{"id":4726,"date":"2014-09-04T21:18:20","date_gmt":"2014-09-04T21:18:20","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/09\/04\/limportance-de-la-declaration-dapplicabilite-pour-liso-27001\/"},"modified":"2024-03-06T11:29:33","modified_gmt":"2024-03-06T11:29:33","slug":"limportance-de-la-declaration-dapplicabilite-pour-liso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/fr\/blog\/2014\/09\/04\/limportance-de-la-declaration-dapplicabilite-pour-liso-27001\/","title":{"rendered":"L\u2019importance de la D\u00e9claration d\u2019Applicabilit\u00e9 pour l\u2019ISO 27001"},"content":{"rendered":"<p><em>Mise \u00e0 jour le 4-09-2014 en relation avec le version 2013 de la norme ISO 27001.<\/em><\/p>\n<p>L\u2019importance de la D\u00e9claration d\u2019Applicabilit\u00e9 (parfois appel\u00e9e simplement DdA) est g\u00e9n\u00e9ralement sous-estim\u00e9e \u2013 tout comme le manuel de Qualit\u00e9 en <a href=\"https:\/\/staging.advisera.com\/9001academy\/what-is-iso-9001\/\" target=\"_blank\" rel=\"noopener\">ISO 9001<\/a> &#8211; c\u2019est le document central qui d\u00e9finit comment vous allez mettre en \u0153uvre une grande partie de votre s\u00e9curit\u00e9 de l\u2019information.<\/p>\n<p>En fait, la D\u00e9claration d\u2019Applicabilit\u00e9 (ISO 27001, clause 6.1.3 d) est le lien fondamental entre l\u2019appr\u00e9ciation et le traitement des risques, d\u2019un c\u00f4t\u00e9 et la mise en \u0153uvre de votre s\u00e9curit\u00e9 de l\u2019information de l\u2019autre \u2013 son but est de d\u00e9finir lesquels des 114 contr\u00f4les (mesures de s\u00e9curit\u00e9) de l\u2019annexe A de la norme <a href=\"https:\/\/staging.advisera.com\/27001academy\/what-is-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> vous allez appliquer et, pour celles qui sont applicables, comment vous les allez les appliquer. L\u2019Annexe A est consid\u00e9r\u00e9e comme compl\u00e8te mais pas exhaustive de toutes les situations possibles, vous pouvez donc \u00e9galement vous inspirer d\u2019autres sources pour les mesures.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Pourquoi c\u2019est n\u00e9cessaire<\/h2>\n<p>Pourquoi donc un tel document est-il n\u00e9cessaire si vous avez d\u00e9j\u00e0 produit un Rapport d\u2019Appr\u00e9ciation des Risques (qui est \u00e9galement une exigence de la norme) qui d\u00e9finit aussi les mesures n\u00e9cessaires\u00a0? Voici les raisons\u00a0:<\/p>\n<ul>\n<li>Premi\u00e8rement, pendant le traitement des risques, vous <strong>identifiez<\/strong> les mesures qui sont n\u00e9cessaires parce que vous avez identifi\u00e9 les risques qui doivent \u00eatre r\u00e9duits\u00a0; cependant, avec la DdA, vous identifiez \u00e9galement les mesures qui sont requises pour d\u2019autres raisons \u2013 par exemple l\u00e9gales, contractuelles, ou parce qu\u2019elles sont exig\u00e9es par d\u2019autres processus, etc.<\/li>\n<li>Deuxi\u00e8mement, la D\u00e9claration d\u2019Applicabilit\u00e9 <strong>justifie<\/strong> l\u2019inclusion et l\u2019exclusion\u00a0 des contr\u00f4les de l\u2019Annexe A, ainsi que l\u2019inclusion de contr\u00f4les issus des autres sources<\/li>\n<li>Troisi\u00e8mement, le Rapport d\u2019Appr\u00e9ciation des Risques peut \u00eatre assez long \u2013 une organisation peut identifier quelques milliers de risques (et parfois plus)\u00a0 et un tel document n\u2019est pas tr\u00e8s pratique pour une utilisation quotidienne\u00a0; d\u2019autre part, la D\u00e9claration d\u2019Applicabilit\u00e9 est assez courte \u2013 elle poss\u00e8de une ligne pour chacun des contr\u00f4les (les 114 de l\u2019Annexe A ainsi que ceux ajout\u00e9s au d\u00e9part d\u2019une autre source) ce qui la rend plus pr\u00e9sentable \u00e0 la direction et facilite sa mise \u00e0 jour.<\/li>\n<li>Quatri\u00e8mement, et plus important sans doute, la DdA doit indiquer si une mesure est d\u00e9j\u00e0 appliqu\u00e9e ou non. Les \u2018bonnes pratiques\u2019 (et la plupart des auditeurs le rechercheront) recommandent \u00e9galement de d\u00e9crire comme chaque mesures pertinente est mise en \u0153uvre \u2013 p.ex. soit en faisant r\u00e9f\u00e9rence \u00e0 un document (politique\/proc\u00e9dure\/ instruction etc.), soit en d\u00e9crivant bri\u00e8vement la proc\u00e9dure ou l\u2019\u00e9quipement utilis\u00e9.