L'audit interne, c'est la répétition générale
en moins risquée.
L'audit interne est obligatoire (clause 9.2) avant l'audit COFRAC. C'est aussi votre meilleur allié : il trouve les NC AVANT l'auditeur externe et vous laisse 30-60 jours pour les corriger. Une PME qui rate son audit interne rate quasi-toujours son audit externe.
« J'ai missionné un freelance certifié Lead Auditor pour faire mon audit interne à 6 semaines de l'audit COFRAC. 1 jour sur site, 2 jours de rapport. Tarif : 1 500 €. Il m'a trouvé 4 NC mineures que je vais corriger en 2 semaines. Il m'a aussi confirmé ce qui marche bien — et m'a montré comment l'auditeur externe va probablement formuler ses questions. Le meilleur investissement du projet. »
L'audit interne externalisé (« audit interne par un externe ») est la pratique standard des PME. Coût : 1 200 à 3 000 € pour 2-3 jours. ROI immense : un audit COFRAC réussi du premier coup vs un re-audit qui coûte 4-6 k€.
1. Pourquoi l'audit interne (clause 9.2)
La clause 9.2 d'ISO 27001:2022 dit : « L'organisation doit réaliser des audits internes à intervalles planifiés pour fournir des informations permettant de déterminer si le SMSI : (a) est conforme aux exigences propres de l'organisation et aux exigences ISO 27001 ; (b) est efficacement mis en œuvre et tenu à jour. »
L'audit interne sert 3 objectifs simultanés :
- 1Vérifier la conformitéVos documents et pratiques respectent-ils ISO 27001 ?
- 2Vérifier l'efficacitéVos contrôles produisent-ils les résultats attendus ?
- 3Préparer l'audit externeTrouver les NC AVANT le COFRAC pour les corriger.
2. Qui peut être auditeur interne (compétences + indépendance)
La clause 9.2 exige que l'auditeur interne soit compétent et indépendant du périmètre audité. Concrètement, voici les 3 options.
Un collaborateur qui n'est PAS dans l'équipe sécurité (ex: contrôleur de gestion, qualité, RH).
- Zéro coût externe
- Connaît le contexte interne
- Formation Lead Auditor ISO 27001 nécessaire (5 jours, 2 500 €)
- Risque de partialité (collègues)
Lead Auditor IRCA/PECB (certification ISO 27001 reconnue) en mission ponctuelle.
- Compétence garantie par certification
- Indépendance totale
- Apporte un benchmark
- Doit comprendre votre contexte rapidement
- Disponibilité variable
Cabinet spécialisé envoie un Lead Auditor + assistant.
- Expertise approfondie
- Méthode documentée
- Marque reconnue
- Coût élevé
- Souvent surdimensionné pour PME
3. Le programme d'audit interne (clause 9.2.2)
La clause 9.2.2 exige un programme d'audit interne planifié et documenté. Format : 1 page A4. Mis à jour annuellement.
