Aller au contenu
PolicyForge
Tous les articles
Par Vyrhak SATH · Fondateur, NAGASHIELD SECURITY12 minRevu le

Les 14 politiques ISO 27001 obligatoires — checklist complète 2026

Une checklist pratique et exhaustive de chaque politique requise par ISO 27001:2022, avec des modèles utilisables immédiatement.

Pourquoi ISO 27001 repose autant sur les politiques

ISO 27001 est une norme de management, pas une checklist technique. Les auditeurs ne se soucient pas de la qualité de votre pare-feu — ils veulent savoir si vous avez décidé comment le configurer, si vous l'avez écrit, communiqué, revu, et si vous prouvez l'avoir appliqué. Les politiques documentées sont le tissu conjonctif qui transforme des pratiques de sécurité éparses en un système de management défendable.

La révision 2022 (ISO/IEC 27001:2022) a réorganisé l'Annexe A : de 114 mesures réparties en 14 domaines, on passe à 93 mesures regroupées en quatre thèmes — Organisationnel (37), Personnes (8), Physique (14) et Technologique (34) — avec 11 mesures réellement nouvelles, comme le renseignement sur les menaces, la sécurité du cloud et la prévention des fuites de données. Les exigences des chapitres 4 à 10, qui pilotent votre documentation, n'ont en revanche pas changé d'esprit : elles disent précisément ce que vous devez écrire.

Annexe A d'ISO/IEC 27001:2022 — 93 mesures réparties en quatre thèmes : Organisationnel 37, Personnes 8, Physique 14, Technologique 34
Annexe A d'ISO/IEC 27001:2022 — 93 mesures réparties en quatre thèmes : Organisationnel 37, Personnes 8, Physique 14, Technologique 34

Deux types de documents « obligatoires »

Un point qui piège la plupart des débutants : ISO 27001 comporte deux obligations documentaires distinctes, et les confondre est une cause fréquente de frictions en audit.

  1. Informations documentées obligatoires — explicitement exigées par les chapitres 4 à 10, quel que soit votre périmètre. Cela inclut le périmètre du SMSI (4.3), la politique de sécurité de l'information (5.2), le processus d'appréciation et de traitement du risque (6.1.2–6.1.3), la Déclaration d'applicabilité (DdA / SoA) (6.1.3 d), les objectifs de sécurité (6.2), les preuves de compétence (7.2) et les enregistrements de surveillance, audit interne et revue de direction (9.1–9.3). L'absence de l'un d'eux constitue une non-conformité majeure — point.
  2. Politiques liées aux mesures de l'Annexe A — la mesure 5.1 de l'Annexe A exige des « politiques de sécurité de l'information » définies et approuvées. La norme ne vous impose pas une liste figée de titres ; elle attend les politiques thématiques que votre analyse de risque justifie. Les 14 ci-dessous sont la base pratique que rédige quasiment tout SaaS.

Autrement dit : la *politique de sécurité de l'information* est obligatoire nommément ; les treize autres le sont *de fait*, car les mesures 5.1, 5.15, 8.24 et consorts exigent que ces sujets soient encadrés par une politique approuvée.

Les 14 politiques de base, mappées à l'Annexe A:2022

#PolitiqueMesure Annexe A:2022 principale
1Politique de sécurité de l'information5.1
2Politique d'usage acceptable5.10, 8.1
3Politique de contrôle d'accès5.15, 5.16, 5.18
4Politique de mots de passe / authentification5.17, 8.5
5Politique de cryptographie & gestion des clés8.24
6Politique de sauvegarde8.13
7Politique antivirus / protection des postes8.1, 8.7
8Politique de gestion des changements8.32
9Politique de réponse aux incidents5.24, 5.25, 5.26
10Politique de continuité d'activité5.29, 5.30
11Politique de classification des données5.12, 5.13
12Politique fournisseurs5.19, 5.20, 5.21
13Politique de télétravail6.7
14Politique réseau & accès à distance8.20, 8.21, 8.22

Vous pouvez retenir un ensemble plus restreint, mais chaque exclusion doit être justifiée dans la Déclaration d'applicabilité. En pratique, retirer l'une de ces quatorze appelle des questions qu'un auditeur préférerait vous voir anticiper.

