La clause 7.2 ISO 27001 exige que l'organisation détermine les compétences nécessaires et assure que les personnes les possèdent. Ce template Excel cart.
TL;DR — En résumé
Template Excel gratuit ISO 27001:2022 — La clause 7.2 ISO 27001 exige que l'organisation détermine les compétences nécessaires et assure que
🎓 Template gratuit · Excel — Gouvernance
La clause 7.2 ISO 27001 exige que l'organisation détermine les compétences nécessaires et assure que les personnes les possèdent. Ce template Excel cartographie compétences requises vs acquises par rôle, avec plan de formation associé.
La clause 7.2 de la norme ISO 27001:2022 impose aux organisations de déterminer les compétences nécessaires pour les personnes effectuant des travaux sous leur contrôle qui ont un impact sur la performance de la sécurité de l'information, de s'assurer que ces personnes possèdent ces compétences, de prendre les mesures appropriées pour acquérir les compétences manquantes, et de conserver des preuves documentées de ces compétences. La matrice des compétences SMSI est l'outil central qui permet de piloter l'ensemble de ces exigences. Elle cartographie, pour chaque rôle impliqué dans le SMSI, les compétences requises, le niveau attendu, le niveau actuel de chaque individu, les écarts identifiés, et le plan de développement associé. Cet outil est systématiquement demandé lors des audits de certification ISO 27001, car il démontre que l'organisation a une démarche structurée et continue de développement des compétences en sécurité de l'information, bien au-delà de la simple sensibilisation annuelle obligatoire prévue à la clause 6.3.
Contexte réglementaire : la clause 7.2 ISO 27001 et ses exigences
La clause 7.2 s'inscrit dans le chapitre 7 « Support » qui constitue le socle opérationnel du SMSI. Elle est intrinsèquement liée aux autres clauses de support : 7.1 (Ressources), 7.3 (Sensibilisation), 7.4 (Communication) et 7.5 (Informations documentées). Ensemble, ces clauses forment le cadre de capacitation de l'organisation pour atteindre ses objectifs de sécurité.
Les exigences précises de la clause 7.2 sont :
- 7.2a — Déterminer les compétences nécessaires des personnes effectuant des travaux qui influencent la performance et l'efficacité du SMSI
- 7.2b — S'assurer que ces personnes possèdent les compétences requises (formation, études, expérience)
- 7.2c — Le cas échéant, prendre des mesures pour acquérir les compétences manquantes et évaluer l'efficacité de ces mesures
- 7.2d — Conserver des informations documentées appropriées comme preuves de compétence
Ce qui distingue fondamentalement la clause 7.2 d'une simple politique de formation est son caractère bidirectionnel : l'organisation ne se contente pas de former, elle doit démontrer que les formations dispensées ont eu l'effet attendu sur les compétences réelles. L'évaluation de l'efficacité des mesures (7.2c) est souvent l'élément le plus difficile à documenter lors des audits.
Les articulations normatives à maîtriser :
- Clause 5.3 — Attribution des rôles et responsabilités : définit les rôles pour lesquels des compétences spécifiques sont requises
- Clause 7.3 — Sensibilisation : les niveaux de base de sensibilisation sécurité pour tous les utilisateurs
- Clause 9.1 — Surveillance et mesure : évaluation de l'efficacité du SMSI, dont les compétences
- Clause 9.2 — Audit interne : les auditeurs internes doivent avoir des compétences spécifiques documentées
- A.6.3 — Sensibilisation, éducation et formation à la sécurité de l'information : articulation avec la formation technique
- A.5.2 — Rôles et responsabilités en matière de sécurité de l'information
Rôles SMSI et référentiel de compétences
La première étape dans la construction de la matrice des compétences est d'identifier exhaustivement les rôles ayant un impact sur le SMSI et de définir pour chaque rôle le référentiel de compétences requis.
