Thomas Ferreira, CISSP — La certification ISO 27001 est devenue un critère de sélection dans les appels d’offres français et européens. Mais l’obtenir suppose de passer un audit où l’auditeur vérifie, preuves à l’appui, que vos collaborateurs sont réellement sensibilisés aux risques de sécurité. La clause 7.3, le contrôle A.6.3, le contrôle A.5.7 — ces exigences ne se satisfont pas avec une vidéo de formation cochée une fois par an. Voici ce que votre auditeur attend et comment le produire sans effort administratif supplémentaire.
Ce que ISO 27001 exige pour la sensibilisation
La norme ISO/IEC 27001:2022 structure ses exigences de sensibilisation sur trois niveaux qui se complètent.
Clause 7.2 — Compétence
La clause 7.2 porte sur la compétence des personnes dont le travail affecte les performances de sécurité de l’organisation. Elle exige de déterminer les compétences nécessaires, de s’assurer que les personnes les possèdent (via formation, tutorat ou recrutement), et de conserver des preuves documentées.
Pour la cybersécurité, cela signifie identifier les rôles à risque — direction financière, responsables accès systèmes, équipes IT — et démontrer que ces personnes ont reçu une formation adaptée à leurs responsabilités spécifiques. Un comptable qui valide des virements et un développeur qui déploie du code n’ont pas le même profil de risque et ne doivent pas recevoir la même formation.
Clause 7.3 — Sensibilisation
C’est le cœur des exigences de sensibilisation. La clause 7.3 exige que toutes les personnes travaillant sous le contrôle de l’organisation soient sensibilisées à trois éléments précis :
- La politique de sécurité de l’information — les collaborateurs doivent la connaître et comprendre ce qu’elle leur demande
- Leur contribution individuelle à l’efficacité du système de management de la sécurité de l’information (SMSI) — chaque personne doit savoir comment ses actions affectent la sécurité collective
- Les conséquences du non-respect — ce qui arrive quand les règles ne sont pas respectées, y compris les conséquences disciplinaires et les impacts pour l’organisation
La clause couvre aussi les prestataires et sous-traitants ayant accès à vos systèmes. Elle ne se limite pas aux salariés.
Contrôle A.6.3 — Sensibilisation, éducation et formation à la sécurité de l’information
L’Annexe A d’ISO 27001:2022 liste les contrôles de sécurité sélectionnables selon l’analyse de risques. Le contrôle A.6.3 est le plus directement lié à la formation :
Le personnel de l’organisation et les parties intéressées, selon ce qui est approprié, doivent recevoir une sensibilisation, une éducation et une formation appropriées en matière de sécurité de l’information, ainsi que des mises à jour régulières de la politique de sécurité de l’information et des procédures applicables à leur rôle.
Le mot « appropriées » est important. L’auditeur vérifie que la formation est adaptée au rôle de chaque collaborateur, pas identique pour tout le monde. Les scénarios de simulation de phishing adaptés au métier — fausse facture pour la comptabilité, faux portail RH pour les équipes, faux ordre interne pour les dirigeants — répondent directement à cette exigence.
Contrôle A.5.7 — Veille sur les menaces (Threat Intelligence)
Nouveau dans la version 2022, ce contrôle exige que l’organisation collecte et analyse des informations sur les menaces pour adapter ses contrôles. Pour la sensibilisation, cela se traduit par des scénarios de simulation basés sur les attaques réellement observées — spear phishing, BEC, quishing — plutôt que sur des exemples génériques.
L’ANSSI publie un panorama annuel de la cybermenace qui liste les vecteurs d’attaque les plus utilisés contre les entreprises françaises. Les adapter à vos simulations constitue une démonstration concrète de conformité au contrôle A.5.7.
Comment l’auditeur vérifie la conformité
L’audit de stage 2 est l’épreuve réelle. Après avoir examiné votre documentation au stage 1, l’auditeur vient vérifier que le SMSI est effectivement mis en œuvre — pas seulement décrit dans des procédures.
Ce que l’auditeur observe lors du stage 2
Les registres de formation individuels. L’auditeur demande la liste de tous les collaborateurs et vérifie que chacun dispose d’une trace de formation datée. Pour chaque nouveau recrutement des 12 derniers mois, il vérifie que la sensibilisation a eu lieu pendant la période d’intégration. Un registre sans date ni collaborateur identifié n’est pas une preuve de conformité.
