Quels sont les documents obligatoires pour la certification ISO/IEC 27001 ?
La checklist complète de la version 2022 pour garantir la conformité de votre SMSI.
La mise en conformité à la norme ISO/IEC 27001, particulièrement dans sa révision 2022, est un pilier stratégique pour toute organisation souhaitant garantir la confidentialité, l'intégrité et la disponibilité de ses données. Au-delà de la simple conformité, la documentation obligatoire constitue la preuve tangible de l'existence et de l'efficacité de votre Système de Management de la Sécurité de l'Information (SMSI).
Pour réussir un audit de certification, il est crucial de distinguer les documents exigés par les clauses 4 à 10 (le corps de la norme) des enregistrements liés aux mesures de l'Annexe A, qui ne deviennent obligatoires que si l'appréciation des risques ou les besoins des parties prenantes en démontrent la nécessité.
1Documents obligatoires
1. Domaine d'application du SMSI
Article 4.3Document stratégique rédigé dès l'amorce du projet pour définir précisément les frontières physiques, logiques et organisationnelles de la sécurité. Généralement court, il peut être maintenu de façon autonome ou être fusionné directement dans la Politique de sécurité de l'information (PSSI) pour plus de cohérence. Il faut identifier les besoins et les attentes de votre propre système (Article 4.1) et les attentes et les besoins de vos parties prenantes (Article 4.2). C’est comme cela que vous allez justifier de votre périmètre (Domaine d’application) auprès de votre direction ainsi que l’auditeur.
2. Politique de sécurité de l'information (PSSI)
Article 5.2Document de gouvernance de haut niveau émanant de la direction, décrivant la finalité principale et les orientations stratégiques du SMSI. Elle sert de base de référence pour l'ensemble des politiques spécifiques développées ultérieurement. On y retrouve entre autres, les objectifs de sécurité de l’information, les engagements à satisfaire aux exigences applicables en matière de sécurité de l’information.
3. L’appréciation et de traitement des risques
Article 6.1.2 & 6.1.3Guide procédural d'environ 4 à 5 pages qui doit impérativement être validé avant toute évaluation technique ou opérationnelle. Cette méthodologie garantit que l'identification des menaces et le choix des mesures de sécurité sont reproductibles et cohérents. Vous pouvez vous aider de la norme ISO27005 pour vous guider dans le processus d’appréciation. Votre traitement des risques doit découler de votre appréciation et doit absolument être validé par la direction générale.
4. Déclaration d’Applicabilité - Dd’A
Article 6.1.3 d)Document central et névralgique qui définit le profil de sécurité réel de l'organisation. Il répertorie non seulement les mesures de l'Annexe A sélectionnées suite à l’appréciation des risques, mais détaille aussi leur mode de mise en œuvre et leur statut actuel de déploiement. Vos propres besoins (4.1), les besoins et attentes de vos parties prenantes (4.2), le traitement des risques (6.1.3) et la gestion des incidents (A5.24-A5.27) constituent les 4 entrants de votre déclaration d’applicabilité. C’est ce document qui décrit le profil de sécurité de l’entreprise.
5. Objectifs de sécurité de l'information
Article 6.2Liste d'indicateurs précis et mesurables (KPI) permettant d'évaluer l'efficacité du SMSI. Bien qu'ils puissent constituer un document distinct, ils sont fréquemment intégrés à la Politique de sécurité de l'information pour aligner les ambitions et les mesures.
6. Plan de traitement des risques et son rapport
Article 8.2 & 8.3Véritable plan d'action opérationnel découlant de la Déclaration d'Applicabilité (Dd’A) pour le déploiement des mesures de sécurité. Ce document dynamique est mis à jour tout au long de la mise en œuvre du SMSI et peut être fusionné avec le plan de projet global de l'entreprise.
7. Les preuves de fonctionnement (Enregistrements obligatoires)
Articles 7 à 10Si les politiques et procédures décrivent comment le SMSI doit fonctionner, les enregistrements sont les preuves tangibles que le système fonctionne réellement. Pour un auditeur, l'absence d'enregistrement équivaut à une absence de contrôle. Voici les preuves documentaires minimales exigées par les articles 7 à 10.
Compétences et formations
Article 7.2Ces enregistrements démontrent que le personnel possède les qualifications nécessaires pour les tâches liées à la sécurité. Ils prennent généralement la forme de CV mis à jour, de certificats de formation ou de résultats d'évaluations de compétences. La gestion de ces dossiers est souvent centralisée par le département RH.
Résultats de la surveillance et des mesures
Article 9.1Il s'agit de rapports réguliers (souvent appelés rapports de mesure) qui consignent les performances des contrôles de sécurité. Ces données doivent être analysées pour évaluer l'efficacité du SMSI et sont essentielles pour alimenter la revue de direction.
Programme et résultats des audits internes
Article 9.2Deux types de documents sont requis ici : • Le programme d'audit : Un calendrier annuel définissant la fréquence, les méthodes et les critères des audits. • Les rapports d'audit : Ils synthétisent les constatations (observations, non-conformités) et doivent être produits rapidement après chaque session d'audit pour permettre une correction rapide.
Résultats de la revue de direction
Article 9.3Preuve formelle de l'implication de la haute direction, ces comptes-rendus (souvent des procès-verbaux de réunion) doivent inclure toutes les décisions prises concernant l'amélioration du SMSI et les changements de stratégie de sécurité. Ils peuvent être conservés sous format numérique ou papier.
