Chapitre 315 min de lecture

Le périmètre, c'est 80 %
du succès de votre certification.
Et 90 % des PME le ratent.

Si vous ratez ce chapitre, le reste du projet sera trop cher, trop long, et trop fragile. Si vous le réussissez, tout le reste devient mécanique. Lisez-le deux fois si nécessaire. Le périmètre est la seule décision irréversible du projet sans payer un nouvel audit.

Sandra · Jour 7 · 14 h 30·Réunion direction

« Le DG me dit : "Sandra, on certifie toute la boîte, hein ? On est que 30, ça doit pas être bien compliqué." Je sens que c'est une mauvaise idée mais je ne sais pas pourquoi. On a une filiale R&D en Pologne (5 personnes), un commercial à New York, 3 freelances sur la maintenance, et un prestataire qui héberge nos serveurs. Tout ça doit-il être dedans ? »

La réponse : non. Et ce chapitre vous explique pourquoi, comment décider, et comment l'écrire pour que l'auditeur l'accepte.

1. Le périmètre, c'est quoi exactement ?

Le périmètre (ou scope en anglais) est le contour de votre SMSI. C'est la délimitation officielle de ce qui est DEDANS (et donc concerné par la certification) et de ce qui est DEHORS (donc ignoré par l'auditeur).

Le périmètre fait l'objet d'un document court (1 à 2 pages), signé par la direction, présenté à l'auditeur en tout début d'audit. Ce document est lu à voix haute en début de Stage 2 par l'auditeur. Tout ce que vous écrirez dedans, il le contrôlera. Tout ce que vous laisserez dehors, il l'ignorera.

2. Les 3 dimensions du périmètre (toutes les 3 obligatoires)

La norme (clause 4.3) demande que votre périmètre couvre 3 dimensions. Si une seule manque, NC majeure et pas de certif. Voici les 3, expliquées avec l'exemple de Sandra.

Dimension organisationnelle

Question à se poser

"Quelles entités juridiques, quels services, quelles équipes ?"

Exemple Sandra

Sandra : "Le département Hébergement de Kyrionn-Tech SAS (15 personnes) — équipe Ops + équipe Support clients ACME et SOPRA". Pas la filiale Pologne. Pas le commercial New York. Pas le service marketing.

À retenir : Soyez explicite : nommez les services et équipes. "Toute la société" est trop flou.

Dimension fonctionnelle (services / produits)

Question à se poser

"Quels services ou produits sont concernés ?"

Exemple Sandra

Sandra : "L'hébergement de la plateforme SaaS Kyrionn pour les clients ACME et SOPRA, version 2026.x". Pas le projet R&D « Kyrionn 3.0 » en Pologne. Pas l'application mobile en bêta.

À retenir : Décrivez le service du point de vue du client. Précisez la version si pertinent.

Dimension technique / géographique

Question à se poser

"Quels sites physiques, quels datacenters, quels systèmes ?"

Exemple Sandra

Sandra : "Site de Paris (siège, 18 rue X), bureaux de l'équipe Ops + Support. Datacenters OVH Roubaix et Strasbourg. Tous les SaaS d'entreprise utilisés par cette équipe (M365, Slack, GitHub, Sentry)".

À retenir : Nommez les sites par adresse. Nommez les datacenters par fournisseur + ville. Citez les SaaS critiques.

3. La règle de décision : 4 questions pour chaque entité

Pour chaque service, équipe, site ou prestataire, posez-vous ces 4 questions dans cet ordre. La réponse vous dit si l'élément est dedans ou dehors.

Cet élément est-il directement utilisé pour produire ou délivrer le service que je veux certifier ?

Si oui → DEDANS. Si non → question 2.

Sandra : l'équipe Support ACME délivre le service certifié → DEDANS. L'équipe marketing ne délivre pas le service → on continue.

Cet élément a-t-il un accès aux données ou aux systèmes du périmètre ?

Si oui → DEDANS (et il faut documenter cet accès). Si non → question 3.

Sandra : le marketing n'a pas accès aux serveurs ACME → on continue. La filiale Pologne accède au code source → DEDANS.

L'exclure de mon périmètre crée-t-il un risque non couvert pour le service certifié ?

