Déclaration d'Applicabilité (DdA) ISO 27001 : le chaînon clé entre analyse des risques et contrôles

La Déclaration d'Applicabilité (DdA) constitue l'un des documents pivots d'un Système de Management de la Sécurité de l'Information (SMSI) conforme à l'ISO 27001. Pourtant, sa nature et son rôle restent souvent mal compris, réduisant parfois ce document stratégique à un simple tableau à cocher.

Dans un SMSI conforme à l'ISO 27001, l'analyse des risques occupe une position centrale, intervenant notamment en support de la Déclaration d'Applicabilité, en justifiant l'inclusion ou l'exclusion des contrôles de l'annexe A.

La DdA matérialise le lien entre l'analyse des risques, les décisions de traitement, et les contrôles de sécurité effectivement mis en œuvre. Elle constitue la traduction opérationnelle des choix stratégiques de l'organisation en matière de sécurité de l'information.

Sans analyse des risques solide, le SMSI devient un assemblage de mesures génériques, déconnectées du contexte réel de l'organisation. À l'inverse, une DdA bien construite, alimentée par une analyse des risques cohérente, permet de concentrer les efforts là où ils sont réellement nécessaires et proportionnés.

‍

Rôle de la DdA dans un SMSI ISO 27001

Un document pivot du SMSI

La Déclaration d'Applicabilité joue un rôle central dans l'architecture documentaire du SMSI. Elle se situe à l'intersection de plusieurs composantes essentielles :

• Le périmètre du SMSI : la DdA ne peut être établie qu'une fois le périmètre clairement défini et validé par la direction. Ce périmètre détermine le champ d'application des contrôles.
• L'analyse des risques : chaque contrôle de l'annexe A inclus dans la DdA doit pouvoir être relié à un ou plusieurs risques identifiés. Cette traçabilité garantit la cohérence et la pertinence des choix de sécurité.
• Le plan de traitement des risques : la DdA traduit les décisions de traitement (réduction, acceptation, partage, évitement) en contrôles opérationnels concrets.
• Le plan d'actions du SMSI : les contrôles déclarés dans la DdA alimentent directement le plan d'actions annuel, avec des responsables, des échéances et des budgets.
  

Justifier l'inclusion et l'exclusion des contrôles

L'annexe A de l'ISO 27001 comprend 93 contrôles de sécurité organisés en 4 thèmes (organisationnel, personnes, physique, technologique). La DdA doit statuer sur chacun d'eux.

Pour chaque contrôle, l'organisation doit indiquer :

• S'il est applicable ou non applicable au contexte et au périmètre du SMSI
• La justification de ce choix, fondée sur l'analyse des risques
• Le statut de mise en œuvre (planifié, en cours, déployé)
• Les modalités concrètes de mise en œuvre (responsable, échéance, indicateur)

Point clé : l'auditeur ISO 27001 n'évalue pas la "beauté" ou la sophistication de la méthode, mais la cohérence globale entre le contexte, l'analyse des risques, la Déclaration d'Applicabilité (DdA), et le plan de traitement des risques.

Une exclusion de contrôle doit être argumentée : pourquoi ce contrôle n'est-il pas pertinent dans notre contexte ? Quel risque justifie cette décision ? Cette argumentation doit être défendable en audit.

Un document vivant, pas un tableau statique

Trop souvent, la DdA est perçue comme un document à produire une fois, lors de la certification initiale, puis à archiver jusqu'au prochain audit. Cette vision conduit à des DdA figées, rapidement obsolètes et déconnectées de la réalité.

Une DdA efficace est un document vivant qui évolue avec l'organisation :

• Lors de l'ajout ou du retrait de systèmes dans le périmètre
• Suite à des incidents de sécurité révélant de nouveaux risques
• En fonction de l'évolution réglementaire ou contractuelle
• Lors de la revue annuelle minimale du SMSI

Chaque modification de l'analyse des risques doit entraîner une revue de la DdA pour garantir la cohérence.

