Ce problème a un nom : vous avez construit un SMSI centré sur les annexes, pas sur les processus. Et c’est l’erreur la plus fréquente que nous corrigeons chez Transmute.
ISO 27001:2022 ne demande pas des fichiers. Elle demande un fonctionnement.
La version 2022 de la norme a renforcé quelque chose que la version 2013 laissait déjà entendre : la sécurité de l’information n’est pas un projet qu’on termine, c’est un système qui tourne en continu.
L’approche processus, c’est exactement ça. Elle part d’un constat simple : une activité qui a des entrées, produit des sorties, consomme des ressources et peut être mesurée, c’est un processus. Et un processus qu’on maîtrise, c’est un processus qui peut s’améliorer.
Exemple concret : prenez la gestion des accès. Vous pouvez avoir une politique d’accès de 12 pages. Mais si personne n’a défini qui déclenche la révocation quand un collaborateur quitte l’entreprise, dans quel délai, et comment on vérifie que c’est fait — vous avez un document, pas un processus. L’auditeur le verra. Et surtout, l’incident arrivera avant lui.
Les 4 questions que chaque processus doit savoir répondre
L’approche processus d’ISO 27001:2022 revient à poser systématiquement ces quatre questions sur chaque activité liée à votre SMSI :
Qui fait quoi ?
Les rôles et responsabilités sont explicites, pas implicites. « L’équipe IT » n’est pas une réponse — un nom de poste l’est.
À partir de quoi, pour produire quoi ?
Chaque processus a des entrées (une demande, un événement, une information) et des sorties vérifiables (une décision documentée, un ticket fermé).
Comment on sait que ça fonctionne ?
Un indicateur, même simple. Le taux de comptes désactivés dans les 24h après un départ. Sans mesure, pas de pilotage.
Comment on améliore ?
C’est le cœur de la roue PDCA (Planifier – Faire – Vérifier – Agir) sur laquelle repose toute la norme. Un processus jamais revu est un processus qui se dégrade.
Concrètement : à quoi ça ressemble dans votre SMSI ?
ISO 27001:2022 ne vous impose pas de cartographier 50 processus dans un tableur de 400 lignes. Elle vous demande d’identifier les processus qui ont un impact sur la sécurité de l’information dans votre contexte, et de les piloter sérieusement.
En pratique, pour une PME de 50 personnes, cela couvre généralement une dizaine de processus clés :
- Gestion des risques
- Contrôle d’accès
- Gestion des incidents
- Continuité d’activité
- Gestion des fournisseurs
- Sensibilisation des équipes
Pas plus. L’enjeu n’est pas l’exhaustivité — c’est la cohérence. Ce qui change avec l’approche processus, c’est que votre SMSI devient quelque chose que vos équipes utilisent au quotidien, pas quelque chose qu’elles subissent lors des audits.
Ce que ça change pour votre audit de certification
Un auditeur ISO 27001 expérimenté ne cherche pas à vérifier que vous avez des documents. Il cherche à comprendre si votre organisation fonctionne de manière sécurisée.
Il va poser des questions comme : « Comment gérez-vous concrètement la remontée d’un incident ? » ou « Montrez-moi comment vous avez appliqué votre processus de revue des accès le trimestre dernier. »
La différence entre une entreprise qui obtient sa certification et une qui échoue tient rarement à un écart technique sur un contrôle Annexe A. Elle tient presque toujours à la maturité de son approche processus.
Par où commencer ?
Si vous êtes en cours de démarche ISO 27001, ou si vous vous interrogez sur la solidité de votre SMSI existant, commencez par auditer vos processus de l’intérieur avant qu’un auditeur externe ne le fasse à votre place.
Les 10 actions prioritaires avant un audit ISO 27001
Validation des processus clés, preuves à constituer, points de vigilance des auditeurs — sans langue de bois.
Votre SMSI tient-il vraiment la route ?
Audit de maturité, revue de votre approche processus, accompagnement à la certification ISO 27001 : parlons de votre contexte.