
Modèle gratuit de Déclaration d'applicabilité ISO 27001 (2026) — 93 mesures, Excel
Modèle gratuit de Déclaration d'applicabilité (SoA) ISO 27001 avec les 93 mesures de l'Annexe A préchargées (XLSX, PDF, MD) : applicabilité, justification, statut, preuves.
Télécharger ce modèle
Version 1.0 · Mis à jour le 14 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en français (à défaut : anglais)
Déclaration d'applicabilité ISO 27001 : modèle gratuit
La Déclaration d'applicabilité (SoA) est le document obligatoire d'ISO 27001 qui recense les 93 mesures de l'Annexe A d'ISO/IEC 27001:2022, indique pour chacune si elle est applicable ou exclue, justifie les deux décisions et consigne l'état de mise en œuvre de chaque mesure applicable — exactement ce qu'exige le paragraphe 6.1.3 d). Ce modèle gratuit est livré avec chaque mesure préchargée dans les quatre thèmes de l'Annexe A, plus des colonnes de justification, de preuves, de responsable et de revue, de sorte que vous prenez des décisions au lieu de construire des tableurs.
Demandez à n'importe quel auditeur de certification quel document il ouvre en premier, et la réponse sera la SoA — c'est la feuille de route sur laquelle il audite. Pourtant, la plupart des équipes l'assemblent encore à la main, en recopiant 93 intitulés de mesures depuis un PDF vers un tableur avant de pouvoir prendre la moindre décision d'applicabilité. Ce modèle — disponible en XLSX, PDF et en fichier Markdown lisible par machine pour les agents IA (les fichiers téléchargeables sont en anglais) — supprime cette étape. C'est le compagnon opérationnel de notre liste de contrôle ISO 27001, qui parcourt l'ensemble du parcours de certification ; cette page vous fournit l'artefact le plus important de ce parcours, prêt à compléter.
Points clés
- La SoA est exigée par le paragraphe 6.1.3 d) d'ISO/IEC 27001:2022 et doit contenir les mesures nécessaires, la justification de leur inclusion, leur état de mise en œuvre et la justification de l'exclusion de toute mesure de l'Annexe A.
- L'Annexe A compte 93 mesures réparties en quatre thèmes — organisationnelles (37), personnes (8), physiques (14), technologiques (34) — et les 93 doivent apparaître dans la SoA avec une décision explicite.
- Onze mesures sont nouvelles depuis la révision de 2022 (signalées dans le modèle), et depuis le 31 octobre 2025 tous les certificats valides s'appuient sur ISO/IEC 27001:2022 — une SoA structurée selon la version 2013 constitue désormais un constat d'audit, non une formalité.
- Les exclusions doivent être étayées. Les auditeurs acceptent « aucun bureau physique » pour les mesures de périmètre ; ils n'acceptent ni le coût ni l'effort comme justification.
- Pour les entreprises de l'UE, la SoA sert deux fois : l'ensemble des mesures applicables se rapproche des mesures de gestion des risques de l'article 21(2) de NIS2, de sorte qu'une SoA bien tenue devient une preuve réutilisable pour la conformité NIS2 — le modèle inclut la feuille de correspondance.
Ce que contient le modèle
Le fichier XLSX contient quatre feuilles : le registre de Déclaration d'applicabilité lui-même (les 93 mesures préchargées), un récapitulatif calculé automatiquement (décisions et décomptes de mise en œuvre par thème, plus des contrôles d'exhaustivité qui signalent les lignes non décidées), une feuille de référence de correspondance NIS2 art. 21 et une feuille d'instructions. Le PDF reproduit le registre pour l'impression et les réunions de revue ; la variante Markdown porte la structure complète avec des métadonnées YAML, de sorte qu'un agent IA peut rédiger votre SoA à partir de votre registre des risques.
