---
name: "Modèle de déclaration d'applicabilité ISO 27001"
version: "1.0"
updated: "2026-07-13"
source: "https://www.orbiqhq.com/templates/iso-27001-statement-of-applicability-template"
license: "Utilisation libre ; attribution appréciée"
standard: "ISO/IEC 27001:2022 (y compris Amd 1:2024), article 6.1.3(d), Annexe A"
legal_basis:
  - "https://www.iso.org/standard/27001"
  - "https://eur-lex.europa.eu/eli/dir/2022/2555/oj"
---

# Modèle de déclaration d'applicabilité (SoA) ISO 27001

Une déclaration d'applicabilité opérationnelle pour ISO/IEC 27001:2022, avec les 93
mesures de l'Annexe A préchargées (37 organisationnelles, 8 relatives au personnel,
14 physiques, 34 technologiques). Un agent IA comme un intervenant humain peut produire
une SoA complète et prête pour l'audit à partir de ce seul fichier : (1) partir de
l'évaluation des risques et du plan de traitement des risques, (2) marquer chaque mesure
comme applicable ou exclue, (3) justifier les deux décisions, (4) consigner l'état de mise
en œuvre et les preuves, (5) placer le document sous gestion de versions et le revoir à
chaque cycle du SMSI.

Ce fichier ne reprend que les identifiants et les intitulés des mesures de l'Annexe A. Le
texte des mesures et les recommandations de mise en œuvre figurent dans les normes
ISO/IEC 27001:2022 et ISO/IEC 27002:2022, qui doivent être achetées auprès de l'ISO ou
d'un organisme national de normalisation — elles ne sont pas reproduites ici.

---

## 1. Ce qu'exige l'article 6.1.3(d)

La SoA doit contenir, au minimum :

1. Les **mesures nécessaires** déterminées par le processus de traitement des risques
   (l'Annexe A ainsi que tout référentiel de mesures complémentaire) ;
2. La **justification de l'inclusion** de chaque mesure nécessaire ;
3. L'indication du caractère **mis en œuvre ou non** de chaque mesure nécessaire ;
4. La **justification de l'exclusion** de toute mesure de l'Annexe A.

Règles de complétude pour un agent qui remplit ce registre :

- `applicable` — énumération : `yes` | `no`. Chacune des 93 lignes doit porter une valeur ; un champ vide = SoA incomplète.
- `justification_inclusion` — obligatoire lorsque `applicable: yes`. Indiquez le risque ou l'exigence légale, contractuelle ou métier que la mesure traite.
- `justification_exclusion` — obligatoire lorsque `applicable: no`. Elle doit être motivée sur le fond (« aucun bureau physique » convient ; « trop coûteux » non).
- `status` — énumération : `implemented` | `partially-implemented` | `planned` | `not-implemented`. Obligatoire lorsque `applicable: yes`.
- `evidence` — référence à la politique, la procédure, le système ou l'enregistrement qui atteste de la mesure.
- Contrôle de cohérence : aucune ligne ne peut associer `applicable: no` à une valeur de `status`.

## 2. Gestion documentaire

| Champ | Valeur |
|---|---|
| Organisation | _____ |
| Référence du périmètre du SMSI | _____ |
| Version de la SoA | _____ |
| Approuvée par | _____ |
| Date d'approbation | AAAA-MM-JJ |
| Prochaine revue prévue le | AAAA-MM-JJ |
| Référence de l'évaluation des risques | _____ |
| Référence du plan de traitement des risques | _____ |

## 3. Registre de la déclaration d'applicabilité

Colonnes : `applicable` (yes/no) · `justification` (inclusion ou exclusion, selon les règles ci-dessus) · `status` (énumération ci-dessus ; uniquement lorsque la mesure est applicable) · `evidence`.

| ID de la mesure | Intitulé de la mesure | Thème | Nouvelle en 2022 | Applicable | Justification | Statut | Preuves |
|---|---|---|---|---|---|---|---|
| A.5.1 | Politiques de sécurité de l'information | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.2 | Fonctions et responsabilités liées à la sécurité de l'information | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.3 | Séparation des tâches | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.4 | Responsabilités de la direction | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.5 | Relations avec les autorités | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.6 | Relations avec des groupes d'intérêt spécifiques | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.7 | Renseignement sur les menaces | Organisationnel | oui | _____ | _____ | _____ | _____ |
| A.5.8 | Sécurité de l'information dans la gestion de projet | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.9 | Inventaire des informations et autres actifs associés | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.10 | Utilisation acceptable des informations et autres actifs associés | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.11 | Restitution des actifs | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.12 | Classification des informations | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.13 | Marquage des informations | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.14 | Transfert d'informations | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.15 | Contrôle d'accès | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.16 | Gestion des identités | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.17 | Informations d'authentification | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.18 | Droits d'accès | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.19 | Sécurité de l'information dans les relations avec les fournisseurs | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.20 | Prise en compte de la sécurité de l'information dans les accords avec les fournisseurs | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.21 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.22 | Surveillance, revue et gestion des changements des services fournisseurs | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.23 | Sécurité de l'information liée à l'utilisation de services cloud | Organisationnel | oui | _____ | _____ | _____ | _____ |
| A.5.24 | Planification et préparation de la gestion des incidents de sécurité de l'information | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.25 | Évaluation des événements de sécurité de l'information et prise de décision | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.26 | Réponse aux incidents de sécurité de l'information | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.27 | Tirer des enseignements des incidents de sécurité de l'information | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.28 | Collecte de preuves | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.29 | Sécurité de l'information pendant une perturbation | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.30 | Préparation des TIC pour la continuité d'activité | Organisationnel | oui | _____ | _____ | _____ | _____ |
| A.5.31 | Exigences légales, statutaires, réglementaires et contractuelles | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.32 | Droits de propriété intellectuelle | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.33 | Protection des enregistrements | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.34 | Protection de la vie privée et des données à caractère personnel (DCP) | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.35 | Revue indépendante de la sécurité de l'information | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.36 | Conformité aux politiques, règles et normes de sécurité de l'information | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.5.37 | Procédures d'exploitation documentées | Organisationnel | non | _____ | _____ | _____ | _____ |
| A.6.1 | Sélection des candidats | Personnel | non | _____ | _____ | _____ | _____ |
| A.6.2 | Termes et conditions d'embauche | Personnel | non | _____ | _____ | _____ | _____ |
| A.6.3 | Sensibilisation, apprentissage et formation à la sécurité de l'information | Personnel | non | _____ | _____ | _____ | _____ |
| A.6.4 | Processus disciplinaire | Personnel | non | _____ | _____ | _____ | _____ |
| A.6.5 | Responsabilités après la fin ou le changement d'un emploi | Personnel | non | _____ | _____ | _____ | _____ |
| A.6.6 | Engagements de confidentialité ou de non-divulgation | Personnel | non | _____ | _____ | _____ | _____ |
| A.6.7 | Travail à distance | Personnel | non | _____ | _____ | _____ | _____ |
| A.6.8 | Signalement des événements de sécurité de l'information | Personnel | non | _____ | _____ | _____ | _____ |
| A.7.1 | Périmètres de sécurité physique | Physique | non | _____ | _____ | _____ | _____ |
| A.7.2 | Entrées physiques | Physique | non | _____ | _____ | _____ | _____ |
| A.7.3 | Sécurisation des bureaux, des salles et des installations | Physique | non | _____ | _____ | _____ | _____ |
| A.7.4 | Surveillance de la sécurité physique | Physique | oui | _____ | _____ | _____ | _____ |
| A.7.5 | Protection contre les menaces physiques et environnementales | Physique | non | _____ | _____ | _____ | _____ |
| A.7.6 | Travail dans les zones sécurisées | Physique | non | _____ | _____ | _____ | _____ |
| A.7.7 | Bureau propre et écran vide | Physique | non | _____ | _____ | _____ | _____ |
| A.7.8 | Emplacement et protection du matériel | Physique | non | _____ | _____ | _____ | _____ |
| A.7.9 | Sécurité des actifs hors des locaux | Physique | non | _____ | _____ | _____ | _____ |
| A.7.10 | Supports de stockage | Physique | non | _____ | _____ | _____ | _____ |
| A.7.11 | Services généraux | Physique | non | _____ | _____ | _____ | _____ |
| A.7.12 | Sécurité du câblage | Physique | non | _____ | _____ | _____ | _____ |
| A.7.13 | Maintenance du matériel | Physique | non | _____ | _____ | _____ | _____ |
| A.7.14 | Mise au rebut ou réutilisation sécurisée du matériel | Physique | non | _____ | _____ | _____ | _____ |
| A.8.1 | Terminaux utilisateurs | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.2 | Droits d'accès privilégiés | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.3 | Restriction d'accès à l'information | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.4 | Accès au code source | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.5 | Authentification sécurisée | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.6 | Dimensionnement | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.7 | Protection contre les logiciels malveillants | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.8 | Gestion des vulnérabilités techniques | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.9 | Gestion des configurations | Technologique | oui | _____ | _____ | _____ | _____ |
| A.8.10 | Suppression des informations | Technologique | oui | _____ | _____ | _____ | _____ |
| A.8.11 | Masquage des données | Technologique | oui | _____ | _____ | _____ | _____ |
| A.8.12 | Prévention de la fuite de données | Technologique | oui | _____ | _____ | _____ | _____ |
| A.8.13 | Sauvegarde des informations | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.14 | Redondance des moyens de traitement de l'information | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.15 | Journalisation | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.16 | Activités de surveillance | Technologique | oui | _____ | _____ | _____ | _____ |
| A.8.17 | Synchronisation des horloges | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.18 | Utilisation de programmes utilitaires à privilèges | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.19 | Installation de logiciels sur des systèmes en exploitation | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.20 | Sécurité des réseaux | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.21 | Sécurité des services réseau | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.22 | Cloisonnement des réseaux | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.23 | Filtrage web | Technologique | oui | _____ | _____ | _____ | _____ |
| A.8.24 | Utilisation de la cryptographie | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.25 | Cycle de vie de développement sécurisé | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.26 | Exigences de sécurité applicatives | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.27 | Principes d'ingénierie et d'architecture des systèmes sécurisés | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.28 | Codage sécurisé | Technologique | oui | _____ | _____ | _____ | _____ |
| A.8.29 | Tests de sécurité dans le développement et la recette | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.30 | Développement externalisé | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.31 | Séparation des environnements de développement, de test et de production | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.32 | Gestion des changements | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.33 | Informations de test | Technologique | non | _____ | _____ | _____ | _____ |
| A.8.34 | Protection des systèmes d'information pendant les tests d'audit | Technologique | non | _____ | _____ | _____ | _____ |

