L’importance de la Déclaration d’Applicabilité pour l’ISO 27001

Mise à jour le 4-09-2014 en relation avec le version 2013 de la norme ISO 27001.

L’importance de la Déclaration d’Applicabilité (parfois appelée simplement DdA) est généralement sous-estimée – tout comme le manuel de Qualité en ISO 9001 – c’est le document central qui définit comment vous allez mettre en œuvre une grande partie de votre sécurité de l’information.

En fait, la Déclaration d’Applicabilité (ISO 27001, clause 6.1.3 d) est le lien fondamental entre l’appréciation et le traitement des risques, d’un côté et la mise en œuvre de votre sécurité de l’information de l’autre – son but est de définir lesquels des 114 contrôles (mesures de sécurité) de l’annexe A de la norme ISO 27001 vous allez appliquer et, pour celles qui sont applicables, comment vous les allez les appliquer. L’Annexe A est considérée comme complète mais pas exhaustive de toutes les situations possibles, vous pouvez donc également vous inspirer d’autres sources pour les mesures.

Pourquoi c’est nécessaire

Pourquoi donc un tel document est-il nécessaire si vous avez déjà produit un Rapport d’Appréciation des Risques (qui est également une exigence de la norme) qui définit aussi les mesures nécessaires ? Voici les raisons :

  • Premièrement, pendant le traitement des risques, vous identifiez les mesures qui sont nécessaires parce que vous avez identifié les risques qui doivent être réduits ; cependant, avec la DdA, vous identifiez également les mesures qui sont requises pour d’autres raisons – par exemple légales, contractuelles, ou parce qu’elles sont exigées par d’autres processus, etc.
  • Deuxièmement, la Déclaration d’Applicabilité justifie l’inclusion et l’exclusion  des contrôles de l’Annexe A, ainsi que l’inclusion de contrôles issus des autres sources
  • Troisièmement, le Rapport d’Appréciation des Risques peut être assez long – une organisation peut identifier quelques milliers de risques (et parfois plus)  et un tel document n’est pas très pratique pour une utilisation quotidienne ; d’autre part, la Déclaration d’Applicabilité est assez courte – elle possède une ligne pour chacun des contrôles (les 114 de l’Annexe A ainsi que ceux ajoutés au départ d’une autre source) ce qui la rend plus présentable à la direction et facilite sa mise à jour.
  • Quatrièmement, et plus important sans doute, la DdA doit indiquer si une mesure est déjà appliquée ou non. Les ‘bonnes pratiques’ (et la plupart des auditeurs le rechercheront) recommandent également de décrire comme chaque mesures pertinente est mise en œuvre – p.ex. soit en faisant référence à un document (politique/procédure/ instruction etc.), soit en décrivant brièvement la procédure ou l’équipement utilisé.

En fait, si vous recherchez une certification ISO27001, l’auditeur prendra votre Déclaration d’Applicabilité et fera le tour de votre organisation pour vérifier si vous avez réellement appliqué les mesures comme vous l’avez décrit dans la DdA. C’est le document-clé pour leur audit en situation.

Un très petit nombre de sociétés réalise que la rédaction d’une bonne Déclaration d’Applicabilité permet de réduire la quantité d’autres documents – en l’occurrence, si la description d’une mesure est assez courte, elle peut rester dans la DdA et ne doit pas faire l’objet d’un document à part.

Pourquoi c’est utile

Dans mon expérience, la plupart des organisations mettant en œuvre un système de management de la sécurité de l’information en ligne avec ISO 27001 passent plus de temps à rédiger cette DdA que ce qu’ils avaient prévu. La raison en est qu’ils doivent réfléchir à la manière dont il vont mettre en œuvre les mesures: vont-elles acheter un nouvel équipement ? vont-ils changer une procédure ? vont-ils engager un nouvel employé ? Ce sont des décisions importantes (et parfois chères) et il n’est donc pas surprenant qu’il faille du temps pour les prendre. Ce qu’il y a de bon dans la DdA, c’est qu’elle force les organisations à faire ce travail de manière systématique.

En conséquence, vous ne devriez pas considérer ce document comme « encore un document générique » qui n’a pas d’utilité dans la vie quotidienne – considérez-le comme l’énoncé principal qui définit ce que vous voulez faire pour votre sécurité de l’information. Ecrit consciemment, la DdA est un résumé parfait (liste, justification et description) de ce qui doit être fait en sécurité de l’information, pourquoi et comment.

Voyez ici pour un exemple de Déclaration d’Applicabilité.

Nous remercions Jean-Luc Allard pour la traduction française.

Advisera Dejan Kosutic
Auteur
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.