La clause 5.3 ISO 27001 exige que les rôles, responsabilités et autorités soient attribués et communiqués. Cette matrice RACI cartographie 25 activités.
TL;DR — En résumé
Template Excel gratuit ISO 27001:2022 — La clause 5.3 ISO 27001 exige que les rôles, responsabilités et autorités soient attribués et commun
👥 Template gratuit · Excel — Gouvernance
La clause 5.3 ISO 27001 exige que les rôles, responsabilités et autorités soient attribués et communiqués. Cette matrice RACI cartographie 25 activités SMSI (audits, revues, traitement risques, incidents…) avec les 8 rôles types (DG, RSSI, DPO, DSI…).
La matrice RACI (Responsible, Accountable, Consulted, Informed) est l'outil de gouvernance fondamental pour répondre aux exigences de la clause 5.3 d'ISO 27001:2022 relative à l'attribution des rôles, responsabilités et autorités dans le système de management de la sécurité de l'information. Cette clause impose que les responsabilités soient définies, attribuées et communiquées, mais elle ne prescrit pas d'outil spécifique. La matrice RACI s'est imposée comme le standard de facto pour répondre à cette exigence dans les projets de certification ISO 27001, car elle permet de cartographier de manière claire et sans ambiguïté qui fait quoi pour chacune des activités critiques du SMSI. Elle couvre les décisions stratégiques (validation de la politique de sécurité, approbation du RTP), les activités opérationnelles (gestion des incidents, audits internes, revues de direction), et les processus de conformité (RGPD, NIS 2). Une matrice RACI SMSI bien construite est un outil vivant, révisé à chaque changement organisationnel significatif, et constitue l'une des pièces maîtresses présentées lors des audits de certification ISO 27001 et de surveillance.
Contexte normatif : la clause 5.3 ISO 27001 et ses implications
La clause 5.3 s'inscrit dans le chapitre 5 « Leadership » qui couvre les responsabilités de la direction dans le SMSI. Elle stipule que la direction doit s'assurer que les responsabilités et autorités pour les rôles pertinents sont attribuées et communiquées au sein de l'organisation. Elle précise que ces responsabilités incluent au minimum : s'assurer que le SMSI est conforme aux exigences de la norme, et rendre compte de la performance du SMSI à la direction.
La clause 5.3 doit être lue en conjonction avec :
- Clause 5.1 — Leadership et engagement : la direction manifeste son leadership en définissant les rôles et en dotant le SMSI des ressources nécessaires
- Clause 5.2 — Politique : la politique de sécurité doit être diffusée aux parties prenantes concernées — ce qui suppose que les rôles soient clairement définis
- Clause 7.2 — Compétences : les rôles définis en 5.3 déterminent les compétences requises à documenter en 7.2
- Clause 9.2 — Audit interne : l'indépendance de l'auditeur interne par rapport aux processus audités est une exigence de rôle gérée par la RACI
- Clause 9.3 — Revue de direction : les entrées et sorties de la revue impliquent des responsabilités clairement attribuées
- A.5.2 — Rôles et responsabilités en matière de sécurité de l'information : contrôle Annexe A complémentaire à la clause 5.3
Un aspect souvent négligé de la clause 5.3 est l'exigence de communication : il ne suffit pas que les rôles soient définis dans un document GED inaccessible. Les personnes concernées doivent avoir connaissance de leurs responsabilités, ce qui implique une communication active (induction, formations, extraits du SMSI). La matrice RACI, distribuée et validée par les parties prenantes, constitue une preuve de cette communication.
Le modèle RACI : définitions et variantes
Les quatre rôles RACI
- R — Responsible (Réalisateur) : la ou les personnes qui réalisent le travail. Il peut y avoir plusieurs R pour une même activité (travail en équipe). Le R fait, exécute, produit.
- A — Accountable (Responsable final) : la personne unique qui est responsable in fine du résultat. Elle signe, valide, répond des résultats. Il ne peut y avoir qu'un seul A par activité. L'A délègue le R mais reste redevable.
- C — Consulted (Consulté) : les personnes dont l'avis est requis avant ou pendant la réalisation. Communication bilatérale. Leur input influe sur le résultat.
- I — Informed (Informé) : les personnes qui sont tenues informées des résultats ou de l'avancement. Communication unilatérale. Leur accord n'est pas requis.
