L'audit COFRAC se gagne en J-30.
Tous les autres font du rattrapage.
Si vous arrivez préparé, l'audit est presque agréable — vous démontrez votre travail, l'auditeur valide. Si vous arrivez improvisé, l'audit devient un interrogatoire stressant qui révèle vos failles. Ce chapitre vous donne le plan de bataille des 30 jours qui précèdent.
« L'auditeur LRQA m'a envoyé son plan d'audit hier soir. Stage 1 le 12 mai (1 jour à distance, il lit nos docs). Stage 2 le 27-28 mai (2 jours sur site, interviews + visite). 30 jours pour me préparer. J'ai relu le rapport de mon audit interne (4 NC mineures), j'ai un plan d'action pour les 4. Mais je ne sais pas si j'ai prévu tout le reste. Par où je commence ? »
Ce chapitre est exactement la check-list dont Sandra a besoin — appliquée à n'importe quel audit ISO 27001 de PME 10 à 250 personnes.
1. Le déroulé : Stage 1 vs Stage 2 (les bases)
Tout audit de certification ISO 27001 se passe en 2 étapes, à 2 à 4 semaines d'intervalle. Comprendre la différence est crucial : on ne se prépare pas pareil.
Stage 1 — Lecture documentaire
L'auditeur lit toute votre documentation (PSSI, SOA, plan de traitement, registre des risques, rapport audit interne, PV revue de direction). Il vérifie que les fondements écrits sont là. Il vous donne ses observations à corriger avant Stage 2.
« Go / No-go » pour Stage 2. Si la doc est trop faible, l'auditeur reporte Stage 2. Vous avez payé Stage 1 pour rien et vous repayez plus tard.
Stage 2 — Audit terrain
L'auditeur vérifie que la réalité opérationnelle correspond aux documents. Il interviewe vos collaborateurs, demande à voir des écrans, fait sortir des comptes d'AD au hasard, vérifie des preuves prises au hasard dans la SOA.
Le certificat ! Au pire, des NC à corriger sous 90 jours pour finalement l'obtenir. Au mieux, un certificat délivré sous 30 jours.
2. Les 7 documents que l'auditeur lit AVANT de venir
Avant le Stage 1, l'auditeur reçoit votre dossier documentaire. Voici les 7 documents qu'il lit dans cet ordre. Préparez-les dans cet ordre, et la cohérence de votre dossier sera évidente.
Document de périmètre
1 à 2 pagesCe que l'auditeur vérifie : Cohérence organisationnelle / fonctionnelle / technique. Exclusions justifiées.Voir chapitre 3.
PSSI (Politique de Sécurité du SI)
5 à 15 pagesCe que l'auditeur vérifie : Datée, signée par DG, en accord avec le périmètre. Diffusée aux collaborateurs (preuve).
Registre des risques
1 fichier Excel ou toolCe que l'auditeur vérifie : Méthode déclarée (EBIOS RM ou ISO 27005). Couples menace × actif × impact. Niveau de risque calculé.
Plan de traitement des risques
1 fichierCe que l'auditeur vérifie : Pour chaque risque : décision (réduire / accepter / transférer / éviter), action, responsable, date cible.
SOA — Statement of Applicability
1 fichier (93 lignes)Ce que l'auditeur vérifie : Pour chacun des 93 contrôles : Inclus/Exclu, justification, état d'implémentation, preuve.Voir chapitre 7.
Rapport d'audit interne
5 à 10 pagesCe que l'auditeur vérifie : Date < 6 mois avant Stage 2. Trouve typiquement 3-8 NC mineures. Plan d'action des NC documenté.
PV de revue de direction
2 à 4 pagesCe que l'auditeur vérifie : Date < 12 mois avant Stage 2. Présents : DG, RSSI/DSI. Aborde les 9 points obligatoires (clause 9.3).
3. J-30 : la checklist de préparation par catégorie
30 jours avant le Stage 2, lancez les 4 chantiers en parallèle. Si vous attendez d'avoir fini un chantier pour démarrer le suivant, vous serez à court de temps.
Documentation
- Vérifier que les 7 documents listés en section 2 sont à jour et signés
- Tester les hyperliens entre documents (le lien SOA → preuve doit fonctionner)
- Faire relire par un pair externe (autre RSSI, freelance) — 2h suffisent
- Préparer un sommaire qui pointe vers chaque document (1 page d'index)
- Imprimer la PSSI signée pour la remettre en main propre à l'auditeur
Équipe (le plus négligé)
- Lister les 8 à 12 personnes qu'il rencontrera (DG, DSI, RSSI, devs, commerciaux, RH)
- Briefer chaque personne (15 min/personne) : son rôle dans le SMSI + 3 questions probables
- Désigner 1 « pilote » qui accompagne l'auditeur en permanence
- Réserver les agendas (auditeur réclame le DG 30 min minimum)
- Briefer le DG : « répétition générale » 1 h en J-3
Preuves opérationnelles
- Sortir de chaque outil un extrait à jour (AD : liste comptes actifs ; M365 : log MFA ; GitHub : protections de branche ; sauvegardes : dernier rapport de test)
- Préparer la « liste des comptes ayant quitté » sur les 6 derniers mois (datée, signée)
- Avoir les 3 derniers rapports Pentest / scan vulnérabilités sous la main
- Préparer les contrats clés : DPA M365, contrat OVH, NDA freelances
- Avoir le PV du dernier exercice PRA / PCA daté < 12 mois
Logistique sur site
- Réserver une salle dédiée à l'auditeur (pas un open space, il a besoin de calme)
- Wifi avec un compte invité dédié (pas votre wifi corporate !)
