Documentation • ISO 27001

La pyramide documentaire ISO 27001 : structurer son SMSI pour réussir l'audit

Devenir Lead ImplementerLire l'article

Dans le cadre d'un projet de certification ISO/IEC 27001:2022, l'inflation documentaire est l'un des principaux risques opérationnels. Sans une architecture cohérente, le Système de Management de la Sécurité de l'Information (SMSI)devient illisible, rendant l'audit de certification périlleux. La pyramide documentaire n'est pas qu'une simple méthode de rangement : c'est l'ossature qui garantit l'alignement entre la vision stratégique et les preuves techniques.

Pourquoi la pyramide documentaire est-elle le pilier de votre GRC ?

Elle permet de segmenter l'information selon son public cible et sa finalité. En hiérarchisant vos ressources, vous assurez la cohérence (les procédures respectent la politique) et la traçabilité (chaque action produit une preuve). Cette structure facilite également le maintien en condition opérationnelle (MCO) de votre système.

Niveau 1 : la gouvernance stratégique (Le "Pourquoi")

Ce sommet fixe les objectifs de sécurité et l'engagement de la direction. Ces documents sont souvent audités en premier car ils définissent le cadre légal, réglementaire et contractuel. * Contenu : Politique de Sécurité de l’Information (PSSI), Déclaration d’Applicabilité (SoA), Manuel du SMSI, Charte de direction. * Caractéristique : Documents pérennes, validés au plus haut niveau.
Les documents stratégiques du Niveau 1

Niveau 2 : les processus et procédures (Le "Qui, Quoi, Quand")

Ce niveau décrit l'organisation transversale. Il définit les interactions entre les différents services et la manière dont les exigences de la norme sont déclinées. * Contenu : Procédure de gestion des risques (Art. 6.1), processus de gestion des incidents (A.5.24), gestion des accès, audit interne et revue de direction. * Caractéristique : Vision organisationnelle assurant la continuité des activités.
Comment structurer les procédures du Niveau 2

Niveau 3 : les instructions et modes opératoires (Le "Comment")

Il s'agit du volet technique et opérationnel. Ces guides sont destinés aux administrateurs, techniciens ou utilisateurs finaux pour exécuter des tâches spécifiques sans ambiguïté. * Contenu : Procédures de durcissement (hardening), guide de configuration des pare-feux, checklist de départ d'un collaborateur, guide d'étiquetage des données. * Caractéristique : Documents très détaillés, mis à jour fréquemment selon l'évolution technique.
Les instructions et modes opératoires du Niveau 3

Niveau 4 : les enregistrements et preuves (Le "Fait")

C'est la base de la pyramide et l'élément le plus scruté par l'auditeur. Un SMSI sans enregistrements est un système qui n'existe pas aux yeux de la norme. Ils prouvent que le système "vit" et fonctionne. * Contenu : Registre des risques actualisé, logs de connexions, rapports d'audit, feuilles d'émargement de sensibilisation, tickets de support. * Caractéristique : Données dynamiques issues de l'activité quotidienne.
L'importance des preuves et enregistrements du Niveau 4

FAQ : Optimiser l'organisation de votre SMSI

Comment organiser concrètement ses dossiers ?

Pour éviter la saturation, privilégiez une structure en miroir de la pyramide. Un dossier racine "SMSI_Certification" divisé en quatre répertoires (01_Strategie, 02_Procedures, 03_Operations, 04_Preuves) permet une navigation fluide lors de l'audit à distance ou sur site.

Conseil pratique pour l'organisation de vos dossiers

Le rôle critique du répertoire documentaire

Appelé aussi Master Document List, ce fichier central est le GPS de votre SMSI. Il doit recenser chaque document, sa version, son statut (approuvé/en cours), son propriétaire et son niveau dans la pyramide. C'est le premier document à présenter à l'auditeur pour démontrer votre maîtrise de l'information documentée (Article 7.5).

Le rôle du répertoire documentaire

La pyramide est-elle une exigence normative ?

Bien que l'ISO 27001 ne mentionne pas explicitement le terme "pyramide", elle impose une maîtrise stricte de l'Information Documentée. Adopter cette structure est la méthode la plus robuste pour répondre aux exigences de création, de mise à jour et de contrôle documentaire.

Besoin d'aller plus loin ?

Maîtriser la documentation est clé pour la certification Lead Implementer. Formez-vous pour déployer concrètement un SMSI structuré.

Devenir Lead Implementer