Registre des Non-Conformités ISO 27001 : Template Excel [Clause 10]

Le registre des non-conformités et des actions correctives est le document central de l'amélioration continue du SMSI. La clause 10 d'ISO/IEC 27001:2022 — intitulée "Amélioration" — impose deux exigences complémentaires : la clause 10.1 sur l'amélioration continue (l'organisation doit améliorer en continu la pertinence, l'adéquation et l'efficacité du SMSI) et la clause 10.2 sur les non-conformités et actions correctives (lorsqu'une non-conformité est identifiée, l'organisation doit réagir, analyser les causes racines, mettre en œuvre des actions correctives, vérifier leur efficacité, et mettre à jour la documentation si nécessaire). Ce template Excel, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, répond à ces deux exigences en offrant un outil de suivi complet qui couvre l'ensemble du cycle de vie d'une non-conformité : de son identification (audit interne, audit externe, incident, surveillance opérationnelle) jusqu'à sa clôture formelle après vérification de l'efficacité des actions correctives. Il intègre également le suivi des dérogations (situations où l'organisation s'écarte temporairement de ses propres exigences avec une justification documentée) et des observations d'audit (points qui ne constituent pas encore des non-conformités mais méritent attention). Ce document est indispensable pour les auditeurs de certification Stage 2, qui l'examinent systématiquement pour évaluer la maturité du système d'amélioration continue : un registre bien alimenté, avec des actions correctives suivies et des clôtures justifiées, est l'un des indicateurs les plus fiables d'un SMSI mature. Il est tout aussi utile en préparation des audits de renouvellement, pour démontrer que les non-conformités des années précédentes ont été traitées de manière durable. La gestion rigoureuse des non-conformités n'est pas une contrainte administrative : c'est le mécanisme qui permet à votre SMSI d'apprendre de ses erreurs et de se renforcer au fil du temps.

Contexte réglementaire et normatif

ISO/IEC 27001:2022 — Clause 10 : Amélioration

La clause 10 d'ISO 27001 est composée de deux articles essentiels. La clause 10.1 (Amélioration continue) stipule que l'organisation doit améliorer en continu la pertinence, l'adéquation et l'efficacité du SMSI. Cette amélioration se nourrit de toutes les sources d'information disponibles : résultats des audits internes et externes, mesures des performances du SMSI (clause 9.1), analyses de risques et révisions du traitement des risques, incidents de sécurité et leçons apprises, retours des parties intéressées, et décisions de la revue de direction (clause 9.3).

La clause 10.2 (Non-conformités et actions correctives) impose un processus structuré en 6 étapes : réagir à la non-conformité et corriger la situation si possible (correction immédiate) ; évaluer si une action corrective est nécessaire pour éliminer la cause de la non-conformité afin qu'elle ne se reproduise pas ; déterminer et mettre en œuvre les actions correctives nécessaires ; examiner l'efficacité de l'action corrective mise en œuvre ; mettre à jour les risques et opportunités si nécessaire ; et apporter des modifications au SMSI si nécessaire. Ce processus doit être documenté : l'organisation doit conserver des informations documentées sur la nature des non-conformités, les actions correctives mises en œuvre, et les résultats de toute action corrective.

Lien avec les audits internes (Clause 9.2)

Les non-conformités identifiées lors des audits internes constituent la principale source d'alimentation du registre. Chaque non-conformité documentée dans le rapport d'audit interne doit avoir une entrée correspondante dans le registre des non-conformités avec un plan d'action associé. Les auditeurs de certification vérifient la cohérence entre les rapports d'audit et le registre des non-conformités.

Lien avec la revue de direction (Clause 9.3)

La clause 9.3 impose que la revue de direction inclut en input le statut des actions issues des revues précédentes — ce qui inclut explicitement le suivi des non-conformités et actions correctives. Le registre NC est donc un input obligatoire de la revue de direction, et celle-ci doit statuer sur les NC ouvertes depuis plus de 6 mois ou dont les actions correctives semblent insuffisantes.

Lien avec les incidents de sécurité

Les incidents de sécurité de criticité P1/P2 donnent souvent lieu à des non-conformités formelles. Le registre des incidents et le registre des non-conformités doivent être croisés : les incidents récurrents (même cause racine, même type) doivent être formalisés comme non-conformité et traités comme tels, avec une action corrective documentée et vérifiée.

