Comment construire sa déclaration d’applicabilité DDA ?

La déclaration d’applicabilité (DDA), c’est l’application des mesures de l’annexe A de la norme ISO 27001. Celle-ci comporte une liste détaillée d’objectifs et de mesures. Les utilisateurs de la Norme internationale sont donc invités à se reporter à l’Annexe A pour s’assurer qu’aucune mesure nécessaire n’a été négligée.

Qu’est ce que la déclaration d’applicabilité DDA ainsi que l’Annexe A ?

La Déclaration d’applicabilité, DDA contient l’ensemble de l’Annexe A. Il s’agit de 114 mesures répartis dans 14 Articles (A.05 à A.18) de l’annexe A de la norme ISO27001.

L’Annexe A peut être rédigé après avoir réalisé l’analyse des risques pesant sur le Système de Management de la Sécurité de l’Information, ainsi que le SMSI.

Avant de démarrer, il est important de définir quelques termes.

Une mesure est une proposition d’action à réaliser. En effet, dans le cas de l’annexe A, il s’agit de proposition d’actions à réaliser pour se protéger de risques pouvant peser sur le SMSI

Ainsi, certains de ces articles sont techniques, d’autres plus organisationnel.

Les 14 Articles de l’annexe A

• A.5 : Politique de sécurité de l’information, traite des orientations générales de votre politique de sécurité de l’information
• A.6 : Organisation de la sécurité de l’information. Elle traite de l’organisation interne et des règles d’utilisation des appareils mobiles sur site comme en télétravail.
• A.7 : Sécurité des ressources humaines. Elle évoque la sécurité de l’information dans les processus de recrutement et sortie de collaborateur ainsi que les mesures à prendre durant la durée du contrat.
• A.8 Gestion des actifs. Elle traite des responsabilités et des règles de manipulation liée aux actifs (l’ensemble des biens et information de la société) ainsi que de la manière de les classifier
• A.9 Contrôle d’accès propose des mesures organisationnelles et technique pour mettre en place des accès à l’information protégés et adaptés
• A.10 Cryptographie. L’article 10 cryptographie traite des mesures de cryptographie à mettre en place pour protéger vos communications, vos données sensibles. On y évoque également les clés de chiffrement
• A.11 Sécurité physique et environnemental. Elle énonce les mesures visant à protéger les actifs physiques, le site des intrusions physique et des catastrophes naturelles
• A.12 Sécurité liés à l’exploitation présente les mesures visant à protéger vos processus de production (c’est à dire une livraison de votre produit ou activité, avec la gestion des changements associés) contre les problèmes de sauvegardes, ou également les logiciels malveillants.
• A.13 cloisonnement des réseaux traite la sécurité des réseaux et des transferts d’information
• A.14 Acquisition, développement et maintenance des systèmes d’information contient les mesures relatives à la protection des systèmes d’information ainsi qu’à la
• A.15 Relation avec les fournisseurs traite des mesures visant à protéger les informations échanger ou transmises avec des fournisseurs dans le cadre de l’activité
• A.16 Gestion des incidents liés à la sécurité de l’information évoque la mise en place d’un processus de gestion des incidents permettant d’identifier, traiter, également analyser les incidents en assurant leur traçabilité.
• A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité évoque le besoin de sécurité dans la continuité de l’activité
• A.18 Conformité traite du besoin de s’assurer de la conformité de son SMSI avec l’ensemble des exigences contractuelles, réglementaire, ainsi concurrentielles auxquelles peut être soumise l’organisation

Les objectifs de la DDA

La déclaration d’applicabilité répond à 2 objectifs

• Compléter l’analyse de risques avec des mesures de sécurité complémentaires et utiles pour réduire les risques.
• Établir un niveau de mise en œuvre des mesures de référence pour garantir la sécurité du SMSI.

L’élaboration de la DDA intervient après la réalisation de l’analyse des risques. Une étape durant laquelle on détermine, identifie, évalue et détermine les risques les plus importants pour notre SMSI. Ensuite on pourra proposer des traitements visant à réduire ces risques.

Les traitements proposés peuvent être :

• Des procédures permettant la maîtrise d’un processus
• Des mesures techniques pour se protéger des risques cyber
• Ainsi que des contrôles pour vérifier l’application des mesures de sécurité

Les mesures de l’annexe A sont donc des propositions de traitements supplémentaires pour réduire ces risques. La première étape de la DDA est de également déterminer l’application ou non d’une mesure.

Réaliser sa DDA

Pour chaque mesure de l’annexe A de la norme ISO 27001 on vient indiquer si la mesure est applicable ou non. Ainsi on pourra puis justifier la mise en œuvre ou l’exclusion.

Suite à l’analyse des risques, vous avez normalement identifié l’ensemble des risques portant sur votre SMSI et proposé ainsi des traitements pour réduire ces risques.

