L'inventaire des actifs est exigé par le contrôle A.5.9 de l'Annexe A ISO 27001:2022. Ce template Excel couvre les 7 types d'actifs (information, logici.
TL;DR — En résumé
Template Excel gratuit pour ISO 27001:2022. L'inventaire des actifs est exigé par le contrôle A.5.9 de l'Annexe A ISO 27001:2022. Ce template Ex
📥 Template gratuit · Excel
L'inventaire des actifs est exigé par le contrôle A.5.9 de l'Annexe A ISO 27001:2022. Ce template Excel couvre les 7 types d'actifs (information, logiciel, matériel, service, personnel, site, image) avec classification CIA et propriétaire, prêt à être audité.
L'inventaire des actifs informationnels constitue l'une des pierres angulaires de tout Système de Management de la Sécurité de l'Information (SMSI) conforme à la norme ISO/IEC 27001:2022. Sans recensement exhaustif et structuré de vos actifs, il est impossible de conduire une analyse de risques fiable, de définir des mesures de protection adaptées, ou de démontrer la maîtrise de votre périmètre à un auditeur de certification. Le contrôle A.5.9 — Inventaire des actifs informationnels et autres actifs associés impose explicitement que l'organisation identifie, documente et maintienne un inventaire de tous les actifs en relation avec l'information et le traitement de l'information. Ce template Excel, élaboré par Ayi NEDJIMI, consultant cybersécurité et Lead Implementer ISO 27001, répond à cette exigence en couvrant les 7 catégories d'actifs reconnues par la norme : actifs informationnels, logiciels, matériels, services, personnes, sites physiques et actifs incorporels (réputation, image de marque). Il intègre la classification CIA (Confidentialité, Intégrité, Disponibilité) sur 4 niveaux de criticité, le cycle de vie complet de chaque actif (acquisition, déploiement, exploitation, fin de vie, destruction sécurisée), et un calcul automatique de la criticité globale. Ce document est indispensable pour les RSSI en cours de certification, les consultants en charge d'un projet ISO 27001, les auditeurs internes lors des revues annuelles du SMSI, et les directions informatiques souhaitant piloter leur patrimoine informationnel avec rigueur. L'inventaire des actifs est également un prérequis pour le registre des risques, le SoA (Statement of Applicability), la politique de classification de l'information et la gestion des accès logiques — autant de documents que vous retrouverez dans notre bibliothèque ISO 27001.
Contexte réglementaire et normatif
La norme ISO/IEC 27001:2022 a restructuré en profondeur son Annexe A par rapport à la version 2013 : les 114 contrôles répartis en 14 domaines ont été remplacés par 93 contrôles regroupés en 4 thèmes (Organisationnels, Personnes, Physiques, Technologiques). Le contrôle A.5.9 appartient au thème Organisationnel et couvre spécifiquement la gestion de l'inventaire des actifs.
L'exigence normative est claire : l'organisation doit identifier les actifs associés à l'information et au traitement de l'information, et établir un inventaire de ces actifs. Chaque actif doit avoir un propriétaire désigné, et les règles d'utilisation acceptable des actifs doivent être définies et mises en œuvre (contrôle A.5.10). Ces deux contrôles fonctionnent en tandem et sont systématiquement évalués ensemble lors des audits de certification.
Au-delà de la norme ISO 27001, plusieurs référentiels et réglementations imposent des exigences similaires :
- RGPD (Article 30) : le registre des activités de traitement constitue en pratique un inventaire des actifs de données personnelles. L'inventaire ISO 27001 et le registre RGPD doivent être cohérents et idéalement intégrés.
- Directive NIS 2 : les opérateurs de services essentiels (OSE) et les entités importantes sont tenus de mettre en œuvre des mesures de gestion des risques cybersécurité, dont la gestion des actifs est un pilier. Voir notre article sur la conformité NIS 2.
