Sans mesure, votre SMSI est aveugle.
Voici comment voir.
Les clauses 9.1 (surveillance et mesure) et 10 (amélioration continue) sont la 2e cause majeure d'échec en audit COFRAC. Pourquoi ? Parce qu'on les sous-estime. Ce chapitre vous donne ce qu'il faut mesurer, comment construire le tableau de bord SMSI, et comment lever une NC majeure post-audit en 90 jours.
« Le DG me regarde : "Sandra, on a déployé MFA, EDR, sauvegardes, formation… comment on PROUVE que ça marche ?" Bonne question. J'ai tous les outils, mais aucun tableau de bord. Aucune métrique consolidée. Aucune tendance. Si l'auditeur me demande "Quel est votre taux de couverture MFA ce trimestre ?" je dois aller chercher dans Entra ID et calculer manuellement. Inacceptable. »
Sans tableau de bord, l'auditeur va creuser. Avec, il avance. Ce chapitre vous donne le tableau de bord exact attendu et les 8 KPIs qui suffisent.
1. Clause 9.1 — Surveillance, mesure, analyse, évaluation
La clause 9.1 d'ISO 27001:2022 dit littéralement : « L'organisation doit déterminer : (a) ce qui doit être surveillé et mesuré, (b) les méthodes de surveillance, mesure, analyse et évaluation pour s'assurer de la validité des résultats, (c) quand effectuer la surveillance et la mesure, (d) qui doit surveiller et mesurer, (e) quand analyser les résultats, (f) qui doit analyser. »
Concrètement, vous devez répondre par écrit à 6 questions :
QUOI mesurer
Taux MFA, taux phishing, NC ouvertes, formations à jour, tests sauvegarde, etc.
COMMENT mesurer
Source des données : Entra ID, KnowBe4, registre NC interne, etc.
QUAND mesurer
Mensuel pour MFA, trimestriel pour formations, annuel pour audit interne.
QUI mesure
RSSI pour la consolidation, DSI pour les KPIs techniques, RH pour formations.
QUAND analyser les résultats
Revue mensuelle (RSSI), trimestrielle (CODIR), annuelle (revue de direction).
QUI analyse
RSSI synthétise, CODIR commente, DG décide actions correctives.
2. QUOI mesurer : les 8 KPIs SMSI essentiels pour PME
Ne mesurez pas tout. Mesurez ce qui compte. Voici les 8 KPIs que les auditeurs COFRAC regardent en priorité pour une PME 10-100p.
Taux de couverture MFA
Pourcentage des comptes ayant la MFA activée
Taux de réussite phishing simulée
% utilisateurs n'ayant PAS cliqué sur le lien piège
Délai moyen de désactivation comptes (offboarding)
Temps entre demande RH et révocation effective
Taux de tests de restauration de sauvegardes réussis
% de tests qui aboutissent vs planifiés
Nombre de NC ouvertes (mineures et majeures)
Stock de NC actives à date
Délai moyen de patch des vulnérabilités critiques
Temps entre publication CVE critique et patch déployé
Nombre d'incidents sécurité (et MTTR)
Volume incidents + délai moyen de résolution
Taux de formation à la sécurité à jour
% collaborateurs ayant fait la formation annuelle
3. Le tableau de bord SMSI : modèle exact
Voici le tableau de bord mensuel attendu en audit COFRAC. Format : 1 page Excel, présenté à l'auditeur en 30 secondes.
| KPI | Cible | Janv. | Févr. | Mars | Avr. | Tendance |
|---|---|---|---|---|---|---|
| MFA admin | ≥95% | 92% | 95% | 97% | 98% | ↗ ✓ |
| MFA utilisateurs | ≥90% | 78% | 82% | 88% | 92% | ↗ ✓ |
| Phishing simulé (réussite) | ≥85% | 74% | — | — | 88% | ↗ ✓ |
| Délai offboarding moyen | <4h | 6h | 4h | 3h | 3h | ↗ ✓ |
| Tests sauvegarde réussis | 100% | — | — | 100% | — | ✓ Q1 |
| NC ouvertes (min/maj) | <5/0 | 7/0 | 5/0 | 4/0 | 3/0 | ↘ ✓ |
| MTTP critique CVSS≥9 | <7j | 12j | 8j | 5j | 5j | ↘ ✓ |
| Formation sécurité à jour | ≥95% | 88% | 92% | 94% | 96% | ↗ ✓ |
4. Clause 10.1 — Non-conformité et action corrective
La clause 10.1 d'ISO 27001:2022 demande que chaque NC soit traitée avec un processus rigoureux. Ce processus s'applique aux NC trouvées en audit interne, externe (COFRAC), ou détectées par vous-même.
