Le contrôle A.5.9 impose-t-il un outil particulier ?

Non. La norme exige un résultat — un inventaire exact, tenu à jour, avec des propriétaires désignés — pas un logiciel. Un outil ITAM ou une CMDB aide, mais l'auditeur jugera la fiabilité du contenu, pas la marque de l'outil. Un référentiel jamais confronté au terrain reste indéfendable, quel que soit le logiciel qui l'héberge.

À quelle fréquence faut-il mettre à jour l'inventaire des actifs ?

La norme demande un inventaire « tenu à jour », sans fixer de fréquence : c'est à l'organisation de la justifier par le risque. En pratique, le dispositif robuste combine une mise à jour au fil de l'eau (entrées, mouvements, sorties tracés par procédure) et une vérification physique périodique — annuelle le plus souvent, fortement accélérée par l'étiquetage RFID.

Qui doit être « propriétaire » d'un actif au sens de la norme ?

Une personne ou une fonction identifiée, responsable du cycle de vie de l'actif : classification, protection, mise à jour de l'inventaire, sortie. Un propriétaire générique (« la DSI ») pour des milliers d'actifs est un signal faible classique en audit : la responsabilité doit être attribuable, donc l'inventaire suffisamment précis pour porter cette attribution.

Quelle différence entre l'inventaire ISO 27001 et l'inventaire comptable des immobilisations ?

Le périmètre et la finalité diffèrent : l'inventaire A.5.9 couvre les actifs pertinents pour la sécurité de l'information (y compris logiciels, services, données), l'inventaire comptable couvre les immobilisations au sens du PCG. Mais pour le matériel, les deux reposent sur le même constat physique. Une seule campagne terrain bien conçue — identifiants communs, étiquettes, numéros de série — alimente les deux référentiels et évite deux exercices redondants.

NIS2 impose-t-elle la certification ISO 27001 ?

Non. NIS2 est une obligation légale assortie de sanctions, indépendante de toute certification volontaire. Mais les mesures de gestion des risques de son article 21 — dont la gestion des actifs (21.2.i) — convergent largement avec l'Annexe A de l'ISO 27001 : un inventaire d'actifs fiable et démontrable sert directement les deux exercices.

ISO 27001 et le contrôle A.5.9 : l'inventaire d'actifs que votre auditeur attend

Une certification ISO 27001 se gagne — ou se perd — sur des preuves. Parmi les plus matérielles : l'inventaire des actifs. Le contrôle A.5.9 de l'Annexe A en fait une exigence explicite, et c'est l'un des points que les auditeurs vérifient le plus volontiers, car il se teste en quelques minutes : il suffit de descendre en salle. Ce guide détaille ce que la norme demande, ce que l'auditeur regarde réellement, et comment bâtir un inventaire qui tient.

ISO/IEC 27001:2022 : une Annexe A réorganisée

La version 2022 de la norme ISO/IEC 27001 a restructuré l'Annexe A en 93 contrôles répartis en quatre thèmes : organisationnels, personnes, physiques et technologiques. Le contrôle A.5.9 « Inventaire des informations et autres actifs associés » fusionne les anciens contrôles A.8.1.1 (inventaire des actifs) et A.8.1.2 (propriété des actifs) de la version 2013. Son périmètre est volontairement large : les informations elles-mêmes, mais aussi tous les « actifs associés » — matériels, logiciels, services, installations — qui les portent ou les traitent.

Ce qu'exige le contrôle A.5.9

La formulation tient en une phrase : un inventaire des informations et autres actifs associés, y compris leurs propriétaires, doit être élaboré et tenu à jour. Trois exigences en découlent :

l'exhaustivité — l'inventaire couvre les actifs pertinents du périmètre du SMSI, pas seulement ceux que les outils voient ;
l'exactitude dans le temps — l'inventaire est « tenu à jour », ce qui suppose des procédures d'entrée, de mouvement et de sortie, et des vérifications périodiques ;
la propriété — chaque actif a un propriétaire désigné, responsable de sa classification et de sa protection.