Résultats des actions correctives
Article 10.2Ce registre consigne la nature des non-conformités détectées et les actions entreprises pour les corriger. L'approche e-catalyst recommande d'intégrer ces enregistrements dans un outil de ticketing ou de gestion de tâches existant pour assurer un suivi dynamique des responsabilités et des délais. Attention, ici il ne s’agit pas que de lister les non-conformités liées à un audit mais aussi les évènements et incidents identifiés tout au long de la vie du SMSI.
Journaux (Logs) des activités
Mesure A.8.15Bien que technique, cet enregistrement est mandataire si le risque le justifie. Il comprend les logs d'activités des utilisateurs, les exceptions et les événements de sécurité. Ces journaux sont généralement produits de manière automatique par les systèmes informatiques, mais peuvent aussi inclure des registres manuels (ex: registre d'accès physique).
Besoin d'aide pour rédiger ces documents ?
Notre formation ISO 27001 Lead Implementer inclut un kit complet de templates documentaires prêts à l'emploi. Ne partez pas d'une page blanche.
Découvrir le Kit Documentaire2Documents soumis à conditions (Annexe A)
Ces documents et enregistrements ne sont obligatoires que si l'appréciation des risques (6.1.2) ou les exigences des parties intéressées (4.2) confirment la nécessité de mettre en œuvre ces mesures spécifiques.
1. Inventaire des informations et autres actifs associés
Mesure A.5.9Ce registre ne doit pas être une simple liste statique ; la méthode la plus efficace consiste à le générer directement à partir de l'évaluation des risques, car chaque actif et son propriétaire respectif doivent y être identifiés. Il sert de fondation pour déterminer la valeur des informations et l'impact des menaces potentielles. Visez plutôt des solutions permettant de montrer à l’auditeur votre état des actifs pour prouver que vous y avez accès facilement et logiquement.
2. Utilisation correcte des informations et autres actifs associés
Mesure A.5.10Souvent formalisé dans une Politique de Sécurité Informatique (PSSI), ce document définit les règles de bon usage pour les collaborateurs. Pour une efficacité maximale, il doit couvrir tous les domaines non traités par d'autres politiques spécifiques mais qui concernent l'ensemble du personnel. Gardez en tête qu’il faut sensibiliser votre personnel à ces usages et de pratiquer le zero-trust. On ne fait confiance aux utilisateurs qu’au minimum. Un lien avec la mesure Processus disciplinaire (A.6.4) sera fait pour les écarts.
3. Réponse aux incidents de sécurité de l’information
Mesure A.5.26Ce document critique régit la manière dont les faiblesses, événements et incidents de sécurité sont signalés, classés et traités. Au-delà de la réaction immédiate, la procédure doit inclure un mécanisme de retour d'expérience pour prévenir la récurrence des incidents et peut, si nécessaire, déclencher le plan de continuité d'activité.
4. Exigences légales, statutaires, réglementaires et contractuelles
Mesure A.5.31Cette liste doit être établie le plus tôt possible dans le projet car elle dicte le contenu de nombreux autres documents du SMSI. Elle doit répertorier non seulement les obligations de conformité, mais aussi désigner les responsables internes et les échéances de mise en conformité.
5. Procédures d'exploitation documentées
Mesure A.5.37Ces procédures peuvent être regroupées dans un document unique ou une série de politiques détaillant les mesures technologiques telles que la gestion des changements, les sauvegardes, la sécurité réseau et la protection contre les codes malveillants. Elles sont rédigées après la phase de traitement des risques pour s'aligner sur les besoins réels de l'infrastructure.
6. Définition des rôles et responsabilités de sécurité
Mesure A.6.2 et A.6.6Plutôt que des descriptions de poste vagues, l'approche recommandée consiste à spécifier les responsabilités au sein de chaque politique et procédure en utilisant des termes d'action précis (ex: « le Responsable Sécurité effectue X chaque lundi »). Pour les tiers, ces responsabilités doivent être explicitement définies dans les contrats et accords de confidentialité (NDA).
7. Gestion des configurations
Mesure A.8.9Ces configurations techniques sont généralement documentées au sein des procédures de l'équipe informatique. Elles garantissent que les systèmes sont déployés selon un niveau de durcissement (hardening) cohérent et conforme aux exigences de sécurité de l'organisation.
8. Principes d'ingénierie et d’architecture des systèmes sécurisés
Mesure A.8.27Formalisée dans une Politique de Développement Sécurisé, cette mesure impose l'intégration de techniques de sécurité (validation des données, authentification, contrôle de session) à toutes les couches de l'architecture : métier, données, applications et technologie.
Envie de tester vos connaissances ?
Accédez à un extrait gratuit de notre formation et testez notre plateforme d'apprentissage.
Tester notre formation ISO 27001 LILa documentation de l'ISO 27001 ne doit pas être perçue comme une contrainte administrative, mais comme le socle de la résilience de votre organisation. Si la liste présentée ici constitue le socle minimal pour réussir votre audit, la norme précise explicitement qu'elle n'est nullement exhaustive. L'organisation a toute latitude pour ajouter des documents complémentaires afin d'élever le niveau de sécurité globale de son système.
Pour réussir votre implémentation dans une approche e-catalyst, gardez à l'esprit ces trois piliers :
- Pertinence : Ne documentez que ce qui est nécessaire selon votre analyse des risques ou les exigences de vos parties intéressées.
- Intégration : Utilisez vos outils existants (LMS, Help Desk, DMS) pour transformer les documents statiques en enregistrements vivants.
- Évolution : Un SMSI performant est un système qui apprend de ses incidents et de ses audits pour s'améliorer en continu.
En structurant vos politiques et procédures dès le départ selon ces standards, vous ne vous contentez pas de cocher des cases pour un auditeur : vous bâtissez une culture de la sécurité robuste et valorisable auprès de vos partenaires.