Pour établir un Système de Management de la Sécurité de l’Information (SMSI) efficac, la Déclaration d’Applicabilité (DdA) – ou Statement of Applicability (SoA) en anglais – occupe une place centrale et synthétise les choix de mesures de sécurité adoptées par l’organisation. 

Dans cet article, nous allons expliquer plus en détail ce qu’est une DdA, pourquoi elle est incontournable, quand et comment la rédiger, comment elle s’appuie sur l’analyse des risques, à quoi ressemble sa structure typique et nous donnerons des exemples concrets de mesures applicables (ou pas!) avec leur justification. 

Bienvenue dans l'ANNEXE A !

Accrochez-vous, c'est LE document que vous demandera l'auditeur pour parachevé la bonne mise en oeuvre de votre SMSI.

*

*

Envoyez-moi l'Annexe A immédiatement !

C'est partit !

Jeter un oeil à vos spams on sait jamais !

Sinon, suivez ce lien pour le télécharger : 

Qu’est-ce que la Déclaration d’Applicabilité (DdA) et quel est son rôle ?

La Déclaration d’Applicabilité est un document fondamental exigé par la norme ISO 27001​. Il s’agit d’une liste formelle de tous les contrôles de sécurité pertinents issus de l’Annexe A de la norme (qui recense les mesures de sécurité recommandées). Concrètement, la DdA indique quels contrôles l’organisation a décidé d’appliquer, ou pas!, dans le cadre de son SMSI, et fournit pour chacun la justification de son inclusion ou de son exclusion.

En d’autres termes, la DdA fait le lien entre les risques identifiés par l’entreprise et les mesures de sécurité choisies pour traiter ces risques. Elle précise les contrôles de l’Annexe A que vous allez mettre en œuvre et comment, ainsi que les raisons pour lesquelles certains contrôles ne seront pas mis en œuvre​. 

En plus de lister les contrôles et leur statut, une bonne DdA détaille également pourquoi chaque contrôle retenu est nécessaire (par exemple, en référence à un risque ou à une obligation réglementaire) et si le contrôle est déjà pleinement implémenté ou en cours de déploiement​. 

Pour les contrôles exclus, elle documente clairement la raison de leur non-applicabilité dans le contexte de l’organisation​. La DdA sert donc de tableau de bord des mesures de sécurité : elle offre une vue synthétique de la posture de sécurité de l’entreprise, en indiquant pour chaque mesure de l’Annexe A si elle est appliquée ou non, avec les justifications appropriées.

Pourquoi la DdA est-elle un élément central et obligatoire du processus de certification ?

La DdA n’est pas qu’un simple document parmi d’autres – c’est un pré-requis incontournable pour prétendre à la certification ISO 27001​. La norme le demande explicitement (clause 6.1.3) et les auditeurs y accorderont une attention particulière lors de l’évaluation de votre SMSI. 

En effet, c’est le document central utilisé par l’auditeur pour vérifier que vos contrôles de sécurité sont en place et efficaces​. Lors de l’audit de certification, l’examinateur prendra votre DdA et vérifiera, point par point, que chaque contrôle listé comme « appliqué » l’est réellement sur le terrain​.

S’il manque un contrôle de l’Annexe A dans la DdA (sans justification d’exclusion valable) ou si un contrôle est indiqué comme mis en œuvre alors qu’il ne l’est pas en réalité, ce sera une non-conformité majeure. 

En résumé, la DdA apporte la preuve tangible de l’engagement de l’organisation en matière de sécurité de l’information​. C’est un document à la fois technique et stratégique, qui formalise la posture de sécurité choisie par l’entreprise. Sa qualité et son exhaustivité pèsent lourd dans la réussite de la certification ISO 27001.

À quel moment rédiger la Déclaration d’Applicabilité dans une démarche SMSI ?

La DdA intervient au stade de la planification du SMSI, une fois que vous avez effectué votre appréciation des risques et décidé comment les traiter. En pratique, sa rédaction est généralement concomitante avec l’élaboration du plan de traitement des risques.

 La DdA est ainsi l’aboutissement du processus de gestion des risques jusqu’à la sélection des contrôles. Elle doit idéalement être prête avant l’audit de certification, car c’est un document central que l’auditeur examinera dès le Stage 1 (audit documentaire).

En somme, la DdA se rédige après avoir identifié les risques et choisi les mesures de traitement, et avant (ou au plus tard pendant) la mise en œuvre de ces mesures. C’est le pont entre la théorie et la pratique : elle traduit, dans un format condensé, comment les risques vont être traités dans la réalité​. 

