Déclaration d'applicabilité (SoA)
La Déclaration d'Applicabilité (SoA) identifie les mesures de l'Annexe A de l'ISO/IEC 27001:2022 applicables à ISMS Copilot, justifie l'inclusion ou l'exclusion de chaque mesure et décrit comment les mesures applicables sont mises en œuvre. C'est un livrable obligatoire de notre processus de traitement des risques.
Ce document suit la clause 6.1.3 d) de l'ISO 27001:2022. Chaque mesure est marquée comme Oui (applicable et mise en œuvre), Partielle (applicable, mise en œuvre en cours) ou N/A (non applicable, exclusion justifiée).
Statistiques récapitulatives
Catégorie | Nombre total de mesures | Applicables | Partielles | N/A |
|---|---|---|---|---|
A.5 Organisationnel | 37 | 35 | 2 | 0 |
A.6 Personnes | 8 | 7 | 1 | 0 |
A.7 Physique | 14 | 1 | 0 | 13 |
A.8 Technologique | 34 | 28 | 5 | 1 |
Total | 93 | 71 | 8 | 14 |
71 mesures sont pleinement applicables et mises en œuvre, 8 sont partiellement mises en œuvre (en cours) et 14 ne sont pas applicables — principalement des mesures physiques exclues car ISMS Copilot est une plateforme SaaS hébergée dans le cloud et entièrement en télétravail, sans bureau physique ni centre de données.
Mesures d'organisation (A.5)
# | Mesure | Statut | Résumé de la mise en œuvre |
|---|---|---|---|
A.5.1 | Politiques de sécurité de l’information | Oui | Ensemble complet de politiques couvrant tous les domaines du SMSI |
A.5.2 | Rôles et responsabilités liés à la sécurité de l’information | Oui | Rôles définis dans toutes les politiques avec une responsabilité claire |
A.5.3 | Séparation des tâches | Partielle | Limitée par la taille de l'équipe ; atténuée par des revues d'accès en binôme et des exigences d'approbation de PR |
A.5.4 | Responsabilités de la direction | Oui | Le CEO est le propriétaire du SMSI avec une responsabilité globale |
A.5.5 | Contact avec les autorités | Oui | Contacts réglementaires documentés ; procédures de notification à la CNIL définies |
A.5.6 | Contact avec des groupes d’intérêt spéciaux | Oui | Surveillance des communautés de sécurité et des avis des fournisseurs |
A.5.7 | Renseignement sur les menaces | Oui | Programme actif de veille sur les menaces avec balayages hebdomadaires |
A.5.8 | Sécurité de l’information dans la gestion de projet | Oui | Sécurité prise en compte dans tout développement de fonctionnalité via le processus de gestion des changements |
A.5.9 | Inventaire des informations et autres actifs associés | Oui | Inventaires des infrastructures et des données maintenus |
A.5.10 | Utilisation prévue des informations et autres actifs associés | Oui | Règles d'utilisation acceptable pour tous les actifs informationnels, plateformes, données et outils d'IA |
A.5.11 | Restitution des actifs | Oui | Procédures de départ (offboarding) pour la révocation des accès |
A.5.12 | Classification des informations | Oui | Système de classification à quatre niveaux (Public, Interne, Confidentiel, Restreint) |
A.5.13 | Étiquetage des informations | Oui | Étiquettes de classification sur tous les documents de politique et de GRC |
A.5.14 | Transfert d’informations | Oui | TLS forcé sur tous les chemins de transfert ; procédures de transfert documentées |
A.5.15 | Contrôle d’accès | Oui | Politique de contrôle d'accès complète avec RLS, validation JWT et gardes de route |
A.5.16 | Gestion des identités | Oui | Supabase Auth pour les utilisateurs ; comptes de plateforme pour les opérateurs |
A.5.17 | Informations d’authentification | Oui | MFA imposée pour les opérateurs ; normes de mot de passe définies |
A.5.18 | Droits d’accès | Oui | Revues d'accès trimestrielles ; procédures d'arrivée et de départ |