- Référentiel ANSSI : les guides de l'ANSSI, notamment le guide d'hygiène informatique, insistent sur la nécessité d'un inventaire exhaustif comme première mesure de sécurité. Sans inventaire, on ne peut pas protéger ce qu'on ne connaît pas.
- PCI-DSS v4.0 : les organisations traitant des données de paiement doivent maintenir un inventaire de tous les composants dans le périmètre PCI, une exigence directement alignée avec A.5.9.
La clause 6.1.2 d'ISO 27001 (appréciation des risques) impose d'identifier les actifs dans le périmètre du SMSI comme point de départ de l'analyse de risques. Un inventaire incomplet ou non maintenu conduit mécaniquement à une analyse de risques lacunaire, ce qui est rédhibitoire lors d'un audit de certification Stage 2.
Structure détaillée du template Excel
Ce template Excel est organisé en plusieurs onglets complémentaires, chacun répondant à une exigence spécifique de la norme :
Onglet 1 — Inventaire principal
C'est le cœur du document. Il recense l'ensemble des actifs avec les colonnes suivantes : identifiant unique de l'actif, nom et description, catégorie (parmi les 7 types normalisés), propriétaire (personne physique, poste ou direction), localisation (site physique, cloud, hébergeur), criticité Confidentialité (C), criticité Intégrité (I), criticité Disponibilité (D), criticité globale calculée automatiquement (C×I×D ou formule personnalisable), statut du cycle de vie (en service, obsolète, en cours de décommission), date d'entrée dans l'inventaire, date de dernière révision, et commentaires libres.
Onglet 2 — Référentiels de classification
Cet onglet définit la grille de classification CIA utilisée dans l'inventaire principal. Les niveaux recommandés sont : Niveau 1 (Public/Faible impact), Niveau 2 (Interne/Impact modéré), Niveau 3 (Confidentiel/Impact significatif), Niveau 4 (Strictement confidentiel/Impact critique). Chaque niveau est décrit avec des exemples concrets et les mesures de protection associées, en lien avec la politique de classification de l'information.
Onglet 3 — Catalogue des 7 types d'actifs
Ce référentiel liste les 7 catégories normalisées avec des exemples détaillés pour chacune : actifs informationnels (bases de données, contrats, plans stratégiques, données RH, code source), logiciels (systèmes d'exploitation, applications métier, licences, scripts d'automatisation), matériels (serveurs, postes de travail, équipements réseau, supports amovibles, IoT), services (services cloud, services externalisés, utilities, connectivité réseau), personnes (compétences clés, accès privilégiés, équipes critiques), sites physiques (datacenters, bureaux, salles serveur), et actifs incorporels (réputation, propriété intellectuelle, certifications).
Onglet 4 — Tableau de bord et métriques
Un tableau de bord automatisé présente les indicateurs clés : nombre total d'actifs par catégorie, répartition par niveau de criticité, taux de couverture des propriétaires désignés, actifs sans propriétaire identifié (point de contrôle audit), actifs en fin de vie ou obsolètes nécessitant une action, et date de dernière révision globale de l'inventaire.
Onglet 5 — Historique des révisions
Trace l'historique complet des modifications de l'inventaire : date, auteur, actif concerné, nature de la modification, et validation par le propriétaire ou le RSSI. Cet onglet est particulièrement important pour démontrer à l'auditeur que l'inventaire est maintenu activement et pas seulement créé une fois pour l'audit.
Guide d'utilisation étape par étape
- Définir le périmètre du SMSI : avant de recenser les actifs, délimitez précisément le périmètre de votre SMSI (entité, site, processus métier, service). Les actifs à inventorier sont ceux qui sont dans ce périmètre ou qui supportent les processus dans ce périmètre. Cette étape est documentée dans la déclaration du domaine d'application ISO 27001.
- Constituer l'équipe de collecte : la collecte des actifs ne peut pas être réalisée par le RSSI seul. Impliquez les directions métier (DSI, RH, Finance, Juridique, Production), les responsables de services techniques, et les gestionnaires de contrats fournisseurs. Chaque direction connaît ses actifs mieux que la DSI.