Notons qu’une DdA initiale peut être préparée assez tôt pour servir de guide de mise en œuvre, puis enrichie au fur et à mesure que les contrôles sont effectivement déployés.

Articulation de la DdA avec l’analyse de risques et le plan de traitement des risques

Il est crucial de comprendre que la DdA, le rapport d’analyse des risques et le plan de traitement des risques sont trois documents étroitement liés, qui se complètent et se répondent.

• Analyse des risques → DdA : L’analyse (ou appréciation) des risques fournit la matière première de la DdA. En effet, c’est en identifiant vos risques que vous déterminez quels contrôles de sécurité sont nécessaires. La DdA reprendra tous les contrôles choisis pour réduire les risques jugés inacceptables. Mais elle ira plus loin en listant aussi les contrôles non retenus. Comme le dit la clause 6.1.3 d’ISO 27001, la DdA doit « définir lesquels des contrôles de l’Annexe A vous allez appliquer »​ et par différence, ceux que vous n’appliquerez pas. Ainsi, chaque risque important identifié devrait correspondre à une ou plusieurs mesures dans la DdA (sauf si le risque est accepté), et chaque mesure appliquée doit idéalement se rattacher à un ou plusieurs risques identifiés (ou à une exigence externe).

• Exigences externes → DdA : Comme évoqué, la DdA n’est pas uniquement dictée par les risques. Par exemple, si un contrat client impose de chiffrer certaines données, le contrôle correspondant (sur la cryptographie) figurera dans la DdA même si le risque brut n’était pas élevé. La DdA intègre les contrôles requis par des obligations légales, réglementaires ou contractuelles de l’organisation, en plus des contrôles purement choisis par approche risque​.

• Plan de traitement des risques (RTP) → DdA : Le plan de traitement des risques est en quelque sorte la feuille de route d’implémentation des contrôles : qui fait quoi, comment, quand, pour mettre en place les mesures de sécurité retenues. La DdA, elle, en est le résumé statique à un instant T. Chaque mesure listée dans le RTP (chaque action) devrait se retrouver dans la DdA sous forme de contrôle appliqué. Le RTP apporte le détail opérationnel (par exemple « installer un pare-feu NextGen d’ici Q3 »), tandis que la DdA indique globalement « Contrôle A.13.1 – Sécurité réseau – Appliqué ».

• Tracabilité et justification : La DdA assure la traçabilité de vos choix : elle justifie l’inclusion ou l’exclusion de chaque contrôle​. Si l’analyse de risques a identifié un risque lié au travail à distance, et que vous avez une politique de télétravail sécurisé, la DdA indiquera que le contrôle « Télétravail » est appliqué, justifié par ce risque. À l’inverse, si vous n’avez aucun employé en télétravail, la DdA pourra marquer ce contrôle comme non applicable, avec pour justification « Pas de personnel en télétravail dans l’organisation »​. Ce faisant, elle explicite comment l’appréciation des risques se traduit en décisions de sécurité.

En somme, l’analyse des risques alimente la DdA, et la DdA renvoie en miroir les résultats du traitement des risques. C’est pourquoi on la décrit souvent comme le lien fondamental entre l’évaluation/traitement des risques et la mise en œuvre de la sécurité​. Une DdA bien articulée avec le processus de gestion des risques démontre une démarche cohérente et complète : aucun risque significatif n’est laissé sans mesure, et aucune mesure n’est en place sans raison valable.

À quoi ressemble une Déclaration d’Applicabilité ? – Structure typique et contenu

Forme : La DdA se présente généralement sous la forme d’un tableau (souvent au format Excel ou Word) comportant plusieurs colonnes. Chaque ligne correspond à un contrôle de sécurité (généralement, chaque contrôle de l’Annexe A figure dans le tableau, qu’il soit appliqué ou non). Il est recommandé d’inclure également les éventuels contrôles additionnels que l’organisation a décidé d’ajouter hors Annexe A, le cas échéant. 

Figure : Vue synthétique des éléments clés devant figurer dans une Déclaration d’Applicabilité ISO 27001. La DdA doit couvrir l’ensemble des contrôles de sécurité suggérés par l’Annexe A de la norme et indiquer pour chacun s’il est retenu (applicable) ou exclu, avec la justification de son inclusion ou exclusion. Pour chaque contrôle applicable, on précise également l’état de sa mise en œuvre (contrôle déjà en place, en cours, ou à déployer) afin de donner une vision claire du niveau de conformité atteint. 

