La SOA, c'est la seule chose
que l'auditeur lit en entier.
Vous pouvez avoir un SMSI bancal, des politiques moyennes, des preuves médiocres. Si votre Statement of Applicability est solide, vous passez l'audit. Si elle est faible, vous le ratez. Voici pourquoi, et surtout : voici comment construire la vôtre.
« J'ai fait l'analyse de risques. J'ai mon plan de traitement. Maintenant l'auditeur me dit "Montrez-moi votre SOA." Et là je réalise que j'ai 93 cases à cocher et que pour chaque "Inclus" ou "Exclu", il faut justifier. »
1. SOA : c'est quoi exactement, et pourquoi c'est si critique ?
La SOA : Statement of Applicability, en français Déclaration d'applicabilité : est exigée par la clause 6.1.3.d de l'ISO 27001:2022. C'est un document unique qui :
- Liste les 93 contrôles de l'Annexe A
- Indique pour chacun s'il est inclus ou exclu de votre SMSI
- Justifie chaque choix (en 2-3 phrases minimum)
- Précise pour les inclus l'état d'implémentation
- Référence les preuves (politiques, procédures, captures)
2. Inclure ou exclure ? La règle de décision en 3 étapes
Pour chaque contrôle, posez-vous ces 3 questions, dans cet ordre. Si vous répondez OUI à l'une d'elles, le contrôle est inclus.
Avez-vous identifié un risque (atelier 5 EBIOS RM ou matrice ISO 27005) que ce contrôle traite ?
Sortie directe de votre plan de traitement (chapitre 6).
Une exigence légale, contractuelle ou réglementaire (NIS2, RGPD, contrat client) impose-t-elle ce contrôle ?
Le client demande la MFA → A.8.5 inclus, point.
Une partie prenante (client, dirigeant, assureur cyber) a-t-elle exprimé une attente liée à ce contrôle ?
Pas une obligation, mais un souhait formulé. Documenter dans la SOA.
3 fois NON ? Vous pouvez exclure. Mais la justification doit être solide (voir section 4).
3. Les exclusions : ce qui est vraiment légitime
Toutes les organisations ont des contrôles non applicables. Pas de honte à exclure : au contraire, ça montre que vous avez compris le périmètre. Voici les profils d'exclusion tolérés en audit COFRAC :
4. Les phrases exactes à mettre dans votre SOA
Pour chaque contrôle, votre SOA doit contenir 4 informations dans cet ordre. Voici le format que les auditeurs COFRAC s'attendent à voir.
Inclus
Identifié par l'analyse de risques (atelier 5 EBIOS RM,
scénario "compromission compte admin SaaS critique").
Exigence client n°7 du contrat ACME (mars 2026).
Implémenté
MFA TOTP via Microsoft Authenticator imposée à 100 % des
comptes admin (12/12) et 89 % comptes utilisateur (38/43)
PSSI-08 § 4.2 + capture Microsoft Entra ID 2026-04-15
+ politique d'accès Kyrionn /preuves/A-8-5-2026-04-15.pdf
5. Construire votre SOA : 3 chemins, 3 prix
- Gratuit
- Total contrôle
- Pas de versioning
- Liens vers preuves cassés à terme
- Aucun rappel revue
- SOA pré-remplie par profil
- Liens preuves automatiques
- Revue programmée
- Abonnement mensuel
- Externalisation totale
- Expertise auditeur
- Vous ne maîtrisez pas le contenu
- Mise à jour = re-facturation
- Auditeur peut le repérer
6. Les 4 vérités tacites que personne ne vous dira
Vérifiez votre compréhension
3 questions rapides. Si vous répondez juste aux 3, vous êtes prêt pour le chapitre 8 (les 93 contrôles).
Lancer le quiz (3 min)