FAQ

Devons-nous mettre en œuvre les 93 mesures de l’Annexe A ?

Non, vous n’avez pas à mettre en œuvre les 93 mesures de l’Annexe A exactement telles qu’elles sont rédigées. Dans le cadre d’ISO/IEC 27001, l’Annexe A est un catalogue de mesures possibles parmi lesquelles vous sélectionnez celles qui sont pertinentes en fonction du risque. Ce qui est requis, c’est une décision structurée et justifiée indiquant quelles mesures sont applicables, comment elles sont mises en œuvre et pourquoi certaines sont exclues.

Ce que la norme exige réellement

ISO/IEC 27001 exige que vous :

En pratique, cela rejoint la défense et la fabrication réglementée lorsque les équipes doivent transformer la réponse en habitudes d’exécution répétables.

  • Définissiez le périmètre de votre SMSI, y compris les sites, systèmes et processus inclus dans ce périmètre.
  • Réalisiez une évaluation formelle des risques couvrant les actifs informationnels, les menaces, les vulnérabilités et les impacts.
  • Sélectionniez des mesures appropriées et proportionnées aux risques identifiés.
  • Compariez les mesures choisies à l’Annexe A et décidiez, pour chaque mesure de l’Annexe A, si elle est :
    • Mise en œuvre telle que décrite, ou
    • Mise en œuvre d’une manière équivalente ou compensatoire, ou
    • Non applicable, avec une justification claire.
  • Documentiez l’ensemble dans une Déclaration d’applicabilité (SoA) et la mainteniez sous gestion des modifications.

La SoA est la preuve clé. Elle doit montrer que vous avez examiné toutes les mesures de l’Annexe A et que vous pouvez expliquer vos choix. Les auditeurs se concentrent généralement sur votre raisonnement et sa cohérence, et non sur une mise en œuvre un pour un de toutes les mesures.

Quand vous pourriez, dans les faits, adopter la plupart ou la totalité des mesures

Dans de nombreux environnements industriels et réglementés, le résultat d’une évaluation des risques est qu’une grande partie des mesures de l’Annexe A sont pertinentes, par exemple :

  • Des usines disposant de systèmes critiques pour la sécurité ou soumis au contrôle des exportations.
  • Des installations traitant des données client ou de défense au titre de clauses contractuelles faisant référence à ISO/IEC 27001 ou à des référentiels associés.
  • Des écosystèmes fournisseurs complexes avec une connectivité externe vers des réseaux OT.

Dans de tels cas, vous pouvez finir par mettre en œuvre la plupart des mesures de l’Annexe A sous une forme ou une autre, mais cela découle toujours d’une analyse des risques et de la faisabilité plutôt que d’une règle générale. Certaines mesures seront appliquées différemment entre les environnements IT d’entreprise et les environnements OT.

Réalités des environnements brownfield et OT

Dans les sites existants équipés de MES historiques, de PLC, de SCADA et d’équipements à longue durée de vie, certains contrôles de l’Annexe A sont difficiles ou perturbateurs à mettre en œuvre tels qu’ils sont rédigés. Exemples typiques :

  • Contraintes techniques : les contrôleurs historiques peuvent ne pas prendre en charge l’authentification moderne, la cadence de correction, ou le chiffrement sans remplacement du matériel.
  • Risque d’arrêt : l’application de contrôles nécessitant des modifications de firmware, des mises à niveau d’OS ou une re-segmentation du réseau peut générer un risque d’indisponibilité ou de requalification inacceptablement élevé.
  • Dépendance fournisseur : certains contrôles dépendent des capacités du fournisseur ou de cycles de publication que vous ne maîtrisez pas.
  • Charge de validation : dans des environnements de type GMP ou aérospatiaux, chaque changement lié à la sécurité apporté à des systèmes validés peut déclencher une revalidation, l’exécution de tests et des mises à jour documentaires.

