La clause 7.4 ISO 27001 impose de définir un plan de communication interne et externe sur les questions de sécurité. Ce modèle Word couvre les communica.
TL;DR — En résumé
Template Word gratuit ISO 27001:2022 — La clause 7.4 ISO 27001 impose de définir un plan de communication interne et externe sur les questi
Liens avec les autres clauses ISO 27001 et articulation du SMSI
La communication SMSI (clause 7.4) ne s'applique pas en isolation — elle s'articule directement avec plusieurs autres clauses de la norme. La clause 5.1 (Leadership et engagement) impose que la direction communique sur l'importance du SMSI, ses objectifs et son soutien actif à la politique de sécurité. La clause 6.2 (Objectifs de sécurité de l'information) requiert que ces objectifs soient communiqués aux parties concernées de l'organisation — ce qui nécessite un plan de communication formalisé. La clause 9.1 (Surveillance, mesure, analyse et évaluation) génère des résultats d'indicateurs de performance qui doivent être communiqués à la direction et aux propriétaires de processus. La clause 9.3 (Revue de direction) est elle-même un événement de communication structuré, dont l'ordre du jour, les participants et les sorties doivent être documentés. Traiter la communication comme un élément isolé, sans la relier à ces obligations connexes, conduit inévitablement à des lacunes lors de l'audit de certification.
Erreurs courantes lors de l'audit de la clause 7.4 ISO 27001
Plusieurs erreurs récurrentes sont observées lors des audits de certification sur la clause 7.4. La première est de confondre "sensibilisation" (clause 7.3) et "communication" (clause 7.4) : la sensibilisation porte sur la conscience des risques et des politiques par les collaborateurs, tandis que la communication porte sur les flux d'information formels liés au SMSI entre les parties prenantes identifiées. Ces deux clauses sont complémentaires mais distinctes, et doivent être adressées séparément dans le système documentaire. La deuxième erreur est d'oublier les communications avec les parties prenantes externes : autorités de régulation comme l'ANSSI ou la CNIL, clients ayant des exigences contractuelles de sécurité, fournisseurs critiques dans la chaîne d'approvisionnement. L'auditeur vérifiera que le plan de communication couvre l'ensemble des parties intéressées identifiées en clause 4.2, et pas uniquement les destinataires internes.
📢 Template gratuit · Word — Gouvernance
La clause 7.4 ISO 27001 impose de définir un plan de communication interne et externe sur les questions de sécurité. Ce modèle Word couvre les communications nominales, périodiques et de crise, avec matrices de responsabilités et canaux.
La clause 7.4 de la norme ISO 27001:2022 impose à l'organisation de définir les communications internes et externes pertinentes pour le système de management de la sécurité de l'information (SMSI). Cette exigence couvre cinq dimensions pour chaque communication : son objet (quoi communiquer), le moment approprié (quand), les destinataires (à qui), les émetteurs (qui communique), et les processus ou moyens à utiliser (comment). Le plan de communication SMSI traduit ces exigences en un document opérationnel qui structure toutes les communications liées à la sécurité de l'information, des rapports périodiques à la direction aux notifications d'incident en temps de crise, en passant par la sensibilisation des utilisateurs et les relations avec les autorités réglementaires. Un plan de communication bien construit est simultanément un outil de gouvernance (il démontre que la direction s'engage activement dans le SMSI), un outil de conformité (clause 7.4 et exigences RGPD/NIS 2 de notification), et un outil de résilience (il prépare l'organisation à communiquer efficacement en situation de crise cyber, quand le stress et l'urgence rendent les improvisations particulièrement coûteuses).
Contexte normatif : la clause 7.4 ISO 27001 et ses articulations
La clause 7.4 est courte dans son texte mais vaste dans ses implications. Elle stipule que l'organisation doit déterminer les besoins de communication interne et externe pour le SMSI, en précisant les cinq dimensions : quoi, quand, à qui, qui, et comment. Cette formulation ouverte laisse à l'organisation une grande liberté d'adaptation à son contexte, mais impose une réflexion structurée qui doit être documentée.