La règle d'or : un seul A par ligne
L'erreur la plus courante dans la construction d'une matrice RACI est d'attribuer plusieurs A à une même activité. Si deux personnes sont Accountable, aucune ne l'est vraiment : c'est la recette de la responsabilité diluée et des conflits en cas d'incident. La discipline d'un seul A par ligne est non négociable. Si deux personnes semblent devoir être Accountable, c'est souvent le signe que l'activité doit être décomposée en sous-activités distinctes.
Les variantes RASCI et RACI-VS
Certaines organisations utilisent des variantes enrichies du RACI. Le RASCI ajoute un rôle Support (S) pour les personnes qui apportent des ressources ou une expertise sans être responsables de la réalisation. Le RACI-VS ajoute Verifier (V) pour les personnes qui vérifient la conformité du travail réalisé, et Signatory (S) pour les personnes qui approuvent formellement. Pour un SMSI ISO 27001, le RACI standard est généralement suffisant, mais la variante RACI-VS peut être utile pour les processus d'audit et de validation documentaire.
Les rôles SMSI types dans une matrice RACI
Rôles standards et leurs attributions typiques
| Rôle | Position typique | Responsabilités SMSI principales | Activités où A est typique |
|---|---|---|---|
| Direction Générale (DG) | PDG, Directeur Général, Gérant | Engagement leadership, ressources, politique de sécurité | Approbation politique sécurité, revue de direction, décision périmètre SMSI |
| RSSI | Responsable Sécurité SI / CISO | Pilotage SMSI, analyse des risques, contrôles techniques, incidents | Analyse de risques, RTP, audits internes planification, politique sécurité rédaction |
| DPO | Délégué à la Protection des Données | RGPD, registre des traitements, notifications CNIL, PIA | Conformité RGPD, notification violations, registre traitements |
| DSI | Directeur des Systèmes d'Information | Architecture SI, ressources IT, gestion des changements, continuité | Plan de continuité, gestion des actifs IT, déploiement des contrôles techniques |
| Auditeur interne SMSI | Auditeur interne dédié ou mutualisé | Programme d'audit, rapports d'audit, suivi des non-conformités | Réalisation des audits internes, rapport d'audit, suivi des actions correctives |
| Propriétaire d'actif | Responsable métier / Direction opérationnelle | Classification des données, contrôle d'accès métier, BCP métier | Classification des actifs métier, validation des droits d'accès |
| Admin système/réseau | Administrateur IT | Implémentation des contrôles techniques, gestion des accès, patches | Exécution des contrôles techniques, gestion quotidienne des accès |
| DRH | Directeur des Ressources Humaines | Onboarding/offboarding, discipline, formation, vérification antécédents | Procédure onboarding/offboarding, actions disciplinaires sécurité |
La matrice RACI SMSI : 25 activités critiques
| ID | Activité SMSI | Clause ISO 27001 | DG | RSSI | DPO | DSI | Auditeur | Propriétaire | Admin | DRH |
|---|---|---|---|---|---|---|---|---|---|---|
| SMSI-01 | Définition et approbation de la politique de sécurité | 5.2 | A | R | C | C | I | I | I | I |
| SMSI-02 | Définition du périmètre du SMSI | 4.3 | A | R | C | C | — | C | I | I |
| SMSI-03 | Analyse des risques SMSI (identification, évaluation) | 6.1.2 | I | A/R | C | C | — | R | C | — |
| SMSI-04 | Validation et approbation du Plan de Traitement des Risques (RTP) | 6.1.3 | A | R | C | C | — | C | — | — |
| SMSI-05 | Déclaration d'Applicabilité (SoA) | 6.1.3d | A | R | C | C | I | — | C | — |
| SMSI-06 | Programme et planification des audits internes | 9.2.2 | I | A | I | I | R | I | I | — |
| SMSI-07 | Réalisation des audits internes SMSI | 9.2 | — | I | I | I | A/R | R | R | — |
| SMSI-08 | Revue de direction SMSI | 9.3 | A | R | R | R | R | I | I | I |
| SMSI-09 | Gestion des incidents de sécurité (qualification, escalade) | A.5.24, A.5.26 | I | A | C | C | — | I | R | — |
| SMSI-10 | Communication de crise cyber (notification, presse, autorités) | A.5.26, 7.4 | A | R | R | C | — | — | — | C |