Rôles clés et compétences associées
| Rôle SMSI | Compétences techniques clés | Compétences normatives | Certifications recommandées |
|---|---|---|---|
| RSSI / Responsable SMSI | Analyse de risques, architecture sécurité, gestion incidents, cryptographie | ISO 27001 approfondi, RGPD, NIS 2, EBIOS RM | ISO 27001 Lead Implementer, CISSP, CISM |
| Auditeur interne SMSI | Techniques d'audit, collecte de preuves, rédaction de rapports | ISO 27001 lecture approfondie, ISO 19011 | ISO 27001 Lead Auditor, ISO 19011 |
| Administrateur sécurité | Firewall, IAM, PKI, SIEM, durcissement systèmes | ISO 27001 thème 8 (contrôles tech.), ANSSI guides | SSCP, CompTIA Security+, certif. éditeur |
| Analyste SOC / Incident Response | SIEM, forensics, threat intelligence, playbooks | ISO 27001 A.5.24-26, MITRE ATT&CK | GCIH, CEH, Blue Team certifications |
| DPO / Référent RGPD | Analyse d'impact (EIVP/PIA), registre des traitements, notifications CNIL | RGPD approfondi, ISO 27001 A.5.34, loi Informatique et Libertés | CIPP/E, certification CNIL, DPO PECB |
| Responsable système / DSI | Architecture SI, continuité d'activité, gestion des changements | ISO 27001 clauses 4-10, ISO 22301 | CISA, ITIL, ISO 27001 Foundation |
| Développeur / DevSecOps | SAST/DAST, secure coding, gestion des secrets, revue de code sécurité | ISO 27001 A.8.25-32, OWASP Top 10 | CSSLP, CEH, OWASP certif. |
| Référent métier / Propriétaire d'actif | Classification des données, gestion des accès métier, identification des risques | ISO 27001 notions de base, politique de classification | ISO 27001 Foundation, sensibilisation avancée |
L'échelle de niveaux de compétence
La matrice doit utiliser une échelle de niveaux claire et partagée. Nous recommandons une échelle à 4 niveaux inspirée du cadre européen DigComp :
- Niveau 1 — Notions : connaît le concept, peut expliquer les principes de base. Pas encore capable d'appliquer de manière autonome.
- Niveau 2 — Pratique supervisée : peut appliquer avec guidance. A besoin d'accompagnement pour les cas complexes. Formation en cours.
- Niveau 3 — Pratique autonome : applique de manière autonome dans des situations standard. Peut former d'autres personnes sur les bases.
- Niveau 4 — Expert : maîtrise avancée, capacité à résoudre des cas complexes, à concevoir des solutions, à former et à innover dans le domaine.
Structure du template Excel de matrice des compétences
Le template téléchargeable est structuré en cinq onglets complémentaires, chacun répondant à une exigence spécifique de la clause 7.2.
Onglet 1 — Référentiel de compétences
Cet onglet liste toutes les compétences identifiées comme nécessaires pour le SMSI, organisées par domaine. Pour chaque compétence, il précise : le code compétence (ex. COMP-SEC-001), l'intitulé, le domaine (Gouvernance, Technique, Réglementaire, Organisationnel), la clause ISO 27001 associée, et le niveau requis par rôle. Cet onglet est la source de vérité du référentiel ; il doit être validé par le responsable SMSI et révisé annuellement.
Onglet 2 — Matrice rôles × compétences
C'est la matrice centrale : en lignes les compétences, en colonnes les rôles SMSI. Pour chaque intersection, le niveau requis (1-4) est indiqué. Un code couleur automatique (rouge/orange/jaune/vert) visualise immédiatement les niveaux. Cet onglet répond à l'exigence 7.2a.
Onglet 3 — Évaluation individuelle
Pour chaque personne occupant un rôle SMSI, cet onglet enregistre le niveau actuel pour chaque compétence requise, la date de la dernière évaluation, l'évaluateur, et l'écart avec le niveau requis (calculé automatiquement). Les écarts négatifs déclenchent automatiquement une mise en évidence pour le plan de développement. Cet onglet répond à l'exigence 7.2b.
Onglet 4 — Plan de développement des compétences
Pour chaque écart identifié dans l'onglet 3, cet onglet précise l'action de développement choisie (formation interne, formation externe, certification, mentorat, autoformation, exercice pratique), le prestataire ou la ressource, la date planifiée, le budget estimé, la date de réalisation effective, et l'évaluation post-formation. Cet onglet répond à l'exigence 7.2c.
Onglet 5 — Preuves documentaires
Cet onglet centralise les références des preuves de compétence conservées : certificats (numéro, organisme, date, expiration), attestations de formation (date, organisme, heures), évaluations post-formation (score, niveau validé), et CV/expériences pertinentes. Les preuves sont stockées dans le GED du SMSI et référencées ici par leur identifiant documentaire. Cet onglet répond directement à l'exigence 7.2d.