- Un PC qu'il peut utiliser si besoin (avec un compte « auditeur » read-only)
- Imprimante accessible (l'auditeur imprime parfois)
- Plan de l'étage (l'auditeur visite parfois le local serveur, l'archivage papier...)
4. J-7 : la répétition générale (la marche secrète des certifiés)
7 jours avant l'audit, faites une répétition générale — exactement comme un plaidoyer avocat ou une keynote. C'est la pratique des entreprises qui passent en première tentative. Sans ça, vous improviserez en pleine audit, et l'improvisation rate.
Programme de la répétition générale (3 h, J-7)
Tour de table : qui parle de quoi devant l'auditeur. Un seul interlocuteur principal par sujet.
Démo écran : montrer la matrice des accès, le journal des incidents, le tableau de bord SOA. Si ça lague ou si on hésite, on note pour préparation.
Simulation interview DG : le RSSI joue l'auditeur, le DG répond. Les 5 questions classiques (cf. section 5).
Simulation interview tech : un dev raconte sa journée type, comment il accède aux serveurs, comment il sait ce qu'il a le droit de faire.
Simulation interview RH : "Comment retirez-vous les accès quand un collaborateur part ?" — la procédure, pas la théorie.
Simulation incident : "Vous découvrez un incident à 22h un vendredi. Que faites-vous ?" Démo PIC + scenario.
Audit du local : visite du local serveur, des armoires, des badges. Vérifier qu'aucun post-it avec mot de passe ne traîne.
Audit des écrans : tour des bureaux. Aucun écran déverrouillé sans utilisateur. Stylos confidentiels rangés.
Lecture finale : relire la SOA et la PSSI à voix haute, à 2 personnes. Toute incohérence = correction immédiate.
5. Les 7 questions classiques de l'auditeur (et les bonnes réponses)
Sur 100 audits ISO 27001 PME, ces 7 questions tombent dans 95 % des cas. Préparez les réponses par cœur. Une réponse hésitante prolonge l'audit ; une réponse nette le clôt.
« Voici. 12 départs sur la période. Pour chacun : date départ RH, date désactivation AD, date retrait Slack/M365/GitHub. Délai moyen : 4 h. Le plus long délai : 28 h (départ le vendredi 18h, désactivation le lundi 8h). C'est documenté dans notre journal offboarding. »
"« Heu... il faut que je regarde. »"
« Risque R-007, score 16/25 : compromission du compte admin AWS de production (fournisseur SaaS). Décision : réduire. Actions : MFA TOTP imposée + Just-In-Time access via 1Password + alertes anomalies sur Datadog + revue trimestrielle. Risque résiduel : 6/25, accepté en revue de direction du 14 mars. »
"« On a... le ransomware ? »"
« On suit notre PIC. Astreinte tech notifiée par PagerDuty. Triage en 15 min. Si critique, RSSI réveillé. Notification clients sous 2h si impact. Notification CNIL sous 72h si données personnelles. Notification ANSSI sous 72h si on est NIS2 (on l'est). Voir PIC v2.1 et le journal des 3 derniers incidents. »
"« On... gère ? »"
« Restauration testée trimestriellement, dernière le 14 mars 2026, restauration partielle réussie en 47 minutes, attestation signée par le DSI. Procédure : on prend un jeu de données aléatoire, on le restaure dans un environnement isolé, on vérifie l'intégrité. Voir rapport TEST-PRA-2026-Q1.pdf. »
"« On a Veeam, ça marche tout seul. »"
« Onboarding sécurité obligatoire à l'embauche (1h, présentiel ou e-learning, signé). Rappel annuel sous forme de campagne phishing simulée + module e-learning 30 min. Taux de réussite phishing simulée Q1 2026 : 87 %. Retoqués : module supplémentaire de 15 min. Voir registre kyrionn-formations.xlsx. »
"« On envoie un mail tous les ans. »"
« Voici. Date : 14 mars 2026. Présents : DG, COO, RSSI, DSI. Ordre du jour : retours d'expérience N-1, performance des contrôles, NC ouvertes, incidents période, évolution risques, opportunités, recommandations, décisions, budget. Signé par le DG. Prochaine revue programmée le 14 septembre. »
"« On... a discuté en réunion. »"
« 4 NC mineures détectées en audit interne (mai). NC-01 : revue accès retardée de 2 mois → procédure renforcée + alerte automatique. NC-02 : 1 sauvegarde non testée → ajout au calendrier trimestriel. NC-03 : politique mobile pas signée par 2 collaborateurs → signature relancée et obtenue. NC-04 : preuves SOA dépassées de 2 contrôles → mises à jour. Toutes les 4 sont closes. »
"« Aucune ! Tout est parfait chez nous. »"
6. NC mineure vs NC majeure : ce qui se passe vraiment
NC = Non-Conformité. À l'issue de Stage 2, l'auditeur peut en relever. Comprendre la différence est crucial pour ne pas paniquer si vous en avez.
