PolicyForge
ConnexionCommencer
Tous les articles
8 min

Les 14 politiques ISO 27001 obligatoires — checklist complète 2026

Une checklist pratique et exhaustive de chaque politique requise par ISO 27001:2022, avec des modèles utilisables immédiatement.

Pourquoi ISO 27001 repose autant sur les politiques

ISO 27001 est une norme de management, pas une checklist technique. Les auditeurs ne se soucient pas de la qualité de votre pare-feu — ils veulent savoir si vous avez décidé comment le configurer, si vous l'avez écrit, communiqué, revu, et si vous prouvez l'avoir appliqué. Les politiques documentées sont le tissu conjonctif.

Si vous démarrez votre démarche de certification, les 14 politiques ci-dessous sont la base. En sauter une est le moyen le plus rapide d'écoper d'une non-conformité.

Les 14 politiques obligatoires

  1. Politique de sécurité de l'information — document de haut niveau signé par le dirigeant.
  2. Politique d'usage acceptable — ce que les collaborateurs peuvent ou ne peuvent pas faire.
  3. Politique de contrôle d'accès — attribution, revue et révocation des droits.
  4. Politique de mots de passe — longueur, rotation, MFA, gestionnaires.
  5. Politique de cryptographie — algorithmes, gestion des clés, périmètre.
  6. Politique de sauvegarde — fréquence, rétention, tests de restauration.
  7. Politique antivirus / EDR — ce qui tourne sur chaque poste et serveur.
  8. Politique de gestion des changements — comment livrer en production sans casse.
  9. Politique de réponse aux incidents — détection, triage, communication, retour d'expérience.
  10. Politique de continuité d'activité — que faire si une région tombe.
  11. Politique de classification des données — public / interne / confidentiel / restreint.
  12. Politique fournisseurs — DPA, questionnaires, audits.
  13. Politique de télétravail — laptops, VPN, règle de l'ordinateur familial.
  14. Politique d'accès à distance — VPN, SSH, IPsec, TLS.

Ce que l'auditeur vérifie réellement

Pour chaque politique, l'auditeur pose trois questions :

  • Approbation : qui l'a approuvée, quand, sur quelle version ?
  • Communication : comment les collaborateurs l'ont-ils découverte (email d'onboarding, intranet, accusé de réception) ?
  • Revue : quand a-t-elle été révisée pour la dernière fois (annuel ou après un changement majeur) ?

Si vous ne pouvez pas répondre aux trois, la politique est non-conforme — même si son contenu est parfait.

Comment PolicyForge accélère cela

Chaque modèle PolicyForge est mappé à un contrôle ISO 27001 précis, fourni en français et en anglais, et inclut un bloc d'approbation, des notes de communication et un champ de date de revue. Vous générez les 14 politiques en moins de 30 minutes et arrivez à votre audit avec la documentation déjà en forme.

Démarrez votre essai gratuit →