Gouvernance du cycle de vie des politiques pour ISO 27001, NIS2 et DORA
Le courriel est arrivé dans la boîte de réception de la RSSI, Maria Petrova, avec un bruit discret qui avait tout d’une sirène. Il provenait de l’auditeur externe : une liste préliminaire de demandes pour un audit de surveillance ISO/IEC 27001:2022 combiné à une évaluation de préparation DORA. Le premier élément paraissait simple :
« Veuillez fournir la Politique de sécurité de l’information en vigueur, son historique complet des versions, les éléments de preuve de l’approbation par la direction pour chaque version, ainsi que les enregistrements attestant sa communication au personnel concerné au cours des 24 derniers mois. »
L’entreprise de Maria, une plateforme fintech de taille intermédiaire, disposait de politiques. Des dizaines. Elle avait une politique de sécurité de l’information, un plan de réponse aux incidents, un questionnaire de sécurité fournisseur, un registre des risques, une procédure de contrôle d’accès, un plan de continuité d’activité et un dossier rempli de preuves d’audit. Mais les fichiers étaient dispersés entre des sites SharePoint, d’anciens espaces Confluence, des fils de courriels, des pièces jointes de tickets et des lecteurs partagés appartenant à des personnes qui avaient déjà quitté l’entreprise.
Le véritable problème est devenu évident lorsque les questions complémentaires de l’auditeur sont arrivées.
Qui a approuvé la procédure de gestion des incidents en vigueur ? Pourquoi la politique de sécurité des fournisseurs dans SharePoint indique-t-elle la version 2.1 alors que les achats utilisent la version 1.8 ? Quelle politique est cartographiée avec les mesures de gestion des risques de l’Article 21 de NIS2 ? Où se trouve l’enregistrement montrant que le personnel a été informé de la dernière mise à jour de la politique ? Pourquoi une dérogation d’accès à privilèges a-t-elle été accordée, qui a accepté le risque résiduel et quand expire-t-elle ? Les documents obsolètes sont-ils retirés de l’usage opérationnel ? Combien de temps les rapports d’audit sont-ils conservés ? L’entreprise peut-elle prouver que la bibliothèque de politiques a été revue après le dernier changement majeur de système ?
Maria disposait de mesures, mais elle ne maîtrisait pas leur gouvernance.
C’est tout l’enjeu de la gouvernance du cycle de vie des politiques en 2026. Les organisations n’échouent plus aux audits uniquement parce qu’une règle de pare-feu est incorrecte ou qu’un test de sauvegarde est manquant. Elles échouent parce que les informations documentées sont fragmentées, non auditables, dupliquées, obsolètes, non maîtrisées ou déconnectées des obligations légales. Selon la clause 7.5 d’ISO/IEC 27001:2022, les informations documentées ne relèvent pas d’une simple gestion administrative. Elles constituent la mémoire opérationnelle du SMSI. Dans le cadre de NIS2, elles soutiennent l’approbation et la supervision par l’organe de direction. Dans le cadre de DORA, elles font partie du cadre de gestion des risques liés aux TIC et de la piste de preuve de résilience. Dans le cadre de GDPR, elles démontrent la responsabilité.
La position de Clarysec est simple : une bibliothèque de politiques n’est pas un simple référentiel documentaire. C’est un système gouverné d’éléments de preuve.
Pourquoi la gouvernance du cycle de vie des politiques relève désormais du conseil d’administration
La gouvernance du cycle de vie des politiques est la discipline consistant à créer, approuver, publier, communiquer, revoir, modifier, retirer, conserver et documenter par des éléments de preuve les politiques et les enregistrements associés. Elle répond aux questions que les auditeurs, les autorités de régulation, les clients et les conseils d’administration posent désormais systématiquement :
- Qui est propriétaire de chaque politique ?
- Qui l’approuve ?
- À quelles exigences légales, contractuelles et de risque répond-elle ?
- Quelles mesures et procédures la mettent en œuvre ?
- Quelle version est en vigueur ?
- Qui a été informé, formé ou tenu d’en accuser réception ?
- Quelles exceptions y sont associées ?
- Quels enregistrements prouvent qu’elle fonctionne ?
- Que se passe-t-il lorsqu’elle devient obsolète ?
ISO/IEC 27001:2022 soutient cette discipline au moyen de la clause 7.5 relative aux informations documentées, de la clause 5 relative au leadership, de la clause 6 relative à la planification et au traitement des risques, de la clause 8 relative à la maîtrise opérationnelle, ainsi que des mesures de l’Annexe A couvrant les politiques, les enregistrements, les exigences légales, les fournisseurs, les incidents, la continuité, la vie privée, la journalisation, la surveillance et la gestion des changements.