Le registre des NC : modèle exact
| ID | Description | Source | Type | Cause racine | Action | Owner | Échéance | Statut |
|---|---|---|---|---|---|---|---|---|
| NC-2026-01 | Revue accès Q1 retardée 6 sem. | Audit interne mai | Mineure | Calendrier non automatisé | Alerte auto J-7 | RSSI | 2026-06-30 | En cours |
| NC-2026-02 | 2 collaborateurs sans signature PSSI | Audit interne mai | Mineure | Process onboarding incomplet | Checklist + relance auto | RH | 2026-06-15 | Closed |
| NC-2026-03 | Pas de test PRA depuis 14 mois | Auto-détection | Mineure | Pas de calendrier formalisé | Calendrier trim. + ticket | DSI | 2026-06-30 | En cours |
3 erreurs fréquentes sur le registre des NC :
- Cause racine non analysée (« Action corrective : faire mieux ») — il faut comprendre POURQUOI la NC s'est produite.
- Action corrective sans owner ni date précise → NC qui traîne pendant 2 ans.
- NC fermée sans vérification d'efficacité — la NC se reproduit 6 mois plus tard.
5. Le cycle de vie d'une NC en 5 étapes
Détection
Audit interne, audit externe, auto-détection, plainte client. Saisie immédiate dans le registre.
Analyse cause racine
Méthode des 5 pourquoi ou Ishikawa. Pas de "ça arrive" — chercher la vraie cause.
Action corrective
Définir l'action, owner, échéance. Communiquer aux concernés.
Mise en œuvre
Owner exécute. Suivi hebdo si NC majeure, mensuel si mineure.
Vérification + clôture
Le RSSI vérifie que la NC ne se reproduit pas (cycle de 1-3 mois). Clôture formelle dans le registre.
6. Lever une NC majeure post-audit COFRAC : les 90 jours pour s'en sortir
Si l'auditeur COFRAC trouve une NC majeure en Stage 2, vous n'obtenez PAS le certificat le jour J. Mais vous avez 90 jours pour la lever. Voici la procédure.
Plan d'action 90 jours pour lever une NC majeure
Recevoir le rapport d'audit avec la NC majeure formalisée. Le lire 2 fois. Comprendre exactement ce qui est reproché.
Réunion de cadrage : DG + RSSI + DSI. Décider du plan d'action. Communiquer à l'organisme certificateur que vous engagez la remédiation.
Plan d'action détaillé envoyé à l'organisme : actions, owners, dates, preuves prévues. L'auditeur valide ou demande compléments.
Démarrage des actions. Mises à jour hebdomadaires au RSSI. Documentation des changements (preuves dans le coffre-fort).
Toutes les actions sont terminées. Vous fournissez les preuves à l'organisme.
L'auditeur revient (visite courte 0,5 - 1 jour) pour vérifier les preuves sur place. C'est l'audit de remédiation.
L'auditeur statue : NC levée → certificat délivré. NC non levée → certif refusée, retour à zéro.
7. Clause 10.2 — Amélioration continue et cycle PDCA
La clause 10.2 demande que votre SMSI s'améliore en permanence, pas juste à chaque audit. Le cycle PDCA (Plan-Do-Check-Act, ou Deming) est la méthode universelle.
Plan
Définir les objectifs et les actions à mener. Par ex. : « Ce trimestre on déploie l'EDR sur tous les postes. »
Voir clauses 6.1 et 6.2
Do
Mettre en œuvre les actions. Le DSI déploie effectivement l'EDR.
Voir clauses 7 et 8
Check
Mesurer le résultat. Le KPI montre que 95 % des postes ont l'EDR opérationnel.
Voir clauses 9.1, 9.2, 9.3
Act
Si OK : standardiser. Si KO : corriger et recommencer. Pour les 5 % manquants : enquête + déploiement forcé.
Voir clause 10
8. Les 4 vérités tacites de la surveillance et amélioration
Récapitulatif du chapitre 14
- Clause 9.1 : 6 questions à formaliser (quoi, comment, quand, qui mesure / quand, qui analyse).
- 8 KPIs SMSI essentiels pour PME (MFA, phishing, offboarding, sauvegardes, NC, MTTP, incidents, formations).
- Tableau de bord 1 page Excel mensuel, lisible en 30 secondes.
- Clause 10.1 : registre des NC + cycle 5 étapes (détection → cause racine → action → mise en œuvre → vérification).
- 90 jours pour lever une NC majeure post-COFRAC, sinon recommencer toute la certif.
- Clause 10.2 (PDCA) : structure complète de la norme, à mentionner explicitement en revue de direction.
Vous avez désormais TOUT ce qu'il faut pour mener votre certification ISO 27001:2022 en autonomie.
De « pourquoi » jusqu'au « jour J », du choix du certificateur jusqu'au cycle PDCA : le guide vous a tenu la main du débutant absolu jusqu'au certificat. Si vous suivez les chapitres dans l'ordre, vous avez 95 % de chances d'obtenir votre certificat du premier coup.
Pour aller plus vite et éviter le manuel : démarrez avec Kyrionn (Plan Découverte gratuit, sans CB).
Vérifiez votre compréhension
Le quiz final couvre l'ensemble du guide (14 chapitres). Réussir = vous êtes prêt à démarrer votre projet de certification.