Les mesures de l’Annexe A (on parle aussi de “contrôle” en anglais) sont des propositions de mesure à appliquer pour réduire vos risques, en complément des mesures déjà identifié.

Pour chaque mesure, on commence par indiquer l’applicabilité ou non de la mesure en la justifiant.

• Une mesure est applicable si elle nous permet de réduire l’un des risques du SMSI.
• Une mesure est non applicable si elle ne nous permet pas de réduire un risque du SMSI, ou concerne un processus exclu du SMSI

Toute mesure figurant dans l’annexe A, qui ne contribue pas à réduire le risque ou qui est en dehors du périmètre de certification doit être exclu et une justification de cette exclusion doit être ainsi donnée. Il faut tout de même être très prudent dans les exclusions car les auditeurs n’aiment pas quand il y a trop d’exclusion. (le bon ratio doit être au-dessus de 100 mesures retenues)

Remplir la DDA

Pour compléter la DDA, on vient donc parcourir les 114 mesures de l’annexe A en appliquant le processus de décision suivant :

• S’agit-il d’une nouvelle mesure qui est déjà en place ?
  • Si oui, l’ajouter dans les scénarios des risques concernées et réévaluer le risque.
• S’agit-il d’une nouvelle mesure qui n’est pas en place ?
  • Cette mesure peut m’aider à réduire un ou plusieurs risques ?
    • Si oui, prendre en compte la mesure, pour cela définir les actions à mettre en place selon le niveau de risques. Ajouter ces actions dans le plan d’action du traitement de risques.
    • Si non, l’exclure dans la DDA et justifier l’exclusion.

Attention : Les actions à mettre en place pour prendre en compte une mesure vont dépendre du niveau de risque identifié. C’est à dire que chaque société va donc appliquer une même mesure mais les actions à mettre en place pour la conformité seront différentes selon les risques propres à la société. De plus, les mesures de l’annexe A ne sont pas exhaustives. C’est à dire que vous pouvez compléter la liste de mesures avec d’autres normes, référentielles ou mesures obligatoires à votre société par législation ou par des exigences contractuelles.

Exemple d’exclusion

Nous allons analyser la même mesure et le même risque dans le cas de 2 entreprises différentes :

A.11.2.2 Services généraux :
Des mesures existent pour protéger le matériel des coupures de courant, réseaux et autres perturbations dues à une défaillance des services généraux.

Risque

Arrêt d’alimentation électrique de courte durée (1 jour) sur un site / bureau

Les deux entreprises sont :

• Une société A qui a des Data Center et propose de service d’hébergement d’infrastructure physique avec infogérance
• Une société B éditeur de logiciel qui soustraite le service d’hébergement à la société A. Et télétravaille de façon régulière pour l’ensemble des collaborateurs.

• Pour la société A

La société A va donc devoir mettre en place des onduleurs et les tester régulièrement pour pouvoir justifier la conformité. Les risque d’une perte d’électricité dans le Data center est critique pour garantir la continuité du service.

• Pour la société B

La société B en revanche n’a pas le même niveau de risque pour la perde de l’électricité dans ces locaux. Les mesures à mettre en place seront plus organisationnelles. Par exemple rentrer chez eux pour continuer à travailler à distance et surveiller annuellement le fournisseur pour vérifier qu’ils mettent bien en place les mesures de sécurité.

De plus, ce sont des exemples des actions à vous de définir les actions qui vont bien avec l’évaluation de vos risques.

Evolution de la Déclaration d’applicabilité

Version 2022

L’ancienne Annexe A correspondait aux mesures de l’ISO27002 de 2013, avec légères retouches en 2017.

En 2022 aura lieu un changement en profondeur :

• Modification du nom : Sécurité de l’information, cybersécurité et protection de la vie privée Mesures de sécurité de l’information
• 11 nouvelles mesures
• Réduction du nombre globale de mesure avec un passage de 114 à 93 mesures dû à des fusions de mesures
• Passage de 14 à 4 thématiques
  • (A5) Mesures organisationnelles : 37 mesures
  • (A.6) Mesure des personnes : 8 mesures
  • (A.7) Mesures physiques : 14 mesures
  • (A.8) Mesures technologiques : 34 mesures

Pour conclure, la Déclaration d’applicabilité, DDA contient l’ensemble de l’Annexe A avec ses 114 mesures. Elle réponds à 2 objectifs. Dans un premier temps il faut donc compléter l’analyse de risques avec des mesures de sécurité complémentaires et utiles pour réduire les risques. Et dans un deuxième temps il faut aussi établir un niveau de mise en œuvre des mesures de référence pour garantir la sécurité du SMSI. Pour plus d’informations, accèder à notre page de contact.