ISO 27001:2022 : éléments probants de formation pour NIS2 et DORA
Il est 09 h 12, un mardi matin de février 2026. Un analyste financier d’une FinTech en forte croissance reçoit un courriel semblant provenir du directeur financier, lui demandant d’examiner en urgence un fichier de paiement fournisseur. La pièce jointe ouvre une page de connexion Microsoft convaincante. L’analyste hésite, se souvient de la simulation de phishing et du module sur la fraude aux paiements suivis le mois précédent, puis signale le courriel via le portail de sécurité au lieu de saisir ses identifiants.
Pour le RSSI, cette décision isolée correspond à un contrôle qui fonctionne en situation réelle.
Pour l’auditeur, le récit ne suffit pas.
La demande d’éléments probants arrive une semaine plus tard : « Fournissez les éléments probants d’un programme complet de sensibilisation et de formation à la sécurité de l’information, fondé sur les rôles, incluant des indicateurs d’efficacité et des enregistrements démontrant la couverture de l’ensemble du personnel, y compris la direction. »
Cette phrase change la nature de l’échange. Un tableur indiquant « Terminé » pour 97 % des employés n’est plus suffisant. L’auditeur demandera qui a formé l’analyste, quand la formation a été attribuée, si elle était obligatoire, si elle était fondée sur les rôles, si la fonction finance a reçu une sensibilisation complémentaire à la fraude aux paiements, si les nouveaux arrivants et les contractants ont été inclus, si la direction a approuvé le programme, si la formation a été modifiée après la dernière campagne de phishing et si les enregistrements d’achèvement ont été conservés.
En 2026, les éléments probants de sensibilisation et de formation à la sécurité se situent au croisement de ISO/IEC 27001:2022, NIS2, DORA, GDPR et NIST CSF 2.0. Il ne s’agit plus d’un exercice RH annuel. C’est une question de gouvernance par l’organe de direction, de traitement des risques, de préparation aux incidents, de responsabilité juridique et de preuves d’audit.
Clarysec traite la sensibilisation à la sécurité comme un système opérationnel de gestion des éléments probants, et non comme un jeu de diapositives. Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls, Politique de sensibilisation et de formation à la sécurité de l’information - PME Politique de sensibilisation et de formation à la sécurité de l’information - PME et Politique de sensibilisation et de formation à la sécurité de l’information Politique de sensibilisation et de formation à la sécurité de l’information relient la formation fondée sur les rôles au SMSI, aux obligations réglementaires, à la réponse aux incidents, aux accès fournisseurs et à la revue de direction.
Pourquoi la sensibilisation générique à la sécurité échoue en 2026
L’évolution réglementaire est claire. NIS2 fait de la cybersécurité une responsabilité de la direction pour les entités essentielles et importantes. L’Article 20 impose aux organes de direction d’approuver les mesures de gestion des risques cyber, d’en superviser la mise en œuvre et de suivre une formation. L’Article 21 inclut l’hygiène cyber de base et la formation à la cybersécurité dans le socle minimal requis de mesures de gestion des risques. Pour les fournisseurs cloud, les fournisseurs de centres de données, les prestataires de services managés, les prestataires de services de sécurité managés, les fournisseurs DNS, les registres TLD, les places de marché en ligne et les moteurs de recherche, la formation est devenue un sujet relevant du conseil d’administration.
DORA élève le niveau d’exigence pour les entités financières et les prestataires TIC intervenant auprès du secteur financier. Il s’applique depuis le 17 janvier 2025 et impose aux entités financières de maintenir un cadre interne de gouvernance et de contrôle pour la gestion des risques liés aux TIC. Les organes de direction doivent superviser le risque TIC, les budgets, les audits, les dispositifs avec les tiers, la continuité d’activité, les plans de réponse et de rétablissement, ainsi que la résilience opérationnelle numérique. Les DORA Articles 17 à 19 exigent également que les incidents liés aux TIC soient détectés, classifiés, escaladés, communiqués et notifiés. La formation rend ces procédures exécutables sous pression.
ISO/IEC 27001:2022 fournit aux organisations l’ossature du système de management. Les clauses 4 à 10 couvrent le contexte, les parties intéressées, le leadership, l’appréciation des risques, le traitement des risques, la compétence, la sensibilisation, les informations documentées, l’évaluation des performances et l’amélioration. La norme est adaptable aux secteurs et aux tailles d’organisation, ce qui explique pourquoi Clarysec l’utilise comme modèle opérationnel d’alignement intégré entre ISO, NIS2, DORA, GDPR et NIST ISO/IEC 27001:2022.
