Plan d'Audit Interne ISO 27001 : Template Excel Annuel

Le plan d'audit interne ISO 27001 est le document de pilotage du programme d'audit interne du SMSI. La clause 9.2 de la norme ISO/IEC 27001:2022 impose de planifier, établir, mettre en œuvre et maintenir un programme d'audit interne qui couvre la fréquence, les méthodes, les responsabilités, les exigences de planification et le compte rendu. Ce template Excel, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, organise sur 12 mois la couverture complète du SMSI : les 11 clauses normatives (4 à 10) et les 93 contrôles de l'Annexe A répartis en 4 thèmes (Organisationnels, Personnes, Physiques, Technologiques). Il permet d'assigner chaque domaine à un auditeur, de définir la durée estimée, la méthode d'audit (interviews, revue documentaire, tests techniques, observation), et les livrables attendus (rapport d'audit, liste de NC). Le plan d'audit doit être basé sur une appréciation des risques : les domaines à plus fort risque ou ayant présenté des non-conformités lors du cycle précédent méritent une fréquence d'audit plus élevée. Le plan doit également couvrir l'ensemble du SMSI sur le cycle de certification (3 ans maximum), pour démontrer à l'auditeur de certification que tous les contrôles sont régulièrement vérifiés. Ce document est l'artefact de planification qui précède les rapports d'audit interne et qui structure le programme d'amélioration continue de votre SMSI, en lien direct avec la revue de direction (clause 9.3) et le registre des non-conformités.

Contexte réglementaire et normatif

ISO/IEC 27001:2022 — Clause 9.2 : Programme d'audit interne

La clause 9.2 impose que le programme d'audit interne prenne en compte l'importance des processus concernés et les résultats des audits précédents. En pratique, cela signifie que le plan d'audit doit être dynamic et risk-based : les domaines à fort risque ou ayant présenté des NC récentes doivent être audités plus fréquemment. Les auditeurs de certification vérifient que le plan d'audit est cohérent avec l'analyse de risques et n'est pas un simple planning administratif de type "round-robin" sans priorisation.

Couverture des 93 contrôles Annexe A sur le cycle

ISO 27001:2022 compte 93 contrôles dans l'Annexe A (contre 114 dans la version 2013). L'ensemble de ces contrôles applicables (selon votre SoA) doit être couvert par le programme d'audit sur le cycle de certification. Le template Excel permet de vérifier cette couverture complète et d'identifier les contrôles qui n'ont pas encore été audités.

Structure détaillée du template Excel

Onglet 1 — Planning annuel des audits

Un planning visuel sur 12 mois avec : domaine / clause ISO 27001 ou contrôle Annexe A, auditeur(s) assigné(s), mois de réalisation prévue, durée estimée (en jours), méthode d'audit, livrables attendus, statut (Planifié/En cours/Réalisé/Reporté), et lien vers le rapport produit. Un code couleur distingue les audits planifiés, réalisés, en retard, et annulés.

Onglet 2 — Couverture des clauses normatives

Tableau de suivi pour chaque clause de la norme (Clauses 4 à 10) avec : clause ISO 27001, dernière date d'audit, résultat (NC/OK/Observations), prochaine date d'audit prévue, et fréquence d'audit recommandée. Cet onglet permet de s'assurer qu'aucune clause obligatoire n'est oubliée.

Onglet 3 — Couverture des contrôles Annexe A

Tableau de suivi pour chacun des 93 contrôles de l'Annexe A avec : contrôle, thème (Organisationnel/Personnes/Physique/Technologique), applicabilité selon le SoA (Applicable/Non applicable), dernière date d'audit, résultat, prochaine date d'audit, et fréquence recommandée. Un calcul automatique affiche le taux de couverture par thème et au global.

Onglet 4 — Profil des auditeurs

Liste des auditeurs internes avec leurs qualifications (ISO 27001 Lead Auditor, auditeur interne certifié, expert technique), les domaines pour lesquels ils sont indépendants (ne peuvent pas auditer leurs propres travaux), et les formations réalisées. Cet onglet démontre la compétence et l'indépendance du programme d'audit.

Onglet 5 — Tableau de bord du programme d'audit

Dashboard synthétique : taux de réalisation du plan d'audit (audits réalisés / planifiés), taux de couverture des clauses normatives, taux de couverture des contrôles Annexe A applicables, nombre de NC identifiées par domaine, délai moyen entre planification et réalisation, et audits en retard nécessitant une action.