Les articulations normatives clés :
- Clause 5.1 — Leadership : la direction doit communiquer sur l'importance du SMSI et soutenir les autres rôles managériaux
- Clause 5.2 — Politique : la politique de sécurité doit être disponible et communiquée aux parties intéressées pertinentes
- Clause 5.3 — Rôles et responsabilités : les responsabilités de communication sont des rôles SMSI à intégrer dans la matrice RACI
- Clause 9.1 — Surveillance : les résultats de la surveillance doivent être communiqués aux décideurs appropriés
- Clause 9.3 — Revue de direction : un processus de communication formel entre le RSSI et la direction générale
- A.5.24-5.26 — Gestion des incidents : communications spécifiques en cas d'incident de sécurité
- RGPD Art. 33-34 — Notification des violations de données aux autorités et aux personnes concernées
- Directive NIS 2 — Obligations de notification des incidents significatifs à l'ANSSI
La communication en matière de sécurité de l'information englobe des registres très différents : la communication stratégique (reporting à la direction, tableaux de bord SMSI), la communication opérationnelle (alertes de sécurité, procédures d'urgence), la communication externe réglementaire (CNIL, ANSSI, clients, partenaires), et la communication de crise (communication de masse en cas d'incident majeur). Le plan de communication SMSI doit couvrir chacun de ces registres.
Les cinq dimensions d'une communication SMSI efficace
Dimension 1 — Quoi communiquer
Le contenu des communications SMSI se décline en plusieurs catégories. Les communications de gouvernance : politique de sécurité et ses mises à jour, résultats des revues de direction, indicateurs de performance du SMSI, évolutions du périmètre ou des risques majeurs. Les communications opérationnelles : alertes de sécurité et bulletins de vulnérabilité, procédures d'urgence et plan de continuité, résultats d'audits internes et plans d'action. Les communications réglementaires : notifications de violations de données (RGPD), déclarations d'incidents significatifs (NIS 2), mises à jour des exigences légales et contractuelles. Les communications de sensibilisation : campagnes de formation, newsletters sécurité, résultats des tests de phishing.
Dimension 2 — Quand communiquer
Les communications SMSI se classent selon leur temporalité. Les communications programmées : rapports trimestriels de sécurité, revue de direction annuelle (minimum), renouvellement des formations annuellement. Les communications événementielles : déclenchées par un incident, une non-conformité, un changement majeur, ou une nouvelle réglementation. Les communications d'urgence : la notification CNIL sous 72h en cas de violation de données personnelles est l'exemple le plus contraignant — d'où l'importance de préparer les templates et workflows à l'avance.
Dimension 3 — À qui communiquer (destinataires)
Les destinataires se répartissent en audiences internes et externes. Audiences internes : direction générale, comité exécutif (communication stratégique), équipe IT et administrateurs (communication technique et opérationnelle), ensemble des collaborateurs (sensibilisation et alertes), propriétaires d'actifs métier (informations relatives à leurs périmètres). Audiences externes : autorités de contrôle (CNIL, ANSSI), clients et partenaires dans le cadre des SLA de sécurité, organismes de certification ISO 27001, presse et opinion publique en cas d'incident majeur.
Dimension 4 — Qui communique (émetteurs)
Chaque communication doit avoir un émetteur désigné avec les autorités nécessaires. Le RSSI/responsable SMSI est l'émetteur principal pour les communications techniques et opérationnelles. La direction générale est l'émetteur pour les communications stratégiques externes (clients, médias). Le DPO est l'émetteur pour les communications RGPD. Les responsables métier sont les émetteurs pour les communications vers leurs équipes. Cette attribution est directement liée à la matrice RACI du SMSI.
Dimension 5 — Comment communiquer (canaux)
Le choix du canal de communication doit tenir compte de l'urgence, de la confidentialité et de l'audience. En situation nominale : intranet/portail SMSI pour les documents de référence, email professionnel pour les communications formelles, réunions et comités pour les décisions. En situation d'incident : chaîne d'escalade téléphonique pour l'urgence immédiate, email sécurisé pour les échanges avec les autorités, canal de communication de crise dédié (évitant les systèmes potentiellement compromis).
Cas critique : communiquer en situation d'incident cyber
Lors d'un incident cyber majeur (ransomware, fuite de données), les systèmes de communication habituels peuvent être compromis ou indisponibles. Le plan de communication doit prévoir des canaux de secours : téléphones mobiles personnels pour la chaîne d'alerte, adresses email personnelles de crise pour les contacts avec les autorités, et accès hors bande aux informations de contact. Cette préparation est souvent négligée jusqu'au moment où elle est cruellement nécessaire.