De l'analyse des risques à la DdA

Le chaînage logique

La construction d'une DdA cohérente repose sur un chaînage logique rigoureux :

1. Identification des risques : à partir du contexte établi (périmètre, biens essentiels, processus), les risques sont identifiés via des scénarios combinant menaces et vulnérabilités.
2. Évaluation des risques : chaque risque est évalué en termes d'impact et de vraisemblance, permettant de calculer un niveau de risque (Risque = Impact × Vraisemblance).‍
3. Qualification des risques : selon les seuils d'acceptation définis, les risques sont qualifiés (faible, moyen, élevé, majeur) et leur acceptabilité est déterminée.‍
4. Décisions de traitement : pour chaque risque inacceptable, une option de traitement est choisie (réduction, acceptation formelle, partage, évitement).‍
5. Sélection des contrôles : les contrôles de l'annexe A pertinents pour réduire les risques sont identifiés et déclarés dans la DdA.

Ce chaînage garantit que chaque contrôle déclaré répond à un besoin réel, identifié et évalué.

Comment les scénarios de risques guident la sélection des contrôles

Prenons un exemple concret pour illustrer ce chaînage :

• Scénario de risque : "Exploitation d'une mauvaise configuration d'accès distant par un attaquant externe entraînant une compromission de données clients".
• Évaluation : Impact élevé (données clients = bien essentiel critique), Vraisemblance moyenne (accès distants nombreux, mesures partielles). Risque = Élevé.
• Décision de traitement : Réduction du risque par mise en œuvre de contrôles complémentaires.

Contrôles de l'annexe A sélectionnés :

• A.5.15 : Contrôle d'accès
• A.5.18 : Droits d'accès
• A.8.5 : Authentification sécurisée
• A.8.20 : Supervision des réseaux

Ces contrôles sont déclarés applicables dans la DdA, avec justification explicite : "Pour réduire le risque de compromission de données clients via accès distants".

Traçabilité et cohérence

Cette traçabilité est essentielle pour plusieurs raisons :

• Défendre les choix en audit : l'auditeur vérifiera la cohérence entre risques identifiés et contrôles sélectionnés. Une DdA déconnectée de l'analyse des risques sera contestée.
• Prioriser les actions : tous les contrôles ne se valent pas. Ceux qui répondent à des risques élevés doivent être déployés en priorité.
• Faire évoluer le SMSI : lorsqu'un nouveau risque apparaît, la DdA peut être enrichie de nouveaux contrôles. Inversement, si un risque disparaît, certains contrôles peuvent devenir non applicables.
• Communiquer avec les parties prenantes : la DdA traduit l'analyse des risques en langage opérationnel compréhensible par les métiers et la direction.
  

DdA, plan de traitement des risques et plan d'actions SMSI

Trois niveaux d'articulation

La DdA ne vit pas de manière isolée. Elle s'inscrit dans un triptyque documentaire cohérent :

Niveau 1 : Analyse des risques (le "pourquoi")

• Identification et évaluation des risques
• Qualification selon les seuils d'acceptation
• Décisions de traitement par risque

Niveau 2 : DdA (le "quoi")

• Sélection des contrôles de l'annexe A
• Justification par les risques à traiter
• Déclaration applicable / non applicable

Niveau 3 : Plan d'actions SMSI (le "comment")

• Actions concrètes de déploiement des contrôles
• Responsables, échéances, budgets, indicateurs
• Suivi de l'avancement et des blocages

De la décision de traitement à l'action concrète

Reprenons l'exemple précédent pour illustrer ce passage :

• Plan de traitement des risques (niveau stratégique) : "Réduire le risque de compromission de données clients par renforcement des contrôles d'accès distants".
• DdA (niveau tactique) : "Contrôle A.8.5 (Authentification sécurisée) déclaré applicable, statut : en cours de déploiement, justification : risque R-042 Compromission données clients".
• Plan d'actions SMSI (niveau opérationnel) : "Action #12 : Déployer MFA sur tous les accès distants. Responsable : DSI. Échéance : T2 2026. Budget : 15k€. Indicateur : % d'utilisateurs avec MFA actif".

Ce lien direct garantit que chaque action est justifiée par un risque, et que chaque risque inacceptable fait l'objet d'une action concrète.