NC mineure
NC majeure
7. Les 5 erreurs qui font fail un audit Stage 2
8. La liste exhaustive des 22 documents obligatoires ISO 27001:2022
ISO 27001:2022 exige formellement 22 documents (au minimum). Si l'un d'eux manque, NC mineure ou majeure selon la criticité. Voici la liste complète avec la clause qui le rend obligatoire et la longueur typique attendue.
| # | Document | Clause | Format |
|---|---|---|---|
| 1 | Document de périmètre du SMSI | 4.3 | 1-2 p A4 |
| 2 | Document de contexte (enjeux + parties intéressées) | 4.1, 4.2 | 2-3 p A4 |
| 3 | PSSI signée par la direction | 5.2 | 5-15 p A4 |
| 4 | Définition des rôles et responsabilités (RACI) | 5.3 | 1 p Excel |
| 5 | Méthode d'appréciation des risques | 6.1.2 | 2-3 p A4 |
| 6 | Registre des risques avec scores | 6.1.2 | Tableur |
| 7 | Plan de traitement des risques | 6.1.3 | Tableur |
| 8 | SOA — Déclaration d'applicabilité (93 contrôles) | 6.1.3.d | Tableur |
| 9 | Objectifs de sécurité SMART | 6.2 | 1-2 p A4 |
| 10 | Registre des changements importants (nouveau 2022) | 6.3 | Tableur |
| 11 | Document de compétences requises (RSSI, équipe sécu) | 7.2 | 1-2 p A4 |
| 12 | Programme de formation et sensibilisation | 7.3, A.6.3 | 1 p A4 |
| 13 | Registre des formations effectuées | 7.3 | Tableur |
| 14 | Programme de communication SMSI (interne et externe) | 7.4 | 1 p A4 |
| 15 | Procédure de gestion des documents (versionnage, accès) | 7.5 | 2-3 p A4 |
| 16 | Procédure de gestion des incidents (PIC) | A.5.24-26 | 5-8 p A4 |
| 17 | Plan de continuité d'activité (PCA / PRA-TIC) | A.5.29-30 | 8-15 p A4 |
| 18 | Programme de mesure (clause 9.1) + tableau de bord SMSI | 9.1 | 1-2 p + tableur |
| 19 | Programme d'audit interne + rapports d'audit | 9.2 | 1 p + 5-15 p |
| 20 | PV de revue de direction | 9.3 | 2-4 p A4 |
| 21 | Registre des non-conformités et actions correctives | 10.1 | Tableur |
| 22 | Politiques détaillées (mots de passe, accès, BYOD, télétravail, etc.) | Annexe A | 1 p / sujet |
9. Après le certificat : le cycle 3 ans (à anticiper dès le début)
Le certificat ISO 27001 est valide 3 ans. Mais entre-temps, vous passerez par 2 audits de surveillance (annuels) et 1 audit de recertification (à 3 ans). Voici le cycle.
Audit de surveillance #1
Échantillonnage : 2-3 contrôles seulement, focus sur les NC année N-1, vérif des KPIs SMSI.
Audit de surveillance #2
Idem année 1. Vérification que le SMSI vit (KPIs, NC, revue de direction tenue).
Audit de recertification
Audit complet (toutes clauses + Annexe A intégrale). Si succès : nouveau certificat 3 ans.
10. Les 4 vérités tacites du jour J
Récapitulatif du chapitre 11
- Audit en 2 étapes : Stage 1 documentaire (1 jour, à distance) puis Stage 2 terrain (2 à 4 jours sur site).
- 7 documents à préparer dans l'ordre logique pour montrer la cohérence.
- En J-30, lancer 4 chantiers en parallèle : documentation, équipe, preuves opérationnelles, logistique.
- En J-7, faire la répétition générale (3 h) avec simulation.
- Préparer les 7 questions classiques — elles tombent dans 95 % des audits.
- 2-5 NC mineures = audit réussi normal. 0 NC majeure = certificat.
- 22 documents obligatoires à avoir au complet (PSSI, SOA, registres…).
- Cycle 3 ans : audit surveillance N+1, N+2, recertif N+3 — budget total 15-18 k€.
Vérifiez votre compréhension
Vous avez parcouru les chapitres 1, 3, 7 et 11 — la colonne vertébrale du guide. Le chapitre 12 (« Le jour J ») est à venir, ainsi que les chapitres 2, 4, 5, 6, 8, 9, 10.