GDPR ajoute la couche de responsabilité. Les organisations doivent démontrer que les données à caractère personnel sont traitées de manière licite, loyale, sécurisée et au moyen de mesures techniques et organisationnelles appropriées. Les employés qui traitent des données à caractère personnel, administrent des systèmes, développent des logiciels, assistent les clients ou investiguent des incidents doivent être formés à la protection des données et à l’escalade des violations.
NIST CSF 2.0 renforce la même orientation. Sa fonction GOVERN relie les exigences légales, réglementaires, contractuelles, de protection de la vie privée et des parties prenantes aux rôles, responsabilités, politiques, ressources, activités de supervision et à la gestion des risques d’entreprise. Les profils NIST CSF permettent également de traduire les obligations de formation en plans d’amélioration, de l’état actuel vers l’état cible.
Le résultat est simple : un programme de sensibilisation et de formation à la sécurité auditable doit prouver que les personnes connaissent leurs responsabilités, que la formation est adaptée au rôle et au risque, et que les éléments probants sont suffisamment complets pour les auditeurs, les autorités de régulation, les clients et la direction.
Le problème d’audit : « nous avons formé tout le monde » n’est pas une preuve
De nombreuses organisations échouent en audit non parce qu’elles n’ont réalisé aucune formation, mais parce qu’elles ne peuvent pas prouver que cette formation a été conçue, attribuée, suivie, revue et améliorée.
Un dossier d’éléments probants faible contient généralement un PDF annuel, un tableur d’achèvement sans dates, aucun élément probant d’intégration, aucune couverture des contractants, aucune formation des utilisateurs à privilèges, aucune formation de la direction, aucun module fondé sur les rôles pour les développeurs ou la finance, aucun lien avec l’appréciation des risques et aucune preuve que la formation a été mise à jour après des incidents ou une évolution réglementaire.
Les auditeurs ne recherchent pas une affiche de motivation. Ils veulent une chaîne d’éléments probants.
La politique PME de Clarysec explicite cette attente. Politique de sensibilisation et de formation à la sécurité de l’information - PME, Objectifs, clause 3.3, exige des organisations qu’elles :
« Établissent des enregistrements documentés d’achèvement afin de démontrer la conformité aux exigences légales, contractuelles et d’audit. »
La même politique PME transforme la formation en informations documentées conservées. Exigences de mise en œuvre de la politique, clause 6.3.2, précise :
« Un tableur central ou un Système d’information des ressources humaines doit conserver ces enregistrements pendant au moins trois ans. »
Pour les environnements d’entreprise, Politique de sensibilisation et de formation à la sécurité de l’information, Objet, clause 1.2, fixe une attente plus structurée :
« Cette politique soutient ISO/IEC 27001 Clause 7.3 et Annexe A mesure 6.3 en exigeant un cadre de sensibilisation et de formation structuré, fondé sur les risques et adapté aux rôles organisationnels et aux menaces émergentes. »
Cette formulation est essentielle : structuré, fondé sur les risques, adapté aux rôles et attentif à l’évolution des menaces. C’est la différence entre un simulacre de sensibilisation et une compétence défendable.
Commencer par les rôles, pas par les cours
L’erreur la plus fréquente consiste à acheter du contenu avant de définir les responsabilités. Dans un programme de conformité intégré, la bonne première question n’est pas « Quelle plateforme de formation devons-nous utiliser ? » La bonne question est : « Quels rôles créent, gèrent, approuvent, traitent, sécurisent ou restaurent les actifs informationnels ? »
ISO/IEC 27001:2022 Clause 5.3 exige l’attribution et la communication des responsabilités et autorités pour les rôles relatifs à la sécurité de l’information. La Clause 7.2 exige la compétence des personnes réalisant un travail sous le contrôle de l’organisation, sur la base de la formation initiale, de la formation ou de l’expérience. La Clause 7.3 exige la sensibilisation à la politique de sécurité de l’information, à la contribution à l’efficacité du SMSI et aux conséquences de la non-conformité.
Dans Zenith Blueprint, ISMS Foundation & Leadership, Step 5: Communication, Awareness, and Competence, Clarysec traduit cela en langage de mise en œuvre :
« Identifier les compétences requises : déterminer les connaissances et compétences nécessaires pour les différents rôles dans votre SMSI. »
Le Blueprint donne des exemples pratiques : le personnel informatique peut avoir besoin d’une formation à la configuration sécurisée des serveurs, les développeurs à la programmation sécurisée, les RH au traitement sécurisé des données à caractère personnel, et l’ensemble du personnel à la sensibilisation au phishing. Il insiste également sur les enregistrements :
« Tenir les enregistrements de compétence : Clause 7.2 attend que vous conserviez des informations documentées comme preuve de compétence. »
Cela signifie que le programme de formation doit commencer par une matrice rôles-risques.