Colonnes et informations essentielles : Bien qu’il n’existe pas de modèle unique imposé, une DdA efficace comprend généralement les colonnes/informations suivantes :

• Identifiant et intitulé du contrôle – Par exemple la gestion des droits d’accès utilisateurs. Cela permet de se référer précisément au libellé du contrôle dans la norme (Annexe A).
• Applicabilité / Décision – Indique si le contrôle est Appliqué (oui) ou Non appliqué (non) dans le SMSI. Certaines organisations utilisent des termes comme « Applicable », « Mis en œuvre » ou au contraire « Exclu / Non pertinent ».
• Justification de l’inclusion ou de l’exclusion – C’est ici que réside la valeur ajoutée de la DdA. Il faut expliquer pourquoi le contrôle est retenu (par exemple “pour réduire le risque X” ou “exigence du Règlement Y”) ou pourquoi il est écarté (“non applicable car pas d’activité Z dans notre contexte”). Cette justification est obligatoire pour chaque contrôle non appliqué, selon la norme​. Il est aussi recommandé de justifier les contrôles appliqués, en liant chaque mesure à un ou plusieurs scénarios de risque ou obligations, ce qui renforce la pertinence de votre SMSI.
• Statut de mise en œuvre – ISO 27001 demande d’indiquer si les contrôles applicables sont entièrement mis en œuvre ou non​. On peut donc préciser pour chaque contrôle appliqué s’il est déjà en place, en cours de déploiement, ou planifié. Lors du premier audit de certification, il est attendu que tous les contrôles déclarés « applicables » soient mis en œuvre ou au moins très avancés. Ce statut peut être simplement binaire (Mis en œuvre : Oui/Non) ou détaillé (Oui, Partiellement, Non).
• Référence de mise en œuvre (optionnel) – Bonne pratique : indiquer, pour chaque contrôle appliqué, comment il est mis en œuvre concrètement​. Cela peut être une référence à une politique, une procédure ou un document interne (par ex. pour le contrôle « Sécurité physique des locaux », référencer une Politique de sécurité physique ou un plan de sûreté bâtimentaire). Ou bien une brève description de la mesure en place (par ex. “Contrôle d’accès électronique par badges + vidéosurveillance 24/7 sur le site de Paris”). Cette colonne n’est pas strictement exigée, mais très utile pour l’audit et la maintenance du SMSI, car elle évite de devoir consulter d’autres documents pour comprendre comment chaque contrôle est adressé.
• Propriétaire / responsable (optionnel) – Certaines organisations ajoutent une colonne désignant le propriétaire du contrôle (par exemple : RSSI, DSI, DRH…) ou le département responsable. Ceci aide à clarifier les responsabilités de mise en œuvre et de maintien de chaque mesure.

En respectant cette structure, la DdA devient un outil clair et lisible. Elle tient idéalement sur quelques pages. Par exemple, pour la version 2013 de la norme, on y retrouvait 114 lignes (une par contrôle de l’Annexe A 2013) ; pour la version 2022, on aura 93 lignes correspondantes aux 93 contrôles de la nouvelle Annexe A​.

Bien entendu, le tableau peut être filtré ou annoté à des fins d’analyse (par exemple, isoler les contrôles non mis en œuvre, ou ceux en attente de validation). L'ajout d'un indicateur de progression de la mise en oeucre d'un contôle peut améliorer le suivi.

Exemples concrets de mesures applicables ou non (et comment le justifier)

Pour mieux illustrer comment remplir une DdA, prenons quelques exemples de contrôles de sécurité et voyons dans quel cas ils seraient applicables ou non, et comment on justifie cela dans le document. 

Exemple 1 – Contrôle applicable : A.5.1 – Politique de sécurité de l’information. Ce contrôle exige que l’organisation définisse une politique de sécurité approuvée par la direction. 

Applicabilité : pour quasiment toute organisation qui vise ISO 27001, ce contrôle sera applicable (c’est même l’un des premiers requis). 

Justification de l’inclusion : il s’agit d’un prérequis de la norme et d’une bonne pratique fondamentale pour cadrer le SMSI – on le justifiera par exemple par « Nécessaire pour donner une direction en matière de sécurité et satisfaire aux exigences de l’ISO 27001 ». Mise en œuvre : la DdA peut indiquer que ce contrôle est « Mis en œuvre » via, par exemple, « Politique de Sécurité de l’Information v1.2 validée par la Direction le 01/09/2023 ».

Exemple 2 – Contrôle applicable : A.7.2 – Contrôles d’accès logiques (regroupant la gestion des comptes utilisateurs, des droits, etc.). 

Applicabilité : là encore, pratiquement toute entité possédant des systèmes d’information aura ce risque à couvrir, donc ce contrôle (ou ces sous-contrôles) est applicable. 