A.5.19 | Sécurité de l’information dans les relations avec les fournisseurs | Oui | Politique de gestion des fournisseurs couvrant tous les fournisseurs cloud |
A.5.20 | Prise en compte de la sécurité de l’information dans les accords conclus avec les fournisseurs | Oui | DPA et exigences contractuelles avec tous les fournisseurs |
A.5.21 | Gestion de la sécurité de l’information dans la chaîne d’approvisionnement des TIC | Oui | Gestion des dépendances via Dependabot ; surveillance des vulnérabilités |
A.5.22 | Surveillance, revue et gestion des changements dans les services fournis par des fournisseurs | Oui | Surveillance continue des fournisseurs et suivi des performances |
A.5.23 | Sécurité de l’information pour l’utilisation de services cloud | Oui | Architecture cloud-native avec modèle de responsabilité partagée documenté |
A.5.24 | Planification et préparation de la gestion des incidents de sécurité de l’information | Oui | Guide de réponse aux incidents avec procédures définies par scénario |
A.5.25 | Évaluation et décision concernant les événements de sécurité de l’information | Oui | Système de classification de la criticité pour les événements de sécurité |
A.5.26 | Réponse aux incidents de sécurité de l’information | Oui | Guides de réponse pour chaque scénario d'incident |
A.5.27 | Tirer les enseignements des incidents de sécurité de l’information | Oui | Revue post-incident avec suivi des NC/OFI et enseignements tirés |
A.5.28 | Collecte de preuves de preuve | Oui | Procédures de rétention des logs et de préservation des preuves |
A.5.29 | Sécurité de l’information lors d’une interruption | Oui | Plan de continuité d'activité et de reprise après sinistre avec procédures de récupération définies |
A.5.30 | Préparation des TIC pour la continuité d’activité | Oui | Procédures de récupération documentées pour chaque service ; carnet de bord de démarrage maintenu |
A.5.31 | Exigences légales, statutaires, réglementaires et contractuelles | Oui | Registre légal maintenu et révisé |
A.5.32 | Droits de propriété intellectuelle | Oui | Directives de PI documentées ; aucun texte de norme sous copyright dans les données d'entraînement |
A.5.33 | Protection des enregistrements | Oui | Calendriers de conservation définis pour toutes les catégories de données |
A.5.34 | Confidentialité et protection des PII | Oui | Documentation complète de conformité RGPD (Registre, PIA, TIA, procédures d'exercice des droits) |
A.5.35 | Revue indépendante de la sécurité de l’information | Partielle | Programme d'audit interne établi ; audit externe planifié pour la certification |
A.5.36 | Conformité avec les politiques, règles et normes de sécurité de l’information | Oui | Appliquée par les revues de PR, les tests automatisés et le programme d'audit |
A.5.37 | Procédures d’exploitation documentées | Oui | Procédures opérationnelles documentées et gérées en version |
Mesures relatives aux personnes (A.6)
# | Mesure | Statut | Résumé de la mise en œuvre |
|---|---|---|---|
A.6.1 | Criblage | Partielle | Équipe fondatrice ; processus de sélection formel documenté pour les futures embauches |
A.6.2 | Conditions d’embauche | Oui | Responsabilités de sécurité communiquées et acceptées avant l'octroi de l'accès |
A.6.3 | Sensibilisation, éducation et formation à la sécurité de l’information | Oui | Programme de compétences et de sensibilisation établi |
A.6.4 | Processus disciplinaire | Oui | Processus disciplinaire gradué défini |
A.6.5 | Responsabilités après la rupture ou le changement de contrat de travail | Oui | Procédure de départ avec délais et obligations continues |
