Annexe A · OrganisationnelLecture 4 min·100 % des PME doivent l'inclure

A.5.1Politiques de sécurité de l'information

En 1 phrase : Le document maître signé par la direction qui dit comment vous protégez l'information dans votre organisation.

Pourquoi ce contrôle est critique

A.5.1 est le contrôle #1 de l'Annexe A — au sens propre. C'est le premier que l'auditeur regarde et le seul qui ne peut JAMAIS être exclu d'une SOA. Sans PSSI signée par la direction, votre SMSI n'a aucune valeur formelle. NC majeure quasi-systématique en l'absence.

ISO 27001 (clause 5.2) ET A.5.1 demandent la même chose en double : une politique de sécurité, écrite, signée par la direction, communiquée aux collaborateurs, revue annuellement. Ce contrôle prouve que la direction est engagée.

Applicable à vous ?

Réponse rapide : oui, à 100 %. Le seul cas où A.5.1 pourrait être discuté est l'auto-entrepreneur unipersonnel, mais même là, la pratique est de rédiger une PSSI d'1 page pour démontrer l'engagement.

Toute organisation avec ≥ 1 collaborateur, ≥ 1 client, ou ≥ 1 fournisseur critique doit avoir une PSSI signée. C'est universellement applicable.

Lignes directrices ISO 27002:2022

ISO 27002:2022 (§ 5.1) précise comment appliquer ce contrôle. Voici les 6 directives clés que l'auditeur attendra de vérifier :

La politique de haut niveau doit énoncer les engagements de la direction (CIA — Confidentialité, Intégrité, Disponibilité)
Elle doit faire référence aux exigences légales, réglementaires et contractuelles applicables (NIS2, RGPD, contrats clients)
Elle doit définir les rôles, responsabilités et autorités du SMSI (RSSI, DPO, comité sécurité)
Des politiques thématiques (BYOD, télétravail, accès, classification, gestion incidents, etc.) doivent venir compléter la politique de haut niveau
Toutes ces politiques doivent être communiquées à TOUS les collaborateurs concernés
Revue à intervalles planifiés (annuelle minimum) et après tout changement important

Comment l'implémenter : 3 niveaux

ISO ne vous impose pas un volume précis. Voici les 3 niveaux que les auditeurs reconnaissent.

Minimum acceptablePME 10-30p, première certif

PSSI de haut niveau : 5 à 8 pages, signée par la DG, datée
3 politiques thématiques minimum : Accès et MFA, Gestion incidents, Classification
Communication : présentation à l'embauche + intranet + signature annuelle
Revue annuelle formelle (lors de la revue de direction)

0 € · 12 h de mise en place

Sweet spot PME

ProPME 30-100p, maturité 3-4/5

PSSI haut niveau 8-12 pages avec versioning Git
8 à 12 politiques thématiques : Accès, MFA, BYOD, Télétravail, Classification, Incidents, Sauvegardes, Cryptographie, Fournisseurs
Plateforme de signature électronique pour les politiques (DocuSign / Yousign)
Revue semestrielle ; tableau de bord d'adhésion (% collaborateurs ayant signé)
Formation chaque nouveau collaborateur en première semaine

99 €/mois · 24 h de mise en place

Au-delàETI > 100p, exigences contractuelles ou multi-sites

PSSI multi-langues si filiales internationales
20+ politiques thématiques avec hiérarchie (Master Policy → Standards → Procedures)
Plateforme GRC dédiée (ServiceNow / OneTrust / Kyrionn)
Recertification annuelle de chaque collaborateur (LMS)
Métriques avancées : taux de connaissance, taux d'adhésion par BU, audits surprise

500-2000 €/mois · 80-150 h projet

Phrase exacte pour votre SOA

A.5.1 ne peut être qu'Inclus (pas d'exclusion légitime). Voici la phrase que les auditeurs COFRAC s'attendent à lire.

SOA — A.5.1 Inclus

Statut : Inclus

Justification :
Exigence directe d'ISO 27001 clause 5.2. Engagement formel de la direction nécessaire pour le SMSI. Exigences légales applicables : NIS2 (Article 21), RGPD (Article 32), contrats clients ACME et SOPRA.

État : Implémenté (niveau Pro)
PSSI v3.2 signée par P. Dupont (DG) le 14 mars 2026. 9 politiques thématiques publiées sur l'intranet. 100 % des collaborateurs ont signé via Yousign (registre kyrionn-signatures.xlsx). Revue annuelle programmée Q1 2027.

Preuve :
PSSI-MASTER-v3.2.pdf signée + 9 politiques thématiques + registre signatures + PV revue de direction Q1 2026

Mettre en place A.5.1 : 3 chemins concrets

Avec Kyrionn

1PSSI pré-remplie selon votre profil (5 à 15 p)
2Adapter en 30 min (raison sociale, secteur)
3Signature électronique intégrée pour le DG
49 politiques thématiques générées par IA
5Diffusion + signature collaborateurs en 1 clic

4 h

Démarrer gratuitement

Avec Word + cabinet

1Cabinet rédige PSSI sur-mesure
2Vous validez 2-3 itérations
3DG signe sur papier ou DocuSign
4Vous diffusez par email
5Vous suivez les signatures dans Excel

15-25 h · 3 000-5 000 €

Avec Word seul (DIY)

1Trouver un modèle PSSI en ligne
2Adapter pendant 8-15 h
3Faire valider par DG (signature manuelle)
4Diffuser + collecter signatures manuellement
5Risque élevé d'oublier des éléments clés