Justification : évident – « Protéger les informations en empêchant les accès non autorisés ». S’il s’agit de plusieurs mesures, on peut détailler : mot de passe robustes, gestion des habilitations, etc., pour réduire les risques d’intrusion interne ou externe. Mise en œuvre : la DdA mentionnera par exemple « Contrôle appliqué : processus de gestion des accès en place (procédure IT-Access-01), révocations sous 24h en cas de départ, revue des droits semestrielle… ». Ce niveau de détail est facultatif mais donne du poids à votre DdA.

Exemple 3 – Contrôle non applicable : A.6.7 – Télétravail. Ce contrôle porte sur la sécurité du travail à distance. 

Scénario : supposons une petite entreprise où aucun employé ne télétravaille, toute l’activité se fait sur site. 

Dans ce cas, ce contrôle n’a pas lieu d’être. 

Décision : il sera marqué « Non applicable » dans la DdA. Justification de l’exclusion : on notera par exemple « Aucun collaborateur en télétravail – toutes les opérations sont réalisées dans les locaux sécurisés de l’entreprise ».

Cette justification claire suffit à l’auditeur pour comprendre pourquoi vous avez exclu A.6.7 de votre SMSI​. Naturellement, si à l’avenir l’entreprise adopte le télétravail, il faudra réviser cette décision et intégrer ce contrôle.

Exemple 4 – Contrôle potentiellement non applicable : A.11 – Sécurité physique et environnementale (plusieurs contrôles sur la protection des locaux, équipements, etc.).

Scénario : votre entreprise n’a pas de locaux propres dédiés (par exemple startup 100% dans le cloud, ou employés en télétravail chez eux, ou bien vous êtes hébergé chez un prestataire).

Décision : un certain nombre de sous-contrôles physiques pourraient être marqués non applicables. Par exemple, « A.7.4 – Surveillance de la sécurité physique » : si vous n’avez pas de bureau, vous n’allez pas installer de caméras de surveillance. 

Justification : explicitement « Pas de site physique exploité par l’organisation – infrastructure externalisée chez [nom du fournisseur] qui gère la sécurité physique ». Attention toutefois : dans ce cas, il serait sage de mentionner en justification que le fournisseur tiers assure ces mesures (vous pouvez même inclure le contrôle dans la DdA mais comme « appliqué par le biais du contrat avec le prestataire X »). L’auditeur appréciera la transparence sur la façon dont vous couvrez malgré tout le risque (ici transféré au fournisseur). 

Ces exemples illustrent la logique à suivre pour chaque contrôle de la norme : se poser la question de sa pertinence vis-à-vis de vos risques et de votre contexte, puis documenter la décision. En cas de doute, il est souvent plus prudent d’inclure un contrôle et de dire qu’il est en cours de déploiement, que de l’omettre sans raison valable. Par ailleurs, les contrôles de base (politiques, gestion des accès, gestion des incidents, continuité, conformités légales…) seront presque toujours applicables, car ce sont des piliers universels de la sécurité. À l’inverse, les contrôles très spécifiques (ex : sécurité des développements logiciels si vous ne développez rien, sécurité des transactions électroniques si vous n’en avez pas, etc.) sont ceux qu’on pourra justifier d’exclure. L’important est que chaque exclusion soit exceptionnelle et argumentée, tandis que les inclusions démontrent une couverture complète des enjeux de sécurité.

Un document vivant, à mettre à jour dans une démarche d’amélioration continue

Une DdA n’est pas figée une fois pour toutes. Au contraire, elle doit évoluer avec votre organisation, vos risques et votre SMSI. ISO 27001 insiste sur l’amélioration continue (cycle PDCA) et la veille sur l’évolution des risques, et la DdA reflète cela. 

En pratique, la DdA est donc un document vivant. Son cycle de vie ne s’arrête pas à l’obtention de la certification : au contraire, c’est un document à garder à jour tout au long de la vie du SMSI. Ceci rejoint la notion que la sécurité de l’information est un processus continu, pas un état figé. Une DdA à jour en permanence est le signe d’un SMSI bien géré et dynamique.

L’intérêt stratégique de la DdA pour les audits et la gouvernance interne

Au-delà de l’obligation normative, la DdA s’avère extrêmement utile pour piloter la sécurité au sein de l’organisation et passer les audits avec succès : 

Pour les audits (certification et en interne) : 

Comme mentionné, la DdA est le point de départ de l’audit de certification ISO 27001. Un auditeur expérimenté va souvent l’utiliser comme une carte routière : il parcourt la liste des contrôles, demande des preuves pour chacun, et s’assure que les explications concordent avec la réalité​. 

