Déclaration d’Applicabilité (DDA) CompliKey

Comprendre clairement le module, son rôle et son fonctionnement

Cet article explique simplement et précisément le module de Déclaration d’Applicabilité (DDA) de CompliKey.

L’objectif est_attaché à votre besoin client_ : comprendre à quoi sert la DDA, comment l’utiliser concrètement et pourquoi elle est centrale dans votre conformité.

Qu’est-ce qu’une Déclaration d’Applicabilité (DDA) ?

La Déclaration d’Applicabilité est un document de référence exigé par de nombreux cadres de conformité, notamment ISO 27001.

Elle répond à une question simple mais essentielle :

Quelles mesures de sécurité s’appliquent à mon organisation, sur quel périmètre, et pourquoi ?

La DDA ne liste pas seulement des contrôles :

1. elle formalise les décisions de conformité,
2. elle explique le contexte,
3. elle documente les exclusions,
4. elle sert de base de discussion avec un auditeur ou un client.

Pourquoi la DDA est souvent mal comprise (et mal utilisée)

Dans beaucoup d’organisations, la DDA est :

1. un tableau Excel rempli à la veille de l’audit,
2. peu ou pas maintenu entre deux certifications,
3. difficilement exploitable par quelqu’un d’autre que son auteur.

Résultat :

1. des justifications floues,
2. des débats inutiles en audit,
3. une perte de continuité d’une année sur l’autre.

👉 Le module DDA de CompliKey a été conçu pour corriger exactement cela.

À quoi sert la DDA dans CompliKey ?

Dans CompliKey, la DDA est :

1. un module structurant,
2. relié directement au module de conformité,
3. conçu comme la référence cyber officielle de votre organisation.

Elle permet de :

1. définir clairement le périmètre de conformité,
2. justifier chaque mesure de façon explicite,
3. figer ces décisions dans le temps,
4. les rendre lisibles pour un auditeur, un client ou une direction.

Comment fonctionne concrètement la DDA dans CompliKey ?

1. Une DDA est toujours liée à un périmètre

Chaque DDA est créée pour un périmètre précis :

1. une entité,
2. un produit,
3. un système d’information,
4. ou un client.

👉 Cela évite les confusions classiques :

un périmètre = une logique d’applicabilité claire.

Vous pouvez :

1. avoir plusieurs DDA en parallèle,
2. gérer des contextes clients différents via des périmètres dédiés.

2. Une DDA peut couvrir plusieurs normes

Une même DDA peut être multi-normes :

1. ISO 27001,
2. NIS2,
3. RGPD,
4. CRA,
5. exigences contractuelles.

Les mesures sont mutualisées quand c’est pertinent, tout en restant contextualisées par périmètre.

3. Applicabilité et justification : le cœur du module

Pour chaque mesure, vous devez :

1. indiquer si elle est applicable ou non applicable,
2. justifier systématiquement votre choix.

Cette justification est :

1. obligatoire pour les exclusions,
2. également demandée pour les mesures applicables.

Pourquoi ?

👉 Parce que la DDA doit expliquer comment la mesure est prise en compte dans votre contexte, pas seulement dire “oui” ou “non”.

4. Une DDA reliée aux mesures réelles

La DDA n’est pas un document isolé.

Depuis la DDA, vous pouvez ouvrir chaque mesure et retrouver :

1. les normes et articles associés,
2. les preuves liées,
3. les responsables,
4. l’état d’avancement,
5. la maturité associée à la mesure.

👉 La DDA est une vue de gouvernance, adossée à la réalité opérationnelle.

5. Maturité et suivi dans le temps

La DDA ne sert pas à décrire en détail l’implémentation technique.

En revanche, elle :

1. affiche la maturité des mesures,
2. permet de suivre l’évolution globale du niveau de conformité,
3. facilite la comparaison entre deux audits.

La DDA est-elle “audit-grade” ?

Oui.

Le module DDA intègre :

1. un versionning complet,
2. un horodatage de chaque version,
3. la conservation des versions précédentes.

Concrètement, vous pouvez montrer à un auditeur :

la DDA telle qu’elle existait lors du dernier audit,

et expliquer ce qui a évolué depuis.

Il n’y a pas de rôle approbateur distinct, mais toutes les décisions sont tracées dans le temps.

Que ne fait volontairement pas la DDA CompliKey ?

Pour rester claire et maîtrisée, la DDA CompliKey :

1. ne réalise pas d’analyse de risques détaillée,
2. ne fait pas de scan technique,
3. ne génère pas automatiquement la conformité,
4. ne modifie jamais les normes sans action utilisateur.

👉 Elle formalise des décisions humaines, dans un cadre structuré.

Cas d’usage typiques

PME préparant un audit

La DDA permet de :

1. clarifier le périmètre,
2. éviter les débats inutiles,
3. démontrer la cohérence des choix.

Consultant GRC

La DDA devient un livrable structuré et maintenable, sans repartir de zéro à chaque mission.

DSI / RSSI

La DDA sert de référence interne pour expliquer la posture cyber à la direction ou aux clients.

Bénéfices concrets

Les utilisateurs constatent notamment :

1. un gain de temps en audit,
2. moins de non-conformités documentaires,
3. une meilleure lisibilité du périmètre,
4. une continuité de conformité dans le temps.

En résumé

La Déclaration d’Applicabilité CompliKey n’est pas un document figé.

C’est un référentiel vivant, clair, versionné et compréhensible, au cœur de votre gouvernance cyber.

👉 Pour voir comment la DDA s’applique à votre contexte :

1. demander une démo,
2. ou réaliser un diagnostic de conformité en 20 minutes.

Sans jargon. Sans complexité inutile. Avec des décisions explicables.