Voici un aperçu de lignes réelles du registre, une par thème :
| Réf. mesure | Intitulé de la mesure | Thème | Applicable ? | Justification (exemple) | Statut |
|---|---|---|---|---|---|
| A.5.23 | Sécurité de l'information pour l'utilisation de services en nuage | Organisationnelle | Oui | La pile SaaS centrale traite les données clients ; traite le risque R-12 (compromission du fournisseur cloud) | Mise en œuvre |
| A.6.7 | Travail à distance | Personnes | Oui | Effectif entièrement à distance ; mesures contractuelles et techniques selon la politique de travail à distance | Mise en œuvre |
| A.7.1 | Périmètres de sécurité physique | Physique | Non | Aucun local physique — organisation entièrement à distance ; les risques liés aux bureaux ne sont pas présents | — |
| A.8.12 | Prévention des fuites de données | Technologique | Oui | Données clients réglementées dans le périmètre ; outils DLP sur les postes et la passerelle de messagerie | Partiellement mise en œuvre |
Chaque ligne du XLSX porte aussi les champs de workflow que les auditeurs s'attendent à sonder — référence de preuve, responsable de la mesure, date de dernière revue — et des listes déroulantes validées maintiennent la cohérence des valeurs d'applicabilité et de statut. Les 11 mesures introduites en 2022 sont signalées dans leur propre colonne, de sorte qu'une équipe qui migre une ancienne SoA voit immédiatement où se situent habituellement les lacunes.
Comment l'utiliser
Étape 1 — Partez de l'appréciation des risques, pas de la liste des mesures. Les mesures sont sélectionnées parce qu'elles traitent des risques identifiés, des obligations légales ou des engagements contractuels ; la SoA consigne le résultat de ce raisonnement. Procéder à l'inverse — cocher les mesures d'abord, inventer les risques ensuite — est le mode d'échec le plus courant de la SoA, et les auditeurs expérimentés le reconnaissent au premier coup d'œil. Si vous n'avez pas encore mené l'appréciation des risques, la liste de contrôle ISO 27001 couvre cette étape en détail.
Étape 2 — Décidez des 93 lignes. Chaque mesure reçoit un Oui ou un Non explicite dans la colonne Applicable. La feuille de récapitulatif compte les lignes non décidées précisément parce qu'une ligne vide se lit comme une SoA incomplète lors d'un audit de certification. Pour les mesures applicables, rédigez la justification d'inclusion — quel risque, quelle loi ou quel contrat la mesure traite — définissez l'état de mise en œuvre et référencez la preuve qui le démontre : une politique, une procédure, une configuration système, un enregistrement.
Étape 3 — Justifiez les exclusions sur le fond. Exclure une mesure est légitime ; l'exclure par facilité ne l'est pas. La justification doit montrer que l'objet de la mesure ne s'applique réellement pas à votre organisation. Une entreprise entièrement à distance peut exclure plusieurs mesures physiques ; une entreprise sans développement interne peut exclure certaines mesures de l'ensemble de développement sécurisé (A.8.25–A.8.31) — mais devrait alors examiner de près le développement externalisé (A.8.30).
Étape 4 — Maintenez-la vivante. Attribuez à chaque mesure un responsable et une date de dernière revue, gardez le document sous gestion de versions, et mettez-le à jour chaque fois que l'appréciation des risques, l'ensemble des mesures ou le contexte organisationnel change — puis revoyez-le au moins une fois par cycle du SMSI, à la revue de direction et avant chaque audit de surveillance. Une SoA obsolète est l'un des chemins les plus rapides vers une non-conformité, car c'est la première incohérence qu'un auditeur repère en confrontant le document à la réalité. Notre guide sur comment obtenir la certification ISO 27001 explique comment la SoA est éprouvée aux étapes 1 et 2.