La pression réglementaire est tout aussi directe.
L’Article 20 de NIS2 exige que les organes de direction approuvent les mesures de gestion des risques de cybersécurité, en supervisent la mise en œuvre et reçoivent une formation appropriée. L’Article 21 exige des mesures techniques, opérationnelles et organisationnelles fondées sur les risques, notamment des politiques de sécurité, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, le développement sécurisé, l’évaluation de l’efficacité, l’hygiène cyber, la cryptographie, la sécurité des ressources humaines, le contrôle d’accès, la gestion des actifs et l’authentification. Un corpus de politiques sans éléments de preuve de propriété, d’approbation et de revue affaiblit la démonstration de responsabilité de la direction.
DORA s’applique depuis le 17 janvier 2025 et établit un cadre uniforme de l’UE pour la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience opérationnelle numérique, le risque lié aux prestataires tiers de services TIC et les exigences contractuelles. Pour les entités financières qui sont également des entités essentielles ou importantes au titre de NIS2, DORA est traité comme l’acte juridique sectoriel de l’Union pour les obligations de cybersécurité correspondantes. L’Article 5 exige la responsabilité de l’organe de direction concernant le cadre de gestion des risques liés aux TIC, les politiques, les responsabilités, les plans de continuité, les audits, les politiques relatives aux prestataires tiers de services TIC, les canaux de signalement et la formation. L’Article 6 exige un cadre de gestion des risques liés aux TIC bien documenté, revu au moins une fois par an pour les entités financières autres que les microentreprises, et amélioré à partir des enseignements tirés.
GDPR ajoute l’exigence de responsabilité. L’Article 5 exige que les données à caractère personnel soient traitées de manière licite, loyale et transparente, pour des finalités déterminées, avec minimisation, exactitude, limitation de la conservation et sécurité. L’Article 5(2) rend le responsable du traitement responsable de démontrer la conformité. Cette démonstration dépend d’enregistrements maîtrisés : décisions relatives à la base légale, calendriers de conservation, DPIA le cas échéant, diligence raisonnable des sous-traitants, enregistrements de violations, revues d’accès, journaux de formation et approbations de politiques.
Le fil conducteur est la preuve. Un auditeur ne demandera pas seulement si une politique existe. Il demandera son acte de naissance, son historique des versions, sa piste d’approbation, son enregistrement de communication, ses procédures associées et les enregistrements opérationnels prouvant qu’elle fonctionne.
L’ossature des informations documentées ISO/IEC 27001:2022
L’épine dorsale d’une documentation défendable est la clause 7.5 d’ISO/IEC 27001:2022, Informations documentées. Elle exige des organisations qu’elles créent, mettent à jour et maîtrisent les informations documentées nécessaires au SMSI et exigées par la norme.
Une manière pratique de l’appréhender consiste à distinguer trois couches d’informations documentées :
| Couche | Exemples | Finalité de gouvernance |
|---|---|---|
| Documents de gouvernance | Domaine d’application du SMSI, politique de sécurité de l’information, méthodologie d’appréciation des risques, Déclaration d’applicabilité, plan de traitement des risques, objectifs | Définir l’orientation, l’autorité, les exigences et les responsabilités |
| Documents opérationnels | Procédures, normes, guides d’intervention, consignes opérationnelles, listes de contrôle, modèles | Convertir la politique en actions reproductibles |
| Enregistrements | Appréciations des risques, journaux de formation, rapports d’incident, rapports d’audit, approbations, comptes rendus de revue de direction, revues d’accès, enregistrements fournisseurs, décisions relatives aux exceptions | Prouver que les décisions ont été prises et que les mesures ont fonctionné |
Le Zenith Blueprint : feuille de route d’audit en 30 étapes de Clarysec traite explicitement ce point dans la phase Fondation et leadership du SMSI, étape 6 : informations documentées et constitution de la bibliothèque SMSI. Il explique que la clause 7.5 couvre la documentation en général, la création et la mise à jour, ainsi que la maîtrise des informations documentées.
Le Zenith Blueprint transforme cela en orientations pratiques de mise en œuvre :
« Les documents doivent disposer d’une identification appropriée (un titre, éventuellement un numéro de document ou un identifiant unique, un auteur), d’un format adapté … ainsi que d’une revue et d’une approbation de leur adéquation avant utilisation. »
Il donne également la règle opérationnelle que de nombreuses organisations omettent :
« Veillez à ce que seule la version en vigueur soit facilement accessible (archivez les versions obsolètes ou marquez-les clairement comme remplacées). »
C’est là que de nombreuses mises en œuvre de SMSI se fragilisent discrètement. Une politique peut avoir été approuvée une fois, mais si d’anciennes versions restent accessibles, si le personnel utilise des procédures dépassées ou si les auditeurs ne peuvent pas retracer les changements, le document n’est plus réellement maîtrisé.