Les résultats des campagnes de simulation. Les métriques attendues sont précises :
- Taux de clic par campagne et son évolution dans le temps
- Taux de signalement des emails suspects
- Couverture des effectifs (pourcentage de collaborateurs inclus dans chaque campagne)
- Résultats des modules de formation post-simulation
Les indicateurs d’amélioration continue. ISO 27001 repose sur le cycle PDCA — Plan, Do, Check, Act. L’auditeur ne cherche pas la perfection : il cherche la progression. Un taux de clic qui passe de 38 % à 11 % sur six campagnes démontre que le programme fonctionne. Un programme qui ne mesure rien, ou dont les résultats stagnent sans action corrective, génère une non-conformité.
Les preuves d’intégration dans la revue de direction. La clause 9.3 d’ISO 27001 exige que la direction revoit le SMSI régulièrement. Les résultats du programme de sensibilisation doivent figurer dans les entrées de cette revue (clause 9.3.2). L’auditeur demande le compte rendu de revue de direction et vérifie que les données de sensibilisation y sont mentionnées, avec les décisions prises.
Les interviews directes. L’auditeur interroge des collaborateurs tirés au sort — pas seulement l’équipe IT. Il pose des questions simples : « Que faites-vous si vous recevez un email suspect ? » ou « Où est la politique de sécurité de votre entreprise ? ». Des collaborateurs qui ne savent pas répondre signalent une sensibilisation insuffisante, même si les registres de formation sont remplis.
Les non-conformités les plus fréquentes sur la sensibilisation
D’après les rapports d’audit publiés par l’AFNOR Certification et le BSI, les non-conformités récurrentes sur la clause 7.3 portent sur :
- L’absence de preuve pour les prestataires et sous-traitants ayant accès aux systèmes
- Des formations sans mesure d’efficacité — on forme, mais on ne sait pas si cela change les comportements
- Aucune sensibilisation documentée pour les collaborateurs embauchés dans les 6 derniers mois
- Des résultats de simulation qui montrent une dégradation sans plan d’action correctif documenté
ISO 27001 vs SOC 2 : quelle certification choisir
La question revient dans chaque projet de certification : ISO 27001 ou SOC 2 ? Les deux cadres exigent un programme de sensibilisation, mais ils ne s’adressent pas aux mêmes marchés.
Les différences structurelles
ISO 27001 est une norme internationale publiée par l’ISO et la CEI. Elle délivre une certification formelle valable 3 ans, avec des audits de surveillance annuels. L’auditeur est un organisme de certification accrédité (COFRAC en France pour l’accréditation des organismes). La certification couvre l’ensemble du SMSI.
SOC 2 est un cadre d’audit américain de l’AICPA (American Institute of Certified Public Accountants). Il produit un rapport d’attestation — pas une certification. Il n’y a pas de validité formelle : le rapport couvre une période d’observation (Type II : 6 à 12 mois). L’auditeur est un cabinet comptable (CPA) agréé.
Quelle reconnaissance en France
ISO 27001 est demandé dans les appels d’offres publics français, les marchés de l’Union européenne, et la plupart des contrats B2B où la gestion de données sensibles est en jeu. Les régulateurs européens — ANSSI, CNIL, ACPR — la reconnaissent explicitement.
SOC 2 est demandé par les clients américains, les fonds d’investissement américains lors des due diligences, et les marchés SaaS nord-américains. En dehors de ce contexte, son impact commercial en France est limité.
Le choix pour une PME française
Si votre clientèle est française ou européenne : commencez par ISO 27001. La norme couvre les exigences de la directive NIS2 et du règlement RGPD sur la sécurité organisationnelle, et elle s’obtient une fois pour toutes (avec les audits de surveillance).
Si vous avez des clients américains ou si vous commercialisez un produit SaaS aux États-Unis : ajoutez SOC 2 dans un second temps. Certaines entreprises obtiennent les deux, mais dans cet ordre.
Dans les deux cas, un programme de sensibilisation documenté avec des métriques mesurables satisfait les exigences de sensibilisation des deux cadres. Les données produites par nophi.sh sont utilisables pour ISO 27001 (clause 7.3, A.6.3) et SOC 2 (critère CC1.4 — Awareness and Communication).
Le coût d’une certification ISO 27001 pour une PME
La certification ISO 27001 représente un investissement, pas une dépense. Mais il faut anticiper les montants avec précision pour piloter le projet correctement.