Dans ces cas, vous vous appuyez généralement sur une combinaison de :

  • Contrôles compensatoires (par exemple, ségrégation physique, zonage réseau, surveillance).
  • Contrôles procéduraux (par exemple, gestion stricte des changements et vérifications manuelles).
  • Acceptation explicite du risque, avec approbation de la direction et cycles de revue.

L’essentiel est que votre SoA et votre registre des risques rendent ces contraintes et décisions traçables et défendables.

Comment décider quelles mesures de l’Annexe A mettre en œuvre

Une approche pratique, fondée sur les risques, comprend généralement :

  1. Cartographier les actifs et les processus
    Identifier les actifs critiques : équipements de production, données de procédé, recettes, programmes CN, enregistrements qualité, données soumises au contrôle des exportations et systèmes liés à la sécurité.
  2. Mener une évaluation structurée des risques
    Utiliser une méthode cohérente pour évaluer l’impact et la probabilité, et tenir compte de scénarios propres à l’OT tels que la perte de disponibilité, l’intégrité des consignes et la contamination croisée entre les réseaux OT et les réseaux d’entreprise.
  3. Prioriser les risques à fort impact
    Se concentrer d’abord sur les mesures qui réduisent les risques d’incidents de sécurité, d’arrêts de production, de défauts qualité produit non détectés et de manquements réglementaires.
  4. Évaluer la faisabilité dans votre environnement actuel
    Identifier les cas où une mesure peut être mise en œuvre directement, ceux où elle doit être adaptée, et ceux où une mesure compensatoire est plus réaliste en raison de contraintes liées aux systèmes existants.
  5. Documenter les décisions dans la Déclaration d’applicabilité
    Pour chaque mesure de l’Annexe A :
    • La marquer comme applicable/non applicable.
    • Décrire comment elle est mise en œuvre ou l’approche compensatoire retenue.
    • Consigner les justifications, les dépendances et tout risque résiduel.
  6. Intégrer avec la maîtrise des changements et la validation
    Veiller à ce que toute modification de mesure touchant des systèmes validés, des fonctions de sécurité ou des flux de données réglementés passe par votre processus de maîtrise des changements ainsi que par les essais/vérifications requis.

Pourquoi « tout mettre en œuvre » est souvent impraticable

Un déploiement obligatoire et uniforme des 93 mesures échoue généralement dans la fabrication réglementée pour plusieurs raisons :

  • Charge de qualification et de validation : modifier les fonctionnalités OT, MES ou QMS pour répondre à des mesures de sécurité spécifiques peut déclencher une requalification des protocoles, une validation logicielle et des modifications documentaires.
  • Temps d’arrêt et coût : les arrêts d’usine pour refondre l’architecture des réseaux, changer de plateforme pour des systèmes hérités ou remplacer du matériel de contrôle-commande peuvent être prohibitifs.
  • Complexité d’intégration : les mesures qui semblent simples sur le papier (par exemple, journalisation centralisée, gestion unifiée des accès) deviennent complexes dans des environnements multifournisseurs et multigénérations.
  • Traçabilité et gestion de configuration : un déploiement rapide et large peut dépasser votre capacité à maintenir des inventaires, des états de référence et des enregistrements de configuration exacts, ce qui affaiblit à la fois la cybersécurité et la préparation aux audits.

Ce ne sont pas des raisons pour éviter totalement les mesures ; ce sont des raisons de prioriser, d’échelonner la mise en œuvre et d’utiliser des mesures compensatoires pendant que vous introduisez progressivement des changements plus profonds.

Coexistence avec les systèmes IT, OT et qualité existants

Les mesures de l’Annexe A sont généralement concrétisées par des combinaisons de :

  • Outils de sécurité IT existants (identité, journalisation, protection des endpoints, sauvegarde).
  • Segmentation des réseaux OT, pare-feu et solutions d’accès distant sécurisé.
  • Configuration et procédures MES, ERP et QMS (par exemple, contrôle des accès, pistes d’audit, maîtrise documentaire).
  • Procédures et formation en atelier (par exemple, gestion des supports amovibles, règles d’accès des fournisseurs).