Le Zenith Blueprint recommande de mettre en place une « bibliothèque documentaire SMSI » comprenant des dossiers pour les politiques et procédures, l’appréciation des risques et la SoA, les enregistrements de formation, l’audit et la revue, les enregistrements d’incidents, les actifs et l’inventaire, ainsi qu’une bibliothèque des mesures de l’Annexe A. Il précise également que le référentiel doit être « accessible mais sécurisé », avec des politiques lisibles par les employés tandis que les dossiers confidentiels, tels que l’appréciation des risques et les enregistrements d’incidents, sont restreints.
Il ne s’agit pas seulement d’un modèle de classement. C’est une architecture de gouvernance.
Le modèle Clarysec de cycle de vie des politiques
Clarysec structure la gouvernance du cycle de vie des politiques ISO 27001 autour d’une boucle fermée : exigence, propriétaire, document, approbation, publication, communication, preuve, revue, changement, conservation et retrait. Cette boucle évite l’échec d’audit classique où une entreprise possède des documents, mais ne peut pas démontrer l’autorité, l’actualité ou la maîtrise.
| Étape du cycle de vie | Question de gouvernance | Éléments de preuve attendus par les auditeurs | Point d’ancrage de mise en œuvre Clarysec |
|---|---|---|---|
| Réception de l’exigence | Quelle obligation ou quel risque impose cette politique ? | Registre juridique, exigence client, entrée du registre des risques, cartographie des mesures | Cartographie juridique et réglementaire, plus domaine d’application du SMSI |
| Propriété | Qui maintient la politique ? | Champ propriétaire de la politique, RACI, attribution des rôles | Politique relative aux rôles et responsabilités de gouvernance |
| Approbation | Qui l’a approuvée avant utilisation ? | Enregistrement d’approbation, comptes rendus de réunion, approbation électronique | Revue de direction ou autorité déléguée |
| Gestion des versions | Quelle version est en vigueur ? | Historique des versions, journal des modifications, métadonnées du document | Référentiel SMSI maîtrisé |
| Communication | Qui a été informé ? | Annonce, accusé de réception, journal de formation | Enregistrements de sensibilisation et de communication |
| Fonctionnement | Quelles procédures la mettent en œuvre ? | Procédures opérationnelles, listes de contrôle, tickets, enregistrements de contrôle | Procédures opérationnelles documentées |
| Exceptions | Quels écarts sont autorisés ? | Registre des exceptions, acceptation du risque, date d’expiration | Traitement des risques et escalade de gouvernance |
| Revue | Quand a-t-elle été revue et pourquoi ? | Enregistrement de revue annuelle, revue déclenchée par événement | Calendrier de revue et attestation du propriétaire de la politique |
| Conservation | Combien de temps les enregistrements sont-ils conservés ? | Calendrier de conservation, enregistrements d’archives | Audit et surveillance de la conformité |
| Retrait | Comment les documents obsolètes sont-ils maîtrisés ? | Archive des documents remplacés, retrait de la bibliothèque active | Circuit de maîtrise documentaire |
Ce cycle de vie est plus robuste qu’une approbation ponctuelle parce qu’il relie les documents aux mesures, aux propriétaires et aux éléments de preuve. Il soutient également la conformité croisée. Une seule politique de réponse aux incidents peut être cartographiée avec les mesures relatives aux incidents de l’Annexe A d’ISO/IEC 27001:2022, la préparation aux notifications de l’Article 23 de NIS2, les processus de classification et de notification des incidents DORA, la gestion des violations de données à caractère personnel au titre de GDPR, les résultats Respond du NIST CSF 2.0 et les attentes de gouvernance COBIT 2019.
Ce que les politiques Clarysec exigent pour la revue, la gestion des versions et les éléments de preuve
La bibliothèque de politiques Clarysec est conçue pour que les exigences relatives au cycle de vie des politiques ne soient pas laissées à l’interprétation.
