ISMS Copilot
Glossaire ISO 27001

Qu'est-ce qu'une Déclaration d'Applicabilité (SoA) ?

Aperçu

La Déclaration d'Applicabilité (SoA - Statement of Applicability) est un document obligatoire de la norme ISO 27001 qui répertorie les 93 mesures de l'Annexe A et explique si chaque mesure est incluse dans votre SMSI ou exclue. Pour les mesures incluses, elle décrit comment elles sont mises en œuvre. Pour les mesures exclues, elle fournit une justification pour l'exclusion.

Ce que cela signifie concrètement

La SoA est le plan de sélection de vos mesures de sécurité : elle relie les résultats de votre évaluation des risques aux mesures de sécurité spécifiques que vous avez choisi de mettre en œuvre. Les auditeurs l'utilisent comme feuille de route pour vérifier que votre SMSI traite les risques identifiés de manière appropriée.

Exemple concret : Votre évaluation des risques identifie les rançongiciels comme une menace critique. Votre SoA indiquerait la mesure A.8.7 (Protection contre les logiciels malveillants) comme « Incluse » avec des détails de mise en œuvre tels que « Logiciel de détection et de réponse sur les terminaux déployé sur tous les appareils avec gestion centralisée », tandis que la mesure A.7.4 (Surveillance de la sécurité physique) pourrait être « Exclue - l'organisation est exclusivement sur le cloud sans centre de données physique ».

Pourquoi la SoA est cruciale pour l'ISO 27001

Exigence obligatoire

La clause 6.1.3(d) de l'ISO 27001 exige explicitement de maintenir « une déclaration d'applicabilité contenant les mesures nécessaires et la justification des inclusions et des exclusions ». Vous ne pouvez pas obtenir la certification sans une SoA complète et précise.

Démonstration d'une approche basée sur les risques

La SoA prouve que vous ne mettez pas en œuvre des mesures au hasard ou en appliquant aveuglément des modèles. Elle montre comment chaque décision concernant une mesure remonte à votre évaluation des risques.

Feuille de route d'audit

Les auditeurs utilisent votre SoA pour planifier ce qu'ils vont vérifier lors des audits de certification. Les mesures incluses nécessitent des preuves de mise en œuvre et d'efficacité. Les exclusions doivent être justifiées sur la base de l'évaluation des risques ou du contexte de l'entreprise.

Gestion du changement

À mesure que les risques évoluent, votre SoA doit être mise à jour pour refléter les nouvelles exigences en matière de mesures ou pour permettre la suppression de mesures précédemment exclues si les risques diminuent.

Constat d'audit courant : Des justifications dans la SoA qui ne correspondent pas aux résultats de l'évaluation des risques. Par exemple, exclure les mesures de sauvegarde (A.8.13) alors que votre évaluation identifie la perte de données comme un risque élevé entraînera une non-conformité.

Ce que la SoA doit inclure

Liste complète des mesures

Les 93 mesures de l'Annexe A de l'ISO 27001:2022 doivent toutes figurer dans votre SoA, organisées par thème :

  • Mesures organisationnelles : A.5.1 à A.5.37 (37 mesures)

  • Mesures relatives aux personnes : A.6.1 à A.6.8 (8 mesures)

  • Mesures physiques : A.7.1 à A.7.14 (14 mesures)

  • Mesures technologiques : A.8.1 à A.8.34 (34 mesures)

Statut d'inclusion/exclusion

Pour chaque mesure, indiquez clairement si elle est incluse dans votre SMSI ou exclue. Évitez les statuts ambigus comme « partiellement applicable » - les mesures sont soit incluses, soit exclues.

Description de la mise en œuvre (pour les mesures incluses)

Décrivez brièvement comment vous mettez en œuvre chaque mesure incluse. Incluez :

  • Les politiques, procédures ou technologies spécifiques utilisées

  • Qui est responsable de la mesure

  • Où les preuves de mise en œuvre peuvent être trouvées

  • Comment la mesure répond aux risques identifiés

Justification de l'exclusion (pour les mesures exclues)

Expliquez pourquoi les mesures exclues ne font pas partie de votre SMSI. Justifications valables :

  • Basée sur le risque : « Aucun risque dans notre évaluation ne nécessite cette mesure »

  • Basée sur le contexte : « Non applicable - nous sommes exclusivement sur le cloud sans infrastructure physique »

  • Légal/réglementaire : « Interdit par les lois sur la résidence des données dans notre juridiction »

Qualité de la justification : Les justifications d'exclusion solides font référence à des conclusions spécifiques de l'évaluation des risques ou au contexte organisationnel. Les justifications faibles comme « pas pertinent » ou « pas encore mis en œuvre » seront contestées par les auditeurs.