- Conduire les ateliers de recensement : organisez des ateliers par domaine (SI, RH, physique, juridique) d'une à deux heures chacun. Utilisez l'onglet "Catalogue des 7 types" comme guide de questionnement. Posez systématiquement la question : "Si cet actif disparaissait demain, quel serait l'impact sur l'activité ?"
- Saisir et qualifier les actifs : complétez l'onglet "Inventaire principal" pour chaque actif identifié. La criticité CIA doit être définie en concertation avec le propriétaire de l'actif, pas imposée par la DSI. Un propriétaire qui ne comprend pas pourquoi son actif est classé "critique" ne s'appropriera pas l'inventaire.
- Désigner les propriétaires d'actifs : chaque actif doit avoir un propriétaire unique, responsable de sa classification, de son usage acceptable et de sa mise à jour dans l'inventaire. Le propriétaire n'est pas nécessairement l'utilisateur final ni le gestionnaire technique : c'est le responsable métier qui décide de la valeur et du niveau de protection requis.
- Valider la cohérence avec l'analyse de risques : croisez l'inventaire avec le registre des risques ISO 27001 pour vous assurer que les actifs à plus fort impact sont bien couverts par des scénarios de risques. Les actifs de criticité 4 doivent systématiquement apparaître dans l'analyse de risques.
- Intégrer dans le processus de revue annuelle : l'inventaire doit être revu au minimum une fois par an et à chaque événement significatif (nouveau projet, acquisition, décommission, incident majeur). Planifiez cette revue dans le plan d'audit interne et dans la revue de direction (clause 9.3).
- Préparer la présentation à l'auditeur : lors d'un audit de certification, l'auditeur demandera à consulter l'inventaire et à vérifier que les propriétaires sont identifiés, que la classification est cohérente, et que le document est maintenu. Préparez un résumé synthétique (tableau de bord onglet 4) et soyez prêt à expliquer votre méthode de classification.
Tableau des contrôles — Checklist inventaire des actifs complète
| Contrôle | Exigence ISO 27001 | Statut | Responsable | Preuve attendue | Commentaire |
|---|---|---|---|---|---|
| Inventaire des actifs établi et documenté | A.5.9 | ☐ Conforme / ☐ NC | RSSI | Fichier inventaire daté et signé | Version courante accessible |
| Périmètre du SMSI documenté et cohérent avec l'inventaire | Clause 4.3 | ☐ Conforme / ☐ NC | RSSI / DG | Déclaration de périmètre | Doit couvrir tous les actifs dans le scope |
| Chaque actif a un propriétaire désigné | A.5.9, A.5.10 | ☐ Conforme / ☐ NC | Propriétaires désignés | Colonne "Propriétaire" complète | 0 actif sans propriétaire toléré |
| Classification CIA définie pour chaque actif | A.5.9, A.5.12 | ☐ Conforme / ☐ NC | Propriétaires d'actifs | Niveaux C/I/D renseignés | Cohérent avec politique de classification |
| Actifs informationnels recensés (données, BD, contrats) | A.5.9 | ☐ Conforme / ☐ NC | DSI / Directions métier | Lignes catégorie "Information" | Inclure données personnelles RGPD |
| Actifs logiciels recensés (OS, apps, licences) | A.5.9, A.8.8 | ☐ Conforme / ☐ NC | DSI | Lignes catégorie "Logiciel" | Inclure logiciels open source |
| Actifs matériels recensés (serveurs, postes, réseau) | A.5.9, A.7.9 | ☐ Conforme / ☐ NC | DSI / Infra | Lignes catégorie "Matériel" | Inclure équipements IoT et BYOD |
| Services cloud et externalisés recensés | A.5.9, A.5.19 | ☐ Conforme / ☐ NC | DSI / Achats | Lignes catégorie "Service" | Cohérent avec registre fournisseurs |