Checklist d'audit — Clause 7.2 ISO 27001
| ID | Exigence / Contrôle | Clause | Preuve attendue | Statut |
|---|---|---|---|---|
| COMP-01 | Tous les rôles SMSI sont identifiés et documentés | 7.2a, 5.3 | Organigramme SMSI, fiche de poste | À vérifier |
| COMP-02 | Référentiel de compétences SMSI formalisé et validé | 7.2a | Document référentiel signé, version datée | À vérifier |
| COMP-03 | Niveaux requis par rôle définis pour chaque compétence | 7.2a | Matrice rôles × compétences avec niveaux | À vérifier |
| COMP-04 | Évaluation individuelle réalisée pour chaque personne en rôle SMSI | 7.2b | Fiches d'évaluation datées et signées | À vérifier |
| COMP-05 | Écarts de compétences identifiés et documentés | 7.2b, 7.2c | Rapport d'écarts, analyse par rôle | À vérifier |
| COMP-06 | Plan de développement des compétences formalisé pour chaque écart | 7.2c | Plan annuel de formation, budget alloué | À vérifier |
| COMP-07 | Actions de développement réalisées dans les délais planifiés | 7.2c | Taux de réalisation du plan de formation | À vérifier |
| COMP-08 | Efficacité des actions de formation évaluée (avant/après) | 7.2c | Résultats évaluation post-formation, niveau re-évalué | À vérifier |
| COMP-09 | Preuves documentaires de compétence conservées (certificats, attestations) | 7.2d | Registre des preuves, documents scannés en GED | À vérifier |
| COMP-10 | Compétences de l'auditeur interne SMSI documentées (ISO 19011) | 7.2d, 9.2 | Certification Lead Auditor ou équivalent | À vérifier |
| COMP-11 | Compétences du RSSI/responsable SMSI formellement validées | 7.2d, 5.3 | CV, certifications, expériences documentées | À vérifier |
| COMP-12 | Plan de succession pour les rôles SMSI critiques (RSSI, auditeur) | 7.2, 7.1 | Plan de continuité RH, doublures identifiées | À vérifier |
| COMP-13 | Matrice des compétences révisée annuellement et après changements majeurs | 7.2, 10.2 | Historique des révisions, changelog documenté | À vérifier |
| COMP-14 | Compétences des sous-traitants impliqués dans le SMSI vérifiées | 7.2, A.5.19 | Clauses contractuelles, vérification qualifications | À vérifier |
| COMP-15 | Bilan annuel des compétences présenté en revue de direction | 7.2, 9.3 | Support de revue direction avec section compétences | À vérifier |
| COMP-16 | Compétences RGPD/DPO documentées pour les rôles impliqués dans les traitements | 7.2, A.5.34 | Certifications DPO, formations RGPD suivies | À vérifier |
| COMP-17 | Nouvelles recrues en rôle SMSI évaluées dans les 3 mois suivant leur arrivée | 7.2b | Procédure onboarding, évaluation initiale | À vérifier |
| COMP-18 | Certifications ISO 27001 d'équipe gérées (expiration, renouvellement) | 7.2d | Calendrier des renouvellements, alertes configurées | À vérifier |
| COMP-19 | Compétences en analyse de risques (EBIOS RM ou ISO 27005) documentées | 7.2, 6.1.2 | Formation EBIOS RM, certification ANSSI si applicable | À vérifier |
| COMP-20 | Budget formation sécurité alloué et suivi annuellement | 7.2c, 7.1 | Budget formation approuvé, factures formation | À vérifier |
| COMP-21 | Compétences en gestion de crise cyber documentées pour l'équipe IR | 7.2, A.5.26 | Exercice de crise, évaluation post-exercice | À vérifier |
| COMP-22 | Distinction formation initiale / formation continue documentée | 7.2c | Catalogue formations, parcours par rôle | À vérifier |
| COMP-23 | Compétences en cryptographie et gestion des clés (A.8.24) couvertes | 7.2, A.8.24 | Formation PKI, gestion des certificats | À vérifier |
| COMP-24 | Compétences cloud security documentées pour les rôles techniques | 7.2, A.5.23 | Certifications cloud (AWS/Azure/GCP Security) | À vérifier |
| COMP-25 | Veille réglementaire et normative assurée et documentée (NIS 2, DORA, etc.) | 7.2, 4.1, 4.2 | Abonnements veille, synthèses périodiques | À vérifier |
Points de vigilance pour l'audit de la clause 7.2
La clause 7.2 est l'une des plus fréquemment pointées en non-conformité lors des audits de première certification, pour des raisons qui surprennent souvent les organisations.