A.6.6 | Accords de confidentialité ou de non-divulgation | Oui | Périmètre de confidentialité et mécanismes contractuels définis |
A.6.7 | Télétravail | Oui | Exigences de sécurité du télétravail pour une équipe entièrement à distance |
A.6.8 | Signalement des événements de sécurité de l’information | Oui | Canaux de signalement définis ; fichier SECURITY.md public pour les signalements externes |
Mesures physiques (A.7)
# | Mesure | Statut | Justification |
|---|---|---|---|
A.7.1 | Périmètres de sécurité physique | N/A | Aucun bureau physique ni centre de données ; toute l'infrastructure est hébergée sur le cloud |
A.7.2 | Entrée physique | N/A | Aucun local physique ; sécurité physique gérée par les fournisseurs |
A.7.3 | Sécurisation des bureaux, des salles et des installations | N/A | Pas de bureaux ; géré par les fournisseurs |
A.7.4 | Surveillance de la sécurité physique | N/A | Aucun actif physique ; géré par les fournisseurs |
A.7.5 | Protection contre les menaces physiques et environnementales | N/A | Aucune infrastructure physique ; les centres de données des fournisseurs gèrent cela |
A.7.6 | Travail dans les zones sécurisées | N/A | Aucune zone sécurisée |
A.7.7 | Bureau propre et écran verrouillé | Oui | Principes d'écran verrouillé appliqués au contexte du télétravail |
A.7.8 | Installation et protection du matériel | N/A | Aucun matériel organisationnel ; le BYOD est hors périmètre |
A.7.9 | Sécurité des actifs hors des locaux | N/A | Aucun actif organisationnel n'est sorti des locaux |
A.7.10 | Supports de stockage | N/A | Aucun support de stockage organisationnel ; toutes les données sont dans des services cloud |
A.7.11 | Services généraux | N/A | Aucune infrastructure sur site |
A.7.12 | Sécurité du câblage | N/A | Aucune infrastructure sur site |
A.7.13 | Maintenance du matériel | N/A | Aucun matériel organisationnel |
A.7.14 | Mise au rebut ou recyclage sécurisé du matériel | N/A | Aucun matériel organisationnel |
Mesures technologiques (A.8)
# | Mesure | Statut | Résumé de la mise en œuvre |
|---|---|---|---|
A.8.1 | Dispositifs terminaux des utilisateurs | Partielle | Antivirus sur l'appareil du CEO ; les contrôles au niveau applicatif (MFA, JWT, RLS) compensent l'application limitée sur les postes des freelances |
A.8.2 | Droits d’accès privilégiés | Oui | Clés de rôle de service et accès admin sous contrôles stricts |
A.8.3 | Restriction de l’accès aux informations | Oui | Sécurité au niveau des lignes (RLS), validation JWT, gardes de route |
A.8.4 | Accès au code source | Oui | Accès au dépôt GitHub contrôlé ; revue de PR obligatoire pour tout changement |
A.8.5 | Authentification sécurisée | Oui | MFA pour les opérateurs ; JWT pour les utilisateurs ; options OAuth disponibles |
A.8.6 | Gestion des capacités | Oui | Limites de jetons par forfait ; limitation de débit ; surveillance de l'utilisation |
A.8.7 | Protection contre les logiciels malveillants | Partielle | Validation du format des fichiers pour les téléchargements ; aucun code exécutable traité |
A.8.8 | Gestion des vulnérabilités techniques | Oui | Programme de gestion des vulnérabilités avec Dependabot et SLAs définis |
A.8.9 | Gestion de la configuration | Oui | Configuration as code ; définitions d'infrastructure gérées en version |
A.8.10 | Suppression des informations | Oui | Suppression automatisée ; périodes de rétention configurables par l'utilisateur |
A.8.11 | Masquage des données | Oui | Restrictions de journalisation et nettoyage des PII dans le suivi des erreurs |
A.8.12 | Prévention des fuites de données | Oui | SystemPromptGuard ; restrictions de logs ; Politique de Sécurité de Contenu (CSP) |