Structure et format de la SoA

Format tabulaire (le plus courant)

Un tableau avec des colonnes pour :

  • Le numéro de la mesure (ex: A.5.1)

  • Le nom de la mesure (ex: « Politiques de sécurité de l'information »)

  • Le statut (Inclus / Exclu)

  • La description de la mise en œuvre ou justification de l'exclusion

  • La référence au risque (lien vers le registre des risques)

  • L'emplacement des preuves (facultatif mais utile)

Format narratif

Certaines organisations préfèrent un document narratif décrivant la mise en œuvre des mesures groupées par thème. Moins courant mais acceptable si cela traite clairement les 93 mesures.

Format basé sur des outils

Les plateformes GRC et les outils SMSI génèrent souvent des SoA automatiquement en fonction de la sélection des mesures et du lien avec les évaluations de risques. Celles-ci nécessitent toujours une validation manuelle pour en vérifier l’exactitude.

Préférence des auditeurs : La plupart des auditeurs privilégient les SoA tabulaires car elles sont faciles à scanner et à croiser. Gardez les descriptions de mise en œuvre concises (2-3 phrases par mesure) - les procédures détaillées appartiennent à des documents de procédure séparés, pas à la SoA.

Créer votre SoA

Étape 1 : Terminer l'évaluation des risques

Votre SoA est un produit direct de l'évaluation des risques. Identifiez tous les risques nécessitant un traitement avant de déterminer quelles mesures mettre en œuvre.

Étape 2 : Faire correspondre les mesures aux risques

Pour chaque risque nécessitant un traitement, identifiez quelles mesures de l'Annexe A permettraient de le réduire à des niveaux acceptables. Un risque peut nécessiter plusieurs mesures ; une mesure peut répondre à plusieurs risques.

Étape 3 : Déterminer l'inclusion ou l'exclusion

Les mesures répondant aux risques identifiés sont incluses. Les mesures ne répondant à aucun de vos risques peuvent être exclues (avec justification).

Étape 4 : Décrire la mise en œuvre

Pour les mesures incluses, documentez la manière dont vous les mettez en œuvre. Soyez suffisamment précis pour que les auditeurs comprennent votre approche sans dupliquer l'intégralité des procédures.

Étape 5 : Justifier les exclusions

Pour les mesures exclues, expliquez pourquoi en vous basant sur votre évaluation des risques ou votre contexte organisationnel. Faites référence à des conclusions spécifiques de votre registre des risques lorsque cela est possible.

Étape 6 : Examiner et approuver

La direction doit formellement examiner et approuver la SoA, en reconnaissant les décisions de sélection des mesures et les éventuels risques résiduels.

Contrôle des versions : La SoA est un document vivant qui doit être mis à jour lorsque les risques changent, que des mesures sont ajoutées ou modifiées, ou que des exclusions sont reconsidérées. Maintenez un historique des versions indiquant quand et pourquoi les changements ont eu lieu.

Erreurs courantes dans la SoA

Exclure trop de mesures

Les organisations excluent parfois des mesures pour réduire l'effort de mise en œuvre. Les auditeurs examinent attentivement les exclusions - si votre évaluation des risques est approfondie, la plupart des mesures devraient être incluses.

Descriptions de mise en œuvre génériques

Copier les descriptions de mesures de l'ISO 27002 sans décrire votre mise en œuvre réelle. Les auditeurs ont besoin de comprendre ce que vous faites, pas ce que dit la norme.

Absence de liens avec les risques

Oublier de relier les mesures à des risques spécifiques dans votre évaluation des risques. Cela rompt la traçabilité et suggère que les mesures ont été choisies arbitrairement.

Couverture incomplète

Oublier de traiter les 93 mesures. Même si une mesure semble manifestement inapplicable, elle doit apparaître dans la SoA avec une justification d'exclusion.

Absence de cycle de révision

Créer la SoA une seule fois lors de la mise en œuvre initiale et ne jamais la mettre à jour malgré les changements organisationnels ou les nouveaux risques.

Conseil d'efficacité : Utilisez ISMS Copilot pour générer un modèle de SoA avec des descriptions de mise en œuvre courantes pour votre secteur. Personnalisez le résultat en fonction des résultats de votre évaluation des risques et de votre contexte spécifique.

SoA vs autres documents ISO 27001

SoA vs Plan de traitement des risques

Le plan de traitement des risques détaille comment vous allez mettre en œuvre les mesures sélectionnées (délais, responsabilités, ressources). La SoA déclare quelles mesures sont mises en œuvre et pourquoi. Les deux documents sont complémentaires.