Pour les PME, la Politique de sécurité de l’information pour PME définit un déclencheur de revue clair :
« Cette politique doit être revue par le Directeur général (DG) au moins une fois par an afin d’assurer le maintien de la conformité avec les exigences de certification ISO/IEC 27001, les évolutions réglementaires (telles que GDPR, NIS2 et DORA) et les besoins métier en évolution. »
Elle exige également des enregistrements documentés des changements :
« Toutes les revues et modifications de la politique doivent être formellement documentées, en indiquant clairement la date, la nature des révisions et l’approbation du DG. »
Et elle préserve la traçabilité historique :
« Un historique des versions de la politique doit être conservé de manière sécurisée afin de démontrer l’évolution de la politique et la conformité lors des audits. »
Ces trois clauses résolvent un problème fréquent des PME. L’organisation peut ne pas disposer d’un grand bureau de gouvernance, mais elle a tout de même besoin de preuves de revue, d’approbation et d’historique des versions.
La Politique relative aux rôles et responsabilités de gouvernance pour PME ajoute l’exigence de traçabilité des décisions de gouvernance :
« Toutes les décisions de sécurité significatives, exceptions et escalades doivent être enregistrées et traçables. »
Cette clause est critique pour les exceptions aux politiques. Une dérogation temporaire à l’authentification multifacteur, une revue fournisseur retardée ou un changement d’urgence de la durée de conservation des journaux ne doivent pas exister uniquement dans des fils de courriels. Ils doivent être liés à la politique concernée, à la mesure, au propriétaire du risque, à la décision relative au risque résiduel et à la date d’expiration.
Pour la centralisation des éléments de preuve, la Politique d’audit et de surveillance de la conformité pour PME stipule :
« Tous les éléments de preuve doivent être stockés dans un dossier d’audit centralisé. »
Dans les environnements d’entreprise, la Politique de sécurité de l’information de Clarysec exige que les politiques soient :
« Gérées par version et documentées »
et :
« Communiquées à toutes les parties concernées par les canaux de communication officiels »
La Politique relative aux rôles et responsabilités de gouvernance d’entreprise intègre la notion de :
« Propriétaire et approbateur de la politique »
La Politique d’audit et de surveillance de la conformité d’entreprise ajoute des attentes en matière de conservation :
« Les rapports doivent être conservés pendant au moins six ans (ou plus longtemps lorsque la loi l’exige), stockés de manière sécurisée et soumis à la gestion des versions conformément à la Politique de gestion des documents et des enregistrements (P6). »
Enfin, la Politique de conformité juridique et réglementaire d’entreprise relie les obligations légales au SMSI :
« Toutes les obligations légales et réglementaires doivent être cartographiées avec des politiques, mesures et propriétaires spécifiques au sein du Système de management de la sécurité de l’information (SMSI). »
Cette exigence constitue le lien entre la gouvernance du cycle de vie des politiques et les éléments de preuve NIS2, DORA et GDPR. Sans cartographie des obligations, une entreprise peut posséder des documents, mais elle ne peut pas montrer que ces documents répondent à des exigences légales, contractuelles ou de risque précises.
Le triangle de contrôle : politiques, enregistrements et procédures opérationnelles
Le Zenith Controls : guide de conformité croisée de Clarysec fournit la boussole de conformité croisée pour ce sujet. Pour la mesure 5.1 d’ISO/IEC 27002:2022, Politiques de sécurité de l’information, Zenith Controls l’identifie comme une mesure préventive soutenant la confidentialité, l’intégrité et la disponibilité, alignée sur les concepts de gouvernance et d’identification de la cybersécurité, et liée aux capacités opérationnelles de gouvernance et de gestion des politiques.
C’est important parce que la gouvernance des politiques n’est pas seulement un artefact de conformité. Elle est préventive. Une politique de contrôle d’accès clairement attribuée et communiquée réduit le risque d’accès non autorisé avant la survenance d’incidents. Une politique fournisseur correctement approuvée évite un risque d’externalisation non maîtrisé. Une procédure de gestion des incidents maîtrisée améliore la cohérence de la réponse avant le démarrage du premier délai de notification réglementaire.
Zenith Controls met également en évidence la mesure 5.33 d’ISO/IEC 27002:2022, Protection des enregistrements, comme préventive et alignée sur les dimensions juridique et conformité, gestion des actifs et protection de l’information. Elle est centrale pour les preuves d’audit. Le Zenith Blueprint développe le même concept dans la phase Mesures en action, étape 23 :
« Les enregistrements ne sont pas de simples vestiges de décisions passées. Ils sont des éléments de preuve : de conformité, d’action et de responsabilité. »
Il poursuit :
« Les enregistrements sont protégés de manière appropriée contre la perte, l’accès non autorisé, l’altération et la destruction prématurée »
La mesure 5.37 d’ISO/IEC 27002:2022, Procédures opérationnelles documentées, est également pertinente. Zenith Controls la classe comme préventive et corrective, soutenant la protection et le rétablissement. Pour DORA et NIS2, les procédures opérationnelles documentées sont la manière dont la politique devient une action reproductible : triage des incidents, restauration des sauvegardes, intégration des fournisseurs, gestion des vulnérabilités, développement sécurisé, gestion des changements, collecte des éléments de preuve et communication de crise.