Dans la plupart des environnements brownfield, vous superposez les mesures de l’Annexe A à l’existant plutôt que de remplacer les systèmes cœur. Les stratégies de remplacement qui ignorent les implications en matière de validation, d’intégration et de temps d’arrêt ont tendance à s’enliser ou à être réduites lorsqu’elles atteignent des actifs complexes et à forte valeur.

Ce que les auditeurs recherchent généralement

Bien que les attentes varient selon les auditeurs, ils vérifient généralement que :

  • Votre évaluation des risques est méthodique, répétable et alignée sur votre périmètre.
  • Votre Déclaration d’applicabilité couvre toutes les mesures de l’Annexe A et présente une cohérence interne.
  • Les mesures que vous affirmez avoir mises en œuvre existent réellement et fonctionnent efficacement, avec des preuves à l’appui.
  • Les exclusions et les mesures compensatoires sont justifiées au regard de vos risques et de vos contraintes.
  • Les modifications apportées aux mesures suivent un processus de maîtrise des modifications défini et sont reflétées dans la documentation à jour.

Ils n’exigent pas que chaque mesure de l’Annexe A soit mise en œuvre de manière identique sur tous les sites ou systèmes, dès lors que votre justification fondée sur les risques est documentée et appliquée de façon cohérente.

En résumé, vous êtes tenu de prendre en compte les 93 mesures de l’Annexe A, de documenter leur applicabilité et de mettre en œuvre des mesures appropriées en fonction du risque et de la faisabilité. Vous n’êtes pas tenu de mettre en œuvre chaque mesure exactement telle qu’elle est rédigée, en particulier lorsque les contraintes liées à l’OT existant, à la validation et à l’intégration rendent cela impraticable, à condition que vos justifications soient claires, fondées sur des preuves et maintenues sous maîtrise des modifications.

Related Blog Articles

Building the Business Case and Measuring ROI for Digital AS9102 FAI

Learn how to calculate the ROI of AS9102 software by tying FAI cycle time, error reduction, and audit performance to clear financial outcomes, with metrics, examples, and a practical business case framework.

Integrating AS9102 Software with ERP, MES, PLM, and QMS in Aerospace

Learn how to integrate AS9102 first article inspection software with ERP, MES, PLM, and QMS to eliminate re-keying, strengthen traceability, and embed FAIRs into everyday aerospace manufacturing workflows.

Building ISO 22400-Aligned Data Models for Connected Manufacturing

How to design ISO 22400-aligned data models that unify ERP, MES, SCADA, and historians into a consistent KPI layer for aerospace manufacturing.

Traceability in Aerospace: Why Retrofitting Always Fails

In aerospace manufacturing, trying to reconstruct traceability from scattered records is slow, fragile, and risky. This article explains why retrofit approaches fail under regulatory pressure and how to embed traceability directly into the execution layer so genealogy and as-built records are generated as work happens.

Get Started

Built for Speed, Trusted by Experts

Whether you're managing 1 site or 100, Connect 981 adapts to your environment and scales with your needs—without the complexity of traditional systems.

Talk to an Aerospace Expert
Explore Solutions

produit

Opérations d'atelierChaîne d'approvisionnement et AchatsMROSolutionsDemander une démo

Ressources

BlogCommunautéSécurité et ConformitéAPI et IntégrationsParlez à un expert en aérospatiale

À propos

À proposPolitique de confidentialitéPolitique en matière de cookiesConditions générales d'utilisationNous contacter

© 2026 Connect 981. Tous droits réservés.

démarrer

conçu pour aller vite, adopté par les experts

Que vous gériez 1 site ou 100, C-981 s'adapte à votre environnement et évolue avec vos besoins — sans la complexité des systèmes traditionnels.

Demander une démo
Découvrir les solutions