| Personnes-clés et compétences critiques documentées | A.5.9, A.6.1 | ☐ Conforme / ☐ NC | DRH / RSSI | Lignes catégorie "Personne" | Inclure prestataires critiques |
| Sites physiques et infrastructures documentés | A.5.9, A.7.1 | ☐ Conforme / ☐ NC | Facility / DSI | Lignes catégorie "Site" | Inclure salles serveur et DC |
| Actifs incorporels documentés (IP, certifications) | A.5.9 | ☐ Conforme / ☐ NC | Direction / Juridique | Lignes catégorie "Incorporel" | Souvent oublié, très évalué |
| Cycle de vie documenté pour chaque actif | A.5.9 | ☐ Conforme / ☐ NC | Propriétaires d'actifs | Colonne statut renseignée | Acquisition→Destruction |
| Règles d'utilisation acceptable définies | A.5.10 | ☐ Conforme / ☐ NC | RSSI / DRH | Charte utilisateur signée | Lien avec charte SI |
| Inventaire mis à jour au moins annuellement | A.5.9 | ☐ Conforme / ☐ NC | RSSI | Date de révision visible | Vérifier onglet historique |
| Inventaire mis à jour lors des changements significatifs | A.5.9, A.8.32 | ☐ Conforme / ☐ NC | RSSI / Change manager | Tickets de changement liés | Processus change → inventaire |
| Cohérence avec le SoA vérifiée | Clause 6.1.3 | ☐ Conforme / ☐ NC | RSSI | SoA référençant les actifs | SoA doit citer A.5.9 |
| Cohérence avec l'analyse de risques vérifiée | Clause 6.1.2 | ☐ Conforme / ☐ NC | RSSI | Croisement actifs / risques | Actifs crit. 4 → scénarios risques |
| Processus de décommission documenté | A.5.9, A.7.14 | ☐ Conforme / ☐ NC | DSI / RSSI | Procédure effacement sécurisé | Certificat destruction si nécessaire |
| Inventaire accessible et contrôlé (accès restreint) | A.5.9, A.5.15 | ☐ Conforme / ☐ NC | RSSI / DSI | Droits d'accès documentés | Pas public, pas accessible à tous |
| Intégration au BIA pour les actifs critiques | A.5.9, ISO 22301 | ☐ Conforme / ☐ NC | RSSI / PCA manager | Référence croisée BIA | Voir template BIA |
| Actifs BYOD et télétravail recensés | A.5.9, A.6.7 | ☐ Conforme / ☐ NC | DSI / RH | Lignes actifs mobiles/BYOD | Voir politique BYOD |
| Données personnelles RGPD identifiées dans l'inventaire | A.5.9 / RGPD Art.30 | ☐ Conforme / ☐ NC | DPO / RSSI | Tag "Données perso" dans inventaire | Cohérence avec registre RGPD |
| Logiciels en fin de vie (EoL) identifiés et traités | A.5.9, A.8.8 | ☐ Conforme / ☐ NC | DSI | Liste EoL avec plan de migration | Point critique audit technique |
| Supports amovibles et médias portables inventoriés | A.5.9, A.7.10 | ☐ Conforme / ☐ NC | DSI / Sécurité physique | Inventaire clés USB, disques ext. | Souvent oublié, piège classique |
Points de vigilance pour l'audit de certification
L'inventaire des actifs est l'un des documents les plus scrutés lors d'un audit de certification ISO 27001. Voici les pièges les plus fréquents observés sur le terrain :
- Inventaire créé pour l'audit, jamais maintenu ensuite : les auditeurs vérifient systématiquement la date de dernière révision et cherchent des traces de mises à jour régulières. Un inventaire créé en janvier et présenté en décembre sans aucune modification sera considéré comme non conforme. Remédiation : mettez en place une revue trimestrielle légère et une revue annuelle complète, documentées dans l'onglet historique.
- Actifs sans propriétaire désigné : la norme exige que chaque actif ait un propriétaire. Un seul actif sans propriétaire suffit à générer une non-conformité mineure. Remédiation : rendez la colonne "Propriétaire" obligatoire dans le template et filtrez régulièrement les actifs sans propriétaire.