Structure du plan de communication SMSI — Template Word
Le template Word téléchargeable est structuré pour couvrir l'ensemble des exigences de la clause 7.4 et faciliter l'audit. Voici le détail des sections.
Section 1 — Communication interne nominale
Cette section liste toutes les communications régulières vers les audiences internes. Pour chaque communication, le template inclut : l'objet, la fréquence, l'émetteur, les destinataires, le canal, le format (rapport, email, présentation), et le lien vers le template de contenu. Exemples de communications nominales : tableau de bord mensuel des incidents au RSSI, rapport trimestriel de sécurité à la direction, newsletter mensuelle de sensibilisation aux collaborateurs, alerte hebdomadaire de vulnérabilités aux administrateurs.
Section 2 — Communication externe nominale
Cette section couvre les communications régulières vers les parties externes : rapport annuel de sécurité aux clients (si SLA l'exige), communication avec l'organisme de certification (audits de surveillance, renouvellement), mise à jour des clauses de sécurité dans les contrats fournisseurs, publication du certificat ISO 27001 et des engagements de sécurité sur le site institutionnel.
Section 3 — Communication d'incident (plans de communication de crise)
Cette section est la plus critique. Elle définit les arborescences de communication pour différents types d'incidents : fuite de données personnelles (obligation RGPD 72h), incident cyber impactant les opérations, incident impliquant des données de clients, incident médiatisé. Pour chaque scénario : qui décide de communiquer, quels templates utiliser, qui approuve les messages, quels sont les contacts réglementaires.
Section 4 — Communication réglementaire et légale
Cette section rassemble toutes les communications imposées par des obligations réglementaires : notification de violations RGPD à la CNIL (formulaire en ligne, délai 72h), déclaration d'incidents significatifs à l'ANSSI (NIS 2), notification aux personnes concernées si risque élevé (RGPD Art.34), communication avec le Parquet en cas de cyberattaque criminelle.
Checklist d'audit — Clause 7.4 ISO 27001
| ID | Contrôle / Exigence | Clause ISO 27001 | Preuve d'audit | Statut |
|---|---|---|---|---|
| COM-01 | Plan de communication SMSI formalisé et approuvé | 7.4 | Document signé, version datée | À vérifier |
| COM-02 | Les 5 dimensions (quoi/quand/à qui/qui/comment) documentées pour chaque communication | 7.4 | Tableau des communications avec 5 colonnes | À vérifier |
| COM-03 | Politique de sécurité diffusée à toutes les parties intéressées pertinentes | 5.2, 7.4 | Preuve de diffusion (email, intranet, formation) | À vérifier |
| COM-04 | Tableau de bord SMSI présenté à la direction au minimum trimestriellement | 7.4, 9.1 | Comptes rendus de présentation, supports | À vérifier |
| COM-05 | Communication de crise cyber formalisée (arbre d'appel, templates) | 7.4, A.5.26 | Plan de crise, annuaire de crise, templates | À vérifier |
| COM-06 | Procédure de notification CNIL en 72h documentée et testée | 7.4, RGPD Art.33 | Procédure, formulaire CNIL, exercice de test | À vérifier |
| COM-07 | Canaux de communication de secours définis et testés (hors SI) | 7.4, A.5.30 | Annuaire de crise sur support papier, exercice | À vérifier |
| COM-08 | Communication sur les nouvelles menaces/vulnérabilités formalisée (veille partagée) | 7.4, A.5.7 | Bulletins de veille, abonnements CERT-FR, diffusion | À vérifier |
| COM-09 | Résultats des audits internes communiqués aux parties concernées | 7.4, 9.2 | Rapports d'audit diffusés, liste des destinataires | À vérifier |
| COM-10 | Communication sur les changements SMSI impactant les utilisateurs | 7.4, 6.3 | Notes de service, emails de communication | À vérifier |
| COM-11 | Point de contact sécurité désigné pour les communications externes | 7.4, A.5.5 | Coordonnées publiées, politique de divulgation | À vérifier |
| COM-12 | Communication sur les incidents de sécurité aux clients impactés | 7.4, A.5.26 | Procédure de notification clients, templates | À vérifier |
| COM-13 | Canaux sécurisés utilisés pour les communications confidentielles | 7.4, A.8.24 | Outils approuvés (chiffrement S/MIME, PGP) | À vérifier |