A.8.13 | Sauvegarde des informations | Oui | Récupération à un instant T (PITR) pour la base de données de production ; sauvegardes quotidiennes |
A.8.14 | Redondance des installations de traitement de l’information | Partielle | Basculement IA multi-fournisseurs ; redondance de base de données gérée ; points de défaillance uniques connus documentés |
A.8.15 | Journalisation | Oui | Journalisation structurée via plusieurs sources |
A.8.16 | Activités de surveillance | Oui | Uptime BetterStack, erreurs Sentry, analytique PostHog, alertes de sécurité |
A.8.17 | Synchronisation de l’horloge | Oui | NTP géré par la plateforme sur tous les services cloud |
A.8.18 | Utilisation de programmes utilitaires privilégiés | N/A | Aucun accès serveur traditionnel ; permissions du runtime Deno limitées |
A.8.19 | Installation de logiciels sur des systèmes opérationnels | Oui | Contrôlé via des pipelines CI/CD et des builds basés sur des conteneurs |
A.8.20 | Sécurité des réseaux | Oui | Tous les chemins de communication sécurisés par TLS |
A.8.21 | Sécurité des services réseau | Oui | TLS 1.2+ sur tous les services ; sécurité réseau gérée par le fournisseur |
A.8.22 | Séparation des réseaux | Oui | Ségrégation logique via des fournisseurs et environnements distincts |
A.8.23 | Filtrage Web | Partielle | La Politique de Sécurité de Contenu restreint les connexions frontend ; les permissions du runtime restreignent le backend |
A.8.24 | Utilisation de la cryptographie | Oui | TLS 1.2+ forcé sur tous les chemins ; chiffrement au repos via Supabase |
A.8.25 | Cycle de vie de développement sécurisé | Oui | Sécurité intégrée à chaque phase du cycle de vie (SDLC) ; TDD obligatoire |
A.8.26 | Exigences de sécurité des applications | Oui | Analyse des exigences de sécurité avant le codage ; revue des changements sensibles |
A.8.27 | Principes d’architecture et d’ingénierie de systèmes sécurisés | Oui | Principes d'architecture documentés ; modélisation des menaces pour les nouvelles fonctionnalités |
A.8.28 | Codage sécurisé | Oui | Normes de codage, modèles interdits, contrôles du codage assisté par IA |
A.8.29 | Tests de sécurité lors du développement et de la recette | Oui | TDD, suite de tests automatisés (unité/sécurité/UI), barrières CI |
A.8.30 | Développement externalisé | Partielle | Développement assisté par IA régi par des directives spécifiques ; aucun développeur humain externe |
A.8.31 | Séparation des environnements de développement, de test et de production | Oui | Projets de base de données, instances d'application et cibles de déploiement séparés par environnement |
A.8.32 | Gestion des changements | Oui | Processus complet de gestion des changements avec application automatisée par CI/CD |
A.8.33 | Informations de test | Oui | Données de production jamais copiées vers le développement ; données de test synthétiques uniquement |
A.8.34 | Protection des systèmes d’information pendant les tests d’audit | Oui | Tests d'audit dans des environnements séparés ; accès d'audit en lecture seule |
ISMS Copilot traite 79 des 93 mesures de l'Annexe A (totalement ou partiellement), avec 14 mesures justifiées comme non applicables à notre modèle opérationnel cloud et à distance. Les mesures physiques (A.7) sont principalement gérées par nos fournisseurs d'infrastructure cloud (Supabase, Fly.io, Vercel) sous leurs propres certifications SOC 2 et ISO 27001.
Révision
Cette Déclaration d'Applicabilité est révisée annuellement, lorsque le périmètre du SMSI change, lorsque les décisions de traitement des risques modifient l'ensemble des mesures requises, après des incidents de sécurité significatifs, et dans le cadre de la revue de direction annuelle.