Vous pensez qu’une vidéo de sensibilisation envoyée une fois par an suffit pour cocher la case « formation » de votre certification ? C’est exactement le genre de raccourci qui fait tomber un dossier en audit. La formation à la sécurité de l’information n’est pas un bonus dans l’ISO 27001 : c’est une exigence contractuelle, écrite noir sur blanc, qui conditionne directement l’obtention du certificat.
Beaucoup d’entreprises découvrent cette réalité trop tard, au moment du passage de l’auditeur. Pour éviter ce piège, mieux vaut comprendre dès le départ ce que la norme attend précisément, et se faire accompagner si besoin.
⚡
L’essentiel en 30 secondes
La formation est imposée par les clauses 7.2, 7.3 et le contrôle A.6.3 ; un programme absent ou bâclé génère une non-conformité qui peut bloquer la certification.
Sensibilisation, formation et éducation sont trois choses différentes ; les confondre, par exemple prendre une campagne d’affiches pour une vraie formation métier, mène droit à un écart en audit.
La norme ne fixe ni durée ni rythme ; le « une fois par an » est une pratique courante, pas une exigence du texte, qui demande surtout d’adapter au risque et aux incidents.
Toute personne dont le travail affecte le système est concernée : RH, direction, métiers et prestataires inclus, avec des preuves documentées à conserver pour l’auditeur.
Ce que l’ISO 27001 exige concrètement en matière de formation
La norme ne se contente pas de « recommander » de former les équipes. Elle l’impose à travers trois exigences imbriquées : les clauses 7.2, 7.3 et le contrôle Annexe A 6.3. Toutes les personnes dont le travail a un impact sur le système de management de la sécurité de l’information doivent être compétentes et sensibilisées.
Le point qui surprend le plus : ces exigences ne sont pas optionnelles. Elles conditionnent la certification elle-même. Un programme de formation absent ou bâclé se traduit par une non-conformité que l’auditeur ne laissera pas passer.
Et l’enjeu n’est pas anecdotique à l’échelle mondiale. Selon les données compilées via l’IAF, on dénombrait 96 709 certificats ISO/IEC 27001 valides dans le monde en 2024, couvrant 179 877 sites, soit près du double de l’année précédente.
💡 À retenir :
La formation n’est pas une bonne pratique facultative. C’est une exigence formelle de la norme, vérifiée en audit, qui peut bloquer votre certification si elle est négligée. En pratique, c’est souvent sur ce point que les organisations sous-estiment la charge : formaliser un programme qui résiste à l’audit demande de cartographier les rôles, définir les compétences attendues par poste, tracer les sensibilisations et conserver les preuves. Des structures comme FeelAgile accompagnent les entreprises sur la mise en conformité, notamment pour articuler les exigences 7.2, 7.3 et A 6.3 dans un dispositif unique.
Trois niveaux à ne pas confondre : sensibilisation, formation, éducation
La norme distingue clairement trois choses, et les mélanger est une erreur classique. La sensibilisation vise la culture générale de sécurité de tous. La formation apporte des compétences précises liées à un poste. L’éducation couvre une montée en connaissance plus large sur les enjeux.
Ces trois niveaux relèvent du contrôle Annexe A 6.3. Confondre une simple campagne d’affiches avec une vraie formation métier, c’est s’exposer à un écart en audit.
| Niveau | Objectif | Référence |
|---|---|---|
| Sensibilisation | Comprendre la politique de sécurité et son rôle personnel | Clause 7.3 |
| Formation | Acquérir des compétences liées au poste, avec preuve documentée | Clause 7.2 / A.6.3 |
| Éducation | Développer une connaissance large des enjeux de sécurité | A.6.3 |
Clause 7.2 : la compétence, et la preuve qui va avec
La clause 7.2 demande quatre choses. D’abord déterminer les compétences nécessaires pour les personnes dont le travail affecte le système de management. Ensuite s’assurer qu’elles sont compétentes, sur la base de leur formation ou de leur expérience.
Il faut aussi combler les écarts de compétence quand ils existent, et évaluer si l’action menée a fonctionné. Le quatrième point est le plus exigeant à l’audit : conserver des preuves documentées.
Sans trace écrite, la compétence n’existe pas aux yeux de l’auditeur. Attestations, feuilles d’émargement, résultats d’évaluation : tout doit pouvoir être montré.
Clause 7.3 : la sensibilisation et le piège de la documentation
La clause 7.3 vise la culture de sécurité. Chaque personne sous le contrôle de l’organisation doit connaître la politique de sécurité, comprendre sa contribution au système et mesurer ce que coûte une non-conformité.
Et voici l’erreur qui revient sans cesse : croire que parce que la clause 7.3 n’impose pas explicitement de document, on peut se passer de toute trace.
🚨 Le piège classique :
La sensibilisation n’impose pas de format documentaire propre, mais l’auditeur s’attend à trouver des traces des activités : logs de présence, quiz, supports diffusés. Sans elles, le risque de non-conformité majeure est réel.
Le contrôle A.6.3 : qui former, sur quoi, et à quelle fréquence
Le contrôle Annexe A 6.3 (l’ancien A.7.2.2 de la version 2013) précise le contenu attendu. Le personnel et les parties intéressées pertinentes doivent recevoir une sensibilisation, une éducation et une formation adaptées à leurs fonctions, avec des mises à jour régulières.
