La certification ISO 27001 nécessite beaucoup de documentation. Une politique de sécurité de l'information, une évaluation des risques et un plan de traitement des risques, un processus d'audit interne formel, des documents de l'annexe A et la déclaration d'applicabilité pour n'en nommer que quelques-uns.

Avec des exigences aussi étendues, créer tous ces documents peut être difficile et chronophage. Avoir accès à une explication simple de ce qui est nécessaire ainsi qu'à de vrais exemples et modèles peut accélérer considérablement le processus et vous assurer la tranquillité d'esprit lors de votre audit.

Vous trouverez ci-dessous des réponses claires sur ce qu'est la déclaration d'applicabilité ISO/IEC 27001, pourquoi elle est importante et comment en rédiger une. Vous trouverez également un modèle de déclaration d'applicabilité ISO 27001 et un exemple de déclaration d'applicabilité ISO 27001 pour simplifier le processus.

Qu'est-ce qu'une déclaration d'applicabilité ISO 27001 ?

Une déclaration d'applicabilité est requise pour la certification ISO 27001. C'est une déclaration qui explique quels contrôles de sécurité de l'annexe A de l'ISO 27001 sont — ou ne sont pas — applicables au système de gestion de la sécurité de l'information (SGSI) de votre organisation.

Selon la clause 6.1.3, une déclaration d'applicabilité doit :

• Lister les contrôles de sécurité de l'information qu'une organisation a choisis pour atténuer le risque
• Expliquer pourquoi ces contrôles ont été choisis pour votre SGSI
• Indiquer si les contrôles applicables ont été entièrement mis en œuvre
• Expliquer pourquoi certains contrôles ont été exclus

Une question fréquente : étant donné le niveau d'information qu'elle contient, une déclaration d'applicabilité est-elle confidentielle ? Oui. Ces déclarations sont conçues pour être des documents internes confidentiels qui ne doivent être partagés qu'avec votre auditeur.

Pourquoi la déclaration d'applicabilité ISO 27001 est importante

La déclaration d'applicabilité est le document fondamental pour l'ISO 27001. Elle définit lesquels des 114 contrôles recommandés de l'annexe A vous allez mettre en œuvre et comment — et les raisons pour lesquelles vous avez choisi de ne pas mettre en œuvre certains contrôles de l'ISO 27001. Elle détaille également pourquoi chaque contrôle est nécessaire et s'il a été entièrement mis en œuvre.

Même en mettant de côté les exigences de certification ISO 27001, la Déclaration d'Applicabilité est un document incroyablement utile. Voici quelques autres raisons pour lesquelles votre Déclaration d'Applicabilité est si importante :

Elle aide à mettre en pratique votre stratégie de sécurité des données

L'ISO 27001 exige que chaque SMSI prenne en compte et documente les engagements légaux, réglementaires, et contractuels de l'organisation en matière de sécurité de l'information. Elle exige également une description détaillée de la manière dont vous répondez à ces exigences.

Votre Déclaration d'Applicabilité vous aide à définir exactement quels contrôles vous utilisez pour maintenir ces engagements cruciaux pour le business.

Elle peut également vous aider à concentrer vos efforts sur la réalisation d'un SMSI conforme en agissant comme un lien entre votre évaluation des risques et votre plan de traitement des risques. À quelles menaces votre entreprise est-elle confrontée (évaluation des risques), comment prévoyez-vous de les prioriser et de les atténuer (plan de traitement des risques), et à quoi cela ressemble-t-il en pratique (Déclaration d'Applicabilité) ?

Elle guide vos audits internes et de certification

Lors de votre audit de certification ISO 27001, la Déclaration d'Applicabilité agit comme le document central pour que votre auditeur vérifie si vos contrôles fonctionnent réellement comme vous le dites. Elle constituera également un point focal pour vos audits de sécurité interne périodiques et vous aidera à respecter vos exigences de révision et d'amélioration continue de votre SMSI.

En listant tous les contrôles que vous avez mis en place, vous obtiendrez un instantané de la manière dont vous gérez efficacement les risques et s'il pourrait y avoir une meilleure approche. Et comme vous devrez revoir ce document au moins annuellement, il vous aidera à rester conscient de tout changement dans le paysage des menaces qui pourrait signaler un changement dans votre stratégie. Peut-être qu'un risque que vous aviez précédemment accepté a augmenté en probabilité et vous décidez de mettre en place un nouveau contrôle.