## 4. Déclencheurs de revue

Mettez cette SoA à jour dès que l'un des événements suivants survient, et au moins une
fois par cycle du SMSI (revue de direction, avant les audits de surveillance et de
recertification) :

- L'évaluation des risques ou le plan de traitement des risques évolue substantiellement.
- Une mesure est ajoutée, retirée ou modifiée de façon significative.
- Le contexte de l'organisation change (article 4.1 — depuis l'Amd 1:2024, cela inclut
  explicitement de déterminer si le changement climatique constitue un enjeu pertinent).
- Les exigences des parties intéressées évoluent (article 4.2).
- La norme elle-même évolue (la transition 2013→2022 s'est achevée le
  31 octobre 2025 ; tous les certificats valides portent désormais sur
  ISO/IEC 27001:2022).

## 5. Réutilisation réglementaire dans l'UE

Pour les entités de l'UE relevant de NIS2 (directive (UE) 2022/2555), l'ensemble des
mesures applicables et leurs preuves se rattachent aux mesures de gestion des risques de
l'article 21(2) — voir la feuille de correspondance dans la variante XLSX et
https://www.orbiqhq.com/eu-regulations/nis2-directive pour le tableau article 21(2) →
Annexe A. L'alignement sur ISO 27001 soutient la conformité à NIS2 mais ne la démontre
pas à lui seul : NIS2 comporte ses propres exigences de gouvernance, de signalement et
de sanction au titre des lois nationales de transposition.