Guide d'utilisation étape par étape

1. Définir le périmètre et les objectifs du programme d'audit : le programme d'audit doit couvrir l'ensemble du SMSI sur le cycle de certification (3 ans). Pour la première année, priorisez les clauses obligatoires (4-10) et les contrôles à fort risque identifiés dans l'analyse de risques.
2. Identifier et former les auditeurs internes : recrutez ou désignez les auditeurs internes en tenant compte de l'exigence d'indépendance. Assurez leur formation (une certification ISO 27001 Internal Auditor est un atout) et documentez leurs qualifications dans l'onglet "Profil des auditeurs".
3. Prioriser les domaines à fort risque : analysez les résultats des audits précédents, l'analyse de risques, et les incidents récents pour identifier les domaines méritant une fréquence d'audit plus élevée. Par exemple, si la gestion des accès a présenté 3 NC l'année précédente, elle mérite 2 audits cette année.
4. Planifier en cohérence avec l'agenda organisationnel : évitez les audits pendant les périodes de pointe (clôture fiscale, période estivale, lancements produit importants). L'audit doit pouvoir s'appuyer sur la disponibilité des audités — un audit bâclé faute de disponibilité des interlocuteurs est inutile.
5. Planifier l'audit interne avant l'audit de certification : l'audit interne doit être réalisé et son rapport produit au moins 2 à 3 mois avant l'audit de certification, pour permettre le traitement des NC identifiées.
6. Suivre et ajuster le plan mensuellement : consultez le tableau de bord mensuellement pour identifier les audits en retard et décider s'ils doivent être reportés ou remplacés par un audit abrégé.
7. Présenter le programme d'audit en revue de direction : le bilan du programme d'audit (taux de réalisation, NC identifiées, tendances) est un input obligatoire de la revue de direction (clause 9.3). Préparez une synthèse à partir du tableau de bord.
8. Ajuster le plan pour le cycle suivant : à la fin de chaque cycle annuel, analysez les résultats du programme (domaines non couverts, NC récurrentes, délais de réalisation) et ajustez le plan pour l'année suivante en conséquence.

Tableau des contrôles — Checklist programme d'audit interne ISO 27001

Points de vigilance pour l'audit de certification

1. Plan d'audit jamais actualisé : un plan d'audit créé en début d'année et jamais modifié malgré des événements significatifs (incident majeur, réorganisation, nouveau système) manque de dynamisme. Remédiation : révisez le plan d'audit après chaque événement significatif et documentez les révisions.
2. Couverture incomplète du SMSI : si certaines clauses normatives ou certains contrôles Annexe A applicables n'ont jamais été audités sur le cycle, c'est une NC potentielle. Remédiation : utilisez l'onglet de suivi de couverture pour identifier les "blancs" et planifier des audits pour les combler avant le renouvellement de certification.
3. Tous les audits planifiés en fin d'année : un plan qui concentre tous les audits en décembre est irréaliste. Remédiation : répartissez les audits sur l'année en fonction des disponibilités et des priorités, avec une légère concentration au T3 pour permettre le traitement des NC avant l'audit de certification.
4. Auditeurs non formés à ISO 27001 : des auditeurs internes sans formation spécifique ISO 27001 peuvent manquer des lacunes importantes. Remédiation : formez au moins un auditeur interne au niveau ISO 27001 Internal Auditor (formation de 2 jours) et documentez cette formation.

Intégration du programme d'audit dans le cycle SMSI

Le programme d'audit interne n'est pas un document isolé — il s'inscrit dans le cycle PDCA (Plan-Do-Check-Act) du SMSI et interagit avec plusieurs autres processus clés. Comprendre ces interactions est essentiel pour concevoir un programme d'audit efficace et démontrer l'approche systémique attendue par les auditeurs de certification.

Bonnes pratiques — Programme d'audit interne ISO 27001

Questions fréquentes

Peut-on sous-traiter le programme d'audit interne à un consultant externe ?

Oui, c'est même recommandé pour les organisations qui n'ont pas d'auditeurs internes suffisamment indépendants ou compétents pour couvrir l'ensemble du SMSI. Un consultant ISO 27001 Lead Auditor externe peut réaliser tout ou partie des audits internes. Dans ce cas, les critères d'indépendance sont naturellement respectés. L'essentiel est que le programme soit planifié par votre organisation (vous définissez ce qui est audité, quand, et par qui), que les rapports produits soient bien des rapports d'audit interne (pas des rapports de conseil), et que les résultats soient présentés à votre direction comme inputs de la revue de direction. Documentez le recours au consultant externe dans votre programme d'audit (mentionner le nom du cabinet et les qualifications de l'auditeur). Assurez-vous également que le consultant signe une déclaration d'indépendance et de confidentialité avant chaque mission d'audit. Pour les organisations de taille modeste (PME, ETI), l'externalisation du programme d'audit interne représente souvent un meilleur rapport coût/qualité qu'une formation interne, car le consultant apporte une vision comparative de plusieurs SMSI et une connaissance fine des attentes des auditeurs de certification.