Notez que le numéro de version et la date sur le document SOA doivent correspondre à ceux mentionnés sur votre certificat ISO 27001, ainsi, lorsqu'un client demande, il saura qu'il examine la bonne référence.

Elle fournit un document de travail pour la surveillance et l'amélioration de votre SMSI

Bien que la Déclaration d'Applicabilité soit un outil important pour votre audit de certification, elle n'est pas seulement destinée au bénéfice de votre auditeur. Sa valeur centrale réside dans son rôle d'outil pour votre organisation afin de surveiller et améliorer votre SMSI.

Considérez-la comme une vue d'ensemble de la manière dont votre organisation pratique la sécurité de l'information — une liste de travail de chaque contrôle, pourquoi il est nécessaire, et une description de son fonctionnement réel. Elle peut vous aider, ainsi que d'autres personnes de votre organisation (comme les membres du conseil et les investisseurs), à comprendre comment et pourquoi vous gérez certains risques en matière de sécurité de l'information et en acceptez d'autres.

Comment rédiger une Déclaration d'Applicabilité ISO 27001

Il est maintenant temps de mettre la plume sur le papier (ou les doigts sur le clavier) et de créer votre document de Déclaration d'Applicabilité. Nous avons décomposé le processus en six étapes pour vous guider à travers celui-ci.

1. Identifier et analyser les risques pour votre SMSI

Complétez une évaluation des risques ISO 27001 en listant tous vos actifs d'information et en identifiant les menaces de données et de cybersécurité pour chacun d'eux.

Avec votre rapport d'évaluation des risques en main, vous pouvez alors classer et prioriser les risques en fonction de leur probabilité et de leur impact, assigner un propriétaire de risque, et créer un plan pour combler les vulnérabilités. Vous pouvez trouver un modèle d'évaluation des risques ISO 27001 ici.

2. Définir votre plan de traitement des risques

Maintenant que vous avez une liste de risques identifiés, vous devrez décider quelles mesures de sécurité prendre pour chacun d'eux. Un plan de traitement des risques est un document qui résume chaque risque, attribue un responsable à chacun, détaille comment vous prévoyez de l'atténuer ou de l'accepter, et le calendrier prévu pour remédier à toute non-conformité.

La norme ISO 27001 définit quatre options de traitement des risques:

• Traiter le risque avec des contrôles de sécurité qui réduisent la probabilité qu'il se produise
• Éviter le risque en empêchant les circonstances où il pourrait se produire
• Transférer le risque à un tiers (c'est-à-dire externaliser les efforts de sécurité à une autre entreprise, souscrire une assurance, etc.)
• Accepter le risque si le coût de le traiter est supérieur aux dommages potentiels

3. Choisir les contrôles de sécurité que vous utiliserez pour atténuer les risques

Une fois que vous avez identifié les risques que vous voulez traiter, vous pouvez choisir les contrôles nécessaires pour réduire leur probabilité ou leur impact. Utilisez l'annexe A et ISO 27002 comme guide pour revoir les contrôles recommandés et sélectionner ceux qui conviennent le mieux à votre organisation.

Par exemple, un risque pour la sécurité des données est que les employés utilisent des mots de passe faibles ou partagés. Un contrôle possible serait d'établir une politique de mot de passe fort ou d'implémenter un outil comme 1Password pour toute l'entreprise.

4. Créez une liste des contrôles que vous n'utiliserez pas ainsi que les justifications

Parfois, il est plus logique pour votre entreprise d'accepter un risque plutôt que de le traiter. Par exemple, vous ne voudriez pas dépenser 10k $ pour éviter un risque de 1k $.

Ou peut-être que la probabilité et/ou l'impact de la menace sont si insignifiants que le risque est déjà à un niveau acceptable. Une entreprise basée à Cleveland n'a probablement pas besoin de protections antisismiques coûteuses comme les racks de serveurs sismiques.

Documentez votre décision de ne pas traiter certains risques dans votre plan de traitement des risques ISO 27001. Vous aurez besoin de cette liste lorsque vous complèterez votre déclaration d'applicabilité, et votre auditeur voudra voir que vous êtes au moins conscient des risques et avez pris une décision éclairée de les accepter.