La fourchette réaliste pour les PME françaises
Pour une PME de 20 à 150 salariés sans SMSI existant, les chiffres observés sur le marché français se situent dans ces fourchettes :
| Poste de dépense | Fourchette première année |
|---|---|
| Consultant accompagnement (gap analysis, mise en place SMSI, préparation audit) | 20 000 – 80 000 € |
| Audit de certification stage 1 + stage 2 (organisme accrédité) | 8 000 – 20 000 € |
| Outils (gestion des risques, sensibilisation, documentation SMSI) | 3 000 – 15 000 €/an |
| Temps interne (responsable projet, direction, IT) | 30 – 100 jours/homme |
| Total première année | 50 000 – 200 000 € |
| Audits de surveillance annuels (années 2 et 3) | 5 000 – 12 000 €/an |
Les facteurs qui font varier le coût : la taille du périmètre certifié, la maturité existante (une entreprise qui a déjà des politiques formalisées, un annuaire d’entreprise et du MFA réduit le délai et le coût consultant), et le choix de l’organisme de certification.
Le retour sur investissement
La certification ISO 27001 produit un ROI mesurable sur trois axes.
Accès aux marchés fermés. Un nombre croissant d’appels d’offres publics et privés exigent la certification ISO 27001 comme condition de participation. Pour une PME qui se retrouve éliminée d’un appel d’offres sans certification, le coût de l’opportunité manquée dépasse souvent celui de la certification elle-même.
Réduction des primes d’assurance cyber. Les assureurs ajustent leurs primes en fonction de la maturité de sécurité. Une certification ISO 27001 démontre un niveau de contrôle supérieur à la moyenne et peut réduire les primes de 10 % à 30 % selon les études publiées par les courtiers spécialisés.
Réduction des incidents. Le programme de sensibilisation documenté au titre d’ISO 27001 réduit mécaniquement le taux de clic sur les emails malveillants. Selon notre analyse de données clients, les entreprises qui maintiennent un programme de simulation actif pendant 12 mois réduisent leur taux de clic moyen de plus de 60 %. Chaque incident évité représente entre 30 000 et 300 000 euros de coûts directs pour une PME française, selon les statistiques de l’ANSSI.
Comment nophi.sh vous aide à obtenir la certification
nophi.sh couvre les exigences de sensibilisation d’ISO 27001 de bout en bout. Voici comment chaque fonctionnalité mappe les clauses et contrôles de la norme.
Simulations de phishing → preuves pour le contrôle A.6.3
Chaque campagne de simulation de phishing génère automatiquement les données attendues par l’auditeur :
- Horodatage par collaborateur : qui a reçu l’email simulé, à quelle date, et quelle a été sa réaction
- Taux de clic par campagne : la métrique centrale pour démontrer l’efficacité du programme
- Taux de signalement : preuve que les collaborateurs ont intégré le réflexe de déclaration
- Couverture des effectifs : pourcentage de l’organisation couverte par chaque campagne
Ces données répondent directement au contrôle A.6.3 qui exige des formations « appropriées à la fonction » et « régulièrement mises à jour ». Les scénarios sectoriels — fausse facture fournisseur, faux portail RH, faux message de direction — démontrent l’adaptation au contexte de l’organisation.
Complétion des formations → preuves pour la clause 7.3
Quand un collaborateur clique sur un lien de simulation, il est redirigé vers un module de micro-formation de 3 à 5 minutes adapté au type d’attaque simulée. La plateforme enregistre :
- La date et l’heure de complétion du module
- Le contenu spécifique abordé
- Le résultat du quiz de compréhension
Ce registre individuel constitue la preuve de sensibilisation que l’auditeur demande pour chaque collaborateur. Il couvre les trois éléments de la clause 7.3 : connaissance de la politique, compréhension du rôle individuel, conscience des conséquences d’un manquement.
Tableaux de bord → données pour la revue de direction (clause 9.3)
La clause 9.3 exige que les entrées de la revue de direction incluent « les résultats de la surveillance et de la mesure ». Les tableaux de bord nophi.sh fournissent exactement ces données :
- Évolution du taux de clic sur les 12 derniers mois
- Comparaison par département ou par groupe
- Score de risque global et sa progression
- Incidents signalés via la fonctionnalité de vérification d’email
Ces métriques constituent les données d’entrée de la revue de direction pour la partie sensibilisation du SMSI. La direction dispose d’une vision synthétique pour prendre les décisions de pilotage attendues par l’auditeur.