| Groupe de rôles | Axe de formation | Éléments probants à conserver | Valeur de conformité |
|---|---|---|---|
| Tous les employés | Phishing, hygiène des mots de passe, MFA, utilisation acceptable, sécurité des équipements, signalement des incidents | Rapport d’achèvement, score de quiz, attestation de prise de connaissance de la politique, version du contenu | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 mesure 6.3, NIS2 Article 21 |
| Dirigeants et conseil d’administration | Gouvernance du risque cyber, obligations NIS2 Article 20, supervision DORA, appétence au risque, décisions de crise | Enregistrement de présence, dossier conseil, comptes rendus, approbation du programme | NIS2 Article 20, DORA Article 5, éléments probants de leadership ISO/IEC 27001:2022 |
| Développeurs | Programmation sécurisée, OWASP Top 10, SDLC sécurisé, sécurité des API, gestion des vulnérabilités, gestion des secrets | Achèvement du module, résultats des ateliers pratiques, liste de contrôle de programmation sécurisée, éléments probants de remédiation | ISO/IEC 27002:2022 mesures 8.25 et 8.28, attentes DORA en matière de risque TIC |
| Informatique et administrateurs système | Accès à privilèges, journalisation, gestion des vulnérabilités, restauration des sauvegardes, contrôle des changements, durcissement | Enregistrement d’achèvement, lien avec la revue des accès, participation aux exercices sur table | ISO/IEC 27002:2022 mesures 8.8 et 8.13, préparation à la résilience DORA |
| RH | Confidentialité, intégration et départ, processus disciplinaire, traitement des catégories particulières de données | Enregistrement de formation RH, liste de contrôle d’intégration, attestation de prise de connaissance de la politique | Responsabilité GDPR, contrôles relatifs aux personnes ISO/IEC 27002:2022 |
| Finance | Fraude aux paiements, usurpation d’identité fournisseur, séparation des tâches, escalade des demandes suspectes | Achèvement du module ciblé, résultats de simulations de phishing | Réduction du risque de fraude, préparation aux incidents NIS2 et DORA |
| Support client | Vérification d’identité, traitement sécurisé des tickets, protection des données à caractère personnel, circuits d’escalade | Achèvement du module de rôle, échantillon de revue de tickets, attestation de prise de connaissance relative à la vie privée | Responsabilité des sous-traitants GDPR, assurance client |
| Intervenants en gestion des incidents | Classification, escalade, préservation des éléments probants, délais de notification réglementaire, retours d’expérience | Enregistrement d’exercice, rapport de scénario, attribution des rôles, outil de suivi des actions | NIS2 Article 23, DORA Articles 17 à 19, contrôles d’incident ISO/IEC 27002:2022 |
| Contractants disposant d’un accès système | Utilisation acceptable, canal de signalement, traitement des données, conditions d’accès | Accusé de réception du contractant, enregistrement d’intégration, lien avec l’approbation d’accès | Assurance fournisseur, gouvernance des accès, conformité contractuelle |
Cette matrice n’est pas seulement un calendrier de formation. C’est une carte de conformité qui montre pourquoi des populations différentes reçoivent des formations différentes.
Relier la formation à la chaîne de contrôles
Dans Zenith Controls, la mesure ISO/IEC 27002:2022 6.3, Sensibilisation, formation initiale et formation à la sécurité de l’information, est classée comme un contrôle préventif soutenant la confidentialité, l’intégrité et la disponibilité. Son concept cybersécurité est Protect, sa capacité opérationnelle est la sécurité des ressources humaines, et ses domaines de sécurité sont la gouvernance et l’écosystème.
L’interprétation de conformité croisée de Zenith Controls est directe :
« La mesure 6.3 répond au mandat de NIS2 relatif à la formation et à la sensibilisation à la sécurité en mettant en œuvre un programme de sensibilisation structuré couvrant l’hygiène cyber, les menaces émergentes et les responsabilités du personnel. »
La même correspondance relie la mesure ISO/IEC 27002:2022 6.3 aux attentes GDPR pour les employés traitant des données à caractère personnel, à la formation à la sécurité des TIC DORA adaptée aux rôles, ainsi qu’à NIST SP 800-53 Rev.5 AT-2, AT-3 et AT-4 pour la sensibilisation et la formation à la sécurité, la formation fondée sur les rôles et les enregistrements de formation.