L'erreur la plus fréquente : confondre formation et compétence
Avoir envoyé quelqu'un en formation ne démontre pas qu'il a acquis la compétence. La clause 7.2c exige explicitement l'évaluation de l'efficacité des mesures prises. Un auditeur ISO 27001 cherchera systématiquement les évaluations post-formation. Si vous ne pouvez présenter que des listes de présence, vous risquez une observation. Pour passer l'audit avec succès, chaque formation doit être suivie d'une évaluation (QCM, mise en situation, étude de cas) dont les résultats sont documentés.
L'oubli des rôles en dehors de l'équipe IT
La clause 7.2 couvre toutes les personnes « effectuant des travaux sous leur contrôle qui ont un impact sur la performance et l'efficacité du SMSI ». Cela inclut les propriétaires d'actifs métier, les responsables de la continuité d'activité, les chargés de marchés publics gérant des clauses de sécurité, et les référents RGPD dans les directions. Les matrices de compétences limitées à l'équipe IT sont systématiquement pointées par les auditeurs.
La non-mise à jour après les changements
Les nouvelles menaces (ransomware as a service, IA adversariale), les nouvelles réglementations (NIS 2, DORA, AI Act), et les nouvelles technologies adoptées par l'organisation créent des besoins de compétences nouveaux. Une matrice non mise à jour depuis 2 ans dans un environnement IT qui a évolué est une non-conformité évidente. La révision doit être formellement planifiée (au moins annuellement) et déclenchée automatiquement par tout changement significatif du SMSI.
L'absence de plan de succession
Si le RSSI ou l'auditeur interne quittent l'organisation, qui assume leurs responsabilités SMSI ? Les auditeurs ISO 27001 posent systématiquement cette question. La matrice doit identifier les personnes désignées comme doublures et documenter le plan de développement pour les amener au niveau requis. Ce n'est pas de la paranoïa : c'est une exigence de résilience organisationnelle couverte par la clause 7.1 (Ressources).
Intégration de la matrice de compétences dans le SMSI
Articulation avec le processus PDCA
La matrice de compétences s'intègre dans chacune des phases du cycle PDCA du SMSI. En phase Plan : identification des besoins en compétences lors de l'analyse des risques et de la définition des objectifs de sécurité. En phase Do : déploiement des actions de formation planifiées. En phase Check : évaluation de l'efficacité des formations et mesure des niveaux atteints. En phase Act : ajustement du plan de développement sur la base des résultats de l'évaluation.
Contribution aux indicateurs de performance du SMSI
La clause 9.1 exige la mesure de la performance du SMSI. Les compétences sont un indicateur de performance pertinent : taux de couverture des compétences requises (nombre de personnes au niveau requis / nombre total), taux de réalisation du plan de formation, délai moyen pour combler un écart de compétence. Ces indicateurs sont présentés en revue de direction (9.3).
Lien avec la gestion des incidents
Paradoxalement, les incidents de sécurité sont une excellente source d'identification des besoins en compétences. Une analyse de la cause racine (A.10.1) qui révèle une erreur de configuration résultant d'une compétence insuffisante doit automatiquement alimenter la matrice des compétences et le plan de formation. Cette boucle vertueuse entre gestion des incidents et développement des compétences est le signe d'un SMSI mature.
Bonnes pratiques pour une matrice de compétences efficace
Associer les managers à l'évaluation
L'évaluation des compétences ne doit pas être une démarche purement RH ou RSSI. Les managers opérationnels ont une vision précieuse des compétences réelles de leurs équipes et des besoins terrain. Un processus d'évaluation co-porté par le RSSI et les managers garantit une matrice plus réaliste et une meilleure adhésion au plan de développement.
Favoriser la diversité des modalités de développement
Les formations en salle ou en e-learning ne sont pas les seuls modes de développement des compétences. Le mentorat (pairing avec un expert), les exercices pratiques (CTF, war games, simulations de crise), la participation à des communautés professionnelles (ANSSI, CLUSIF, CESIN), et l'autoformation sur des plateformes spécialisées sont des modalités souvent plus efficaces et moins coûteuses pour certaines compétences techniques avancées. La matrice doit pouvoir accueillir ces modalités alternatives.
Valoriser les compétences comme un actif organisationnel
La clause 7.2 ne doit pas être vécue comme une contrainte normative mais comme un outil de gestion stratégique. Une organisation qui cartographie rigoureusement ses compétences en sécurité peut prendre de meilleures décisions de recrutement, mieux allouer son budget formation, identifier plus rapidement les risques liés à un départ, et démontrer la valeur de son équipe sécurité à la direction. La matrice des compétences est aussi un outil de communication sur la valeur ajoutée de l'équipe sécurité.