Avoir une DdA bien construite facilite grandement l’audit, car elle centralise toutes les informations clés. Cela vaut aussi pour les audits internes réguliers : la DdA sert de référentiel pour vérifier la bonne application des mesures de sécurité et identifier d’éventuelles non-conformités ou écarts à corriger​. 

Par exemple, lors d’un audit interne trimestriel, on peut prendre la DdA et choisir aléatoirement quelques contrôles pour vérifier s’ils sont toujours efficaces et adaptés. De plus, en cas d’audit de surveillance annuel (après la certification initiale), l’auditeur vérifiera que la DdA a été mise à jour si nécessaire et que les contrôles nouvellement appliqués ou retirés depuis la dernière fois y sont correctement reflétés.

Pour la gouvernance interne : 

La DdA a une valeur pédagogique et stratégique en interne. D’une part, elle documente les décisions de sécurité de manière compréhensible, ce qui peut être très utile pour communiquer avec le top management ou le conseil d’administration. En effet, un tableau synthétique montrant comment on gère les risques majeurs, pourquoi on a accepté certains risques résiduels, et quelles mesures protègent l’entreprise, est un support de communication puissant​. 

Les dirigeants non-spécialistes en sécurité peuvent y voir plus clair sur l’état de maîtrise des risques. D’autre part, partager la DdA avec les équipes internes (RSSI, DSI, responsables métiers…) favorise une vision commune des responsabilités en sécurité. Chacun voit les contrôles relevant de son périmètre et l’importance de les maintenir. La DdA peut même servir de base à des indicateurs de pilotage (par exemple : % de contrôles pleinement opérationnels, nombre de contrôles en retard de déploiement, etc.). 

Vis-à-vis de l’extérieur : 

Une DdA solide contribue à la confiance des parties prenantes. Bien qu’on ne diffuse pas forcément la DdA complète à des clients, on peut en partager des extraits ou en utiliser les conclusions pour montrer son sérieux en matière de sécurité. 

Par exemple, face à un client exigeant, indiquer que « 100% des contrôles pertinents de la norme sont en place ou en cours, et les quelques non-applicables sont documentés » démontre une approche rigoureuse et transparente​. Cela peut devenir un avantage concurrentiel, surtout dans des secteurs où la sécurité est un argument fort. 

En résumé, la DdA est à la fois un outil de conformité, un outil de pilotage interne, et un gage de transparence. Elle permet de naviguer efficacement lors des audits, et elle alimente la gouvernance de la sécurité en fournissant une vision d’ensemble claire. Avoir une DdA bien tenue, c’est un peu comme avoir le plan directeur de sa sécurité : on sait ce qui est en place, pourquoi ça l’est, et comment on améliore le dispositif en continu.

Conclusion : capitalisez sur la DdA pour une sécurité maîtrisée (et faites-vous accompagner !)

​

La Déclaration d’Applicabilité est bien plus qu’une formalité pour décrocher un certificat ISO 27001. C’est le reflet de la démarche de sécurité de votre organisation, un document qui traduit vos analyses de risques en actions concrètes et qui guide aussi bien les auditeurs que votre propre management. 

Une DdA bien élaborée renforce la crédibilité de votre SMSI et facilite sa gestion sur le long terme. Cependant, construire une DdA exhaustive et alignée sur vos risques peut s’avérer complexe et chronophage, surtout lors d’une première démarche de certification. Il ne faut pas hésiter à solliciter des experts en conformité ISO 27001 pour vous accompagner. 

Des professionnels aguerris, comme l’équipe de Captain Soluce, peuvent vous aider à réaliser une analyse de risques solide, à définir les contrôles pertinents et à rédiger une DdA béton qui répond aux exigences de la norme tout en étant pragmatique pour votre activité. 

N’attendez pas que l’audit approche pour vous en préoccuper : faites appel à nos experts dès le début de votre projet ISO 27001 afin de mettre toutes les chances de votre côté et d’ancrer durablement la sécurité dans la gouvernance de votre entreprise. 

Ensemble, nous construirons un SMSI robuste – et sa Déclaration d’Applicabilité sera le témoin de votre engagement pour la sécurité de l’information. Prenez contact avec Captain Soluce dès aujourd’hui pour être accompagnés dans votre démarche ISO 27001 et faire de votre DdA un véritable atout stratégique !​

*

*

Envoyez-moi l'Annexe A immédiatement !

C'est partit !

Jeter un oeil à vos spams on sait jamais !

Sinon, suivez ce lien pour le télécharger :