La vision de Cyber Academy
La déclaration d'applicabilité est le document maîtrisé qui indique à l'auditeur quels contrôles de l'Annexe A vous sont applicables, pourquoi, et où se trouvent les preuves. Obligatoire dans le cadre d'ISO 27001. L'incohérence entre la déclaration d'applicabilité, le plan de traitement des risques et les opérations réelles est la cause la plus fréquente de non-conformités lors de l'audit de phase 2.
Pourquoi ISO 27001 rend le SoA obligatoire
La déclaration d'applicabilité est le pont entre votre travail sur les risques et les mesures qu'un auditeur inspectera réellement. ISO/IEC 27001 laisse délibérément le corps de la norme ouvert sur les mesures que vous devez mettre en œuvre, car la bonne réponse dépend de votre contexte et de vos risques. Le SoA est l'endroit où vous comblez cet écart : pour chaque mesure de référence de l'Annexe A, vous consignez si elle s'applique, la justification de son inclusion ou de son exclusion, si elle est déjà mise en œuvre et où se trouvent les preuves associées. C'est l'un des rares documents que la norme désigne explicitement comme un livrable requis, raison pour laquelle aucun audit de certification ne se déroule sans lui.
Une manière utile d'y penser est que le SoA transforme un catalogue de mesures générique en une déclaration portant spécifiquement sur votre organisation. L'ensemble de référence de l'Annexe A est le même pour tout le monde. Votre SoA, lui, ne l'est pas. Deux entreprises certifiées de taille comparable peuvent légitimement exclure des mesures différentes, parce que leurs appréciations des risques et leur contexte d'exploitation diffèrent. Le document existe pour rendre ces choix visibles et défendables plutôt qu'implicites.
Comment le SoA s'articule avec l'appréciation des risques et le traitement des risques
Le SoA n'existe pas isolément. Il est le produit en aval de l'appréciation des risques et du plan de traitement des risques, et les trois doivent concorder. L'appréciation des risques identifie ce qui pourrait mal tourner. Le plan de traitement des risques décide de ce qu'il faut faire pour chaque risque, y compris quelles mesures appliquer. Le SoA déclare ensuite, mesure par mesure, ce que cette décision signifie au regard de l'ensemble de référence de l'Annexe A. Lorsqu'un auditeur lit le SoA, il vérifie en réalité que la chaîne allant d'un risque documenté à une décision de traitement, puis à une mesure appliquée, puis à des preuves concrètes, tient de bout en bout.
Les exclusions méritent une attention particulière. Marquer une mesure comme non applicable est légitime, mais uniquement avec un motif énoncé et lié à votre contexte. « Nous ne développons pas de logiciels en interne » est une base défendable pour restreindre certaines mesures de développement. « Nous n'avons pas eu le temps de nous en occuper » n'est pas une exclusion, c'est une lacune. Les auditeurs sondent précisément les exclusions parce que c'est là que les organisations dissimulent parfois un travail inachevé.
Ce que les praticiens maintiennent réellement
Traiter le SoA comme un registre vivant plutôt que comme un tableur ponctuel est ce qui distingue un audit de surveillance fluide d'une course de dernière minute. En pratique, bien le maintenir ressemble à ceci :
- Conservez une ligne par mesure de l'Annexe A, avec l'applicabilité, la justification, le statut de mise en œuvre et un renvoi vers la preuve qu'un auditeur peut suivre sans vous dans la pièce.
- Recalculez le SoA chaque fois que l'appréciation des risques ou le plan de traitement change, afin que les trois documents ne divergent jamais en silence.
- Reliez chaque renvoi de preuve à quelque chose de réel et d'actuel : une politique, une configuration, un ticket, un journal, et non une promesse de le produire plus tard.
- Révisez le document à une cadence fixe et lors de la revue de direction, et pas seulement dans les semaines précédant un audit.
- Lors d'une transition entre versions de la norme, réalignez le SoA sur l'ensemble de mesures révisé et confirmez que rien n'est passé à travers les mailles avec les mesures fusionnées ou nouvellement introduites.
Mené de cette façon, le SoA cesse d'être de la paperasse d'audit et devient l'index de tout votre système de management de la sécurité de l'information. C'est le premier document qu'un auditeur expérimenté demande, parce qu'il lui indique où se trouve tout le reste.
Frequently asked questions
01Une déclaration d'applicabilité est-elle obligatoire pour ISO 27001 ?
Oui. Le SoA est l'un des documents qu'ISO/IEC 27001 exige explicitement. Un audit de certification ne peut être mené à terme sans lui, car c'est par ce biais que l'auditeur sait quelles mesures de l'Annexe A vous prétendez appliquer et pourquoi.
02Quelle est la différence entre le SoA et le plan de traitement des risques ?
Le plan de traitement des risques décide de ce que vous ferez pour chaque risque identifié, y compris quelles mesures appliquer et selon quel calendrier. Le SoA est la déclaration mesure par mesure au regard de l'ensemble de référence de l'Annexe A, consignant l'applicabilité, la justification, le statut et les preuves. Ils doivent rester cohérents l'un avec l'autre.
03Puis-je exclure des mesures dans le SoA ?
Oui, à condition de fournir une justification ancrée dans votre contexte et votre appréciation des risques. Une mesure qui ne s'applique réellement pas à vos opérations peut être exclue ; une mesure que vous n'avez simplement pas encore mise en œuvre est une lacune, pas une exclusion, et les auditeurs testent la différence.
04À quelle fréquence le SoA doit-il être mis à jour ?
Chaque fois que l'appréciation des risques ou le plan de traitement des risques change, et à chaque revue de direction. Le traiter comme un document vivant le maintient aligné sur les opérations et évite la dérive qui produit des constats d'audit.
05Qui est responsable de la déclaration d'applicabilité ?
C'est un document maîtrisé dans le cadre du SMSI, il relève donc de la personne qui pilote le système de management, généralement le responsable de la sécurité de l'information ou le responsable du SMSI, avec validation lors de la revue de direction. Les responsables de mesures alimentent le statut de mise en œuvre et les preuves pour leurs domaines.