FAQ — Questions fréquentes sur la clause 7.2 ISO 27001
Quelle est la différence entre la clause 7.2 (Compétences) et la clause 7.3 (Sensibilisation) ?
La clause 7.2 porte sur les compétences spécifiques des personnes ayant des rôles SMSI définis : elles doivent avoir la capacité de réaliser des tâches précises (analyser un risque, configurer un firewall, mener un audit, gérer un incident). La clause 7.3 porte sur la sensibilisation de base de tous les utilisateurs : ils doivent comprendre la politique de sécurité, les conséquences d'un non-respect, et leur contribution à l'efficacité du SMSI. En pratique, les personnes en rôle SMSI sont soumises aux deux exigences simultanément.
Comment évaluer l'efficacité d'une formation ISO 27001 Lead Implementer ?
Le passage réussi de l'examen de certification constitue en soi une preuve d'évaluation de l'efficacité : la certification valide un niveau de compétence selon un référentiel international. Pour les formations sans certification associée, les méthodes d'évaluation incluent : un QCM de 20 questions pre/post formation avec progression mesurable, une mise en situation pratique (ex. : analyser un risque fictif), ou une grille d'observation lors d'un exercice SMSI réel. L'important est de pouvoir présenter une preuve documentée d'évaluation à l'auditeur.
La clause 7.2 s'applique-t-elle aux sous-traitants qui participent au SMSI ?
Oui. Si un prestataire (MSSP, consultant RSSI externalisé, intégrateur sécurité) réalise des activités sous le contrôle de l'organisation et ayant un impact sur le SMSI, ses compétences entrent dans le périmètre de la clause 7.2. En pratique, cela se traduit par des exigences contractuelles (qualification minimale, certifications requises), des vérifications lors de la sélection du prestataire, et un suivi dans le registre des preuves. La matrice des compétences peut inclure une section « prestataires » pour couvrir ce périmètre.
Comment gérer les compétences lors d'une réorganisation ou d'un départ clé ?
La clause 7.2 exige une gestion prospective des compétences, pas seulement réactive. Le plan de succession (doublures identifiées, niveaux cibles définis) permet d'anticiper les départs. En cas de départ non planifié d'un rôle SMSI clé, le gap assessment doit être réalisé immédiatement pour identifier les compétences manquantes et déclencher une action corrective (recrutement, formation accélérée d'un remplaçant, recours temporaire à un consultant). Cette action corrective doit être documentée et présentée à l'auditeur comme preuve de maîtrise du risque.
Points clés à retenir — Matrice Compétences SMSI ISO 27001
- La clause 7.2 exige quatre éléments cumulatifs : identifier les compétences requises, s'assurer qu'elles sont acquises, combler les écarts, et conserver des preuves documentées.
- Former n'est pas sufisant : l'efficacité de chaque action de formation doit être évaluée et documentée (point le plus fréquemment manquant en audit).
- Le périmètre couvre tous les rôles SMSI, pas seulement l'équipe IT : propriétaires d'actifs métier, DPO, auditeurs internes, responsables de la continuité.
- La matrice doit être révisée au moins annuellement et à chaque changement significatif du SMSI (nouveau contrôle, nouvelle réglementation, nouvelle technologie).
- Un plan de succession pour les rôles SMSI critiques (RSSI, auditeur interne) est attendu par les auditeurs de certification.
- Les compétences des sous-traitants impliqués dans le SMSI entrent également dans le périmètre de la clause 7.2.
Rédigé par Ayi NEDJIMI — Consultant ISO 27001 & Cybersécurité
Liens connexes : Matrice RACI SMSI · Plan de Communication SMSI · Revue de Direction ISO 27001 · Procédure Onboarding/Offboarding
La matrice de compétences SMSI constitue un document vivant qui doit évoluer avec l'organisation. Une révision annuelle alignée sur la revue de direction ISO 27001 permet d'identifier les lacunes émergentes, notamment face aux nouvelles menaces liées à l'intelligence artificielle et aux environnements cloud hybrides. L'intégration de certifications reconnues comme CISSP, CISM, ISO 27001 Lead Auditor ou ISO 27005 Risk Manager dans la matrice renforce la crédibilité des compétences documentées auprès des auditeurs de certification et des parties prenantes externes.
Un projet cybersécurité ?
Expert dispo · Réponse 24h