| COM-14 | Plan de communication révisé annuellement et après incidents majeurs | 7.4, 10.2 | Historique des révisions, leçons apprises | À vérifier |
| COM-15 | Communication NIS 2 vers l'ANSSI formalisée (si applicable) | 7.4, NIS 2 | Procédure de notification ANSSI, contacts | À vérifier |
| COM-16 | Exercice de communication de crise cyber réalisé annuellement | 7.4, A.5.30 | Compte rendu d'exercice, améliorations identifiées | À vérifier |
| COM-17 | Communication sur les bonnes pratiques sécurité aux nouveaux arrivants | 7.4, A.6.3 | Module onboarding sécurité, attestation de prise de connaissance | À vérifier |
| COM-18 | Retours des audits de certification communiqués à la direction | 7.4, 9.3 | Rapport d'audit certif, présentation direction | À vérifier |
| COM-19 | Politique de divulgation responsable (responsible disclosure) publiée | 7.4, A.5.8 | Page security.txt, politique VDP | À vérifier |
| COM-20 | Tableau de bord de communication SMSI avec KPIs de diffusion | 7.4, 9.1 | Taux d'ouverture newsletters, participation formations | À vérifier |
| COM-21 | Communication sur les résultats du plan de traitement des risques | 7.4, 6.1.3 | Rapport RTP présenté à la direction | À vérifier |
| COM-22 | Communication sur les changements de périmètre SMSI aux parties prenantes | 7.4, 4.3 | Notes de service, mise à jour documentation | À vérifier |
| COM-23 | Reporting de conformité ISO 27001 aux actionnaires/clients si exigé | 7.4 | Rapports de conformité, certificats diffusés | À vérifier |
| COM-24 | Language clair et adapté selon l'audience (technique vs direction vs utilisateurs) | 7.4 | Templates adaptés par audience, exemples de communications | À vérifier |
| COM-25 | Mailing list sécurité maintenue à jour (départs/arrivées gérés) | 7.4, A.6.5 | Liste des abonnés vérifiée, processus de mise à jour | À vérifier |
Points de vigilance pour la communication SMSI
La communication de crise : un exercice obligatoire, pas théorique
Le principal défaut des plans de communication est d'être des documents théoriques jamais testés. En situation d'incident cyber, sous pression, les équipes reviennent à leurs réflexes — qui n'incluent généralement pas la consultation d'un document PDF. La communication de crise doit être exercée au moins annuellement : un exercice de simulation d'incident avec activation de l'arbre d'appel, test des canaux de secours, et simulation de la notification CNIL permet d'identifier les lacunes avant qu'elles se manifestent lors d'un incident réel.
La difficulté de la communication hors SMSI compromis
Lors d'un ransomware, les systèmes de messagerie peuvent être chiffrés ou compromis. Le plan de communication doit prévoir des canaux alternatifs concrets : numéros de téléphone personnels des membres de l'équipe de crise, adresses email de crise sur un domaine externe, accès à un intranet de secours hébergé hors périmètre, et un annuaire de crise sur support papier conservé dans un coffre physique. Cette préparation low-tech est souvent ce qui fait la différence lors d'un incident majeur.
Le délai de 72h RGPD : une contrainte opérationnelle
La notification à la CNIL d'une violation de données personnelles doit intervenir dans les 72 heures suivant la prise de connaissance. Ce délai inclus les week-ends et jours fériés, et commence dès la qualification de l'incident (pas dès la détection complète). La procédure de notification doit donc être pré-remplie, les contacts CNIL sauvegardés hors ligne, et le décideur (DPO, DG) clairement identifié pour autoriser la notification même en dehors des heures ouvrées.
Bonnes pratiques de communication SMSI
Adapter le message à l'audience
La communication SMSI efficace nécessite une traduction entre les langages technique, managérial et utilisateur. Un rapport d'incident présenté à la direction doit se concentrer sur l'impact business (durée d'indisponibilité, données exposées, coût estimé, actions décidées), pas sur les détails techniques des logs d'investigation. Inversement, les administrateurs systèmes ont besoin de la granularité technique. Les utilisateurs ont besoin d'instructions claires et actionnables. Un même incident génère donc trois communications distinctes, chacune calibrée pour son audience.