Anatomie d'une politique qui passe l'audit

Une politique qui survit à un audit n'est pas la plus longue — c'est celle qui répond aux trois questions de l'auditeur dès sa première page. Prenons une politique de contrôle d'accès comme exemple :

  • Objet & périmètre — un paragraphe : quels systèmes, quelles identités, quels environnements.
  • Les règles concrètes — moindre privilège par défaut ; accès accordé uniquement via une demande tracée approuvée par le propriétaire des données ; MFA obligatoire sur tout accès admin exposé sur Internet ; revues d'accès trimestrielles ; révocation sous 24 h après un départ.
  • Rôles — qui approuve l'accès, qui réalise la revue trimestrielle, qui possède la politique.
  • Bloc d'approbation — nom, rôle, version, date d'approbation.
  • Date de revue — prochaine revue planifiée et événements déclencheurs d'une revue anticipée.

Remarquez que les règles sont *précises et vérifiables*. « L'accès est contrôlé de manière appropriée » est inauditable. « L'accès est revu chaque trimestre et révoqué sous 24 h après un départ » donne à l'auditeur de quoi échantillonner vos dossiers RH et votre outil de tickets.

Ce que l'auditeur vérifie réellement

Pour chaque politique, l'auditeur pose trois questions — puis cherche la preuve :

  • Approbation : qui l'a approuvée, quand, sur quelle version ? (Il demandera la signature ou l'enregistrement d'approbation.)
  • Communication : comment les collaborateurs l'ont-ils découverte (email d'onboarding, intranet, accusé de réception) ? (Il interrogera quelques personnes.)
  • Revue : quand a-t-elle été révisée pour la dernière fois, annuellement ou après un changement majeur ? (Il vérifiera que la date n'est pas périmée.)

Si vous ne pouvez pas répondre aux trois, la politique est non-conforme — même si son contenu est parfait. C'est pourquoi un historique de modifications documenté et infalsifiable compte plus qu'une belle rédaction.

Maintenir l'ensemble après la certification

La certification suit un cycle de trois ans, avec des audits de surveillance en années 1 et 2 et une recertification en année 3. Le moyen le plus rapide de perdre le certificat est de figer les politiques le lendemain de l'audit de stage 2. Prévoyez :

  • Une revue annuelle de chaque politique, plus une revue hors cycle dès qu'une mesure change de façon notable.
  • Une revue de direction au moins annuelle qui réexamine objectifs, incidents, résultats d'audit et plan de traitement du risque (chapitre 9.3).
  • Une Déclaration d'applicabilité vivante — à chaque adoption ou retrait de mesure, la DdA et la politique concernée évoluent ensemble.

Sources primaires à lire

Comment PolicyForge accélère cela

Chaque modèle PolicyForge est mappé à sa mesure précise de l'Annexe A:2022, fourni en français et en anglais, et inclut un bloc d'approbation, des notes de communication et un champ de date de revue. Vous générez les quatorze politiques de base en moins de 30 minutes et arrivez à votre audit avec la documentation déjà structurée comme un auditeur la lit.

Démarrez votre essai gratuit →

Questions fréquentes

ISO 27001 exige-t-elle exactement 14 politiques ?

Non. ISO/IEC 27001:2022 ne nomme explicitement qu’une seule politique — la politique de sécurité de l’information (chapitre 5.2 et mesure 5.1 de l’Annexe A). Les treize autres sont une base pratique : l’Annexe A exige que ces sujets (contrôle d’accès, cryptographie, sécurité fournisseurs, etc.) soient encadrés par une politique approuvée, et votre analyse de risque en justifiera la rédaction. Vous fixez l’ensemble exact dans la Déclaration d’applicabilité.

Combien de mesures compte ISO 27001:2022 ?

L’Annexe A de la révision 2022 contient 93 mesures regroupées en quatre thèmes : Organisationnel (37), Personnes (8), Physique (14) et Technologique (34). Elle remplace les 114 mesures réparties en 14 domaines et ajoute 11 nouvelles mesures, dont le renseignement sur les menaces, la sécurité du cloud et la prévention des fuites de données.

Quels documents sont obligatoires pour la certification ISO 27001 ?

Les chapitres 4 à 10 imposent des informations documentées précises, quel que soit le périmètre : périmètre du SMSI, politique de sécurité de l’information, processus d’appréciation et de traitement du risque, Déclaration d’applicabilité, objectifs de sécurité, preuves de compétence et enregistrements de surveillance, d’audit interne et de revue de direction. L’absence de l’un d’eux est une non-conformité majeure.

À quelle fréquence réviser les politiques ISO 27001 ?

Au moins une fois par an, et hors cycle dès qu’une mesure change de façon notable. La certification suit un cycle de trois ans, avec des audits de surveillance en années 1 et 2 et une recertification en année 3 ; les dates de revue périmées sont l’une des non-conformités les plus fréquentes.