Le point clé est que la mesure 6.3 ne fonctionne pas isolément. Zenith Controls la relie à la mesure ISO/IEC 27002:2022 5.2, Rôles et responsabilités en matière de sécurité de l’information, car les rôles définissent qui a besoin de quelle formation. Elle la relie à la mesure 6.8, Signalement des événements de sécurité de l’information, car les employés ne peuvent pas signaler ce qu’ils ne savent pas reconnaître. Elle la relie également à la mesure 5.36, Conformité aux politiques, règles et normes de sécurité de l’information, car la conformité dépend de la connaissance des règles par les personnes.
Cela crée une chaîne de contrôles pratique :
- Définir les responsabilités.
- Attribuer les formations de base et les formations fondées sur les rôles.
- Prouver l’achèvement.
- Tester la compréhension.
- Surveiller la conformité.
- Corriger les écarts.
- Réinjecter les enseignements dans le traitement des risques et la revue de direction.
C’est important pour NIS2, car l’Article 21 exige l’analyse des risques, des politiques, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’acquisition et la maintenance sécurisées, l’évaluation de l’efficacité des contrôles, l’hygiène cyber et la formation, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs, ainsi que MFA ou une authentification sécurisée lorsque cela est approprié.
C’est important pour DORA, car la gouvernance, la gestion des incidents, la réponse et le rétablissement, le risque lié aux tiers et les tests de résilience ne fonctionnent que si les personnes savent quoi faire avant que l’incident ne survienne.
Constituer le dossier d’éléments probants auditable
Un dossier d’éléments probants mature contient davantage que des journaux de présence. Il montre la gouvernance, la conception, la diffusion, l’achèvement, l’efficacité et l’amélioration. Clarysec recommande une structure en six dossiers.
| Dossier d’éléments probants | Contenu | Pourquoi c’est important |
|---|---|---|
| 01 Gouvernance | Politique approuvée, objectifs de formation, approbation de la direction, budget, plan annuel | Montre l’engagement et la supervision du leadership |
| 02 Cartographie des rôles | Inventaire des rôles, matrice de compétences, règles d’attribution des formations, périmètre des contractants | Prouve une conception fondée sur les risques et les rôles |
| 03 Contenu de formation | Supports de cours, modules LMS, modèles de phishing, bulletins de sécurité, historique des versions | Montre ce qui a effectivement été enseigné |
| 04 Enregistrements d’achèvement | Exports LMS, enregistrements SIRH, journaux de présence, résultats de quiz, accusés de réception | Démontre la participation et la conservation des informations documentées |
| 05 Éléments probants d’efficacité | Indicateurs de simulations de phishing, résultats d’entretiens, tendances de signalement des incidents, résultats d’exercices sur table | Montre si la formation a modifié les comportements |
| 06 Amélioration | Actions correctives, modules mis à jour, retours d’expérience, entrées de revue de direction | Montre l’amélioration continue |
La politique d’entreprise Clarysec exige l’intégration, la formation de rappel annuelle et les modules fondés sur les rôles. Politique de sensibilisation et de formation à la sécurité de l’information, Exigences de gouvernance, clause 5.1.1.2, indique :
« Inclure l’intégration, la formation de rappel annuelle et des modules de formation basés sur les rôles »
La même politique attribue la propriété des éléments probants. Exigences de gouvernance, clauses 5.3.1 et 5.3.1.1, indiquent :
« Le RSSI ou son délégué doit tenir à jour : »
« Les enregistrements d’achèvement pour chaque utilisateur »
Pour les PME, la politique PME ajoute une cadence pragmatique. Politique de sensibilisation et de formation à la sécurité de l’information - PME, Exigences de mise en œuvre de la politique, clause 6.1.1, indique :
« Les supports doivent être pratiques, adaptés au rôle et mis à jour annuellement. »
Elle couvre également les formations déclenchées par des changements. Clause 6.5.1 indique :
« Lorsque les fonctions exercées changent ou que des systèmes sont introduits, une formation de sensibilisation ciblée peut être requise, par exemple sur le partage sécurisé de fichiers, les nouvelles exigences de protection des données et de minimisation des données. »
Cette clause est particulièrement importante en 2026, car la migration cloud, les outils d’IA, les nouvelles intégrations de paiement, les nouveaux sous-traitants de traitement de données et les évolutions de reporting réglementaire peuvent modifier le risque plus rapidement qu’un cycle annuel.
Un plan de rattrapage d’une semaine avant l’audit
Prenons le cas d’un fournisseur SaaS ou FinTech de 180 personnes préparant une surveillance ISO/IEC 27001:2022, une diligence raisonnable client liée à DORA, une revue de responsabilité GDPR et des questions clients motivées par NIS2. Le RSSI dispose d’une semaine pour transformer des enregistrements d’achèvement génériques en dossier d’éléments probants défendable.