5. Complétez votre document de déclaration d'applicabilité

Listez les contrôles recommandés par l'annexe A, ainsi qu'une déclaration indiquant si vous avez appliqué chacun d'eux et les raisons de votre décision. Vous listerez également si le contrôle répond à une exigence légale, contractuelle, commerciale ou de conformité, ainsi que la date de sa mise en œuvre.

Parce que la déclaration d'applicabilité répertorie chaque contrôle de l'annexe A et ses détails correspondants, la plupart des gens l'organisent sous forme de tableur. Cela dit, tout document pouvant être divisé en sections conviendra.

6. Gardez votre déclaration d'applicabilité à jour

Votre déclaration d'applicabilité est un document vivant. Parce que l'amélioration continue est un aspect essentiel des normes ISO 27001, vous devrez continuer d'évaluer, d'ajouter et d'ajuster vos contrôles de sécurité au fil du temps.

Votre déclaration d'applicabilité doit être régulièrement mise à jour pour refléter les contrôles que vous utilisez et comment vous les avez modifiés pour renforcer votre SGSI.

Téléchargez le modèle de déclaration d'applicabilité ISO 27001

Utilisez notre modèle de déclaration d'applicabilité ISO 27001 pour simplifier le processus de création de votre propre déclaration.

FAQ sur la déclaration d'applicabilité ISO 27001

Qu'est-ce qu'une déclaration d'applicabilité ISO 27001?

Une déclaration d'applicabilité ISO 27001 explique quels contrôles de sécurité de l'annexe A sont - ou ne sont pas - applicables au SMSI de votre organisation. Si un contrôle n'est pas applicable, une explication est nécessaire.

La déclaration d'applicabilité est-elle une exigence de la norme ISO 27001?

Oui, une déclaration d'applicabilité est requise pour la certification ISO 27001.

Comment rédiger une déclaration d'applicabilité ISO 27001?

Étant donné qu'elles contiennent une liste de contrôles de l'annexe A et comment ils ont été mis en œuvre dans votre organisation, la plupart des déclarations d'applicabilité sont formatées sous forme de tableau. Listez chaque contrôle de l'annexe A, indiquez s'il a été appliqué et fournissez une justification, spécifiez un propriétaire du contrôle et incluez la date de mise en œuvre et la dernière évaluation.

Les déclarations d'applicabilité sont des documents vivants qui évolueront à mesure que vous améliorez continuellement votre SMSI, il est donc probable que vous souhaitiez également inclure une sorte d'historique des versions.

Qu'est-ce qu'un document SoA?

Un SoA est un acronyme pour Statement of Applicability (déclaration d'applicabilité). C'est le même document.

Où puis-je trouver un modèle de déclaration d'applicabilité ISO 27001 à télécharger?

Vous pouvez trouver un modèle gratuit de déclaration d'applicabilité ISO 27001 sous forme Excel à télécharger ici.

Qu'est-ce qu'une justification de déclaration d'applicabilité ISO 27001?

Si vous décidez de ne pas mettre en œuvre un contrôle de l'annexe A, vous devrez expliquer (ou justifier) les raisons pour lesquelles il n'est pas applicable à votre SMSI.

Qu'est-ce que la norme ISO 27001:2022?

La norme ISO 27001:2022 est la dernière édition de la norme ISO, publiée en octobre 2022. Dans l'ensemble, les mises à jour des clauses 4-10 du SMSI comprennent des modifications mineures de la formulation et de la structure pour clarifier les objectifs des contrôles et n'impactent pas l'exigence de déclaration d'applicabilité.

Simplifiez la certification ISO 27001 avec Secureframe

Félicitations! Vous avez terminé votre déclaration d'applicabilité ISO 27001. Au fur et à mesure que vous vous préparez pour votre audit de certification, vous devrez probablement collecter, organiser avec les bons contrôles et maintenir à jour des centaines d'autres documents.

La plateforme d'automatisation de la conformité de Secureframe peut simplifier et rationaliser tout le processus de préparation et de maintien de votre certification ISO 27001. Nous vous aiderons à construire un SMSI conforme, à surveiller votre pile technologique pour détecter les vulnérabilités et à gérer les risques. Nous vous aidons également à mapper vos contrôles ISO 27001 pour prouver votre conformité avec d'autres cadres tels que SOC 2, PCI DSS, NIST, RGPD, et plus encore. Planifiez une démonstration aujourd'hui pour en savoir plus.