| SMSI-11 | Gestion des accès utilisateurs (provisioning, révocation) | A.5.15, A.5.18 | — | A | — | C | — | C | R | R |
| SMSI-12 | Revue périodique des droits d'accès | A.5.18 | — | A | — | C | — | R | R | — |
| SMSI-13 | Onboarding/offboarding sécurité des collaborateurs | A.6.1, A.6.5 | — | C | C | I | — | I | R | A/R |
| SMSI-14 | Notification violation de données RGPD (CNIL, personnes) | RGPD Art.33-34 | A | R | R | C | — | — | — | — |
| SMSI-15 | Gestion documentaire SMSI (versions, archivage) | 7.5 | — | A | I | I | R | I | — | — |
| SMSI-16 | Plan de continuité d'activité / PCA cyber | A.5.30, A.8.13 | A | R | I | R | — | R | C | I |
| SMSI-17 | Sensibilisation sécurité des utilisateurs | 7.3, A.6.3 | I | A | C | I | — | I | I | R |
| SMSI-18 | Gestion des fournisseurs et sous-traitants sécurité | A.5.19, A.5.20 | — | A | C | C | — | R | — | — |
| SMSI-19 | Gestion des patches et vulnérabilités | A.8.8 | — | A | — | C | — | I | R | — |
| SMSI-20 | Classification et étiquetage des actifs d'information | A.5.12, A.5.13 | — | A | C | C | — | R | — | — |
| SMSI-21 | Suivi des actions correctives et non-conformités | 10.1, 10.2 | I | A | I | I | R | R | R | — |
| SMSI-22 | Veille réglementaire et normative (ISO 27001, RGPD, NIS 2) | 4.1, 4.2 | I | A | R | I | I | — | — | — |
| SMSI-23 | Tests d'intrusion et évaluations de sécurité | A.8.8, A.5.36 | A | R | — | C | I | — | R | — |
| SMSI-24 | Gestion des incidents physiques (accès non autorisé, vol de matériel) | A.7.x | I | A | — | C | — | C | R | — |
| SMSI-25 | Communication externe SMSI (certification, clients, partenaires) | 7.4, 5.2 | A | R | C | I | — | — | — | — |
Points de vigilance lors de la construction de la matrice RACI
Les anti-patterns courants à éviter
Plusieurs anti-patterns récurrents fragilisent les matrices RACI SMSI. Le premier est la sur-population des colonnes C et I : lorsque tout le monde est consulté ou informé pour chaque activité, la matrice perd son utilité et les réunions deviennent des plénières inefficaces. Un principe utile : le nombre de C ne devrait pas dépasser 3 par ligne, et I devrait être réservé aux parties vraiment impactées par le résultat.
Le second anti-pattern est l'absence d'acteur R pour certaines activités : une activité sans responsable identifié ne sera pas réalisée. Si vous ne trouvez pas de R évident, c'est soit que l'activité n'est pas prioritaire, soit qu'un rôle manque dans votre organigramme SMSI.
Le troisième anti-pattern est la confusion A/R : attribuer A et R à la même personne pour toutes les activités supprime la séparation des rôles et crée un point de défaillance unique. Pour les activités critiques (audits, validation du RTP), le A doit être clairement distinct du R.
L'adaptation au contexte organisationnel
La matrice RACI fournie est une base générique ; elle doit impérativement être adaptée au contexte spécifique de votre organisation. Une TPE de 20 personnes concentrera plusieurs rôles sur une même personne (le RSSI peut être aussi l'administrateur système), tandis qu'une grande entreprise aura des rôles spécialisés supplémentaires (SOC manager, architecte sécurité, gestionnaire de crise, compliance officer). L'important est que pour chaque activité SMSI, un A clairement identifié existe dans votre organisation réelle, pas dans un organigramme théorique.
La gestion des conflits d'intérêt
ISO 27001 impose que les auditeurs internes soient indépendants des processus qu'ils auditent (clause 9.2). La matrice RACI doit donc vérifier que l'auditeur interne n'est pas R ou A dans les activités qu'il devra auditer. Ce conflit d'intérêt est l'une des non-conformités les plus fréquentes dans les petites organisations où les rôles se cumulent. La solution pragmatique : externaliser l'audit interne pour les domaines couverts par l'unique responsable technique, ou définir des périmètres d'audit croisé entre collègues de compétences différentes.