Fondement normatif
Le modèle s'ancre dans ISO/IEC 27001:2022, l'édition en vigueur de la norme, y compris l'amendement 1:2024 — l'amendement « changements liés à l'action climatique » de février 2024 qui a ajouté au paragraphe 4.1 l'exigence de déterminer si le changement climatique est un enjeu pertinent, et une note au paragraphe 4.2 précisant que les parties intéressées peuvent avoir des exigences liées au climat. Les deux alimentent l'analyse de contexte à laquelle vos décisions de SoA remontent en définitive. La période de transition depuis l'édition 2013 a pris fin le 31 octobre 2025 : les certificats délivrés au titre d'ISO/IEC 27001:2013 ont expiré ou ont été retirés, de sorte que chaque SoA doit désormais reposer sur la structure de l'Annexe A de 2022 — 93 mesures, quatre thèmes — plutôt que sur l'ancienne organisation en 114 mesures et 14 domaines. La norme officielle et ISO/IEC 27002:2022 (le catalogue de recommandations de mise en œuvre) contiennent le texte des mesures ; ce modèle reproduit délibérément uniquement les identifiants et les intitulés des mesures, de sorte que vous aurez toujours besoin des normes elles-mêmes — auprès de l'ISO ou de votre organisme national de normalisation — pour les exigences détaillées des mesures.
Pour les entreprises de l'UE, la SoA a une seconde vie comme preuve réglementaire. NIS2 — la directive (UE) 2022/2555 — énumère dix familles de mesures de gestion des risques à l'article 21(2), du traitement des incidents à la sécurité de la chaîne d'approvisionnement et à la cryptographie, et chacune se rapproche de mesures identifiables de l'Annexe A. La feuille de correspondance du modèle associe chaque mesure de l'article 21(2) à ses mesures représentatives, en reflétant la correspondance plus complète article 21 → Annexe A de notre guide NIS2 — avec la réserve importante que l'alignement sur ISO 27001 soutient mais ne démontre pas à lui seul la conformité à NIS2, car NIS2 ajoute ses propres attentes de gouvernance, de notification et de contrôle au titre des lois nationales de transposition. La même logique de réutilisation s'applique à la démonstration des mesures de sécurité de l'article 32 du RGPD, où un ensemble de mesures ISO 27001 est largement considéré comme une preuve solide de « mesures techniques et organisationnelles appropriées ».
Au-delà de l'UE : Royaume-Uni et Norvège
ISO/IEC 27001 est une norme internationale : contrairement à nos modèles spécifiques à une réglementation, celui-ci ne nécessite aucune adaptation juridictionnelle — mais le contexte de certification diffère. Au Royaume-Uni, la certification accréditée passe par des organismes de certification accrédités par l'UKAS, et ISO 27001 côtoie le dispositif public Cyber Essentials : Cyber Essentials couvre cinq mesures techniques de base, tandis qu'ISO 27001 certifie le système de management — les grands acheteurs britanniques attendent de plus en plus les deux. En Norvège, les organismes de certification sont accrédités par Norsk akkreditering, et une SoA ISO 27001 fait aussi office de preuve solide au regard des Principes de sécurité TIC du NSM (grunnprinsipper for IKT-sikkerhet) — le référentiel national de 21 principes et 118 mesures que le NSM lui-même met en correspondance avec ISO/IEC 27002:2022, et auquel se réfèrent les acheteurs du secteur public norvégien et le régime de supervision de la digitalsikkerhetsloven. Une seule SoA, tenue à jour, alimente ces trois conversations.
Du tableur à la preuve vivante
Une SoA en tableur prouve que vous avez pris les décisions ; elle ne peut pas les maintenir vraies. Les mesures dérivent, les responsables changent, les preuves se périment — et le document qui était exact au moment de la certification cesse silencieusement de correspondre à la réalité. Le logiciel SMSI d'Orbiq maintient le même registre de mesures connecté à des preuves vivantes, signale les mesures dont la preuve a expiré, et publie le volet destiné aux acheteurs sur un Trust Center européen — de sorte que le travail réalisé pour l'auditeur répond aussi à la prochaine revue de sécurité d'un client. Si vous choisissez encore votre outillage SMSI, notre comparatif du meilleur logiciel SMSI couvre le marché.
Sources et références
- ISO/IEC 27001:2022 — Systèmes de management de la sécurité de l'information — la norme elle-même ; paragraphe 6.1.3 d) et Annexe A.
- ISO/IEC 27001:2022/Amd 1:2024 — Changements liés à l'action climatique — publié en février 2024 ; ajouts aux paragraphes 4.1/4.2.