Rapports exportables → documentation prête pour l’audit
Les rapports PDF exportables contiennent l’ensemble des preuves documentaires en un seul fichier :
- Historique complet des campagnes avec dates et métriques
- Liste nominative des collaborateurs formés avec dates de complétion
- Progression des indicateurs sur la période
- Couverture des nouveaux arrivants
Un clic suffit pour générer le dossier de preuves à remettre à l’organisme de certification. Plus besoin de compiler manuellement des données depuis plusieurs outils. Consultez notre page conformité pour le détail des rapports disponibles.
Veille sur les menaces → conformité au contrôle A.5.7
Les scénarios de simulation nophi.sh sont mis à jour en fonction des campagnes d’attaque réelles observées en France. Les faux SMS de livraison Chronopost, les faux avis de la DGFIP, les usurpations d’identité d’opérateurs télécom — ces scénarios reproduisent ce que vos collaborateurs reçoivent réellement dans leurs boîtes mail. Cette démarche constitue une démonstration concrète de conformité au contrôle A.5.7 sur la veille des menaces.
Preuves de sensibilisation pour l’auditeur
Voici les artefacts concrets que nophi.sh génère pour votre dossier d’audit. Chaque preuve répond à une exigence spécifique de la norme.
Rapport de campagne de simulation (par campagne)
Ce qu’il contient : date de la campagne, scénario utilisé, nombre de collaborateurs ciblés, taux de clic, taux de signalement, liste nominative des résultats par collaborateur, module de formation déclenché.
Ce qu’il prouve : que l’organisation réalise des tests de sensibilisation en conditions réelles (A.6.3), que les résultats sont mesurés (clause 7.3), et que chaque collaborateur est tracé individuellement (exigence de tenue de registres).
Rapport d’évolution sur 12 mois
Ce qu’il contient : courbe d’évolution du taux de clic sur toutes les campagnes de la période, comparaison entre la baseline initiale et le résultat le plus récent, tendance par département.
Ce qu’il prouve : l’amélioration continue exigée par le cycle PDCA d’ISO 27001. Un taux de clic en baisse démontre que le programme produit des résultats mesurables sur la durée.
Registre de formation individuel
Ce qu’il contient : pour chaque collaborateur, la liste des modules de formation complétés avec date et heure, le résultat du quiz, et le contenu spécifique abordé.
Ce qu’il prouve : la conformité individuelle à la clause 7.3. L’auditeur peut vérifier que chaque personne — y compris les nouveaux arrivants — a bien été sensibilisée. Le registre est nominatif et horodaté.
Rapport de couverture des effectifs
Ce qu’il contient : pourcentage des collaborateurs inclus dans chaque campagne, identification des profils non encore inclus (nouveaux arrivants, prestataires), suivi de la couverture dans le temps.
Ce qu’il prouve : que la sensibilisation couvre l’ensemble de l’organisation, pas seulement les équipes IT. L’auditeur vérifie systématiquement que les non-IT sont inclus.
Métriques pour la revue de direction
Ce qu’il contient : synthèse exécutive des indicateurs du programme — score de risque global, nombre d’incidents signalés via la vérification email, évolution des résultats, recommandations pour la période suivante.
Ce qu’il prouve : que la direction est informée des résultats et que les données du programme alimentent la revue de management (clause 9.3.2 d’ISO 27001).
Export PDF pour le dossier d’audit
Tous ces rapports sont exportables en PDF structuré. Le format est conçu pour être remis directement à l’organisme de certification. Les données sont organisées selon la logique attendue par les auditeurs : par clause, par contrôle, par période.
Testez la configuration de sécurité de votre domaine email avec le test de sécurité email — un domaine sans DMARC en mode rejet est une non-conformité fréquente que les auditeurs relèvent dès le stage 1.
Sources : ISO/IEC 27001:2022, AFNOR Certification, ANSSI — Panorama de la cybermenace 2024, ENISA — Information Security Awareness. Les fourchettes budgétaires sont issues de l’observation du marché français des consultants certifiés ISO 27001 (avril 2026). Thomas Ferreira est certifié CISSP (Certified Information Systems Security Professional).