- Confusion entre propriétaire et gestionnaire technique : le propriétaire d'un actif est le responsable métier, pas le technicien qui le gère. Mettre "DSI" comme propriétaire pour tous les actifs est une erreur courante. Remédiation : expliquez la distinction lors des ateliers de collecte et obtenez la validation des directions métier.
- Périmètre incomplet — oubli des actifs cloud et SaaS : les auditeurs sont de plus en plus attentifs aux actifs cloud (IaaS, PaaS, SaaS) qui sont souvent absents des inventaires traditionnels. Remédiation : croisez l'inventaire avec la liste des abonnements cloud et les contrats fournisseurs.
- Classification CIA incohérente avec la politique de classification : si votre politique de classification définit 4 niveaux mais que l'inventaire utilise uniquement 2 niveaux (faible/élevé), c'est une incohérence documentée. Remédiation : utilisez exactement les mêmes termes et niveaux dans tous les documents.
- Actifs en fin de vie non gérés : des logiciels ou matériels obsolètes (Windows Server 2008, switches non maintenus) dans l'inventaire sans plan de migration documenté génèrent des observations. Remédiation : ajoutez une colonne "EoL/EoS" et documentez le plan de migration pour chaque actif en fin de support.
- Données personnelles non identifiées dans l'inventaire : le croisement entre l'inventaire ISO 27001 et le registre RGPD (Article 30) est attendu. Si votre inventaire ne permet pas d'identifier quels actifs contiennent des données personnelles, c'est une lacune. Remédiation : ajoutez un tag "Données personnelles O/N" et une référence au registre RGPD.
- Absence de procédure de décommission sécurisée : que se passe-t-il quand un actif sort du parc ? Le contrôle A.7.14 (restitution ou destruction sécurisée des équipements) doit être couvert. Remédiation : documentez la procédure de décommission dans l'inventaire et conservez les certificats de destruction.
- Inventaire trop détaillé ou trop vague : un inventaire qui liste 5000 machines individuellement est ingérable ; un inventaire qui ne cite que 10 grandes catégories est insuffisant. Remédiation : trouvez le bon niveau de granularité (groupes d'actifs homogènes pour le matériel, actifs individuels pour les données critiques).
- Pas de lien avec l'analyse de risques : les auditeurs Stage 2 vérifient que les actifs les plus critiques (CIA niveau 4) ont bien des scénarios de risques associés dans le registre des risques. Remédiation : utilisez les identifiants d'actifs comme référence croisée dans le registre des risques.
Intégration dans le SMSI : liens avec les autres documents
L'inventaire des actifs est un document central du SMSI qui alimente et est alimenté par de nombreux autres documents :
Arborescence documentaire SMSI — Inventaire des actifs A.5.9
INVENTAIRE DES ACTIFS (A.5.9) ← Document central
│
├── ALIMENTE →
│ ├── Analyse de risques (Clause 6.1.2) — actifs comme supports des risques
│ ├── SoA Statement of Applicability (Clause 6.1.3)
│ ├── Registre des risques — scénarios par actif critique
│ ├── BIA Business Impact Analysis — actifs critiques pour la continuité
│ └── Plan de continuité d'activité (PCA) — actifs à restaurer en priorité
│
├── EST ALIMENTÉ PAR →
│ ├── Processus de gestion des changements (A.8.32) — nouveaux actifs
│ ├── Processus d'achat/approvisionnement — nouveaux matériels/logiciels
│ └── Offboarding RH — restitution des actifs lors des départs
│
├── COHÉRENCE REQUISE AVEC →
│ ├── Politique de classification (A.5.12) — mêmes niveaux CIA
│ ├── Politique d'accès logiques (A.5.15-18) — actifs = périmètre des accès
│ ├── Registre fournisseurs (A.5.19-23) — actifs externalisés
│ ├── Registre RGPD (Art.30) — actifs traitant des données personnelles
│ └── Charte utilisateur SI — règles d'utilisation acceptable
│
└── EST VÉRIFIÉ PAR →
├── Audit interne SMSI (Clause 9.2)
├── Revue de direction (Clause 9.3)
└── Audit de certification Stage 1 et Stage 2
Bonnes pratiques terrain
Voici les retours d'expérience d'Ayi NEDJIMI, accumulés lors de projets de certification ISO 27001 dans des organisations de 50 à 2000 employés :
- Commencez par les actifs critiques, pas par l'exhaustivité : il vaut mieux un inventaire de 50 actifs vraiment critiques bien documentés qu'un inventaire de 500 actifs bâclés. Les auditeurs valorisent la profondeur sur les actifs à fort enjeu.