- Directive (UE) 2022/2555 (NIS2) — texte intégral — mesures de gestion des risques de l'article 21(2).
- ENISA — Technical Implementation Guidance on Cybersecurity Risk Management Measures — juin 2025 ; met en correspondance les mesures NIS2 avec les normes internationales.
- NCSC — Présentation du dispositif Cyber Essentials — le dispositif de base britannique aux côtés d'ISO 27001.
- Principes de sécurité TIC du NSM (grunnprinsipper for IKT-sikkerhet) — le référentiel national norvégien de sécurité TIC, version 2.1, avec la propre correspondance du NSM vers ISO/IEC 27002:2022.
À lire également
Télécharger ce modèle
Version 1.0 · Mis à jour le 14 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en français (à défaut : anglais)
Questions fréquentes
Qu'est-ce qu'une Déclaration d'applicabilité dans ISO 27001 ?
La Déclaration d'applicabilité (SoA) est le document obligatoire d'ISO 27001 qui recense les 93 mesures de l'Annexe A, indique pour chacune si elle est applicable ou exclue, justifie les deux décisions et consigne si chaque mesure applicable est mise en œuvre. Elle est exigée par le paragraphe 6.1.3 d) d'ISO/IEC 27001:2022, et les auditeurs de certification l'utilisent comme feuille de route de l'ensemble de l'audit.
Que doit contenir la SoA au titre du paragraphe 6.1.3 d) ?
Le paragraphe 6.1.3 d) exige quatre éléments : les mesures nécessaires déterminées par le processus de traitement des risques, la justification de l'inclusion de chaque mesure, le fait que chaque mesure nécessaire soit mise en œuvre ou non, et la justification de l'exclusion de toute mesure de l'Annexe A. Tout le reste — responsables des mesures, références de preuves, dates de revue — relève de la bonne pratique plutôt que d'une exigence littérale, mais les auditeurs s'attendent à le voir.
Combien de mesures compte l'Annexe A d'ISO 27001:2022 ?
L'Annexe A d'ISO/IEC 27001:2022 compte 93 mesures réparties en quatre thèmes : 37 organisationnelles (A.5), 8 liées aux personnes (A.6), 14 physiques (A.7) et 34 technologiques (A.8). Onze mesures sont nouvelles dans la révision de 2022, dont le renseignement sur les menaces (A.5.7), la sécurité de l'information pour l'utilisation de services en nuage (A.5.23), la gestion de la configuration (A.8.9), la prévention des fuites de données (A.8.12) et le codage sécurisé (A.8.28).
Puis-je exclure des mesures de l'Annexe A de ma SoA ?
Oui — aucune mesure de l'Annexe A n'est automatiquement obligatoire, mais chaque exclusion doit reposer sur une justification documentée et solide. « Nous n'avons aucun bureau physique » est un motif valable d'exclure les mesures de périmètre physique ; « cela coûterait trop cher » ne l'est pas. Les 93 mesures doivent toutes figurer dans la SoA avec une décision explicite d'applicabilité ou d'exclusion, et les auditeurs sonderont les raisonnements d'exclusion fragiles.
À quelle fréquence faut-il mettre à jour la Déclaration d'applicabilité ?
ISO 27001 ne fixe aucun intervalle, mais la SoA doit rester cohérente avec votre appréciation des risques et votre plan de traitement des risques. En pratique, cela signifie la mettre à jour chaque fois que les risques, les mesures ou le contexte organisationnel évoluent de manière significative, et la revoir au moins une fois par cycle du SMSI — généralement à chaque revue de direction et avant chaque audit de surveillance ou de recertification.
La SoA est-elle identique au plan de traitement des risques ?
Non. Le plan de traitement des risques indique ce que vous ferez face à chaque risque identifié — options retenues, responsables, échéances. La Déclaration d'applicabilité indique quelles mesures sont dans le périmètre et pourquoi, mesure par mesure, avec l'état de mise en œuvre. Les deux doivent être cohérents entre eux : toute mesure sur laquelle s'appuie le plan de traitement des risques doit apparaître comme applicable dans la SoA.