ISMS Copilot
Glossaire ISO 27001

Qu'est-ce que le périmètre du SMSI dans l'ISO 27001 ?

Aperçu

Le périmètre (ou champ d'application) du SMSI définit les limites et l'applicabilité de votre système de management de la sécurité de l'information. Requis par la clause 4.3 de la norme ISO 27001:2022, il spécifie exactement quelles parties de votre organisation, quels sites, quels systèmes et quels processus sont couverts par votre SMSI — et, tout aussi important, ce qui en est exclu.

Le périmètre est un document fondateur qui façonne toutes les activités ultérieures du SMSI, de l'évaluation des risques à la mise en œuvre des contrôles, jusqu'à la préparation de l'audit.

Le périmètre du SMSI en pratique

Le périmètre de votre SMSI doit être documenté et prendre en compte :

  • Les enjeux internes et externes identifiés à la clause 4.1 (contexte commercial, réglementations, menaces)

  • Les exigences des parties intéressées de la clause 4.2 (clients, régulateurs, partenaires)

  • Les interfaces et dépendances avec d'autres activités organisationnelles

Le périmètre doit être mis à la disposition des parties intéressées et est généralement partagé avec les clients, les auditeurs et les organismes de certification.

Votre périmètre détermine quels contrôles de l'Annexe A s'appliquent. Un périmètre plus large signifie plus d'actifs à protéger et plus de mesures à mettre en œuvre ; un périmètre plus étroit réduit la complexité mais peut limiter la valeur commerciale.

Composantes du périmètre du SMSI

Limites organisationnelles

Définissez quelles unités opérationnelles, quels départements ou quelles entités juridiques sont inclus.

Exemple (organisation complète) : "Ce SMSI s'applique à toutes les opérations d'Acme Corporation, y compris le siège social, les bureaux régionaux et le personnel à distance."

Exemple (unité spécifique) : "Ce SMSI couvre la division des services informatiques d'Acme Corporation, à l'exclusion des opérations de fabrication et de vente au détail."

Emplacements physiques

Spécifiez quels sites géographiques ou installations sont couverts.

Exemple : "Le périmètre du SMSI inclut notre centre de données principal à Francfort, en Allemagne ; les bureaux de l'entreprise à Paris, en France ; et tous les bureaux à domicile des employés à distance au sein de l'UE."

Processus et activités

Identifiez quels processus métier relèvent du SMSI.

Exemple : "Le SMSI couvre le développement de logiciels, l'exploitation de l'infrastructure cloud, le traitement des données clients, le support technique et la gestion des services informatiques. Il exclut les systèmes de paie RH gérés par un tiers."

Actifs informationnels

Définissez les types d'informations et les systèmes protégés par le SMSI.

Exemple : "Le SMSI protège les données personnelles des clients, le code source propriétaire, les dossiers financiers, les informations sur les employés et toute l'infrastructure informatique de support (réseaux, serveurs, bases de données, applications SaaS)."

Exclusions et justifications

Énoncez clairement ce qui n'est PAS inclus et expliquez pourquoi.

Exemple : "Le SMSI ne couvre pas l'usine de fabrication de Shanghai, car elle fonctionne sous un système de gestion de la qualité ISO 9001 distinct avec ses propres contrôles de sécurité de l'information supervisés par la filiale locale."

Les exclusions doivent être justifiées et ne peuvent compromettre votre capacité à atteindre les résultats escomptés du SMSI ou à respecter vos obligations légales et réglementaires. Les auditeurs scruteront les exclusions non justifiées.

Définir votre périmètre : Considérations clés

Contexte de l'organisation (Clause 4.1)

Alignez le périmètre avec les objectifs stratégiques, les risques et les exigences de conformité :

  • Quels sont vos processus métier critiques ?

  • Quelles exigences réglementaires s'appliquent (RGPD, HIPAA, PCI DSS) ?

  • Quelles menaces et opportunités affectent votre organisation ?

Exigences des parties intéressées (Clause 4.2)

Assurez-vous que le périmètre répond aux besoins des parties prenantes :

  • Les clients exigent-ils la certification ISO 27001 pour des services spécifiques ?

  • Les contrats imposent-ils la sécurité pour certaines données ou certains systèmes ?

  • Existe-t-il des obligations légales de protéger des types d'informations spécifiques ?

Approche basée sur les risques

Priorisez les zones à haut risque :

  • Quels actifs, s'ils étaient compromis, causeraient le plus de tort ?

  • Où se trouvent vos plus grandes vulnérabilités en matière de sécurité de l'information ?

  • Quels processus manipulent les données les plus sensibles ?

Praticité et ressources

Équilibrez l'exhaustivité avec la faisabilité de la mise en œuvre :

  • Avez-vous les ressources nécessaires pour mettre en œuvre les contrôles dans toute l'organisation ?

