Le registre des actifs ISO 27001 : ce que les auditeurs attendent vraiment
Le contrôle 5.9 de l'Annexe A de l'ISO 27001:2022 exige un inventaire maintenu des informations et actifs associés. Voici l'interprétation pratique : les champs nécessaires, le schéma de classification qui résiste au scrutin, et le dossier de preuves que l'organisme de certification demandera.
Si vous préparez une certification ou une recertification ISO 27001, le registre des actifs est l'un des artefacts fondamentaux. Presque chaque autre contrôle — contrôle d'accès (5.15), classification (5.12), sauvegarde (8.13), élimination sécurisée (7.14), gestion fournisseurs (5.20) — y fait référence. Faites-le bien et le reste n'est que paperasse ; faites-le mal et vous verrez des constats tout au long de l'audit.
Ce que dit réellement ISO 27001:2022
Contrôle 5.9 (Inventaire des informations et autres actifs associés) :
Un inventaire des informations et autres actifs associés, y compris les propriétaires, doit être élaboré et maintenu.
Les recommandations d'implémentation ISO 27002:2022 développent ce point. Le registre doit :
- Couvrir les actifs informationnels, les logiciels, le matériel, les services et le personnel qui détiennent ou traitent des informations.
- Être régulièrement revu et mis à jour.
- Identifier un propriétaire nommé par actif.
- Refléter les changements tout au long du cycle de vie des actifs (acquisition, modification, élimination).
- Être référencé par d'autres contrôles — appréciation des risques, classification, gestion des accès.
Les champs minimaux par actif
| Champ | Pourquoi il importe |
|---|---|
| Identifiant d'actif | Identifiant stable référencé dans le traitement des risques et d'autres contrôles |
| Nom / description de l'actif | Lisible par l'humain, sans ambiguïté |
| Type d'actif | Information, logiciel, matériel, service, personnel |
| Propriétaire | Personne physique nommée, pas une boîte mail partagée ou « IT » |
| Dépositaire | Qui opère au quotidien (peut différer du propriétaire) |
| Classification | Public / Interne / Confidentiel / Restreint (ou votre schéma) |
| Emplacement | Physique ou logique (région, centre de données, fournisseur) |
| Stade du cycle de vie | Acquisition / En service / Déclassement / Retraité |
| Risques liés | Référence aux entrées du registre des risques |
| Dernière revue | Date et relecteur |
Le schéma de classification
Vous n'avez pas à utiliser le nôtre, mais choisissez quelque chose d'explicite. Un schéma défendable à quatre niveaux :
| Classe | Définition | Exemples |
|---|---|---|
| Public | Disponible en externe sans préjudice | Supports marketing, contenu du site public |
| Interne | Réservé aux employés et prestataires | Documents internes, plans de projet, organigramme |
| Confidentiel | Sensible ; accès restreint au besoin d'en connaître | Données clients, données financières, données RH |
| Restreint | Sensibilité maximale ; peu de parties autorisées | Code source avec secrets, documents F&A, documents juridiques privilégiés |
Chaque niveau de classification doit correspondre à des règles de traitement : comment il peut être transmis, stocké, partagé, conservé et détruit. Le document du schéma de classification constitue lui-même une preuve d'audit.
Catégories d'actifs à capturer
Actifs informationnels
Bases de données clients, dossiers du personnel, données financières, propriété intellectuelle, code source, documentation. Liés à leur emplacement (bucket S3, base Postgres, instance Salesforce).
Actifs logiciels
Abonnements SaaS, logiciels sous licence, applications développées en interne, bibliothèques, systèmes d'exploitation. Chacun avec version, licence, propriétaire.
Actifs matériels
Laptops, serveurs, appareils mobiles, équipements réseau. Référence croisée avec le registre IT qui existe déjà à des fins financières / de cycle de vie — mêmes données, audience différente.
Actifs de services
Services cloud, sous-traitants, processeurs de paiement, prestataires de messagerie. Beaucoup chevauchent les actifs logiciels mais la perspective est différente (disponibilité du service, risque fournisseur).
Actifs de personnel
Rôles à accès privilégié, détenteurs de connaissances clés, dépositaires de données sensibles. Ne liste pas tous les employés — seulement ceux dont le rôle est lui-même un point de contrôle.
Le dossier de preuves que les auditeurs demandent
- Le registre des actifs lui-même, avec les champs ci-dessus renseignés et des dates de dernière revue respectant la politique.
- Le document de politique de classification.
- Échantillon d'entrées du registre des risques référençant des identifiants d'actifs du registre.
- Preuves de revue périodique — e-mails, procès-verbaux de réunions, historique de contrôle de version montrant que le registre a été mis à jour.
- Preuves arrivée / mobilité / départ reliant les changements de personnel aux mises à jour des enregistrements d'actifs.
- Preuves d'élimination — pour tout actif retraité dans la période, le certificat d'élimination et la mise à jour correspondante du registre.
- Confirmation de la propriété des actifs — e-mails ou enregistrements système montrant que chaque propriétaire a accepté sa responsabilité.
D'où viennent les constats
Les constats ISO 27001 les plus fréquents sur le contrôle 5.9 sont : (a) le registre existe mais n'est pas revu ; (b) la propriété est générique (« département IT » plutôt qu'une personne nommée) ; (c) le registre existe mais n'est pas référencé par le registre des risques ou d'autres contrôles. Résolvez ces trois points et vous fermerez la plupart des observations.
Conseils pratiques
- Un registre, plusieurs vues. Ne maintenez pas un « registre ISO » séparé et un « registre IT ». Utilisez le même modèle de données avec des vues filtrées par audience.
- Cadence de revue : trimestrielle au minimum. Certaines entreprises font mensuellement ; moins fréquent est acceptable si les changements sont rares. Documentez la politique et respectez-la.
- Automatisez les déclencheurs arrivée / départ. Les mises à jour manuelles se dégradent. Le registre qui survit est celui qui est mis à jour en conséquence des opérations normales — changements IdP, événements d'approvisionnement, expéditions de matériel.
- Maintenez la propriété à jour. Chaque réorganisation casse la propriété. Mettez en place un contrôle à 90 jours qui signale tout propriétaire dont le rôle a changé.
- Ne sur-ingéniez pas le schéma de classification. Quatre niveaux suffisent. Les entreprises avec des schémas à huit niveaux constatent que personne ne s'en souvient et que les actifs sont classifiés de façon incohérente.
Comment InventorIA vous aide
Le modèle de données d'InventorIA correspond directement aux exigences du registre des actifs ISO 27001. Les propriétaires sont liés aux enregistrements d'identité (ce sont donc de vraies personnes, pas des boîtes mail). Les champs de classification sont configurables. Les stades du cycle de vie sont suivis. Chaque modification s'écrit dans un journal d'audit. L'export pour l'organisme de certification est un téléchargement en un clic avec tous les liens vers les risques et la propriété que l'auditeur demandera.
Un registre des actifs conforme ISO, dès le premier jour
Le modèle de données d'InventorIA correspond directement au contrôle 5.9. Gratuit pour 10 utilisateurs.
Démarrer gratuitement →