Quelle est la différence entre le plan d'audit interne et le plan d'amélioration SMSI ?

Le plan d'audit interne (clause 9.2) est un outil de vérification : il planifie les activités d'audit pour évaluer la conformité et l'efficacité du SMSI. Il produit des rapports d'audit et des listes de non-conformités. Le plan d'amélioration SMSI (clause 10.1) est un outil d'action : il recense les initiatives d'amélioration décidées pour renforcer le SMSI, avec des responsables, des délais et des indicateurs de succès. Ces deux plans sont complémentaires et interdépendants : les résultats du plan d'audit alimentent le plan d'amélioration (les NC identifiées deviennent des actions d'amélioration), et le plan d'amélioration peut influencer le plan d'audit (les domaines en cours d'amélioration méritent une vérification de l'efficacité des actions). Concrètement, lors de la revue de direction, le RSSI présente le bilan du programme d'audit de l'année (nombre d'audits réalisés, NC identifiées, tendances) et le plan d'amélioration découle directement de ces résultats. Un bon programme d'audit doit être suffisamment granulaire pour identifier des NC précises et actionnables, pas seulement des observations vagues.

Quelle fréquence d'audit faut-il prévoir pour les domaines critiques ?

La fréquence d'audit est déterminée par trois facteurs combinés : le niveau de risque du domaine, les résultats des audits précédents, et l'importance stratégique du contrôle. Pour un SMSI mature en cycle de renouvellement (surveillance annuelle), voici les fréquences typiques recommandées. Les clauses obligatoires (4 à 10) et les contrôles critiques à fort risque (gestion des accès A.5.15-18, cryptographie A.8.24, gestion des incidents A.5.24-28) méritent un audit annuel minimum. Les contrôles à risque moyen (gestion des changements A.8.32, sécurité physique A.7.1-14, sécurité réseau A.8.20-23) peuvent être audités tous les 18 mois. Les contrôles à faible risque et stables peuvent être audités tous les 2 à 3 ans, à condition que leur risque résiduel soit confirmé bas lors de la revue annuelle de l'analyse de risques. Attention : si un incident majeur survient dans un domaine, cela doit déclencher un audit non planifié de ce domaine, indépendamment du calendrier prévu. Ce principe de "surveillance réactive" est fondamental dans une approche risk-based.

Comment gérer les audits internes dans une organisation multi-sites ?

Pour les organisations avec plusieurs sites ou filiales dans le périmètre du SMSI, le programme d'audit interne doit couvrir chaque site de manière représentative. La norme n'exige pas que chaque site soit audité chaque année, mais que l'ensemble du périmètre soit couvert de manière cohérente sur le cycle. Plusieurs approches sont possibles. L'approche "exhaustive" audite chaque site sur une base annuelle ou biannuelle — appropriée pour les organisations avec peu de sites ou des sites très hétérogènes. L'approche "par rotation" audite l'ensemble des sites sur 3 ans, en priorisant les sites à fort risque chaque année — appropriée pour les groupes avec de nombreuses filiales similaires. L'approche "audit de conformité centrale + spot checks locaux" réalise un audit complet du SMSI central chaque année et des vérifications ponctuelles sur quelques sites représentatifs — appropriée pour les holdings avec un SMSI centralisé. Quelle que soit l'approche, documentez explicitement le périmètre géographique dans votre plan d'audit et justifiez votre stratégie de couverture multi-sites dans la procédure de programme d'audit.

Combien de temps dure un audit interne ISO 27001 ?

La durée d'un audit interne dépend de la taille du périmètre, de la complexité du SMSI, et du niveau de maturité de l'organisation. À titre indicatif, un audit interne complet d'un SMSI de taille moyenne (200 à 500 collaborateurs, périmètre limité) représente entre 5 et 10 jours-auditeur : 1 jour de préparation (revue documentaire, préparation des questionnaires), 3 à 6 jours d'audit sur site (interviews, tests, revue de preuves), 1 à 3 jours de rédaction du rapport et réunion de clôture. Pour un audit partiel (un seul domaine ou cluster de contrôles), comptez 1 à 2 jours-auditeur. Pour un SMSI de grande organisation (1 000+ collaborateurs, périmètre étendu), le programme d'audit peut représenter 20 à 40 jours-auditeur par an, répartis entre plusieurs audits thématiques. Il est préférable de réaliser plusieurs audits thématiques ciblés de 1 à 2 jours plutôt qu'un seul grand audit annuel de 10 jours : les audits thématiques sont plus focalisés, plus faciles à planifier, et génèrent des rapports plus actionnables.

Comment documenter et justifier les audits reportés ou annulés ?