Modèle de programme d'audit interne 2026
100 % du périmètre SMSI (clauses 4-10 + 93 contrôles Annexe A applicables)
1 audit complet par an + audits ciblés post-incident
Échantillonnage ciblé sur risques élevés + revue documentaire complète
ISO 27001:2022, ISO 27002:2022, exigences NIS2, RGPD applicables
| Date | Périmètre | Auditeur | Durée |
|---|---|---|---|
| 15-16 mai 2026 | Audit complet pré-COFRAC | Marc D. (freelance LA) | 2 j |
| 15 oct. 2026 | Audit ciblé : NC année N + nouveaux contrôles | Marc D. | 1 j |
4. Le déroulé d'un audit interne en 5 étapes
Préparation (J-15 à J-1)
4-8 heures- Auditeur reçoit la documentation : PSSI, SOA, registre risques, plan traitement, PV revue de direction N-1
- Préparation de la check-list d'audit (questions, points à vérifier)
- Planning entretiens : qui interview, sur quoi, à quelle heure
Réunion d'ouverture (J-Day, 30 min)
30 minutes- Présentation auditeur, périmètre, méthode, calendrier de la journée
- Tour de table avec les principaux interlocuteurs (DG, RSSI, DSI)
- Confirmation des règles : confidentialité, format des constatations
Audit terrain (J-Day, 4-12 heures)
4-12 heures sur 1-2 jours- Revue documentaire : vérification des documents fournis vs réalité
- Entretiens avec les acteurs : DG (5.1 leadership), DSI (8.x), RH (6.5 offboarding), métier
- Tests par échantillonnage : sortir des comptes au hasard, vérifier MFA, tester restauration
- Visite physique si applicable : badge, écrans propres, local serveur
Réunion de clôture (J-Day, 1 heure)
1 heure- Synthèse à chaud : forces relevées + non-conformités identifiées
- Discussion des constatations (l'audité peut contester avec arguments)
- Validation du périmètre couvert
Rapport (J+5 à J+15)
8-16 heures- Rapport formel : 5 à 15 pages, NC qualifiées (mineure/majeure), recommandations
- Plan d'action proposé pour chaque NC (mais pas validé par auditeur — c'est à vous)
- Diffusion : DG, RSSI, DSI minimum
5. Trouver des NC : c'est le BUT, pas l'échec
Beaucoup pensent : « si l'auditeur interne ne trouve rien, c'est qu'on est bons. » Faux. Un audit interne qui ne trouve aucune NC est un audit qui n'a pas cherché. La règle d'expérience : 3 à 8 NC mineures sont normales et même attendues.
0 NC trouvée
L'audit n'a pas creusé. L'auditeur a vu vos docs, vous a fait confiance, n'a pas testé. NC quasi-certaine en COFRAC.
Demander une 2e session avec un autre auditeur OU exiger des tests par échantillonnage.
3 à 8 NC mineures
C'est l'optimum. L'audit a creusé. Les NC sont corrigeables en 2-4 semaines. Vous arrivez en COFRAC en confiance.
Plan de remédiation par NC, owner, date. Toutes corrigées avant Stage 2.
9-15 NC mineures + 1-2 majeures
Audit honnête mais SMSI immature. Travail à faire avant le COFRAC.
Reporter le COFRAC de 2-3 mois si possible. Sinon, prioriser les majeures.
20+ NC ou 3+ majeures
SMSI pas prêt. L'audit interne le révèle ; c'est précisément son utilité.
Reporter le COFRAC de 6 mois minimum. Plan de remédiation profond.
6. Le rapport d'audit interne : format attendu
Voici la structure du rapport d'audit interne que les auditeurs COFRAC s'attendent à lire en Stage 1. Format : 5 à 15 pages, daté, signé.
Date(s) audit · Auditeur (nom, certification) · Périmètre · Référentiel · Document de mission · Personnes interviewées
Niveau de maturité global du SMSI · Forces relevées · Non-conformités (nombre + qualification) · Recommandation pour Stage COFRAC : prêt / à reporter / à approfondir
Documents revus · Échantillonnage utilisé · Tests réalisés · Limites de l'audit
Pour chaque NC : ID (NC-2026-01...), description précise, clause/contrôle non respecté, preuve constatée, qualification (mineure/majeure), risque associé, recommandation
3 à 8 points forts du SMSI (ce qui est mature, exemplaire, à conserver)
Liste des documents revus · Programme d'audit · Liste des entretiens · Plan d'action proposé
Auditeur : nom + signature · Date · Validation par le RSSI (accusé de réception) · Communication au DG
7. Les 4 vérités tacites de l'audit interne
Récapitulatif du chapitre 9
- Audit interne obligatoire avant tout audit COFRAC (clause 9.2).
- Auditeur compétent + indépendant du périmètre audité.
- Freelance certifié à 1 500 € = meilleur ROI pour PME.
- 3 à 8 NC mineures = audit interne réussi normal.
- Timing optimal : audit interne à J-45 du Stage 2 COFRAC.
- Rapport doit citer forces ET non-conformités (jamais que des NC).
Vérifiez votre compréhension
Audit interne fait. Reste la revue de direction (chapitre 10) avant le COFRAC.