/ERP/PLM existants et des fournisseurs externes, vos questions sur ISO 27001 et ISO 27002 doivent tenir compte du fait que :

  • Certains fournisseurs peuvent avoir un périmètre ISO 27001 partiel (par exemple, l’informatique bureautique, mais pas l’OT ni les plateformes hébergées).
  • Les mesures guidées par ISO 27002 peuvent être mises en œuvre différemment selon les sites, les systèmes et les fournisseurs, en particulier lorsqu’il existe des actifs existants ou des contraintes d’intégration.
  • Le remplacement complet de systèmes non conformes est souvent impraticable en raison de la charge de validation, du risque d’arrêt et de la qualification de nouvelles plateformes. Vous devrez peut-être plutôt prévoir des mesures compensatoires et une supervision renforcée.

Pour cette raison, les questions doivent porter sur la manière dont les mesures fondées sur ISO 27002 coexistent avec les systèmes existants, sur la façon dont les changements sont maîtrisés, et sur la manière dont les éléments de traçabilité et de validation sont maintenus.

Comment formuler les exigences sans sur-engagement

Dans les contrats et les questionnaires fournisseurs, vous pouvez :

  • Faire référence à la certification ISO 27001 comme attente de base lorsque cela est proportionné au risque.
  • Exiger une déclaration d’applicabilité alignée sur ISO 27002 ou sur un référentiel de mesures équivalent.
  • Préciser quels domaines de mesures ISO 27002 sont les plus critiques pour votre cas d’usage (par exemple, contrôle d’accès, sécurité des opérations, relations avec les fournisseurs, ainsi qu’acquisition et développement de systèmes).
  • Demander des mises à jour périodiques et des éléments probants lorsque des changements majeurs sont apportés aux systèmes qui traitent vos données, en les rattachant aux exigences de maîtrise des changements et de validation.

En résumé

Vous ne devez pas vous limiter à demander si un fournisseur est certifié ISO 27001. Pour les environnements de fabrication réglementés et à cycle de vie long, vous devez également comprendre comment il applique ISO 27002 en pratique : quels contrôles sont dans le périmètre, comment ces contrôles coexistent avec les systèmes hérités et les systèmes OT, et comment il maintient la traçabilité, la validation et la maîtrise des changements dans le temps.

Related Blog Articles

Building the Business Case and Measuring ROI for Digital AS9102 FAI

Learn how to calculate the ROI of AS9102 software by tying FAI cycle time, error reduction, and audit performance to clear financial outcomes, with metrics, examples, and a practical business case framework.

Integrating AS9102 Software with ERP, MES, PLM, and QMS in Aerospace

Learn how to integrate AS9102 first article inspection software with ERP, MES, PLM, and QMS to eliminate re-keying, strengthen traceability, and embed FAIRs into everyday aerospace manufacturing workflows.

Building ISO 22400-Aligned Data Models for Connected Manufacturing

How to design ISO 22400-aligned data models that unify ERP, MES, SCADA, and historians into a consistent KPI layer for aerospace manufacturing.

Traceability in Aerospace: Why Retrofitting Always Fails

In aerospace manufacturing, trying to reconstruct traceability from scattered records is slow, fragile, and risky. This article explains why retrofit approaches fail under regulatory pressure and how to embed traceability directly into the execution layer so genealogy and as-built records are generated as work happens.

Get Started

Built for Speed, Trusted by Experts

Whether you're managing 1 site or 100, Connect 981 adapts to your environment and scales with your needs—without the complexity of traditional systems.

Talk to an Aerospace Expert
Explore Solutions

produit

Opérations d'atelierChaîne d'approvisionnement et AchatsMROSolutionsDemander une démo

Ressources

BlogCommunautéSécurité et ConformitéAPI et IntégrationsParlez à un expert en aérospatiale

À propos

À proposPolitique de confidentialitéPolitique en matière de cookiesConditions générales d'utilisationNous contacter

© 2026 Connect 981. Tous droits réservés.

démarrer

conçu pour aller vite, adopté par les experts

Que vous gériez 1 site ou 100, C-981 s'adapte à votre environnement et évolue avec vos besoins — sans la complexité des systèmes traditionnels.

Demander une démo
Découvrir les solutions