Si oui → DEDANS ou prévoir un contrat de couverture. Si non → DEHORS, à condition de le justifier.

Sandra : si on exclut OVH, qui héberge les serveurs ACME, on a un risque non couvert. → soit OVH dedans (pas possible : ce n'est pas notre entité), soit on documente l'interface (contrat, audit OVH ISO 27001 fourni).

L'inclure m'apporte-t-il une valeur (commerciale, légale, réputationnelle) ?

Si oui → considérer DEDANS. Si non → DEHORS pour réduire le coût d'audit.

Sandra : inclure le commercial New York n'apporte rien (le client ACME ne le voit jamais). → DEHORS, ça économise 1,5 jour d'audit.

4. Les 3 modèles de périmètre vus en audit (et celui de Sandra)

Les périmètres tombent à 95 % dans 3 grandes familles. Identifiez le vôtre — ça vous donnera des références pour rédiger.

Sweet spot PME

Périmètre Étroit

« Un produit / une équipe »

Pour qui

PME 10-50 personnes, ou première certification

CouverturePérimètre couvre 30 à 60 % de l'effectif

Audit2 à 3 jours d'audit Stage 2

Coût auditAudit : 4 500 - 6 000 €

Exemple : Le cas Sandra : "Hébergement SaaS Kyrionn pour ACME et SOPRA, équipes Ops + Support". 15 personnes sur 30 dans le périmètre.

Recommandé pour première certif

Périmètre Moyen

« Un département entier »

Pour qui

PME 50-250 personnes, certif déjà en place ailleurs

CouverturePérimètre couvre 60 à 80 % de l'effectif

Audit4 à 6 jours d'audit Stage 2

Coût auditAudit : 7 000 - 10 000 €

Exemple : Une SSII certifie tout le pôle "Tierce Maintenance Applicative" (80 personnes sur 120 totales).

Bon compromis 2e certif

Périmètre Large

« Toute l'entreprise »

Pour qui

ETI > 250 personnes, exigence groupe

Couverture95 à 100 % de l'effectif

Audit8 à 15 jours d'audit Stage 2

Coût auditAudit : 15 000 - 35 000 €

Exemple : Une banque privée, une mutuelle, un OIV. Souvent imposé par le groupe ou la régulation.

Souvent regretté en première certif

5. Comment écrire la déclaration de périmètre (modèle exact)

Voici le modèle de déclaration de périmètre que les auditeurs COFRAC s'attendent à lire. 1 à 2 pages, pas plus. Signé par la direction. Mis à jour chaque année.

DECLARATION-PERIMETRE-SMSI-v1.0.docx

// 1. Organisation
Kyrionn-Tech SAS (RCS Paris 999 999 999), établissement
principal au 18 rue de la République, 75011 Paris.

// 2. Périmètre organisationnel (qui ?)
Département Hébergement et Support, soit :
- Équipe Ops Production (8 personnes)
- Équipe Support Clients Premium (5 personnes)
- Direction technique (2 personnes : CTO, RSSI)
Total : 15 personnes au 1er janvier 2026.

// 3. Périmètre fonctionnel (quel service ?)
Hébergement et exploitation de la plateforme SaaS Kyrionn
(version 2026.x) pour les clients sous contrat Premium
(à date : ACME, SOPRA, BANCA-XYZ).

// 4. Périmètre technique (où ?)
- Site Paris : 18 rue de la République, 75011
- Datacenters : OVHcloud Roubaix (RBX1), OVHcloud
Strasbourg (SBG3) — failover
- SaaS critiques : Microsoft 365 (M365 Business Premium),
GitHub Enterprise, Slack, Sentry, PagerDuty, 1Password

// 5. Exclusions explicites avec justification
Hors périmètre :
- Filiale R&D Pologne (5p) : pas d\'accès production,
travaille uniquement sur Kyrionn 3.0 en bêta privée
- Bureau commercial New York (1p) : pas d\'accès SI
client, équipement personnel uniquement
- Service marketing (3p) : pas d\'accès données client

// 6. Interfaces avec l'extérieur
- OVHcloud : prestataire datacenter, certifié ISO 27001
+ HDS, contrat n°XYZ, audit fournisseur annuel
- Microsoft 365 : SaaS, certifié ISO 27001 + ISO 27018
- GitHub : SaaS, certifié SOC 2 Type II + ISO 27001

// 7. Date et signatures
Établi le 15 janvier 2026.
Signé : Sandra Martin (DSI, RSSI) +
Pierre Dupont (Président) — engage la direction.