Jour 1 : confirmer le périmètre et les obligations
Utilisez ISO/IEC 27001:2022 Clauses 4.1 à 4.4 pour confirmer le contexte, les parties intéressées et le domaine d’application du SMSI. Recensez les engagements contractuels clients, les obligations GDPR de responsable du traitement ou de sous-traitant, les attentes NIS2 des clients critiques et les demandes de diligences préalables relatives aux fournisseurs TIC liées à DORA.
Traduisez ensuite ces obligations en besoins de formation. GDPR exige que le personnel traitant des données à caractère personnel comprenne la confidentialité, la minimisation, la conservation et l’escalade des violations. NIS2 exige l’hygiène cyber, la formation des employés et la supervision par la direction. Les clients motivés par DORA attendront des éléments probants montrant que les équipes soutenant les services critiques comprennent l’escalade des incidents, la résilience, le contrôle d’accès, la sauvegarde et le rétablissement, ainsi que la coordination avec les tiers.
Jour 2 : construire la matrice fondée sur les rôles
Utilisez les orientations de Zenith Blueprint et les correspondances de Zenith Controls pour les mesures ISO/IEC 27002:2022 5.2 et 6.3. Incluez les employés, les contractants, les utilisateurs à privilèges, les développeurs, les équipes support, les RH, la finance, les dirigeants et les intervenants en gestion des incidents.
Reliez chaque rôle aux systèmes et aux risques. Les développeurs reçoivent une formation à la programmation sécurisée et à la gestion des vulnérabilités. Les équipes support reçoivent une formation à la vérification d’identité et au traitement sécurisé des tickets. La finance reçoit une formation à la fraude aux paiements et à la vérification des changements fournisseurs. Les dirigeants reçoivent une formation à la gouvernance, à la responsabilité juridique, à l’appétence au risque et à la prise de décision en situation de crise.
Jour 3 : aligner la politique et les attributions
Adoptez ou mettez à jour la politique Clarysec appropriée. Utilisez la politique PME pour un modèle opérationnel léger, ou la politique d’entreprise pour une gouvernance plus robuste et une propriété renforcée des éléments probants. Confirmez que la politique couvre l’intégration, les formations de rappel annuelles, les modules fondés sur les rôles, la conservation des éléments probants, la couverture des contractants et les formations déclenchées par les changements.
Publiez la politique, collectez les accusés de réception et reliez les modules de formation aux familles de postes dans le SIRH ou le LMS.
Jour 4 : dispenser les formations ciblées
Ne formez pas tout le monde à tout. Formez tous les collaborateurs aux contrôles de base, puis attribuez les modules spécifiques aux rôles.
Le module de base doit couvrir le phishing et l’ingénierie sociale, l’hygiène des mots de passe et MFA, l’utilisation acceptable, le traitement sécurisé de l’information, les canaux de signalement des incidents, le signalement des équipements perdus et les fondamentaux de la protection des données.
Les modules spécifiques aux rôles doivent couvrir le SDLC sécurisé pour les développeurs, l’accès à privilèges et la restauration des sauvegardes pour l’informatique, les données du personnel pour les RH, la fraude aux paiements pour la finance, la classification des incidents pour les intervenants, ainsi que la gouvernance NIS2 et DORA pour les dirigeants.
Jour 5 : exporter et valider les éléments probants
Créez le dossier d’éléments probants en six parties. Exportez les rapports d’achèvement, les scores de quiz, les numéros de version des cours, les attestations de prise de connaissance des politiques et les calendriers de formation. Identifiez les non-achèvements et ouvrez les actions correctives.
Testez ensuite la compréhension au moyen d’entretiens. Interrogez des employés de différents services :
- Quelle formation sécurité avez-vous suivie ?
- Comment signalez-vous un courriel suspect ?
- Que feriez-vous si vous perdiez un ordinateur portable ?
- Où pouvez-vous trouver la politique de sécurité de l’information ?
- Quelles données à caractère personnel traitez-vous dans votre rôle ?
Consignez les résultats comme échantillon d’audit interne. Les auditeurs utilisent fréquemment des entretiens pour vérifier si la sensibilisation a été assimilée, et non simplement dispensée.
Jour 6 : relier la formation à la réponse aux incidents
Utilisez la formation au signalement des incidents comme passerelle vers la mesure ISO/IEC 27002:2022 6.8, NIS2 Article 23 et DORA Articles 17 à 19.
NIS2 Article 23 exige une notification échelonnée des incidents significatifs, incluant une alerte précoce dans les 24 heures suivant la prise de connaissance, une notification dans les 72 heures et un rapport final dans le mois. DORA exige que les incidents majeurs liés aux TIC soient classifiés, escaladés, communiqués et notifiés selon le cycle de reporting requis.
