Le jour J, ce qui se joue n'est plus
dans vos documents — c'est dans votre posture.
Vos documents sont prêts (chap. 1-11). Vos preuves sont rangées. Le DG est briefé. Le jour de l'audit, tout va se jouer en 16 heures sur 2 jours à coups de petits détails comportementaux. Ce dernier chapitre vous donne la timeline heure par heure et la posture qui transforme un audit risqué en audit serein.
« L'auditeur LRQA arrive. 9 heures pile. Costume, badge, ordinateur portable, café qu'il vient d'acheter en bas. Il me serre la main : "Bonjour Madame Martin. Vous avez bien dormi ?" Petit rire. Je sens qu'il évalue déjà. On démarre la réunion d'ouverture. 2 jours qui vont décider de 6 mois de travail. Je respire. J'ai préparé pendant 30 jours. Tout est prêt. »
Ce qui suit : le déroulé heure par heure que Sandra va vivre, les 3 moments critiques à savoir gérer, et comment encaisser une NC à chaud sans perdre le contrôle.
1. La timeline heure par heure d'un Stage 2 (2 jours)
Voici le déroulé typique d'un audit Stage 2 sur 2 jours pour une PME 30p. Les durées varient selon votre périmètre, mais l'enchaînement reste le même.
Jour 1 — Lundi
Jour 2 — Mardi
2. Les 3 moments critiques (où tout se joue)
Moment 1 : Réunion d'ouverture (30 min)
L'auditeur évalue votre maturité globale en 30 minutes. Si vous semblez préparé, organisé, calme → il sera moins tatillon. Si vous semblez approximatif → il creusera tout.
- Arriver 15 min avant
- Café servi, salle prête
- Tableau périmètre projeté à l'écran
- Tour de table structuré
- Stresser visiblement
- Hésiter sur le périmètre
- Demander de répéter les questions
Moment 2 : Pause déjeuner (1h30)
L'auditeur observe pendant le déjeuner. Il croise vos collaborateurs, voit l'ambiance, note les détails. Cette pause est aussi importante que les entretiens formels.
- Réserver un restaurant pas trop bruyant
- Inviter 2-3 personnes max
- Laisser parler l'auditeur
- Sujets neutres (actualité, technique)
- Forcer le sujet sécurité
- Boire de l'alcool
- Critiquer un employé
- Inviter le DG si pas dispo
Moment 3 : Réunion de clôture (1h)
L'auditeur annonce sa décision. Vous découvrez les NC, leur qualification (mineure/majeure), et la recommandation finale. Vous pouvez encore challenger des points.
- DG présent
- Prendre des notes précises
- Demander des clarifications
- Challenger respectueusement si désaccord factuel
- Argumenter sur tous les points
- Promettre de "tout corriger demain"
- Critiquer la méthode auditeur
- Demander l'indulgence
3. Comment réagir aux situations imprévues
Aucun audit ne se déroule comme prévu à 100 %. Voici les 5 situations imprévues les plus fréquentes et comment réagir.
4. Le langage du jour J (phrases à utiliser, à éviter)
Phrases à utiliser
- « Je vérifie et je vous reviens dans l'heure. »
- « C'est documenté dans [doc]. Je vous l'ouvre. »
- « Vous avez tout à fait raison, c'est un point que nous avons identifié et nous travaillons dessus. »
- « Voici le contexte : [3 phrases]. Voulez-vous que je creuse un point en particulier ? »
- « Cette pratique est nouvelle pour nous (mise en place [date]), nous l'évaluerons à la prochaine revue. »
- « J'aurais une question pour vous : avez-vous vu cette pratique fonctionner ailleurs ? » (utile parcimonieusement)
Phrases à éviter
- « On le fait, mais on ne l'a pas écrit. »
- « C'est en cours / on va le faire bientôt. » (sans date précise)
- « On n'a jamais eu de problème, donc... »
- « Tout le monde le sait, on n'a pas besoin de le documenter. »
- « Les autres clients que vous auditez font pareil ? »
- « Les normes, c'est trop strict, en pratique on adapte... »
5. La gestion des NC à chaud : challenger, accepter, négocier
En réunion de clôture, l'auditeur annonce ses constatations. Vous avez le droit de challenger respectueusement. Voici les 3 postures à connaître.
Challenger (poliment)
Si la NC repose sur une erreur factuelle de l'auditeur
"« Je note votre constatation, mais permettez-moi de revenir sur le fait : [tel élément que vous avez] prouve le contraire. Pourriez-vous le revoir avec moi ? »"
L'auditeur dit « pas de revue d'accès » et vous montrez le PV de revue trimestrielle.
Accepter
Si la NC est factuellement juste, même si désagréable
"« Je prends note. C'est juste. Voici notre plan d'action proposé : [3 phrases]. Date cible : [J+30]. »"
L'auditeur dit « politique mobile pas signée par 2 collaborateurs » → c'est vrai, vous corrigez.
Négocier la qualification
Si la NC est juste mais qualifiée trop sévèrement (mineure→majeure)
"« Je comprends votre constatation. Cependant, l'impact réel est limité parce que [argument]. Pouvons-nous la classer en mineure plutôt que majeure ? »"
Procédure incident pas testée mais existante et signée → mineure, pas majeure.
6. Les 4 vérités tacites du jour J
Récapitulatif du chapitre 12
- Stage 2 = 2 jours, 16 heures, déroulé prévisible heure par heure.
- 3 moments critiques : ouverture, déjeuner, clôture.
- En cas de question imprévue : "Je vérifie et je reviens dans l'heure".
- Challenger les NC majeures, accepter les mineures, négocier les qualifications.
- 3 challenges max sur l'ensemble de l'audit, pas plus.
- L'auditeur veut vous certifier — vous êtes sur le même bateau.
« Madame Martin, je recommande la délivrance du certificat ISO 27001:2022 à votre organisation. »
4 NC mineures relevées, 0 majeure. Toutes corrigeables en 30 jours. Le certificat sera émis sous 3-4 semaines après revue par le comité de certification LRQA. Validité : 3 ans avec audits de surveillance annuels.
Vous avez fini le guide ISO 27001 de l'Académie Kyrionn. 14 chapitres, ~270 minutes de lecture, le savoir-faire d'un Lead Implementer + RSSI senior compressé pour vous. Bonne route.
Vérifiez votre compréhension
Vous avez parcouru les 14 chapitres. Le quiz final couvre tout le guide — préparation examen Lead Implementer / certification self-paced.