- Utilisez un système de numérotation stable : les identifiants d'actifs (ex: ACT-INF-001, ACT-MAT-042) doivent rester stables dans le temps pour permettre les références croisées avec l'analyse de risques. Ne réutilisez jamais un identifiant supprimé.
- Automatisez la collecte technique : pour les actifs matériels et logiciels, utilisez des outils de découverte automatique (scan réseau, CMDB, ITSM) pour alimenter l'inventaire. Documentez dans le template que l'inventaire est enrichi par ces outils.
- Faites signer les propriétaires d'actifs : une validation formelle (email suffit) des propriétaires d'actifs sur la classification CIA de leurs actifs renforce considérablement la crédibilité de l'inventaire en audit.
- Intégrez l'inventaire dans les processus RH : onboarding (affectation d'actifs), mutations (transfert de propriété), offboarding (restitution et mise à jour de l'inventaire). Sinon, l'inventaire devient rapidement inexact.
- Documentez les exclusions : si certains actifs sont délibérément exclus du périmètre SMSI, documentez pourquoi. Les auditeurs apprécient la transparence sur les exclusions justifiées.
- Croisez avec le référentiel CVE pour les logiciels : pour les actifs logiciels, documentez la version et activez une veille sur les CVE critiques. C'est un attendu croissant des auditeurs depuis la directive NIS 2.
Questions fréquentes sur l'inventaire des actifs ISO 27001
Combien d'actifs doit contenir un inventaire ISO 27001 pour une PME de 100 personnes ?
Il n'y a pas de nombre minimum ou maximum imposé par la norme. Pour une PME de 100 personnes avec un périmètre SMSI couvrant l'ensemble des systèmes d'information, un inventaire réaliste contient généralement entre 80 et 200 actifs, en regroupant les actifs similaires (ex: "Postes de travail collaborateurs — 85 unités" plutôt que 85 lignes individuelles). L'important n'est pas la quantité mais l'exhaustivité par rapport au périmètre défini et la qualité de la qualification (propriétaire, CIA, cycle de vie). Les auditeurs ISO 27001 ne comptent pas les lignes : ils vérifient que les actifs critiques identifiés dans l'analyse de risques ont bien une entrée dans l'inventaire, et que les actifs les plus sensibles sont correctement qualifiés. Pour une PME industrielle avec un périmètre incluant des OT (Operational Technology), l'inventaire sera sensiblement plus long car les équipements de production (automates, SCADA, capteurs) doivent être recensés séparément des actifs IT classiques.
Quelle est la différence entre l'inventaire ISO 27001 et le registre RGPD Article 30 ?
Ces deux documents ont des finalités différentes mais se complètent et doivent être cohérents. L'inventaire ISO 27001 (contrôle A.5.9) recense tous les actifs qui supportent le traitement de l'information dans le périmètre du SMSI : matériels, logiciels, personnes, services, sites, données. Son objectif est de permettre l'analyse de risques et la définition de mesures de sécurité adaptées. Le registre des activités de traitement RGPD (Article 30) recense uniquement les traitements de données personnelles : finalité du traitement, catégories de personnes concernées, catégories de données, destinataires, transferts hors UE, durées de conservation. Son objectif est de démontrer la conformité au RGPD. En pratique, les actifs informationnels de l'inventaire ISO 27001 qui contiennent des données personnelles doivent correspondre à des entrées dans le registre RGPD. Il est recommandé d'ajouter dans l'inventaire ISO 27001 une colonne "Données personnelles" avec référence au traitement RGPD associé. Cette cohérence est vérifiée lors des audits ISO 27001 et lors des contrôles CNIL. Le DPO et le RSSI doivent travailler ensemble sur ces deux documents.