Les employés n’ont pas besoin de mémoriser les délais légaux, mais ils doivent signaler les incidents suspectés assez rapidement pour permettre à l’organisation de les respecter.
Dans Zenith Blueprint, Controls in Action, Step 16: People Controls II, Clarysec indique :
« Un système efficace de réponse aux incidents ne commence pas par des outils, mais par des personnes. »
Ce n’est pas une simple recommandation. C’est de la résilience opérationnelle.
Jour 7 : préparer le récit d’audit
Le récit d’audit final doit être court et étayé par des éléments probants :
« Nous avons identifié les besoins de formation sur la base des rôles SMSI, des obligations légales et contractuelles, des résultats de l’appréciation des risques et des accès aux systèmes. Nous avons attribué les modules de base et les modules fondés sur les rôles via le LMS. Nous avons conservé les enregistrements d’achèvement, les scores de quiz, les versions de contenu et les accusés de réception. Nous avons testé l’efficacité au moyen de simulations de phishing, d’entretiens et d’indicateurs de signalement des incidents. Les non-achèvements sont suivis comme actions correctives. La direction revoit le programme chaque année et après tout changement significatif. »
Soutenu par les éléments probants, ce récit peut résister aux questions d’audit ISO/IEC 27001:2022, à l’examen de gouvernance NIS2, aux diligences préalables clients DORA, à une revue de responsabilité GDPR et à une évaluation des contrôles de type NIST.
Cartographie de conformité croisée pour la sensibilisation et la formation à la sécurité
La sensibilisation à la sécurité est souvent classée à tort comme une tâche RH. En pratique, c’est un contrôle de conformité croisée qui touche la gouvernance, la gestion des risques, la vie privée, la réponse aux incidents, l’assurance fournisseur et la résilience.
| Référentiel ou réglementation | Pertinence de la formation | Point de mise en œuvre Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Compétence, sensibilisation, leadership, attribution des rôles, informations documentées, surveillance, audit interne et amélioration | Zenith Blueprint Step 5 et Step 15, clauses de politique sur l’intégration, les formations de rappel annuelles, la formation fondée sur les rôles et les éléments probants |
| ISO/IEC 27002:2022 | Mesure 6.3 sensibilisation, éducation et formation, reliée aux rôles 5.2, au signalement des événements 6.8 et à la surveillance de la conformité 5.36 | Zenith Controls cartographie les attributs, contrôles associés, attentes d’audit et alignement interréférentiels |
| NIS2 | Formation de la direction, formation des employés à la cybersécurité, hygiène cyber, préparation aux incidents et responsabilité de gouvernance | Module conseil d’administration, socle employés, module de signalement des incidents, élément probant d’approbation par la direction |
| DORA | Gouvernance TIC, supervision par la direction, apprentissage et évolution, escalade des incidents, tests de résilience et attentes relatives aux tiers | Formation des dirigeants, modules pour les rôles TIC, formation des intervenants en gestion des incidents, dossier d’éléments probants à destination des fournisseurs |
| GDPR | Responsabilité, traitement sécurisé, sensibilisation aux rôles liés à la vie privée, reconnaissance des violations et traitement des données à caractère personnel | Formation protection des données pour les équipes RH, support, ventes, ingénierie et incidents |
| NIST CSF 2.0 | Fonction GOVERN, rôles, politiques, obligations légales, supervision, profils et planification de l’amélioration | Profil de formation actuel et cible, registre des écarts et plan d’action priorisé |
| NIST SP 800-53 Rev.5 | Formation de sensibilisation, formation fondée sur les rôles et enregistrements de formation | Correspondance vers AT-2, AT-3 et AT-4 via Zenith Controls |
| Assurance inspirée de COBIT 2019 | Objectifs de gouvernance, responsabilité, capacité, indicateurs de performance et reporting de direction | KPI de formation, propriété des rôles, revue de direction et clôture des actions correctives |
NIST CSF 2.0 est particulièrement utile pour les organisations qui doivent expliquer leur maturité à des parties prenantes non ISO. Sa méthode des profils organisationnels soutient la planification de l’état actuel et de l’état cible. Par exemple, un profil actuel peut indiquer qu’une sensibilisation de base existe mais que la formation des développeurs à la programmation sécurisée est incomplète. Un profil cible peut exiger que tous les développeurs achèvent d’ici le T3 une formation à la programmation sécurisée, à la divulgation des vulnérabilités et à la gestion des secrets.