Surtout, A.5.9 est un contrôle fondation : l'utilisation correcte des actifs (A.5.10), la restitution au départ d'un collaborateur (A.5.11), la classification (A.5.12) et la sécurité des terminaux utilisateurs (A.8.1) s'appuient tous sur lui — tout comme l'appréciation des risques elle-même : on n'analyse pas les risques d'un parc qu'on ne sait pas dénombrer. Un inventaire défaillant fragilise donc l'ensemble du système de management.

Ce que l'auditeur vérifie réellement

Les audits de certification (initiaux comme de surveillance) suivent presque toujours le même rituel :

l'échantillonnage bidirectionnel : l'auditeur tire quelques actifs de l'inventaire et demande à les voir ; puis il désigne des équipements dans un bureau ou une baie et vérifie qu'ils figurent à l'inventaire ;
la fraîcheur : date de la dernière vérification physique, traçabilité des mises à jour, cohérence avec les mouvements récents (déménagements, renouvellements) ;
les propriétaires : des personnes ou fonctions réelles, pas un service générique pour dix mille lignes ;
le cycle de vie : où est passé le portable de tel collaborateur parti ? La mise au rebut de ce serveur est-elle documentée (effacement des supports compris) ? ;
la cohérence entre référentiels : inventaire du SMSI, CMDB, fichier comptable — des écarts massifs entre les trois trahissent l'absence de processus.

Un écart isolé se discute ; des écarts systémiques débouchent sur une non-conformité — et la pire réponse possible reste le tableur daté de trois ans que personne ne sait expliquer. À l'inverse, un inventaire constaté sur le terrain, étiqueté, daté et réconcilié avec les outils se défend en quelques minutes.

NIS2 et ANSSI : l'inventaire devient réglementaire

La directive (UE) 2022/2555, dite NIS2, est entrée en vigueur et sa transposition française est pilotée par l'ANSSI. À la différence d'ISO 27001, démarche volontaire, NIS2 est une obligation légale assortie de sanctions pour des milliers d'entités essentielles et importantes. Son article 21 impose des mesures de gestion des risques qui citent expressément « la gestion des actifs » (art. 21.2.i) — et le guide d'hygiène informatique de l'ANSSI place de longue date la connaissance et la cartographie du système d'information parmi les toutes premières mesures. Quel que soit votre référentiel, la brique de départ est la même : un inventaire d'actifs exhaustif et démontrable.

Construire un inventaire défendable : cinq piliers

Un constat terrain exhaustif : la découverte réseau ne voit que ce qui est connecté ; seul un inventaire physique des actifs informatiques capte les stocks, le matériel débranché et les périphériques ;
Un identifiant physique durable : l'étiquette code-barres ou RFID sert de clé de rapprochement entre le terrain, l'inventaire et la CMDB ;
Un propriétaire nommé par actif, avec une granularité qui rend la responsabilité attribuable ;
Une réconciliation périodique physique × logique × comptable, avec des écarts qualifiés et soldés ;
Des procédures de cycle de vie : entrées, mouvements, restitutions, mises au rebut documentées — y compris l'effacement des supports.

Ce que CPCON apporte concrètement

CPCON n'est pas un organisme de certification, et ce n'est pas son rôle : la certification relève de votre certificateur accrédité. Notre métier, depuis plus de 30 ans et plus de 4 500 projets, est de livrer la preuve d'inventaire que vos auditeurs exigent : recensement physique du parc, étiquetage, réconciliation avec vos outils de découverte, votre CMDB et votre fichier des immobilisations, rapport d'écarts opposable et procédures pour maintenir la fiabilité dans le temps. Vous arrivez à l'audit avec un référentiel constaté, daté et défendable.

Sources officielles : ISO/IEC 27001 (iso.org) · La directive NIS2 (ANSSI — cyber.gouv.fr) · Directive (UE) 2022/2555 (EUR-Lex). Cet article d'information générale ne constitue pas un avis juridique ou de certification.