Dois-je inventorier les actifs des sous-traitants et fournisseurs cloud ?
Oui, si ces actifs sont dans le périmètre de votre SMSI ou s'ils supportent des processus couverts par votre SMSI. Le contrôle A.5.19 (sécurité de la chaîne d'approvisionnement) impose de gérer les risques liés aux fournisseurs, et cela commence par leur identification dans l'inventaire des actifs. Concrètement : si vous utilisez AWS pour héberger vos applications, le service AWS doit apparaître dans votre inventaire comme actif de type "Service" avec son propriétaire interne (responsable de la relation fournisseur) et sa classification CIA. Les actifs physiquement hébergés chez le fournisseur (serveurs, stockage) peuvent être regroupés sous le service cloud plutôt qu'inventoriés individuellement. Pour les prestataires qui accèdent à vos systèmes (infogérance, maintenance), leurs accès et les systèmes auxquels ils ont accès doivent être documentés. Le registre des sous-traitants est le document complémentaire qui détaille la relation contractuelle et les mesures de sécurité imposées à chaque fournisseur.
Comment gérer les actifs BYOD (Bring Your Own Device) dans l'inventaire ?
Les actifs BYOD posent un défi particulier car l'organisation ne les possède pas mais ils accèdent potentiellement à des données sensibles. La bonne pratique est de les inventorier comme actifs de type "Matériel" avec le statut "BYOD" et le propriétaire identifié comme étant l'utilisateur (et non la DSI). La classification CIA doit refléter les données auxquelles l'appareil peut accéder, pas le matériel lui-même. Si un smartphone personnel peut accéder aux emails professionnels et aux documents SharePoint, sa confidentialité et son intégrité doivent être notées comme élevées. La politique BYOD doit définir les règles d'enregistrement des appareils personnels (MDM), les mesures de sécurité minimales requises (chiffrement, PIN, mise à jour), et les conditions de désinscription (départ du collaborateur, perte du téléphone). En audit, l'absence de gestion des BYOD dans l'inventaire est souvent citée comme non-conformité mineure, surtout depuis la généralisation du télétravail.
À quelle fréquence dois-je mettre à jour l'inventaire ?
La norme ISO 27001 n'impose pas de fréquence spécifique mais précise que l'inventaire doit être maintenu et mis à jour. La pratique recommandée est une révision complète annuelle (en préparation de la revue de direction), des mises à jour continues déclenchées par les processus de changement (nouveau serveur, nouvelle application, décommission, recrutement), et des revues spécifiques après les incidents de sécurité majeurs. Dans les faits, l'inventaire doit être considéré comme un document vivant intégré aux processus opérationnels, pas comme un document projet créé une fois. La meilleure façon d'y parvenir est de l'intégrer dans le processus ITSM existant : tout ticket de changement doit inclure une vérification de l'impact sur l'inventaire des actifs. Le processus de gestion des changements doit explicitement référencer l'inventaire des actifs comme document à mettre à jour lors de tout changement impactant les actifs du SMSI.
Quelle est la différence entre un asset inventory et un CMDB ?