La communication proactive comme levier de confiance
Communiquer de manière proactive sur les risques, les vulnérabilités détectées et les mesures prises renforce la confiance des parties prenantes, qu'elles soient internes (les utilisateurs comprennent pourquoi de nouvelles contraintes de sécurité sont imposées) ou externes (les clients voient que l'organisation gère activement sa sécurité). La communication transparente sur les incidents — dans les limites de la confidentialité nécessaire — contribue à la réputation de l'organisation bien plus que le silence.
Mesurer l'efficacité de la communication
La clause 9.1 exige la mesure de la performance du SMSI ; les communications en font partie. Les indicateurs pertinents incluent : taux de lecture des bulletins de sécurité, taux de complétion des formations de sensibilisation, temps moyen de réponse des utilisateurs aux alertes de phishing simulé, nombre d'incidents signalés par les utilisateurs (indicateur de la culture sécurité), et délai de notification des incidents aux équipes sécurité. Ces indicateurs alimentent le rapport de revue de direction.
FAQ — Plan de communication SMSI ISO 27001
La clause 7.4 impose-t-elle une fréquence minimale de communication ?
La clause 7.4 n'impose pas de fréquences spécifiques, mais certaines fréquences minimales découlent d'autres clauses : la politique de sécurité doit être communiquée à chaque mise à jour (clause 5.2), les résultats de la surveillance doivent être communiqués suffisamment fréquemment pour permettre une prise de décision (clause 9.1), et la revue de direction doit avoir lieu au minimum annuellement (clause 9.3.1). En pratique, les bonnes pratiques recommandent un rapport mensuel d'activité sécurité aux équipes, trimestriel à la direction, et annuel en revue formelle.
Qui est responsable des communications SMSI — le RSSI ou la direction ?
La responsabilité est partagée mais distincte selon le type de communication. Le RSSI est Accountable (A dans la RACI) pour les communications techniques et opérationnelles, et Responsible (R) pour la préparation des supports destinés à la direction. La direction générale est Accountable pour les communications stratégiques externes (engagements de sécurité clients, communication de crise vers les médias). Le DPO est Accountable pour les notifications réglementaires RGPD. Cette répartition doit être explicitement documentée dans la matrice RACI du SMSI.
Comment gérer la communication sur un incident de sécurité en cours d'investigation ?
La communication pendant un incident actif doit équilibrer transparence et prudence. Les règles d'or : ne communiquer que ce qui est confirmé (éviter les spéculations qui seront démenties plus tard), identifier clairement le niveau de confidentialité de chaque communication (certaines informations d'investigation ne doivent pas être partagées avec des tiers pour ne pas alerter un attaquant encore présent), maintenir une cadence régulière de mise à jour (même pour dire qu'il n'y a pas de nouveauté), et préparer une communication de clôture formelle après résolution de l'incident.
Points clés à retenir — Plan de Communication SMSI ISO 27001
- La clause 7.4 exige que cinq dimensions soient définies pour chaque communication SMSI : quoi, quand, à qui, qui communique, et comment.
- Les communications de crise cyber doivent être préparées à l'avance, testées régulièrement, et disposer de canaux de secours indépendants du SI (qui peut être compromis).
- La notification CNIL en 72h est une contrainte réglementaire non négociable : procédure, template et décideur doivent être identifiés et prêts avant tout incident.
- Adapter le message à l'audience est essentiel : direction (impact business), équipes techniques (détails opérationnels), utilisateurs (instructions claires).
- L'efficacité de la communication SMSI doit être mesurée (taux de lecture, participation formations, délais de notification) et présentée en revue de direction.
Rédigé par Ayi NEDJIMI — Consultant ISO 27001 & Cybersécurité
Liens connexes : Matrice RACI SMSI · Revue de Direction ISO 27001 · Politique Logging & Monitoring · Procédure RCA ISO 27001
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Mise en conformité NIS 2 et ISO 27001
Accompagnement sur mesure pour les PME et ETI soumises à NIS 2 ou engagées dans une démarche ISO 27001. Gap analysis, plan d'action, audit interne.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire