Les clauses 4-6 forment l'épine dorsale
de votre SMSI.
Si vous ratez les clauses 4, 5, 6, l'auditeur COFRAC ne lira jamais le reste : il sait que sans gouvernance solide, vos contrôles sont des feuilles au vent. Bonne nouvelle : ces 3 clauses produisent 5 documents simples que vous écrivez UNE FOIS et faites vivre annuellement.
« Le DG me dit "On signe quoi ?". Je lui réponds : "Une PSSI, un document de périmètre, une définition des rôles, des objectifs sécurité, et une déclaration d'engagement". Il me regarde : "5 documents ? On a une boîte à faire tourner, Sandra." Je lui montre que c'est 5 documents écrits UNE FOIS, signés UNE FOIS, revus UNE FOIS PAR AN. Pas 5 documents par mois. Il signe tout. »
Ce chapitre vous donne les modèles exacts pour ces 5 documents. Le DG signe en 30 minutes.
1. Vue d'ensemble : la logique des 3 clauses
Les clauses 4, 5 et 6 d'ISO 27001:2022 ont une logique simple : contexte → leadership → planification. Vous comprenez votre environnement, vous définissez qui dirige, vous planifiez quoi faire. Le tout produit 5 documents.
Clause 4 : Contexte
Où est-on ?
- •4.1 Enjeux internes/externes
- •4.2 Parties intéressées
- •4.3 Périmètre du SMSI
- •4.4 SMSI
Document de contexte + Document de périmètre
Clause 5 : Leadership
Qui dirige ?
- •5.1 Leadership et engagement
- •5.2 Politique (PSSI)
- •5.3 Rôles, responsabilités, autorités
PSSI signée + Définition des rôles (RACI)
Clause 6 : Planification
Que va-t-on faire ?
- •6.1 Actions face aux risques et opportunités
- •6.2 Objectifs sécurité
- •6.3 Changements
Plan d'action + Objectifs sécurité datés
2. Clause 4 — Contexte de l'organisation
La clause 4 demande de comprendre votre environnement avant de définir votre SMSI. Elle a 4 sous-clauses : 4.1 (enjeux), 4.2 (parties intéressées), 4.3 (périmètre — voir chap. 3), 4.4 (SMSI). Voici comment chacune se traduit en pratique.
Enjeux internes et externes
Ce que la norme demande : Identifier les enjeux internes (votre organisation, vos ressources, votre culture) et externes (régulation, marché, concurrence, technologies) qui peuvent affecter votre SMSI.
En pratique pour Sandra :
- Croissance rapide (de 15 à 30 personnes en 18 mois)
- Stack tech modern (cloud-first, GitHub Enterprise, M365)
- Pas de RSSI dédié à plein temps avant le projet
- Réglementation NIS2 entrée en vigueur 17 octobre 2024
- Client ACME exige ISO 27001 (raison du projet)
- Cyber-assureur a augmenté la prime de 40 % en 2026
- Concurrence (Drata, Vanta) déjà certifiée — pression marché
Format attendu : 1 page, deux colonnes Internes/Externes, 5-8 enjeux par colonne. Mis à jour annuellement.
Parties intéressées
Ce que la norme demande : Lister les acteurs (internes ET externes) qui ont un intérêt dans votre SMSI, et leurs attentes. « Partie intéressée » = stakeholder en anglais. Ce ne sont pas que les clients : ce sont aussi les régulateurs, les salariés, les fournisseurs, les actionnaires.
En pratique pour Sandra (extrait) :
| Partie intéressée | Attente principale | Comment on y répond |
|---|---|---|
| Client ACME (contrat 280 k€) | Certification ISO 27001 d'ici 6 mois | Projet en cours, échéance 30 juin 2026 |
| Salariés (30p) | Un environnement de travail sécurisé, formé, équipé | PSSI diffusée, formation onboarding, MFA déployée |
| ANSSI (régulateur NIS2) | Notification incident < 72 h, mesures Article 21 | Procédure incident PIC v2.1, plan d'action NIS2 en cours |
| Cyber-assureur AXA | Mesures de base (MFA, sauvegardes, formation) | Toutes implémentées, attestation fournie |
| Fournisseur OVH (datacenter) | Respect des CGV + paiement à l'échéance | Contrat à jour, audit fournisseur annuel programmé |
| COFRAC / certificateur LRQA | Conformité ISO 27001:2022 | Audit Stage 1 prévu 12 mai, Stage 2 27-28 mai |
Format attendu : 1 tableau, 8 à 15 lignes typiquement. Identifier les attentes critiques (en gras), les autres en standard.
Périmètre du SMSI
Document détaillé dans le chapitre 3. C'est le contour officiel de votre SMSI : organisationnel, fonctionnel, technique.
SMSI
« Établir, mettre en œuvre, maintenir et améliorer ». La phrase magique. Pas de document spécifique : c'est l'engagement implicite de l'organisation à faire vivre le SMSI dans la durée. Cette clause est satisfaite par l'existence des autres documents et leurs revues régulières.
3. Clause 5 — Leadership (la clause préférée des auditeurs)
La clause 5 est la plus testée en audit. L'auditeur passe 30 minutes seul avec votre DG. Si la DG ne répond pas correctement, c'est NC majeure. Voici comment préparer le DG pour qu'il passe l'épreuve.