Comment les auditeurs et les autorités de régulation testent les éléments probants de formation
Les évaluateurs posent des questions différentes, mais ils vérifient tous la même réalité : l’organisation sait-elle ce que les personnes doivent faire, et peut-elle prouver qu’elles sont préparées à le faire ?
Un auditeur ISO/IEC 27001:2022 reliera les éléments probants de formation aux Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 et 10.2, ainsi qu’aux mesures de l’Annexe A. Attendez-vous à des questions sur la manière dont les exigences de compétence ont été déterminées, sur la façon dont les employés connaissent la politique de sécurité de l’information, sur la formation des nouveaux arrivants et des contractants, sur le traitement des non-achèvements, sur le lien entre la formation fondée sur les rôles, l’appréciation des risques et la Déclaration d’applicabilité, ainsi que sur l’évaluation de l’efficacité.
Zenith Controls indique que les auditeurs utilisant ISO/IEC 19011:2018 examineront les programmes de cours, calendriers, supports, enregistrements de présence, certificats d’achèvement et compétences des formateurs. Il précise également que les auditeurs ISO/IEC 27007:2020 peuvent utiliser des entretiens pour déterminer si les employés savent comment signaler les incidents et se souviennent des messages clés de la formation.
Une revue centrée sur NIS2 ira au-delà des taux d’achèvement. Elle demandera si l’organe de direction a approuvé et supervisé les mesures de gestion des risques cyber, si la direction a suivi une formation, si la formation du personnel à l’hygiène cyber est régulière et si le signalement des incidents est compris. L’Article 21 exige également des procédures d’évaluation de l’efficacité des mesures de gestion des risques cyber ; les indicateurs de phishing, les tendances de signalement des incidents et les constats d’audit deviennent donc des éléments probants de l’efficacité des contrôles.
Une revue DORA, notamment lorsqu’un client financier évalue un prestataire TIC, se concentrera sur la résilience opérationnelle. Attendez-vous à des questions sur le personnel soutenant les services financiers critiques, les enregistrements de formation des équipes qui gèrent les systèmes de paiement, la formation de la direction sur le risque lié aux tiers TIC, la classification des incidents au titre de DORA Article 18 et la formation des contractants disposant d’un accès aux environnements clients.
Une revue GDPR se concentrera sur la responsabilité. L’organisation doit montrer que le personnel traitant des données à caractère personnel comprend le traitement licite, la confidentialité, la minimisation, la conservation, le traitement sécurisé et l’escalade des violations. Pour les fournisseurs SaaS, FinTech et les prestataires de services managés, les éléments probants de formation font partie de la démonstration que les exigences de protection des données sont intégrées aux comportements opérationnels.
Les indicateurs qui prouvent l’efficacité des contrôles
L’achèvement est nécessaire, mais il ne suffit pas. Un tableau de bord 2026 plus robuste montre si la formation a amélioré les comportements.
| Indicateur | Ce qu’il montre | Interprétation en audit |
|---|---|---|
| Achèvement par rôle | Si les populations attribuées ont achevé les modules requis | Conformité et couverture de base |
| Achèvement des nouveaux arrivants dans le délai cible | Si les contrôles d’intégration fonctionnent | Maturité RH et gouvernance des accès |
| Achèvement de la formation des utilisateurs à privilèges | Si les utilisateurs à haut risque sont préparés | Priorisation fondée sur les risques |
| Taux de clic et de signalement des simulations de phishing | Si le comportement s’améliore | Efficacité de la sensibilisation |
| Signalements d’incidents par les employés | Si les personnes reconnaissent et signalent les événements | Lien avec la préparation aux incidents |
| Délai entre courriel suspect et signalement | Si le signalement soutient les délais réglementaires | Préparation NIS2 et DORA |
| Non-achèvements répétés | Si l’application de la politique et l’escalade fonctionnent | Surveillance de la conformité |
| Mises à jour de formation après incidents ou changements | Si les retours d’expérience alimentent l’amélioration | Amélioration continue |
Ces indicateurs soutiennent ISO/IEC 27001:2022 Clause 9.1 pour la surveillance et la mesure, Clause 9.2 pour l’audit interne, Clause 10.1 pour l’amélioration continue et Clause 10.2 pour les non-conformités et les actions correctives. La mesure ISO/IEC 27002:2022 5.36 renforce l’obligation de surveiller, d’évaluer et de remédier à la conformité aux politiques, règles et normes.
Constats fréquents observés par Clarysec en audit
Les mêmes faiblesses apparaissent régulièrement.
Les organisations forment les employés mais oublient les dirigeants. Dans le cadre de NIS2 et DORA, la formation de la direction relève de la gouvernance, et non d’un bonus de maturité.