SoA vs Preuves de mesures

La SoA décrit les mesures que vous mettez en œuvre. Les preuves prouvent que les mesures fonctionnent réellement de manière efficace. Lors des audits, les auditeurs échantillonnent des mesures de votre SoA et demandent les preuves correspondantes.

SoA vs Politiques et Procédures

Les politiques et procédures fournissent des instructions détaillées pour la mise en œuvre des mesures. La SoA résume à un haut niveau quelles mesures existent et comment elles fonctionnent.

Comment les auditeurs utilisent la SoA

Audit de l'étape 1 (revue documentaire)

Les auditeurs vérifient que votre SoA est complète (les 93 mesures sont traitées), structurée logiquement et alignée avec votre évaluation des risques. Ils vérifient que les justifications d'exclusions sont cohérentes.

Audit de l'étape 2 (vérification de la mise en œuvre)

Les auditeurs échantillonnent des mesures de votre SoA et demandent des preuves qu'elles sont mises en œuvre comme décrit. Ils testeront des mesures dans les quatre thèmes et les domaines organisationnels concernés par le périmètre.

Déclencheurs de non-conformité

Raisons courantes pour lesquelles les auditeurs émettent des non-conformités liées à la SoA :

  • Mesures marquées « incluses » mais pas réellement mises en œuvre

  • Exclusions sans justification valable

  • La SoA ne reflète pas les résultats réels de l'évaluation des risques

  • Mesures manquantes (moins de 93 répertoriées)

  • Descriptions de mise en œuvre trop vagues pour être vérifiées

Préparation à l'audit : Avant l'audit de certification, examinez chaque mesure « incluse » dans votre SoA et rassemblez les preuves correspondantes. Si vous ne trouvez pas de preuve pour une mesure, soit mettez-la en œuvre correctement, soit mettez à jour la SoA pour l'exclure avec justification.

Maintenir la SoA dans le temps

Mises à jour annuelles de l'évaluation des risques

Lorsque vous effectuez vos réévaluations de risques planifiées, examinez la SoA pour déterminer si les choix de mesures restent appropriés. De nouveaux risques peuvent nécessiter des mesures précédemment exclues.

Changements organisationnels

Mettez à jour la SoA lorsque :

  • Une nouvelle technologie est déployée (peut nécessiter de nouvelles mesures techniques)

  • Le modèle d'affaires change (ex: passer au cloud change les mesures physiques)

  • L'expansion géographique introduit de nouvelles exigences réglementaires

  • Les fusions ou acquisitions modifient le profil de risque

Révisions déclenchées par des incidents

Après des incidents de sécurité importants, déterminez si les mesures existantes étaient efficaces ou si des mesures supplémentaires (précédemment exclues) devraient être mises en œuvre.

Audits de surveillance

Les auditeurs vérifieront lors des audits de surveillance annuels si la SoA a été tenue à jour. La preuve d'une révision régulière démontre que votre SMSI est actif, et non abandonné après la certification.

SoA et personnalisation des mesures

La norme permet l'adaptation

L'ISO 27001 permet aux organisations de mettre en œuvre les mesures différemment selon leur taille, leur complexité et le risque. Votre SoA doit refléter votre mise en œuvre spécifique, et non un modèle générique.

Mesures supplémentaires au-delà de l'Annexe A

Si votre évaluation des risques identifie des risques non traités de manière adéquate par les 93 mesures standards, vous pouvez mettre en œuvre des mesures supplémentaires. Indiquez-les dans votre SoA ou dans un document supplémentaire.

L'importance de la proportionnalité

La mise en œuvre de la mesure « A.6.3 Sensibilisation à la sécurité de l'information » pour une startup de 10 personnes différera de celle d'une entreprise de 10 000 personnes. Les deux peuvent être conformes si elles sont adaptées au contexte et efficaces pour réduire les risques.

Exemple de mise en œuvre proportionnelle : Une petite entreprise SaaS exclusivement sur le cloud pourrait exclure les mesures A.7.1 à A.7.14 (mesures physiques) en justifiant « Aucune infrastructure physique - tous les systèmes fonctionnent sur AWS avec une sécurité gérée par les contrôles SOC 2 du fournisseur cloud ». Ceci est acceptable si leur évaluation des risques reflète cette architecture « cloud-first ».

Concepts associés

Obtenir de l'aide

Accélérez la création de votre SoA avec ISMS Copilot. Générez des descriptions de mise en œuvre personnalisées, validez vos justifications par rapport aux résultats de l'évaluation des risques et assurez-vous que les 93 mesures sont correctement traitées.

Cela vous a-t-il été utile ?