Ensemble, 5.1, 5.33 et 5.37 forment le triangle de contrôle du cycle de vie des politiques :
| Mesure ISO/IEC 27002:2022 | Rôle dans le cycle de vie | Ce qu’elle prouve |
|---|---|---|
| 5.1 Politiques de sécurité de l’information | Orientation, approbation, propriété et communication | La direction a défini les attentes et attribué les responsabilités |
| 5.33 Protection des enregistrements | Intégrité des éléments de preuve, conservation et accès sécurisé | Les enregistrements de conformité sont fiables |
| 5.37 Procédures opérationnelles documentées | Exécution reproductible des exigences de politique | Le personnel sait réaliser les activités maîtrisées |
Un SMSI mature a besoin des trois. Les politiques sans enregistrements sont des déclarations. Les enregistrements sans procédures sont incohérents. Les procédures sans orientation de politique deviennent des pratiques locales plutôt que des mesures gouvernées.
Cartographie de conformité croisée pour ISO 27001, NIS2, DORA, GDPR, NIST et COBIT
Gérer séparément les politiques pour ISO 27001, NIS2, DORA et GDPR crée des duplications, des contradictions et une fatigue liée à la production de preuves. Un meilleur modèle consiste à maintenir une bibliothèque SMSI unique et maîtrisée avec des métadonnées de cartographie. Cela permet à un même corpus d’éléments de preuve de répondre à plusieurs publics d’assurance.
| Famille d’exigences | Attentes des autorités de régulation ou des auditeurs | Éléments de preuve du cycle de vie des politiques |
|---|---|---|
| Clause 7.5 d’ISO/IEC 27001:2022 | Les documents sont identifiés, revus, approuvés, disponibles, protégés et maîtrisés | Registre documentaire, enregistrements d’approbation, historique des versions, droits d’accès, archive des documents obsolètes |
| ISO/IEC 27002:2022 5.1 | Les politiques de sécurité de l’information sont définies, approuvées, publiées, communiquées et revues | Corpus de politiques, circuit d’approbation, enregistrements de communication, journal de revue |
| ISO/IEC 27002:2022 5.33 | Les enregistrements sont protégés contre la perte, la destruction, la falsification, l’accès non autorisé et la divulgation | Calendrier de conservation, référentiel sécurisé, contrôles d’accès, éléments de preuve d’intégrité |
| ISO/IEC 27002:2022 5.37 | Les procédures opérationnelles sont documentées et mises à disposition du personnel qui en a besoin | Procédures opérationnelles, consignes, guides d’intervention, éléments de preuve de revue des procédures |
| NIS2 Articles 20 et 21 | Approbation par la direction et supervision des mesures de gestion des risques de cybersécurité | Approbations du conseil, cartographies des politiques, enregistrements de formation, comptes rendus de revue, éléments de preuve de l’efficacité des mesures |
| NIS2 Article 23 | Préparation à la notification des incidents significatifs et éléments de preuve de notification | Politique de gestion des incidents, procédure de classification, journal d’escalade, éléments de preuve du processus 24 heures et 72 heures, modèle de rapport final |
| DORA Articles 5 et 6 | Cadre de risque TIC bien documenté, approuvé et supervisé par la direction | Corpus de politiques TIC, stratégie, cadre de gestion des risques, éléments de preuve de revue annuelle, résultats d’audit, enseignements tirés |
| DORA Articles 17 à 19 | Processus d’incident pour détecter, classifier, escalader, communiquer et notifier | Registre des incidents, critères de gravité, enregistrements d’escalade, modèles de notification client, enregistrements d’analyse de la cause racine |
| DORA Articles 28 à 30 | Politique de risque lié aux prestataires tiers de services TIC, registre, contrats, diligence raisonnable et planification de sortie | Politique fournisseur, registre des contrats, appréciations des risques, droits d’audit, éléments de preuve de stratégie de sortie |
| GDPR Article 5(2) | Capacité à démontrer la conformité aux principes de protection de la vie privée | Politique de protection des données, registres des traitements, calendrier de conservation, enregistrements de violations, journaux d’accès, enregistrements de DPIA le cas échéant |
| GDPR Article 32 | Mesures techniques et organisationnelles appropriées de sécurité | Politiques de sécurité, procédures de contrôle d’accès, normes de chiffrement, enregistrements de sauvegarde, éléments de preuve de tests |
| NIST CSF 2.0 GOVERN | Les politiques, rôles, appétence au risque, obligations légales et dispositifs de supervision sont établis et mis à jour | Profil de gouvernance, enregistrements de revue des politiques, registre des risques, rôles et responsabilités |
| Angle d’assurance COBIT 2019 | Objectifs de gouvernance, propriété, surveillance de la performance et éléments de preuve des mesures | RACI, approbations de la direction, éléments de preuve du fonctionnement des mesures, suivi des actions de remédiation |
NIST CSF 2.0 est particulièrement utile comme couche de communication. Sa fonction GOVERN attend que les obligations légales, réglementaires et contractuelles soient comprises, que les objectifs et responsabilités de gestion des risques soient définis, que les politiques soient établies et mises à jour, et que les résultats soient évalués. Sa méthode Organizational Profile fournit également un processus pratique : définir le périmètre du profil, collecter les entrées telles que les politiques, les priorités de risque et les exigences, créer les profils actuel et cible, analyser les écarts et mettre en œuvre un plan d’action priorisé.