Intégration de la RACI dans le SMSI
Communication et validation auprès des parties prenantes
Une matrice RACI non partagée est sans valeur. Chaque personne dont le nom apparaît dans la matrice doit avoir pris connaissance de ses responsabilités et les avoir formellement acceptées. La validation peut prendre la forme d'une signature sur le document, d'un accusé de réception par email, ou d'un vote lors d'une réunion de lancement SMSI. Cette validation constitue la preuve de communication exigée par la clause 5.3.
Mise à jour et cycle de vie de la RACI
La matrice RACI est un document vivant soumis à la gestion documentaire SMSI (clause 7.5). Elle doit être révisée à chaque changement organisationnel significatif : arrivée d'un nouveau RSSI, restructuration d'équipe, évolution du périmètre SMSI, nouvelle réglementation créant de nouveaux rôles. Une révision formelle annuelle est recommandée, avec validation lors de la revue de direction (clause 9.3).
FAQ — Matrice RACI et clause 5.3 ISO 27001
La norme ISO 27001 impose-t-elle explicitement une matrice RACI ?
Non. La clause 5.3 impose que les rôles, responsabilités et autorités soient attribués et communiqués, sans prescrire d'outil spécifique. Vous pouvez utiliser des fiches de poste, un organigramme annoté, ou tout autre format permettant de démontrer que les responsabilités sont claires. Cependant, la matrice RACI est l'outil le plus efficace pour les projets SMSI car elle permet une vision croisée activités/rôles impossibles avec des fiches de poste individuelles. Les auditeurs de certification l'apprécient particulièrement car elle est immédiatement lisible.
Comment gérer un rôle RSSI externalisé dans la matrice RACI ?
Un RSSI ou vCISO (Virtual CISO) externalisé peut figurer dans la matrice RACI comme n'importe quel rôle interne, sous réserve que ses responsabilités soient clairement définies dans le contrat de prestation. Le A sur les activités critiques (analyse de risques, politique de sécurité) peut être attribué au RSSI externalisé si le contrat lui confère ce pouvoir de décision, ou maintenu en interne (DG, DSI) si le prestataire n'a qu'un rôle R. La distinction doit être cohérente entre la matrice RACI et les clauses contractuelles.
Quelle est la différence entre la matrice RACI SMSI et la matrice RACI IT générale ?
La matrice RACI SMSI se concentre spécifiquement sur les activités de gouvernance, de gestion des risques et de conformité ISO 27001. Elle ne couvre pas toutes les activités IT (exploitation, projets, support), mais uniquement celles ayant un impact sur la performance du SMSI. Les deux matrices coexistent dans les organisations matures et peuvent être consolidées dans un référentiel commun sous réserve de maintenir la lisibilité.
Points clés à retenir — Matrice RACI SMSI ISO 27001
- La clause 5.3 ISO 27001 exige que les rôles et responsabilités soient attribués et communiqués — la matrice RACI est l'outil standard pour y répondre.
- La règle absolue : un seul A (Accountable) par activité. Deux A = zéro A = responsabilité diluée.
- L'auditeur interne ne peut pas être A ou R dans les activités qu'il audite (règle d'indépendance, clause 9.2).
- La matrice doit être validée et signée par les parties prenantes pour constituer une preuve de communication au sens de la clause 5.3.
- Les 25 activités couvertes dans ce template correspondent aux exigences minimales attendues par les auditeurs de certification ISO 27001.
- La matrice doit être adaptée au contexte réel de l'organisation (taille, structure, rôles cumulés dans les PME).
Rédigé par Ayi NEDJIMI — Consultant ISO 27001 & Cybersécurité
Liens connexes : Matrice Compétences SMSI · Revue de Direction ISO 27001 · Document Périmètre SMSI · Plan de Communication SMSI
Intégration de la matrice RACI dans les processus d'audit et de revue de direction ISO 27001
La matrice RACI du SMSI joue un rôle central dans deux processus ISO 27001 parmi les plus scrutés par les auditeurs : la revue de direction (clause 9.3) et l'audit interne (clause 9.2). Comprendre cette dimension permet de concevoir une matrice qui serve simultanément les besoins opérationnels et les exigences de certification.
