Après mes derniers audits ISO 27001, je vois la même erreur.
Des entreprise qui déclarent applicables des contrôles qui n'ont aucun rapport avec leur réalité. Ils se compliquent la vie, perdent du temps, et dépensent de l'argent inutilement.
Le pire cas, une firme de services financiers avec aucun développeur et aucune ligne de code qui s'est imposé tous les contrôles de la norme.
Si votre entreprise ne développe pas de logiciels, certains contrôles de l'ISO 27001:2022 ne s'appliquent pas à vous.
Voici les contrôles non applicables
Quand votre entreprise ne fait aucun développement logiciel, ces contrôles ne s'appliquent pas :
A8.4 — Accès au code source — clairement si nous n'avons pas de développement, il n'y a pas de code source à gérer!
A.8.25 — Cycle de vie de développement sécurisé — Si vous n'avez pas d'équipe de développement, vous n'avez pas de cycle de développement.
A.8.26 — Exigences de sécurité applicatives — Ce contrôle concerne les spécifications de sécurité pour vos propres applications. Si vous ne développez rien, ce contrôle ne vous concerne pas.
A.8.27 — Architecture sécurisée et principes d'ingénierie — Porte sur la conception sécurisée des systèmes que vous développez.
A.8.28 — Codage sécurisé — Le plus évident. Pas de code, pas de codage sécurisé.
A.8.29 — Tests de sécurité dans le développement — Tests de sécurité sur le code en développement. Sans développement, ce contrôle tombe à l'eau.
La justification, c'est obligatoire
Quand vous déclarez un contrôle non applicable, vous devez le justifier par écrit dans votre Déclaration d'Applicabilité. Ce n'est pas optionnel, c'est une exigence de la norme.
Une bonne justification ressemble à ça :
"L'entreprise ne développe aucun logiciel à l'interne et ne fait appel à aucun fournisseur qui fait du développement."