6. Le piège des sites distants, prestataires et équipes secondaires

C'est ici que 60 % des PME se plantent. Voici les 5 cas typiques que l'auditeur teste systématiquement, avec la réponse correcte à donner.

Cas : Filiale dans un autre pays

L'auditeur demande : "Vos collègues à Varsovie, ils ont accès au code source ? aux bases clients ?"

Réponse correcte : "Non, ils ont leur propre environnement R&D isolé sur GitHub Enterprise (org ‘rd-poland'). Ils n'ont AUCUN accès aux instances de production. Voir notre matrice d'accès, ligne 14."

Réponse fatale : "Heu, je crois pas. Faut que je vérifie." → l'auditeur comprend que l'isolation n'est ni documentée ni vérifiée.

Cas : Prestataire d'infogérance

L'auditeur demande : "Vous avez un MSP qui gère vos sauvegardes. Comment garantissez-vous qu'il respecte vos exigences ?"

Réponse correcte : "Notre contrat avec InfraPlus inclut une annexe sécurité (NDA + clause MFA + clause notification incident < 24h). Ils nous fournissent leur certificat ISO 27001 chaque année. Audit fournisseur annuel programmé en septembre."

Réponse fatale : "On a un contrat standard. Ils sont sérieux." → NC majeure quasi-garantie.

Cas : Freelance ponctuel avec accès

L'auditeur demande : "Combien de freelances ont actuellement un accès à votre code ?"

Réponse correcte : "2 freelances actifs, contrat de mission cyber + NDA signé, accès limité à un repo spécifique, accès supprimé sous 24h en fin de mission. Voir registre kyrionn-freelances.xlsx."

Réponse fatale : "Ah, je vais demander à la compta combien on en a payé ce mois-ci." → l'auditeur creuse 2h sur le sujet.

Cas : SaaS pas certifié ISO 27001

L'auditeur demande : "Cet outil X que vous utilisez n'est ni ISO 27001 ni SOC 2. Comment le couvrez-vous ?"

Réponse correcte : "On a évalué son DPA, on a documenté un risque résiduel acceptable (pas de données client dedans, juste des métadonnées techniques), validé en revue de direction du Q4 2025."

Réponse fatale : "On l'utilise parce que c'est pratique." → vous donnez à l'auditeur l'occasion de creuser.

Cas : Bureau secondaire (commercial, télétravailleur fixe)

L'auditeur demande : "Cette personne à New York travaille avec quel matériel ?"

Réponse correcte : "Hors périmètre. Justification écrite dans le doc périmètre, section 5, paragraphe 2. Cette personne n'a pas d'accès au SI client. Si on lui en donne un jour, on inclura ce poste dans le périmètre lors de la revue annuelle."

Réponse fatale : "Ah on a oublié de l'inclure." → modification de périmètre en pleine audit, c'est la panique assurée.

7. Les 5 erreurs qui font fail votre audit

8. Les 4 vérités tacites sur le périmètre

Récapitulatif du chapitre 3

Le périmètre est la décision la plus stratégique du projet.
3 dimensions obligatoires : organisationnelle / fonctionnelle / technique.
Pour chaque entité, posez les 4 questions de décision dans l'ordre.
En première certif, choisissez un périmètre étroit (un produit, une équipe).
Toute exclusion doit être justifiée par écrit dans le document.
Le périmètre est révisé chaque année lors de la revue de direction.

Vérifiez votre compréhension

3 questions rapides. Si vous les avez justes, vous êtes prêt pour les chapitres 4 à 6 (gouvernance et analyse de risques — à venir).

Lancer le quiz (3 min) — bientôt Sauter au chapitre 7 (la SOA) →

Chapitre précédent

L'écosystème (27000, 27002, 27005)

Chapitre suivant

Gouvernance (clauses 4-6)