Traçabilité complète du SMSI

Cette articulation permet d'établir une traçabilité complète :

• Chaque contrôle de la DdA peut être relié à un ou plusieurs risques
• Chaque risque inacceptable fait l'objet d'un plan de traitement
• Chaque décision de traitement se traduit en actions suivies et mesurées

L'outil devient ainsi un support de gouvernance, et non un simple outil de production documentaire. Il permet à la Direction et au RSSI de disposer d'une vision consolidée et à jour des risques, d'objectiver les décisions de sécurité et de piloter le SMSI dans une logique d'amélioration continue.

Ce que l'auditeur regarde réellement sur la DdA

La cohérence avant tout

L'auditeur ISO 27001 ne cherche pas à valider l'exhaustivité de vos contrôles ou la sophistication de votre méthodologie. Son objectif principal est de vérifier la cohérence globale du SMSI.

Alignement contexte ↔ analyse des risques ↔ DdA ↔ plan de traitement. L'auditeur vérifiera :

• Le périmètre de la DdA correspond-il au périmètre déclaré du SMSI ?
• Les contrôles sélectionnés répondent-ils aux risques identifiés ?
• Les exclusions de contrôles sont-elles justifiées par l'analyse des risques ?
• Les actions du plan de traitement sont-elles en cours ou réalisées ?

Justification des exclusions

Un point particulièrement scruté : la capacité à justifier les contrôles exclus de l'annexe A.

Dire "ce contrôle n'est pas applicable" sans justification ne suffit pas. L'auditeur attend une argumentation du type :

• "Ce contrôle concerne les centres de données physiques, or notre infrastructure est 100% cloud"
• "Ce contrôle porte sur les terminaux mobiles, hors périmètre SMSI"
• "Ce risque associé est évalué comme faible et accepté formellement par la direction (cf. registre des risques)"

La traçabilité de ces décisions dans l'analyse des risques est cruciale.

Vérification par échantillonnage

L'auditeur ne vérifiera pas tous les contrôles de manière exhaustive. Il procède par échantillonnage :

• Sélection de quelques contrôles critiques (en fonction des risques majeurs)
• Vérification de leur mise en œuvre effective (preuves, démonstrations)
• Test de la traçabilité jusqu'à l'analyse des risques

Si la cohérence est démontrée sur l'échantillon, l'auditeur considérera que le système est robuste.

Les non-conformités fréquentes

Plusieurs écueils conduisent régulièrement à des non-conformités :

• DdA déconnectée de l'analyse des risques : contrôles sélectionnés sans lien avec les risques identifiés, ou inversement, risques élevés sans contrôles associés.
• Justifications absentes ou superficielles : cases cochées sans argumentation, ou justifications génériques copiées-collées.
• Incohérence avec le plan de traitement : contrôles déclarés "déployés" dans la DdA mais absents du plan d'actions, ou inversement.
• Absence de mise à jour : DdA figée depuis la certification initiale, alors que le périmètre ou les risques ont évolué.

Éviter ces écueils nécessite une gouvernance claire et un pilotage continu du SMSI.

Apport d'un outillage dédié pour relier DdA et analyse des risques

Les limites de l'approche artisanale

De nombreuses organisations gèrent leur DdA et leur analyse des risques dans des tableurs Excel distincts. Cette approche présente plusieurs limites :

• Absence de traçabilité automatique : impossible de relier facilement un contrôle DdA à un risque spécifique sans documentation manuelle lourde.
• Cohérence fragile : lorsque l'analyse des risques évolue, la DdA doit être mise à jour manuellement, avec un risque élevé d'oublis ou d'incohérences.
• Silos métier/IT : les équipes travaillent sur des documents séparés, rendant difficile la vision consolidée et la collaboration.
• Difficile à auditer : l'auditeur doit reconstituer la cohérence en croisant plusieurs fichiers, augmentant le risque d'écarts détectés.
  

Référentiel unique et traçabilité automatisée

L'utilisation d'un outillage spécialisé comme Oversecur permet de dépasser les limites des approches artisanales (tableurs isolés, documents statiques) et d'ancrer l'analyse des risques dans une démarche de gouvernance continue.