Cela s’aligne étroitement sur l’approche de Clarysec : construire un modèle opérationnel étayé par des éléments de preuve, puis le cartographier vers NIS2, DORA, GDPR, NIST et COBIT plutôt que de maintenir des silos de conformité distincts.
Un sprint d’une semaine pour constituer un dossier de contrôle des éléments de preuve des politiques
Une transformation complète de la gouvernance des politiques prend du temps, mais un sprint ciblé d’une semaine peut faire apparaître les lacunes et créer une base défendable.
Jour 1 : créer le registre documentaire
Commencez par une feuille de calcul, un système GRC ou une liste SharePoint structurée. Le registre documentaire est l’index qui permet aux auditeurs de naviguer dans le corpus d’éléments de preuve.
| Champ | Exemple |
|---|---|
| Identifiant du document | P01 |
| Nom du document | Politique de sécurité de l’information |
| Type | Politique |
| Propriétaire | RSSI |
| Approbateur | DG |
| Version en vigueur | 3.0 |
| Date d’entrée en vigueur | 2026-02-01 |
| Prochaine date de revue | 2027-02-01 |
| Revue fondée sur des déclencheurs | Incident majeur, évolution réglementaire, fusion, nouveau fournisseur critique |
| Classification de confidentialité | Usage interne |
| Mesures principales | ISO/IEC 27002:2022 5.1, 5.33, 5.37 |
| Cartographie juridique | NIS2 Article 21, DORA Article 6, GDPR Article 5 |
| Emplacement des éléments de preuve | ISMS Documentation/Policies/P01 |
| Emplacement des documents obsolètes | ISMS Documentation/Archive/P01 |
| Exceptions liées | EX-2026-004 |
| Enregistrement de communication | Campagne de sensibilisation AC-2026-02 |
Ne le complexifiez pas inutilement. Si le registre indique de manière fiable le propriétaire, l’approbateur, la version, la date de revue, la cartographie et l’emplacement des éléments de preuve, il résout déjà de nombreux problèmes de récupération en audit.
Jour 2 : établir le référentiel
Suivez la structure de l’étape 6 du Zenith Blueprint : politiques et procédures, appréciation des risques et SoA, enregistrements de formation et de sensibilisation, audit et revue, enregistrements d’incidents, actifs et inventaire, et bibliothèque des mesures.
Appliquez des règles d’accès. Les politiques peuvent être lues par l’ensemble des employés. Les enregistrements d’appréciation des risques doivent être restreints à l’équipe SMSI et à la direction. Les enregistrements d’incidents doivent être accessibles selon le besoin d’en connaître. Les contrats fournisseurs doivent être limités aux achats, au juridique, aux finances et à la sécurité. Les documents obsolètes doivent être inaccessibles pour l’usage quotidien, mais conservés pour la traçabilité d’audit.
Jour 3 : normaliser les en-têtes et les journaux des modifications
Chaque politique doit inclure le nom du document, le propriétaire, l’approbateur, la version, la date d’entrée en vigueur, la prochaine date de revue, la classification, les mesures associées, les obligations légales associées et l’historique des modifications.
| Version | Date | Résumé du changement | Réviseur | Approbateur |
|---|---|---|---|---|
| 2.0 | 2025-09-15 | Ajout de références au risque lié aux prestataires tiers DORA | Responsable de la sécurité | COO |
| 2.1 | 2025-11-20 | Mise à jour des rôles d’escalade des incidents | RSSI | DG |
| 3.0 | 2026-02-01 | Revue annuelle et actualisation de la cartographie NIS2 | RSSI | DG |
Cela soutient la maîtrise des informations documentées ISO/IEC 27001:2022, la supervision par la direction attendue par NIS2, les attentes de revue de DORA et la responsabilité au titre de GDPR.