<\/li>\n<\/ul>\n<p>En fait, si vous recherchez une certification ISO27001, l\u2019auditeur prendra votre D\u00e9claration d\u2019Applicabilit\u00e9 et fera le tour de votre organisation pour v\u00e9rifier si vous avez r\u00e9ellement appliqu\u00e9 les mesures comme vous l\u2019avez d\u00e9crit dans la DdA. C\u2019est le document-cl\u00e9 pour leur audit en situation.<\/p>\n<p>Un tr\u00e8s petit nombre de soci\u00e9t\u00e9s r\u00e9alise que la r\u00e9daction d\u2019une bonne D\u00e9claration d\u2019Applicabilit\u00e9 permet de r\u00e9duire la quantit\u00e9 d\u2019autres documents \u2013 en l\u2019occurrence, si la description d\u2019une mesure est assez courte, elle peut rester dans la DdA et ne doit pas faire l\u2019objet d\u2019un document \u00e0 part.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Pourquoi c\u2019est utile<\/h2>\n<p>Dans mon exp\u00e9rience, la plupart des organisations mettant en \u0153uvre un syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information en ligne avec ISO 27001 passent plus de temps \u00e0 r\u00e9diger cette DdA que ce qu\u2019ils avaient pr\u00e9vu. La raison en est qu\u2019ils doivent r\u00e9fl\u00e9chir \u00e0 la mani\u00e8re dont il vont mettre en \u0153uvre les mesures: vont-elles acheter un nouvel \u00e9quipement\u00a0? vont-ils changer une proc\u00e9dure\u00a0? vont-ils engager un nouvel employ\u00e9\u00a0? Ce sont des d\u00e9cisions importantes (et parfois ch\u00e8res) et il n\u2019est donc pas surprenant qu\u2019il faille du temps pour les prendre. Ce qu\u2019il y a de bon dans la DdA, c\u2019est qu\u2019elle force les organisations \u00e0 faire ce travail de mani\u00e8re syst\u00e9matique.<\/p>\n<p>En cons\u00e9quence, vous ne devriez pas consid\u00e9rer ce document comme \u00ab\u00a0encore un document g\u00e9n\u00e9rique\u00a0\u00bb qui n\u2019a pas d\u2019utilit\u00e9 dans la vie quotidienne \u2013 consid\u00e9rez-le comme l\u2019\u00e9nonc\u00e9 principal qui d\u00e9finit ce que vous voulez faire pour votre s\u00e9curit\u00e9 de l\u2019information. Ecrit consciemment, la DdA est un r\u00e9sum\u00e9 parfait (liste, justification et description) de ce qui doit \u00eatre fait en s\u00e9curit\u00e9 de l\u2019information, pourquoi et comment.<\/p>\n<p><em>Voyez ici pour un exemple de<\/em> <a href=\"https:\/\/staging.advisera.com\/27001academy\/fr\/documentation\/declaration-dapplicabilite\/\" target=\"_blank\" rel=\"noopener\">D\u00e9claration d\u2019Applicabilit\u00e9<\/a>.<\/p>\n<p><em>Nous remercions Jean-Luc Allard pour la traduction fran\u00e7aise.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mise \u00e0 jour le 4-09-2014 en relation avec le version 2013 de la norme ISO 27001. L\u2019importance de la D\u00e9claration d\u2019Applicabilit\u00e9 (parfois appel\u00e9e simplement DdA) est g\u00e9n\u00e9ralement sous-estim\u00e9e \u2013 tout comme le manuel de Qualit\u00e9 en ISO 9001 &#8211; c\u2019est le document central qui d\u00e9finit comment vous allez mettre en \u0153uvre une grande partie de &#8230;<\/p>\n","protected":false},"author":26,"featured_media":92394,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[374],"tags":[1448,1449],"class_list":["post-4726","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-fr","tag-mesures","tag-evaluation-du-risque"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/posts\/4726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/comments?post=4726"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/posts\/4726\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/media\/92394"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/media?parent=4726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/categories?post=4726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/fr\/wp-json\/wp\/v2\/tags?post=4726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}