La CMDB (Configuration Management Database) est un concept ITIL qui recense les éléments de configuration (Configuration Items ou CI) avec leurs attributs et leurs relations. Elle est généralement gérée par la DSI pour des besoins opérationnels (gestion des incidents, des changements, des problèmes). L'inventaire des actifs ISO 27001 a une finalité de sécurité : il classe les actifs par criticité CIA, identifie les propriétaires de sécurité, et supporte l'analyse de risques. En pratique, les deux peuvent être intégrés ou synchronisés : la CMDB alimente l'inventaire ISO 27001 pour les actifs techniques, et l'inventaire ISO 27001 enrichit la CMDB avec les attributs de sécurité (classification, propriétaire sécurité). Pour les organisations qui n'ont pas de CMDB, le template Excel est un bon point de départ qui peut évoluer vers une solution plus structurée (ServiceNow, Freshservice, GLPI) lorsque le volume d'actifs le justifie. L'important est que la finalité de sécurité ISO 27001 soit préservée, quelle que soit l'outil utilisé.
Comment traiter les actifs en fin de vie dans l'inventaire ?
Les actifs en fin de vie (EoL) ou en fin de support (EoS) ne doivent pas être supprimés de l'inventaire mais marqués avec un statut spécifique et un plan d'action. Concretement : identifiez tous les logiciels et matériels dont le support éditeur est terminé ou proche de l'échéance ; documentez dans l'inventaire la date de fin de support, le risque associé (absence de correctifs de sécurité), et le plan de migration avec un responsable et une date cible ; assurez-vous que ces actifs apparaissent dans l'analyse de risques avec un niveau de risque élevé si aucune mesure compensatoire n'est en place (isolation réseau, WAF, surveillance renforcée). En audit, un inventaire qui montre des actifs EoL avec un plan de migration documenté et un responsable désigné est bien mieux évalué qu'un inventaire qui ne mentionne pas ces actifs ou qui les a supprimés pour faire "propre". La transparence sur les vulnérabilités connues démontre une maturité SMSI bien supérieure à leur dissimulation.
L'inventaire des actifs doit-il être classifié lui-même ?
Oui, et c'est un point souvent négligé. L'inventaire des actifs est lui-même un actif informationnel sensible : il liste l'ensemble des systèmes, données et infrastructure de l'organisation, ce qui en fait une cible de choix pour un attaquant cherchant à cartographier votre SI avant une attaque. L'inventaire doit donc être classifié au minimum comme "Confidentiel" (niveau 3 dans notre grille à 4 niveaux) et son accès doit être restreint aux personnes qui en ont besoin : RSSI, auditeurs internes, consultants mandatés, et propriétaires d'actifs pour leurs propres actifs. Il doit être stocké dans un espace sécurisé (partage réseau avec droits d'accès, GRC, ou coffre-fort documentaire) et non dans un répertoire partagé accessible à tous les collaborateurs. Cette précaution est elle-même documentée dans l'onglet "Inventaire principal" où l'inventaire des actifs apparaît comme un actif à part entière, avec sa propre classification.
À retenir — Inventaire des actifs ISO 27001
- Le contrôle A.5.9 impose un inventaire exhaustif couvrant les 7 types d'actifs (information, logiciel, matériel, service, personne, site, incorporel)
- Chaque actif doit avoir un propriétaire désigné — c'est l'exigence la plus vérifiée par les auditeurs
- La classification CIA sur 4 niveaux doit être cohérente avec la politique de classification (A.5.12)
- L'inventaire doit être maintenu en continu, pas seulement créé pour l'audit
- Le croisement avec l'analyse de risques, le registre RGPD et le SoA est vérifié en audit Stage 2
- Les actifs cloud, SaaS, BYOD et EoL sont les grandes catégories oubliées — les auditeurs les cherchent systématiquement
- L'inventaire est lui-même un actif sensible à classifier et à protéger (accès restreint)
- Auteur : Ayi NEDJIMI, consultant cybersécurité — accompagnement ISO 27001
Pour aller plus loin
- SoA ISO 27001 — Guide complet Statement of Applicability
- Registre des risques ISO 27001 — Template Excel
- Politique de classification de l'information [A.5.12]
- Gap Analysis ISO 27001:2022 — 93 contrôles [outil Excel]
- Notre service d'accompagnement ISO 27001 complet
- Auto-évaluation ISO 27001 gratuite en 5 minutes
Un projet cybersécurité ?
Expert dispo · Réponse 24h