Jour 4 : lier les exceptions aux politiques
Créez un registre des exceptions avec l’identifiant de l’exception, la politique affectée, la mesure affectée, la justification métier, les mesures compensatoires, le propriétaire du risque, l’approbation, la date d’expiration et le statut de revue.
Par exemple, un système hérité ne peut pas prendre en charge l’authentification multifacteur pendant 60 jours. L’exception est liée à la Politique de contrôle d’accès, à l’inventaire des actifs, au registre des risques et au plan de remédiation. Le propriétaire du risque approuve le risque résiduel, et l’exception expire automatiquement si elle n’est pas renouvelée. Cela met en œuvre l’exigence de gouvernance Clarysec pour les PME selon laquelle les décisions, exceptions et escalades significatives doivent être enregistrées et traçables.
Jour 5 : constituer le dossier de preuves d’audit
Pour chaque politique de premier niveau, créez un sous-dossier d’éléments de preuve contenant la version en vigueur approuvée, la version précédente et le journal des modifications, les éléments de preuve d’approbation, les éléments de preuve de communication, l’enregistrement de formation ou d’accusé de réception, la procédure associée, l’enregistrement opérationnel associé, les exceptions, l’enregistrement de la dernière revue, la prochaine date de revue, ainsi que la cartographie avec les obligations légales et les mesures.
Pour la réponse aux incidents, incluez les enregistrements d’exercices sur table, les critères de classification des incidents, les listes de contacts, les modèles de revue post-incident et les enregistrements de décision de notification. Cela soutient la préparation à la notification par étapes de l’Article 23 de NIS2, la classification des incidents DORA et la responsabilité relative aux violations au titre de GDPR.
Jour 6 : tester la récupération
Demandez à un auditeur interne ou à un responsable conformité de récupérer les éléments de preuve pour trois questions :
- Prouver que la Politique de sécurité de l’information a été approuvée, communiquée et revue.
- Prouver que les obligations de sécurité des fournisseurs sont cartographiées avec les exigences DORA et NIS2.
- Prouver que les éléments de preuve de responsabilité GDPR sont conservés et protégés.
Si la récupération prend plus de 30 minutes par question, le référentiel doit être amélioré.
Jour 7 : présenter à la direction
Synthétisez le statut du cycle de vie des politiques en revue de direction :
- Politiques à jour, en retard ou dues dans les 90 jours
- Exceptions ouvertes et expirées
- Lacunes d’éléments de preuve
- Mises à jour de la cartographie réglementaire
- Constats d’audit
- Actions correctives
- Besoins en ressources
Cela boucle le cycle avec les attentes de leadership d’ISO/IEC 27001:2022, la responsabilité du conseil au titre de NIS2 et la supervision par l’organe de direction exigée par DORA.
Comment les auditeurs examineront votre cycle de vie des politiques
Différents auditeurs examinent les mêmes éléments de preuve à travers des prismes différents.
Un auditeur ISO/IEC 27001:2022 commence par la maîtrise des informations documentées. Il vérifiera si les documents requis existent, s’ils sont approuvés avant utilisation, si les versions sont maîtrisées, si les documents sont disponibles là où ils sont nécessaires, si les enregistrements confidentiels sont protégés et si les documents obsolètes sont empêchés d’une utilisation non intentionnelle. Il reliera le cycle de vie des politiques au leadership, au traitement des risques, à la maîtrise opérationnelle, à l’audit interne et à la revue de direction.
Un évaluateur axé sur DORA adoptera une perspective orientée résilience. Il examinera si le cadre de gestion des risques liés aux TIC est bien documenté, approuvé par la direction, revu au moins une fois par an lorsque cela s’applique, audité régulièrement, amélioré à partir des enseignements tirés et relié à la notification des incidents, aux tests, aux risques liés aux tiers, à la continuité et au rétablissement.
Une autorité de régulation NIS2 voudra voir une chaîne ininterrompue d’éléments de preuve allant de l’identification des risques aux mesures de gestion des risques de cybersécurité, puis à l’approbation par l’organe de direction, à la mise en œuvre et à la surveillance. Toute rupture dans cette chaîne peut apparaître comme un manquement à l’obligation de diligence.