Les organisations dispensent une formation annuelle mais ignorent les changements de rôle. Un ingénieur support qui passe en DevOps doit recevoir une formation sur l’accès à privilèges, la journalisation, la sauvegarde et l’escalade des incidents.
Les organisations incluent les employés mais oublient les contractants. Zenith Blueprint Step 15 recommande d’étendre la formation aux contractants ou aux tiers qui ont accès aux systèmes ou aux données.
Les organisations enseignent le signalement des incidents mais créent de la crainte. Si le personnel pense qu’il sera sanctionné pour avoir cliqué sur un lien de phishing, il peut se taire. Zenith Blueprint Step 16 met l’accent sur des canaux de signalement simples, un signalement soutenu par la sensibilisation et une culture sans blâme.
Les organisations ne peuvent pas prouver la gestion des versions du contenu. Si un auditeur demande ce que les employés ont suivi en mars, le support actuel sur SharePoint ne suffit pas. Conservez la version qui a été dispensée.
Les organisations ne relient pas la formation au traitement des risques. Si le rançongiciel, la fraude aux paiements, la mauvaise configuration cloud ou la fuite de données font partie des principaux risques, le plan de formation doit montrer un traitement ciblé pour les rôles concernés.
Où Clarysec intervient
Clarysec aide les organisations à construire un programme défendable unique, au lieu de cinq filières de conformité déconnectées.
La Politique de sensibilisation et de formation à la sécurité de l’information - PME fournit aux petites organisations un socle pratique : attentes fondées sur les rôles, enregistrements documentés, mises à jour annuelles, formation déclenchée par les changements et conservation pendant au moins trois ans.
La Politique de sensibilisation et de formation à la sécurité de l’information d’entreprise offre aux grandes organisations une gouvernance plus robuste : sensibilisation structurée et fondée sur les risques, intégration, formations de rappel annuelles, modules fondés sur les rôles, propriété des enregistrements par le RSSI et préparation aux inspections réglementaires au titre de GDPR, DORA et NIS2.
Zenith Blueprint indique aux équipes de mise en œuvre quoi faire et dans quel ordre. Step 5 intègre la compétence et la sensibilisation dans les fondations du SMSI. Step 15 opérationnalise la mesure ISO/IEC 27002:2022 6.3 avec une formation annuelle, des modules spécifiques aux rôles, l’intégration, des simulations de phishing, des éléments probants de participation, des bulletins ciblés, la formation des contractants et le renforcement comportemental. Step 16 relie la sensibilisation au signalement des incidents par le personnel.
Zenith Controls fournit aux équipes conformité la table de correspondance. Il relie la mesure ISO/IEC 27002:2022 6.3 aux rôles, au signalement des événements, à la surveillance de la conformité, aux risques liés au facteur humain dans ISO/IEC 27005:2024, aux attentes de formation GDPR, à NIS2 Article 21, à la formation TIC DORA, aux contrôles de sensibilisation NIST et aux méthodologies d’audit. Il relie également la mesure 5.2 aux responsabilités de gouvernance et la mesure 5.36 à la surveillance de la conformité et aux actions correctives.
Ensemble, ces ressources permettent à un RSSI d’expliquer non seulement quelle formation a eu lieu, mais aussi pourquoi elle a eu lieu, qui l’a exigée, quel risque elle a traité, comment elle a été étayée par des éléments probants et comment elle s’améliore.
Rendre dès maintenant les éléments probants de formation à la sécurité auditables
Si vos éléments probants actuels se limitent à un tableur, un jeu de diapositives et l’espoir que les employés se souviennent de l’adresse de signalement, il est temps de passer à un niveau de maturité supérieur.
Commencez par quatre actions cette semaine :
- Créez une matrice de formation fondée sur les rôles, reliée aux responsabilités SMSI, aux accès système et aux obligations réglementaires.
- Adoptez ou mettez à jour votre politique de sensibilisation Clarysec à l’aide de la Politique de sensibilisation et de formation à la sécurité de l’information - PME ou de la Politique de sensibilisation et de formation à la sécurité de l’information.
- Constituez le dossier d’éléments probants en six parties : gouvernance, cartographie des rôles, contenu, achèvement, efficacité et amélioration.
- Utilisez Zenith Blueprint et Zenith Controls pour cartographier les éléments probants de formation avec les attentes d’audit ISO/IEC 27001:2022, NIS2, DORA, GDPR et NIST.
La sensibilisation à la sécurité a de la valeur lorsqu’elle modifie les comportements. Les éléments probants de conformité ont de la valeur lorsqu’ils prouvent ce comportement de manière constante.
Clarysec vous aide à construire les deux.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