15-25 h

Contrôles liés à A.5.1

Si A.5.1 vous concerne (et c'est le cas à 100 %), ces contrôles aussi :

A.5.2Rôles et responsabilitésà venir

La PSSI doit définir qui fait quoi

A.5.4Responsabilités de la directionà venir

Engagement formel DG

A.6.3Sensibilisation et formation

Communication de la PSSI à tous

A.5.31Exigences légales et contractuellesà venir

Référencées dans la PSSI

A.5.15Contrôle d'accès

Politique thématique référencée

A.5.37Procédures d'exploitation documentéesà venir

Politiques opérationnelles

Retour à l'index Annexe A Fiche suivante : A.5.15 Contrôle d'accès

Annexe A · OrganisationnelLecture 4 min·100 % des PME doivent l'inclure

A.5.1Politiques de sécurité de l'information

En 1 phrase : Le document maître signé par la direction qui dit comment vous protégez l'information dans votre organisation.

Pourquoi ce contrôle est critique

Applicable à vous ?

Toute organisation avec ≥ 1 collaborateur, ≥ 1 client, ou ≥ 1 fournisseur critique doit avoir une PSSI signée. C'est universellement applicable.

Lignes directrices ISO 27002:2022

ISO 27002:2022 (§ 5.1) précise comment appliquer ce contrôle. Voici les 6 directives clés que l'auditeur attendra de vérifier :

La politique de haut niveau doit énoncer les engagements de la direction (CIA — Confidentialité, Intégrité, Disponibilité)
Elle doit faire référence aux exigences légales, réglementaires et contractuelles applicables (NIS2, RGPD, contrats clients)
Elle doit définir les rôles, responsabilités et autorités du SMSI (RSSI, DPO, comité sécurité)
Des politiques thématiques (BYOD, télétravail, accès, classification, gestion incidents, etc.) doivent venir compléter la politique de haut niveau
Toutes ces politiques doivent être communiquées à TOUS les collaborateurs concernés
Revue à intervalles planifiés (annuelle minimum) et après tout changement important

Comment l'implémenter : 3 niveaux

ISO ne vous impose pas un volume précis. Voici les 3 niveaux que les auditeurs reconnaissent.

Minimum acceptablePME 10-30p, première certif

PSSI de haut niveau : 5 à 8 pages, signée par la DG, datée
3 politiques thématiques minimum : Accès et MFA, Gestion incidents, Classification
Communication : présentation à l'embauche + intranet + signature annuelle
Revue annuelle formelle (lors de la revue de direction)

0 € · 12 h de mise en place

Sweet spot PME

ProPME 30-100p, maturité 3-4/5

PSSI haut niveau 8-12 pages avec versioning Git
8 à 12 politiques thématiques : Accès, MFA, BYOD, Télétravail, Classification, Incidents, Sauvegardes, Cryptographie, Fournisseurs
Plateforme de signature électronique pour les politiques (DocuSign / Yousign)
Revue semestrielle ; tableau de bord d'adhésion (% collaborateurs ayant signé)
Formation chaque nouveau collaborateur en première semaine

99 €/mois · 24 h de mise en place

Au-delàETI > 100p, exigences contractuelles ou multi-sites

PSSI multi-langues si filiales internationales
20+ politiques thématiques avec hiérarchie (Master Policy → Standards → Procedures)
Plateforme GRC dédiée (ServiceNow / OneTrust / Kyrionn)
Recertification annuelle de chaque collaborateur (LMS)
Métriques avancées : taux de connaissance, taux d'adhésion par BU, audits surprise

500-2000 €/mois · 80-150 h projet

Phrase exacte pour votre SOA

A.5.1 ne peut être qu'Inclus (pas d'exclusion légitime). Voici la phrase que les auditeurs COFRAC s'attendent à lire.

SOA — A.5.1 Inclus

Statut : Inclus

Preuve :
PSSI-MASTER-v3.2.pdf signée + 9 politiques thématiques + registre signatures + PV revue de direction Q1 2026

Mettre en place A.5.1 : 3 chemins concrets

Avec Kyrionn

1PSSI pré-remplie selon votre profil (5 à 15 p)
2Adapter en 30 min (raison sociale, secteur)
3Signature électronique intégrée pour le DG
49 politiques thématiques générées par IA
5Diffusion + signature collaborateurs en 1 clic

4 h

Démarrer gratuitement

Avec Word + cabinet

1Cabinet rédige PSSI sur-mesure
2Vous validez 2-3 itérations
3DG signe sur papier ou DocuSign
4Vous diffusez par email
5Vous suivez les signatures dans Excel

15-25 h · 3 000-5 000 €

Avec Word seul (DIY)

1Trouver un modèle PSSI en ligne
2Adapter pendant 8-15 h
3Faire valider par DG (signature manuelle)
4Diffuser + collecter signatures manuellement
5Risque élevé d'oublier des éléments clés

15-25 h

Contrôles liés à A.5.1

Si A.5.1 vous concerne (et c'est le cas à 100 %), ces contrôles aussi :

A.5.2Rôles et responsabilitésà venir

La PSSI doit définir qui fait quoi

A.5.4Responsabilités de la directionà venir

Engagement formel DG

A.6.3Sensibilisation et formation

Communication de la PSSI à tous

A.5.31Exigences légales et contractuellesà venir

Référencées dans la PSSI

A.5.15Contrôle d'accès

Politique thématique référencée

A.5.37Procédures d'exploitation documentéesà venir

Politiques opérationnelles

Retour à l'index Annexe A Fiche suivante : A.5.15 Contrôle d'accès