Questions fréquentes
La clause 7.3 d'ISO 27001 impose-t-elle concrètement la simulation de phishing ?
La clause 7.3 n'impose pas la simulation de phishing par son nom. Elle exige que chaque collaborateur soit sensibilisé à la politique de sécurité, à son rôle dans le SMSI, et aux conséquences d'un manquement. Les simulations de phishing constituent la méthode la plus directe pour satisfaire ces trois exigences simultanément : elles testent la sensibilisation, produisent des métriques mesurables, et génèrent des rapports que l'auditeur peut vérifier. Les organismes de certification comme l'AFNOR et le BSI considèrent les résultats de simulation comme des preuves directes de conformité à la clause 7.3.
Quelles preuves faut-il apporter lors d'un audit ISO 27001 stage 2 ?
L'auditeur de stage 2 vérifie quatre catégories de preuves : les registres de formation horodatés par collaborateur, les résultats des campagnes de simulation de phishing (taux de clic, taux de signalement, évolution dans le temps), la preuve que les nouveaux arrivants sont formés dès l'intégration, et les indicateurs d'amélioration continue. Il interroge aussi directement des employés pour vérifier qu'ils connaissent la politique de sécurité. Un rapport de simulation exportable contenant l'historique des campagnes et la progression par collaborateur constitue la base de documentation attendue.
Combien coûte une certification ISO 27001 pour une PME française ?
Pour une PME de 20 à 150 salariés sans SMSI existant, le budget total de la première année se situe entre 50 000 et 200 000 euros. Ce montant couvre le consultant d'accompagnement (20 000-80 000 euros selon le périmètre), les audits de certification stage 1 et stage 2 (8 000-20 000 euros), les outils (gestion des risques, sensibilisation, documentation : 3 000-15 000 euros par an) et le temps interne consacré au projet. Le délai moyen est de 9 à 18 mois. Le retour sur investissement se matérialise rapidement : la certification ouvre des marchés publics et des appels d'offres fermés aux entreprises non certifiées, et réduit les primes d'assurance cyber.
Quelle est la différence entre ISO 27001 et SOC 2 ?
ISO 27001 est une norme internationale qui délivre une certification formelle valable 3 ans, avec des audits de surveillance annuels. SOC 2 est un cadre d'audit américain (AICPA) qui produit un rapport d'attestation, pas une certification. ISO 27001 est reconnu par les clients et régulateurs européens, ainsi que dans la plupart des appels d'offres en France. SOC 2 est demandé principalement par les clients américains et les acheteurs de SaaS sur le marché nord-américain. Les deux cadres exigent un programme de sensibilisation du personnel documenté et mesurable.
Peut-on utiliser nophi.sh uniquement pour l'audit ISO 27001, sans programme continu ?
Techniquement, une seule campagne de simulation peut produire des preuves pour un audit ponctuel. Mais l'auditeur vérifie l'amélioration continue : un résultat de campagne unique ne démontre pas que le programme fonctionne dans le temps. La clause 7.3 et le contrôle A.6.3 attendent des mises à jour régulières. En pratique, trois à quatre campagnes réparties sur 6 à 12 mois suffisent pour montrer une progression mesurable. Le plan Starter de nophi.sh (99 euros par mois) est dimensionné pour ce besoin.
ISO 27001 est-il compatible avec NIS2 et DORA ?
Oui. ISO 27001 couvre une large partie des exigences de sensibilisation de NIS2 et DORA. La clause 7.3 et le contrôle A.6.3 répondent aux articles de NIS2 sur la formation du personnel. Les entités financières soumises à DORA (article 13) satisfont également leurs obligations en documentant un programme de sensibilisation conforme à ISO 27001. Les rapports générés par nophi.sh sont utilisables pour les trois cadres réglementaires sans duplication de travail.
Comment ISO 27001 traite-t-il les prestataires et sous-traitants ?
La clause 7.3 s'applique à 'toutes les personnes travaillant sous le contrôle de l'organisation', ce qui inclut les prestataires et les sous-traitants ayant accès à vos systèmes ou données. Le contrôle A.5.19 (sécurité dans les relations avec les fournisseurs) et A.5.20 exigent que les exigences de sécurité soient contractualisées avec les prestataires. Si un prestataire gère des données sensibles ou accède à votre réseau, l'auditeur vérifiera que votre programme de sensibilisation les couvre, ou que vous avez obtenu des garanties équivalentes.