Leadership et engagement de la direction
Ce que la norme demande : La direction doit démontrer son leadership (10 obligations listées en 5.1.a à 5.1.j) : définir la PSSI, allouer les ressources, communiquer, soutenir, promouvoir l'amélioration continue, soutenir les autres rôles managériaux à exercer leur leadership sécurité.
Ce que l'auditeur va demander au DG :
Politique de Sécurité de l'Information (PSSI)
Le document maître. Signé par la direction. Diffusé à tous les collaborateurs. Disponible aux parties intéressées. Format : 5 à 15 pages selon la taille.
- Engagement de la direction sur la sécurité
- Périmètre couvert (référence au document 4.3)
- Objectifs de sécurité (référence à 6.2)
- Référence aux exigences légales et réglementaires applicables
- Engagement à l'amélioration continue
- Mention des principes : confidentialité, intégrité, disponibilité
- Référence aux autres politiques détaillées (passwords, BYOD, classification...)
- Date, version, signature DG, périodicité de revue
- • PSSI signée mais jamais diffusée → NC majeure
- • PSSI de 35 pages mêlant politique + procédures opérationnelles → NC mineure
- • Nom du PDG datée d'une époque où il était à un autre poste → NC mineure
- • PSSI copiée-collée d'un autre client (footer mal nettoyé) → NC majeure
Rôles, responsabilités et autorités
Définir QUI fait QUOI dans le SMSI. Format usuel : matrice RACI (Responsable / Accountable / Consulté / Informé). Chaque processus du SMSI a un propriétaire.
| Processus | DG | RSSI | DSI | RH | Métier |
|---|---|---|---|---|---|
| Validation PSSI | A | R | C | C | I |
| Analyse de risques | I | R | C | C | |
| Plan de traitement | A | R | C | C | |
| Gestion incidents | I | A | R | C | I |
| Onboarding/Offboarding | I | C | C | R | C |
| Sensibilisation | I | A | C | R | I |
| Audit interne | I | A | C | ||
| Revue de direction | A | R | C | I | I |
Légende RACI : A = Accountable (responsable final, 1 seul) ·R = Responsible (exécute) ·C = Consulté (avis avant décision) ·I = Informé (notifié après).
4. Clause 6 — Planification
La clause 6 est la plus opérationnelle. Elle a 3 sous-clauses : 6.1 (risques + opportunités — gros morceau, voir chap. 5-6), 6.2 (objectifs sécurité), 6.3 (changements — nouveauté 2022).
Actions face aux risques et opportunités
Sous-clause monstre — couvre l'analyse de risques (6.1.2), le traitement (6.1.3) et la SOA (6.1.3.d). Détaillé dans :
Objectifs de sécurité (les fameux SMART)
Définir des objectifs mesurables, datés, alignés sur la PSSI. Format SMART : Spécifique, Mesurable, Atteignable, Réaliste, Temporel. 5 à 8 objectifs annuels suffisent.
Exemples concrets pour Sandra (objectifs 2026) :
- Obtenir la certification ISO 27001:2022 avant le 30 juin 2026 (mesurable : oui/non)
- Maintenir un taux de MFA déployée ≥ 95 % sur les comptes utilisateur (mesurable : reporting Entra ID mensuel)
- Réduire le délai d'offboarding sous 4 h en moyenne (mesurable : journal RH + AD)
- Atteindre 90 % de réussite aux campagnes phishing simulées (mesurable : Cofense / KnowBe4)
- Former 100 % des nouveaux entrants à la sécurité dans les 30 jours (mesurable : registre RH)
- Tester la restauration de sauvegarde 4 fois par an avec succès (mesurable : rapport TEST-PRA)
- Maintenir 0 NC majeure ouverte en permanence (mesurable : registre NC)
Planification des changements
NOUVEAU 2022Nouveauté 2022 absente de la version 2013. La norme demande d'évaluer les changements importants AVANT de les déployer. C'est une formalisation du Change Management Sécurité.
En pratique : tenir un registre des changements sécurité-impactants avec analyse d'impact sur le SMSI. Exemples :
- • Migration de M365 vers Google Workspace (changement majeur, impact MFA, accès)
- • Ouverture d'un nouveau bureau (impact périmètre)
- • Adoption d'un nouveau SaaS critique (impact analyse de risques)
- • Recrutement d'un nouveau responsable IT (impact RACI)
Format minimal : Tableur Excel : Date, Description, Impact identifié, Décision, Date application, Responsable. Mis à jour à chaque changement majeur. Vérifié en revue de direction.
5. Les 5 documents que ces 3 clauses produisent
Récapitulatif : voici les 5 documents à avoir signés et datés à la fin de la phase Gouvernance.
Document de contexte
Document de périmètre
PSSI
Matrice RACI
Objectifs sécurité 2026
6. Les 5 erreurs qui font fail vos clauses 4-6
7. Les 4 vérités tacites sur la gouvernance
Récapitulatif du chapitre 4
- Logique des 3 clauses : contexte → leadership → planification.
- 5 documents à produire : contexte, périmètre, PSSI, RACI, objectifs.
- Clause 5 (leadership) est la plus testée — préparer le DG.
- PSSI courte (5-8 pages) sur-mesure gagne sur PSSI longue copiée-collée.
- Clause 6.3 (changements) est nouvelle en 2022 — registre obligatoire.
- Objectifs sécurité doivent être SMART et revus annuellement.
Vérifiez votre compréhension
3 questions rapides. Si vous les avez justes, vous êtes prêt pour le chapitre 5 (Identification des risques — la phase la plus technique).