Un auditeur GDPR ou un évaluateur de la protection des données demandera si les enregistrements de gouvernance des données à caractère personnel démontrent la responsabilité : finalités du traitement, base légale, conservation, mesures techniques et organisationnelles, contrôles des sous-traitants, enregistrements de violations et éléments de preuve de l’application de la politique.
Un auditeur COBIT 2019 ou de type ISACA se concentrera sur les composantes du système de gouvernance : processus, structures organisationnelles, flux d’information, politiques, rôles, culture, compétences et services. Il demandera si la propriété est définie, si la direction surveille la performance, si les exceptions sont escaladées et si les éléments de preuve soutiennent le fonctionnement des mesures et la supervision par la direction.
Le même référentiel maîtrisé d’éléments de preuve peut répondre à tous, mais seulement si les documents sont cartographiés, à jour, protégés et traçables.
Défaillances courantes du cycle de vie des politiques à corriger avant l’arrivée de l’auditeur
La plupart des défaillances du cycle de vie des politiques sont des faiblesses de gouvernance élémentaires qui se répètent dans les environnements :
- Les politiques existent, mais n’ont pas de propriétaire nommé.
- Les approbateurs sont flous, obsolètes ou trop juniors au regard du risque.
- Les politiques sont approuvées, mais non communiquées.
- Les dates de revue sont manquées sans escalade.
- Les versions obsolètes restent disponibles dans des dossiers partagés.
- Les procédures contredisent les politiques.
- Les exceptions sont approuvées de manière informelle par courriel.
- Les obligations légales sont cartographiées avec des référentiels, mais pas avec des mesures ou propriétaires réels.
- Les preuves d’audit sont réparties entre lecteurs personnels, outils de gestion des tickets et messageries instantanées.
- Les durées de conservation sont indéfinies ou appliquées de manière incohérente.
- Les enregistrements sont conservés, mais non protégés contre les altérations non autorisées.
- Les politiques fournisseurs ne sont pas reliées aux registres de contrats, aux diligences préalables ou aux plans de sortie.
- Les procédures d’incident ne s’alignent pas sur les points de décision de notification NIS2, DORA ou GDPR.
Ces problèmes créent des frictions en audit parce qu’ils minent la confiance. Si un auditeur ne peut pas faire confiance au corpus de politiques, il approfondira l’examen du fonctionnement des mesures.
Le plan de remédiation de Maria n’a pas consisté à rédiger une politique supplémentaire. Il a consisté à créer une source unique de vérité. Elle a désigné une bibliothèque documentaire SMSI officielle, y a migré les politiques en vigueur, a archivé les emplacements non maîtrisés, a normalisé les champs propriétaire et approbateur, a construit des circuits d’approbation, a cartographié les politiques avec les obligations NIS2 et DORA, et a donné aux auditeurs un accès en lecture seule à des éléments de preuve structurés. Ce qui était une source d’anxiété est devenu une démonstration de maîtrise.
La voie Clarysec
La gouvernance du cycle de vie des politiques n’est pas une surcharge bureaucratique. C’est la discipline opérationnelle qui rend défendables les informations documentées ISO 27001, la responsabilité de la direction au titre de NIS2, la gouvernance des risques liés aux TIC de DORA et la responsabilité au titre de GDPR.
Utilisez le Zenith Blueprint : feuille de route d’audit en 30 étapes pour construire la bibliothèque SMSI dans la bonne phase et selon le bon enchaînement, en particulier l’étape 6 pour les informations documentées et l’étape 22 pour la gouvernance des politiques. Utilisez les politiques Clarysec pour PME et entreprises afin de définir les exigences de revue, d’approbation, de gestion des versions, de communication, de traçabilité, de centralisation des éléments de preuve et de conservation. Utilisez Zenith Controls : guide de conformité croisée pour cartographier les mesures ISO/IEC 27002:2022 telles que 5.1, 5.33 et 5.37 avec les attentes de conformité croisée, les attributs de contrôle et les perspectives d’audit.
Avant d’acheter un autre outil ou de rédiger une autre politique, répondez à une question :
Pouvez-vous prouver que chaque politique importante est correctement attribuée, approuvée, à jour, communiquée, cartographiée, étayée par des éléments de preuve, revue, protégée et retirée ?
Si la réponse est non, Clarysec peut vous aider à construire la bibliothèque SMSI exploitable en audit, le processus de cycle de vie des politiques et la cartographie de conformité croisée attendus par les auditeurs, les conseils d’administration et les clients en 2026. Téléchargez le Zenith Blueprint, explorez les kits de politiques PME et entreprise de Clarysec, ou réservez une évaluation de préparation pour transformer votre bibliothèque de politiques en actif de conformité défendable.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