La revue de direction exige que la direction démontre son implication active dans le SMSI. La matrice RACI formalise cette implication en assignant explicitement à la direction générale des rôles Accountable sur les décisions stratégiques de sécurité : approbation du plan de traitement des risques, décision sur les ressources allouées, validation des objectifs de sécurité annuels. Ces assignments créent une traçabilité de gouvernance que les auditeurs de certification vérifient systématiquement lors des visites de surveillance.
L'audit interne bénéficie d'une matrice RACI bien construite de deux manières complémentaires. Les auditeurs peuvent utiliser la matrice pour identifier les parties prenantes à interviewer pour chaque contrôle audité. Les écarts entre la matrice documentée et la réalité observée constituent des non-conformités en soi : si la matrice assigne un rôle Accountable qui n'a pas exercé ses responsabilités, c'est un écart documenté et traçable lors de l'audit formel.
La maintenance de la matrice RACI dans le temps est un défi organisationnel sous-estimé. Les réorganisations, les départs et arrivées de personnel clé, et l'évolution du périmètre du SMSI rendent la matrice rapidement obsolète. La bonne pratique consiste à déclencher une revue systématique lors de trois événements : tout changement organisationnel affectant le SMSI, chaque cycle annuel d'audit interne, et chaque mise à jour significative du périmètre de certification.
Les matrices RACI dans les organisations multi-sites introduisent une complexité supplémentaire d'articulation entre niveaux groupe et filiales. La pratique la plus efficace consiste à distinguer les contrôles centralisés gérés par l'équipe de sécurité groupe des contrôles décentralisés où les entités locales sont responsables dans le cadre de politiques définies centralement. Cette distinction clarifie les escalades, simplifie les audits multi-sites, et évite les conflits de responsabilité récurrents sur les incidents touchant plusieurs entités.
L'outillage de la matrice RACI est une question pratique importante. Les matrices statiques dans des tableurs Excel présentent des limites évidentes de maintenance et d'accessibilité. Les plateformes GRC intègrent la gestion des rôles et responsabilités dans un référentiel vivant, lié aux contrôles, aux risques, et aux actions correctives. Cet outillage transforme la matrice RACI d'un document statique en un outil de pilotage dynamique du SMSI, directement exploitable lors des comités de sécurité et des audits de certification.
La communication de la matrice RACI aux équipes opérationnelles est aussi importante que sa construction. Une matrice parfaitement élaborée mais connue seulement du RSSI et du DPO n'a aucune valeur opérationnelle. Une présentation annuelle aux équipes concernées, intégrée aux programmes de sensibilisation ISO 27001, garantit que chaque contributeur comprend son rôle et ses responsabilités dans le SMSI. Cette communication favorise également la remontée d'informations sur les inadéquations entre la matrice documentée et la réalité opérationnelle, permettant des ajustements proactifs avant les audits formels.
La traçabilité des décisions prises dans le cadre de la matrice RACI est un élément probatoire clé lors des audits de certification ISO 27001. Conserver l'historique des révisions de la matrice avec les dates, les auteurs des modifications, et les justifications des changements permet de démontrer aux auditeurs que la gouvernance du SMSI est un processus vivant et rigoureusement documenté. Cette traçabilité est particulièrement précieuse lorsque des non-conformités passées ont nécessité des ajustements de responsabilités, démontrant la capacité d'amélioration continue de l'organisation face aux constats d'audit.
Tests de conformité de la matrice RACI lors des exercices de simulation d'incidents
Les exercices de simulation d'incidents du SMSI constituent une opportunité précieuse pour tester la conformité opérationnelle de la matrice RACI. En observant qui prend réellement les décisions et qui exécute les actions pendant un exercice tabletop, on peut identifier les écarts entre les responsabilités documentées et les réflexes opérationnels des équipes. Ces écarts, lorsqu'ils révèlent que les rôles documentés ne correspondent pas aux comportements spontanés, indiquent soit une inadéquation de la matrice avec la réalité organisationnelle, soit une insuffisance de formation et de communication sur les responsabilités définies.
Un projet cybersécurité ?
Expert dispo · Réponse 24h