Les audits reportés ou annulés font partie de la vie normale d'un programme d'audit. Ce qui importe pour l'auditeur de certification, c'est que les reports soient documentés et justifiés, et que les audits critiques ne soient pas systématiquement annulés. Dans votre template Excel, prévoyez une colonne "Motif du report/annulation" avec les valeurs possibles : indisponibilité auditeur, indisponibilité audité, changement organisationnel majeur, incident en cours dans le domaine (audit reporté post-résolution), couverture incluse dans un autre audit. Pour chaque report, précisez la nouvelle date prévue. Si un audit est définitivement annulé (pas reporté), justifiez pourquoi la couverture de ce domaine n'est pas nécessaire cette année et comment ce risque est géré autrement. Un taux de réalisation du plan d'audit inférieur à 70% sur l'année doit être présenté en revue de direction avec un plan de rattrapage ou une révision du programme — et sera certainement questionné lors de l'audit de certification.

Quelle est la différence entre l'audit interne et l'audit de certification Stage 1/Stage 2 ?

L'audit interne ISO 27001 est réalisé par votre organisation (ou un consultant mandaté par vous) pour votre propre compte : il vérifie la conformité de votre SMSI à vos propres critères et aux exigences normatives. Son objectif est de détecter les non-conformités en amont, d'améliorer votre SMSI, et de préparer l'audit de certification. L'auditeur interne est soit un employé formé, soit un consultant externe mandaté. L'audit de certification (Stage 1 et Stage 2) est réalisé par un organisme de certification accrédité COFRAC (ou UKAS, DAkkS, etc.) pour votre compte, en vue de l'émission d'un certificat ISO 27001. L'audit Stage 1 est essentiellement documentaire (revue du SMSI, de la documentation, préparation Stage 2) et l'audit Stage 2 est l'audit principal de conformité sur site. Les auditeurs de certification sont des tiers indépendants mandatés par l'organisme de certification, pas par votre organisation. La principale différence pratique : les NC identifiées lors de l'audit interne peuvent être traitées sans impact sur la certification, tandis que les NC identifiées lors de l'audit de certification peuvent retarder ou bloquer l'émission du certificat.

Comment intégrer les résultats d'audit dans la revue de direction ?

La revue de direction (clause 9.3) est une réunion formelle où la direction évalue la performance du SMSI et prend des décisions stratégiques. Les résultats du programme d'audit interne sont un input obligatoire de la revue de direction, au même titre que les résultats de l'appréciation des risques, les indicateurs de performance, les incidents, et les retours des parties prenantes. Pour préparer la contribution du programme d'audit à la revue de direction, préparez une synthèse incluant : le bilan de réalisation du programme d'audit de l'année (taux de réalisation, audits reportés), les principaux résultats par domaine (NC majeures, NC mineures, observations, points forts), les tendances (domaines en amélioration vs domaines en dégradation), et le plan d'audit de l'année suivante pour approbation. La direction doit explicitement approuver le programme d'audit de l'année suivante — cette approbation doit être documentée dans le PV de revue de direction. Les auditeurs de certification vérifient que la revue de direction intègre bien les résultats du programme d'audit et que la direction est réellement impliquée dans le pilotage du SMSI.

Comment adapter le programme d'audit lors d'une transition ISO 27001:2013 vers ISO 27001:2022 ?

La transition de la version 2013 à la version 2022 d'ISO 27001 implique des changements importants dans la structure des contrôles de l'Annexe A : passage de 114 à 93 contrôles, réorganisation en 4 thèmes (contre 14 sections), et 11 nouveaux contrôles. Si votre SMSI était certifié selon la version 2013 (date limite de transition : octobre 2025 pour la plupart des schémas de certification), votre programme d'audit doit intégrer la couverture des 11 nouveaux contrôles : A.5.7 Threat intelligence, A.5.23 Sécurité cloud, A.5.30 ICT readiness for business continuity, A.7.4 Physical security monitoring, A.8.9 Configuration management, A.8.10 Information deletion, A.8.11 Data masking, A.8.12 Data leakage prevention, A.8.16 Monitoring activities, A.8.23 Web filtering, A.8.28 Secure coding. Mettez à jour votre onglet de couverture des contrôles Annexe A dans le template Excel pour reflèter la structure 2022, et planifiez des audits spécifiques sur les nouveaux contrôles pour démontrer que votre SMSI les a bien intégrés avant l'audit de transition.

Pour aller plus loin

• Rapport d'audit interne ISO 27001 — Modèle Word préformaté
• Registre des non-conformités ISO 27001 [Clause 10]
• Checklist audit de certification ISO 27001 Stage 1 + Stage 2
• Gap Analysis ISO 27001:2022 — 93 contrôles [outil Excel]
• Notre service d'accompagnement ISO 27001 complet