Le programme doit couvrir l’engagement de l’organisation envers la sécurité et les procédures applicables, la responsabilité personnelle de chacun, le signalement des incidents et les contrôles de base comme la gestion des mots de passe, ainsi que les points de contact disponibles.
Sur la fréquence, attention au mythe. La norme ne fixe aucun rythme chiffré. Le « au moins une fois par an » que l’on lit partout est une pratique répandue, pas une citation du texte. La vraie règle : adapter la formation au niveau de risque, et déclencher des sessions supplémentaires lors d’un changement de politique, d’un incident ou d’une nouvelle menace.
Pour bien calibrer ces contenus, il est utile de revenir à la finalité du référentiel. Comprendre à quoi sert l’ISO 27001 aide à voir la formation non comme une case à cocher, mais comme un maillon du processus de gestion du risque qui structure tout le système.
Qui doit être formé ? Pas seulement l’équipe IT
C’est l’idée reçue la plus tenace. La sécurité concernerait uniquement les informaticiens. La norme dit l’inverse : la clause 7.2 et le contrôle A.6.3 visent toutes les personnes dont le travail affecte le système de management.
Cela englobe les RH, la direction, les équipes métier, et selon leur périmètre, les sous-traitants et prestataires externes. Le maillon faible d’une organisation est rarement le service informatique, mais souvent un poste qui n’a jamais été formé. Les équipes RH, par exemple, manipulent au quotidien des données sensibles via leur logiciel de gestion RH (SIRH), ce qui les place pleinement dans le périmètre.
Prenons l’exemple d’une PME qui prépare sa certification. Le RSSI et les développeurs sont formés en profondeur, mais l’assistante de direction, qui manipule chaque jour des contrats confidentiels, n’a jamais reçu la moindre session. En audit, ce trou dans le périmètre suffit à générer un écart, parce que son poste affecte bien le système de management.
Version 2013 ou 2022 : qu’est-ce qui a changé pour la formation ?
La révision 2022 a fait du bruit, mais sur la formation, l’esprit reste identique. Le contrôle a été renommé et renuméroté, passant de A.7.2.2 à A.6.3. Le nombre total de contrôles est passé de 114 à 93.
Ce n’est pas un allègement, c’est une restructuration. Les exigences de formation, d’éducation et de sensibilisation restent les mêmes au fond. Les clauses 7.2 et 7.3, elles, n’ont pas bougé de numéro.
💡 À retenir :
Si vous migrez vers la version 2022, vos obligations de formation ne changent pas dans le fond. Vérifiez surtout la nouvelle numérotation (A.6.3) dans vos documents et votre déclaration d’applicabilité.
Comment bâtir un programme qui passe l’audit
Un programme solide repose sur quelques piliers concrets. L’idée n’est pas d’accumuler les sessions, mais de prouver que chaque personne concernée sait ce qu’elle doit savoir.
- Cartographier les besoins : qui affecte le système de management, et quelle compétence chaque poste exige.
- Différencier les contenus : une sensibilisation générale pour tous, des formations ciblées par fonction. Ces formations métier ont un coût qu’il faut anticiper, au même titre que les coûts cachés d’une formation professionnelle.
- Documenter systématiquement : émargements, résultats de quiz, attestations, supports datés.
- Déclencher des mises à jour : après un incident, un changement de politique ou une nouvelle menace.
- Mesurer l’efficacité : la norme demande d’évaluer si l’action a réellement comblé l’écart de compétence.
C’est souvent sur ce dernier point que les organisations trébuchent. Former ne suffit pas, il faut vérifier que la formation a produit un effet. Un accompagnement spécialisé permet de structurer cette boucle de bout en bout, de l’évaluation initiale jusqu’aux preuves attendues par l’auditeur.
Foire aux questions
L’ISO 27001 impose-t-elle un nombre d’heures de formation minimum ?
Non. La norme ne fixe aucune durée chiffrée. Les mentions du type « 4 heures par an » que l’on trouve dans certains articles ne correspondent à aucun texte normatif. Ce qui compte, c’est l’adéquation de la formation au niveau de risque et aux fonctions.
La sensibilisation doit-elle vraiment être documentée ?
La clause 7.3 n’impose pas de format documentaire propre, mais en audit, l’absence totale de trace devient un risque de non-conformité majeure. Logs de présence et résultats de quiz sont attendus dans la pratique.
Les prestataires externes sont-ils concernés par la formation ?
Potentiellement oui. Dès lors qu’un sous-traitant ou un prestataire affecte le système de management de la sécurité par son intervention, il entre dans le périmètre des exigences de compétence et de sensibilisation.
L’essentiel à garder en tête
La formation à la sécurité de l’information n’est pas la dernière case à cocher avant l’audit, c’est l’un des piliers qui font tenir tout le système de management. L’ISO 27001 ne demande pas un volume d’heures, elle demande des compétences réelles, des preuves documentées et une sensibilisation qui touche tout le monde, pas seulement l’équipe technique.
Une fois cette logique comprise, le programme de formation cesse d’être une contrainte administrative pour devenir ce qu’il est vraiment : votre meilleure défense face au risque humain, et la garantie d’un dossier solide le jour de la certification.