Un outil dédié offre plusieurs avantages structurants :

• Centralisation des biens, des scénarios de risques, des mesures existantes et des plans de traitement dans un référentiel unique. Tous les acteurs travaillent sur la même base de données, garantissant la cohérence.
• Lien direct entre analyse des risques, Déclaration d'Applicabilité et contrôles ISO 27001. Chaque contrôle DdA est automatiquement relié aux risques qu'il traite, et réciproquement.
• Traçabilité des responsabilités (RSSI, propriétaires de risques, valideurs) et des décisions d'acceptation ou de traitement. Chaque décision est horodatée, documentée et attribuée.
• Suivi opérationnel des plans de traitement, avec visibilité sur l'avancement, les responsables et les échéances. Le passage de la DdA au plan d'actions devient fluide et tracé.
• Historisation des analyses et des arbitrages, facilitant les revues périodiques, les audits et les revues de direction. L'évolution du SMSI dans le temps est documentée et exploitable.

Support de gouvernance, pas simple documentation

L'outil devient ainsi un support de gouvernance, et non un simple outil de production documentaire. Il permet à la Direction et au RSSI de disposer d'une vision consolidée et à jour des risques, d'objectiver les décisions de sécurité et de piloter le SMSI dans une logique d'amélioration continue.

Cette approche transforme la DdA d'un tableau figé en un instrument dynamique de pilotage de la sécurité.

Faire de la DdA un instrument de pilotage

Au-delà de la conformité

• La DdA ne doit pas être vue uniquement comme un livrable pour l'audit. Elle constitue un outil stratégique pour piloter la sécurité de l'information.
• Dans les comités de pilotage sécurité : la DdA permet de présenter l'état d'avancement des contrôles, d'identifier les retards et de prioriser les actions.
• En revue de direction : la DdA synthétise les décisions de sécurité prises et leur justification, facilitant les arbitrages stratégiques.
• Dans les relations commerciales : la DdA est souvent demandée par les clients ou partenaires pour évaluer le niveau de sécurité. Une DdA claire et cohérente renforce la confiance.

Représentation vivante des choix de sécurité

La DdA matérialise les choix de l'organisation en matière de sécurité :

• Quels risques avons-nous choisi de traiter en priorité ?
• Quels contrôles avons-nous décidé de déployer ?
• Quels risques avons-nous acceptés formellement, et pourquoi ?

Elle constitue ainsi la "carte d'identité sécurité" de l'organisation, traduisant sa stratégie de maîtrise des risques en langage opérationnel.

Amélioration continue

La DdA alimente également le cycle d'amélioration continue du SMSI :

• Lors de la phase Check du PDCA, les contrôles DdA font l'objet d'audits internes et de revues d'efficacité
• Lors de la phase Act, les enseignements conduisent à ajuster la DdA (ajout, retrait ou modification de contrôles)
• La DdA évolue avec le SMSI, garantissant un alignement permanent avec la réalité

Conclusion

La Déclaration d'Applicabilité (DdA) constitue bien plus qu'un simple tableau de contrôles : elle est le chaînon clé entre l'analyse des risques, les décisions stratégiques de traitement et le plan d'actions opérationnel du SMSI.

Une DdA efficace repose sur trois piliers : une cohérence rigoureuse avec l'analyse des risques, une justification argumentée de chaque inclusion ou exclusion de contrôle, et une traçabilité complète jusqu'au plan d'actions.

Loin d'être un document figé produit pour l'audit, la DdA doit être vue comme un instrument vivant de pilotage de la sécurité, alimentant les comités, les revues de direction et les décisions d'investissement. Elle représente la traduction opérationnelle de la stratégie de maîtrise des risques de l'organisation.

L'utilisation d'un outillage dédié permet de transformer cette exigence normative en véritable support de gouvernance, garantissant la cohérence, la traçabilité et l'alignement permanent entre risques, contrôles et actions.

Ressources complémentaires

• Webinaire "Réussir l’analyse des risques ISO 27001 : De la théorie à la pratique"
• Guide "Analyse des Risques ISO 27001"

‍

‍