La revue de direction, c'est 2 heures
qui scellent votre certification.
Une seule réunion. Une seule fois par an minimum. 9 entrées obligatoires, 4 sorties obligatoires, un PV signé par la direction. C'est l'acte par lequel votre DG s'engage formellement sur le SMSI. Sans ce PV, pas de certification COFRAC.
« Je viens de présenter au DG les 9 points de la clause 9.3.2. 2 heures de réunion. Le DG a posé 3 questions : "Combien on a investi ?", "Combien d'incidents ?", "Combien de NC ouvertes ?". Je lui ai fourni les chiffres. Il a validé les décisions, signé le PV. Audit COFRAC dans 5 semaines, avec ce PV en main, je suis sereine. »
Une revue de direction préparée se déroule en 90-120 minutes. Mal préparée, elle prend 4 heures et n'aboutit à rien. Ce chapitre vous donne le squelette.
1. Pourquoi la revue de direction (clause 9.3)
La clause 9.3 d'ISO 27001:2022 dit : « La direction doit procéder, à intervalles planifiés, à la revue du SMSI de l'organisation, pour s'assurer qu'il demeure pertinent, adéquat et efficace. »
La revue de direction sert 3 objectifs :
- 1Engagement de la directionLa DG démontre son leadership (clause 5) en participant et en signant.
- 2Vérification d'efficacitéLes décisions du SMSI produisent-elles les résultats attendus ?
- 3Décision stratégiqueQuels changements pour l'année à venir : budget, périmètre, objectifs, nouveaux risques ?
2. Les 9 entrées obligatoires (clause 9.3.2)
La clause 9.3.2 liste explicitement les 9 sujets à aborder. L'auditeur COFRAC vérifie que les 9 sont dans votre PV. Voici les 9 avec leur traduction opérationnelle.
3. Les 4 sorties obligatoires (clause 9.3.3)
La revue doit produire 4 décisions formelles. Toutes documentées dans le PV.
Opportunités d'amélioration continue
Exemple : Décision N°1 : démarrer le projet NIS2 conformité (entité importante) sur Q3 2026 — budget 8 k€ + 0,2 ETP.
Besoin de changement du SMSI
Exemple : Décision N°2 : élargir le périmètre du SMSI à l'équipe Marketing (ajout 5 personnes) à compter du 1er sept. 2026.
Besoin de ressources
Exemple : Décision N°3 : recruter un alternant cybersécurité au RSSI à partir de septembre 2026 (budget 18 k€ apprentissage).
Toutes les décisions issues du SMSI
Exemple : Décision N°4 : valider le risque résiduel R-007 (phishing) à 6/25 ; valider l'investissement EDR CrowdStrike pour 2027 ; renouveler le contrat assurance cyber.
4. Format de la réunion : 90-120 minutes idéales
Voici l'ordre du jour optimal pour une revue de direction efficace, basé sur les meilleures pratiques observées en audit COFRAC.
Ordre du jour optimal
Présents : DG (président), RSSI (animateur), DSI, RH, COO. Durée totale : 1h45 à 2h.
5. Le PV de revue de direction : modèle exact
Voici le PV minimum attendu par un auditeur COFRAC. Format Word, 2 à 4 pages, daté, signé.
Date : 14 mars 2026 · Lieu : visioconférence · Durée : 1h50 · Présents : Pierre Dupont (Président), Sandra Martin (DSI / RSSI), Marc Lefèvre (CTO), Julie Beaumont (RH), David Roca (COO) · Excusé : aucun · Animatrice : Sandra Martin
4 actions issues de la revue 2025 : 3 finalisées (déploiement MFA, formation phishing, audit fournisseur OVH), 1 reportée (consolidation logs SIEM, échéance Q3 2026).
NIS2 entrée vigueur 17/10/2024 — entité importante confirmée. Nouveau client BANCA-XYZ (50 k€/an). Cyber-assureur AXA hausse prime 40 %. Embauches : 4 développeurs Q1 2026.
Audit interne mai 2025 : 6 NC mineures, 4 closes, 2 en cours. Aucune NC majeure. Objectifs sécurité 2025 : 5/7 atteints (MFA 95 %, formation 100 %, restaurations testées 4/4) ; 2 partiels (taux phishing 82 % vs cible 90 %, sensibilisation tiers 60 % vs 100 %). Aucun incident sécurité enregistré sur la période.
Budget 2025 : 18,5 k€ outils + 8 k€ formation + 0,3 ETP RSSI = 60 k€ engagés. Réalisé : 64 k€ (dépassement 7 % EDR remplacé). Adéquation : satisfaisante mais charge RSSI à 110 %, recrutement alternant validé pour Q3 2026.
Audit client ACME : 0 NC. Audit fournisseur OVH : conforme. 0 plainte client RGPD. Enquête satisfaction interne : 8,2/10 sur clarté politiques sécurité.
Registre des risques : 18 risques actifs, score moyen 8/25 (bas par rapport à 11/25 en 2024). 3 risques élevés résiduels (R-001, R-002, R-006), tous validés en revue. Plan de traitement : 92 % des actions à échéance respectées.
NIS2 entité importante : projet conformité Q3-Q4 2026. SOC 2 Type II : envisagé pour 2027 (clients US). Élargissement périmètre Marketing : à étudier septembre.
- Décision 1 : Validation des 3 risques résiduels élevés (R-001, R-002, R-006) à leurs scores actuels.
- Décision 2 : Démarrage projet NIS2 Article 21 sur Q3-Q4 2026, budget 8 k€ + 0,2 ETP.
- Décision 3 : Recrutement alternant cybersécurité Q3 2026, budget 18 k€/an.
- Décision 4 : Renouvellement contrat assurance cyber AXA 2026 (couverture 750 k€, prime 19 k€).
- Décision 5 : Maintien du périmètre SMSI actuel pour 2026, ré-évaluation Q3 sur ajout équipe Marketing.
6. Les 4 vérités tacites de la revue de direction
Récapitulatif du chapitre 10
- Revue de direction obligatoire annuellement (clause 9.3).
- 9 entrées (clause 9.3.2) à couvrir explicitement dans le PV.
- 4 sorties (clause 9.3.3) avec décisions actées par la DG.
- Format optimal : 90-120 minutes, DG présent intégralement.
- Timing optimal : 4-6 semaines avant Stage 2 COFRAC.
- PV signé par la DG, daté, diffusé : document central de l'audit.
Vérifiez votre compréhension
Revue de direction faite. Vous êtes prêt pour la préparation finale au Stage 2 COFRAC.