  • Une approche par étapes est-elle plus réaliste (commencer par les services essentiels, étendre plus tard) ?

Commencez par un périmètre plus étroit axé sur les systèmes critiques et les processus à haute valeur ajoutée. Vous pourrez étendre le périmètre plus tard à mesure que votre SMSI mûrit, démontrant ainsi une amélioration continue.

Modèles de périmètre courants

Périmètre basé sur le produit ou le service

"Le SMSI s'applique à la conception, au développement, au déploiement et au support de notre plateforme de gestion de la relation client (CRM) en SaaS."

Idéal pour : Sociétés de logiciels, prestataires de services, lignes de produits spécifiques.

Périmètre basé sur l'emplacement

"Le SMSI couvre toutes les activités de sécurité de l'information à notre siège européen et l'infrastructure cloud associée."

Idéal pour : Organisations ayant des opérations régionales distinctes ou des limites de conformité spécifiques (ex: RGPD dans l'UE).

Périmètre basé sur le département

"Le SMSI s'applique au département des technologies de l'information et à tous les systèmes, réseaux et données qu'ils gèrent."

Idéal pour : Organisations débutant la mise en œuvre d'un SMSI ou ayant une gestion de la sécurité fédérée.

Périmètre pour l'ensemble de l'organisation

"Le SMSI couvre toutes les opérations, installations, employés et actifs informationnels d'Acme Corporation à l'échelle mondiale."

Idéal pour : Organisations matures recherchant une gouvernance de sécurité globale ou démontrant un engagement à l'échelle de l'entreprise.

Format de la déclaration de périmètre

Bien que l'ISO 27001:2022 n'impose pas de format spécifique, les déclarations de périmètre efficaces suivent généralement cette structure :

  1. Introduction : Nom de l'organisation et objectif du SMSI

  2. Inclusions : Unités opérationnelles, lieux, processus, systèmes, types de données couverts

  3. Exclusions : Ce qui n'est pas couvert et pourquoi

  4. Applicabilité : À qui s'applique le SMSI (employés, prestataires, partenaires)

  5. Interfaces : Connexions avec d'autres systèmes de management ou des parties externes

  6. Approbation : Autorisé par la direction avec date

Exemple de déclaration de périmètre

"Le SMSI d'Acme Cloud Services s'applique à la conception, au développement, à l'exploitation et au support de notre plateforme de stockage cloud multi-tenant, y compris toute l'infrastructure associée (centres de données à Francfort et Dublin), le personnel (équipes d'ingénierie, d'exploitation, de support) et les actifs informationnels (données clients, code de la plateforme, systèmes informatiques d'entreprise). Le périmètre inclut les employés à distance dans le monde entier. Exclu : Le traitement des paiements par des tiers géré par Stripe sous leur propre certification ISO 27001. Ce SMSI est conforme aux exigences de l'ISO 27001:2022, du RGPD et de SOC 2 Type II."

Utilisez ISMS Copilot pour rédiger une déclaration de périmètre SMSI adaptée à votre organisation, identifier les inclusions et exclusions appropriées, ou mapper les exigences des parties intéressées aux éléments du périmètre.

Révision et mises à jour du périmètre

Votre périmètre n'est pas statique. Revoyez-le et mettez-le à jour :

  • Lors de la revue de direction (Clause 9.3) à intervalles planifiés

  • Lorsque des changements significatifs surviennent (fusions, nouveaux services, changements réglementaires)

  • Si des audits internes ou des incidents révèlent des lacunes dans la couverture

  • Dans le cadre de l'amélioration continue pour étendre la protection

Documentez les changements de périmètre, obtenez l'approbation de la direction et communiquez les mises à jour aux parties intéressées.

Impact du périmètre sur les contrôles

Votre périmètre détermine directement :

  • Les limites de l'évaluation des risques : Quels actifs et menaces évaluer (Clause 6.1.2)

  • Les contrôles applicables : Quels contrôles de l'Annexe A sont pertinents (Clause 6.1.3)

  • La Déclaration d'Applicabilité (SoA) : Ce qu'il faut inclure dans la SoA

  • Le périmètre de l'audit : Ce que les organismes de certification vont évaluer

  • Les besoins en ressources : Budget, personnel, outils nécessaires

Erreurs courantes à éviter

  • Périmètre trop large par rapport aux ressources disponibles, entraînant une mise en œuvre incomplète

  • Périmètre trop étroit, excluant des systèmes ou des données critiques

  • Langage vague qui rend les limites floues

  • Exclusion de zones à haut risque sans justification valable

  • Non-alignement du périmètre avec les exigences des clients ou réglementaires

  • Oubli de mettre à jour le périmètre lors de changements dans l'entreprise

  • Absence d'approbation de la part de la direction

Termes connexes

Cela vous a-t-il été utile ?