Structure détaillée du template Excel

Onglet 1 — Registre principal des NC et actions correctives

C'est le document de suivi central. Chaque ligne représente une non-conformité avec : identifiant unique (NC-AAAA-NNN), date d'identification, source d'identification (audit interne, audit externe, incident, surveillance, revue de direction, partie intéressée), description de la non-conformité (qu'est-ce qui n'est pas conforme et par rapport à quelle exigence), clause ISO 27001 ou contrôle Annexe A concerné, gravité (mineure/majeure/critique), correction immédiate réalisée (action curative, pas corrective — régler le problème immédiat), analyse des causes racines (méthode utilisée : 5 Pourquoi, Ishikawa, RCCA), action corrective planifiée (action systémique visant à éviter la récurrence), responsable de l'action corrective, date d'échéance planifiée, statut (Ouvert/En cours/Mise en œuvre/Clôturé), date de clôture réelle, vérification de l'efficacité (comment a-t-on vérifié que l'action corrective est efficace ?), résultat de la vérification, et commentaires libres.

Onglet 2 — Registre des dérogations

Une dérogation est une situation où l'organisation s'écarte temporairement d'une exigence de son SMSI avec une justification documentée et une approbation formelle. Ce n'est pas une non-conformité (il n'y a pas d'écart non autorisé) mais une décision de gestion du risque. Chaque dérogation comporte : identifiant, exigence concernée, justification de la dérogation, risque accepté associé, mesures compensatoires mises en place, responsable approbateur, durée de validité, et date de révision de la dérogation. Les auditeurs vérifient que les dérogations sont limitées en nombre, justifiées, approuvées au bon niveau, et temporaires.

Onglet 3 — Registre des observations

Les observations sont des points signalés lors d'audits qui ne constituent pas (encore) des non-conformités mais nécessitent une vigilance. Elles peuvent évoluer en non-conformité si non traitées. Cet onglet permet de suivre ces points sans les formaliser comme NC, avec un responsable et un délai de traitement.

Onglet 4 — Tableau de bord et métriques

Un dashboard automatisé affiche : nombre de NC ouvertes / en cours / clôturées, taux de NC clôturées dans le délai planifié, NC par clause ISO 27001 (graphique permettant d'identifier les domaines les plus défaillants), NC par source d'identification, délai moyen de traitement des NC, NC ouvertes depuis plus de 6 mois (point rouge), et tendance : évolution du nombre de NC par trimestre.

Onglet 5 — Historique et traçabilité

Toutes les modifications du registre sont tracées : qui a fait quelle modification, quand, avec quelle justification. Cet historique est indispensable pour démontrer l'intégrité du document en audit.

Guide d'utilisation étape par étape

1. Ouvrir une NC dès son identification : toute non-conformité identifiée (audit, incident, surveillance) doit être immédiatement enregistrée dans le registre, même si la correction n'est pas encore définie. L'identification et l'enregistrement ne doivent jamais être retardés.
2. Distinguer correction et action corrective : la correction est l'action immédiate pour régler le problème (ex: "corriger le document non mis à jour") ; l'action corrective est l'action systémique pour éviter la récurrence (ex: "mettre en place un processus de révision annuelle des documents"). Les deux sont nécessaires et distinctes.
3. Analyser les causes racines rigoureusement : l'analyse des causes racines est l'étape la plus importante et la plus souvent bâclée. Utilisez la méthode des 5 Pourquoi pour aller au-delà du symptôme et identifier la cause systémique. Documentez la méthode utilisée et les résultats dans le registre.
4. Définir des actions correctives SMART : chaque action corrective doit être Spécifique (quelle action précisément), Mesurable (comment saurez-vous qu'elle est réalisée), Attribuée (à qui), Réaliste (est-elle vraiment faisable avec les ressources disponibles), et Temporellement définie (date d'échéance précise).
5. Suivre les échéances activement : ne pas se contenter d'enregistrer les actions et d'attendre. L'onglet tableau de bord doit être consulté au minimum mensuellement par le RSSI pour identifier les actions en retard et les NC ouvertes trop longtemps.
6. Vérifier l'efficacité, pas la mise en œuvre : la vérification de l'efficacité est différente de la vérification de la mise en œuvre. Mettre en place un processus de revue documentaire est la mise en œuvre ; vérifier 3 mois plus tard que tous les documents ont bien été révisés selon ce processus est la vérification d'efficacité. C'est cette deuxième étape qui manque le plus souvent.
7. Clôturer formellement avec justification : la clôture d'une NC doit être formelle, avec documentation de la vérification d'efficacité. Un RSSI seul ne devrait pas clôturer une NC majeure — impliquez l'auditeur interne ou un responsable indépendant de la vérification.
8. Présenter à la revue de direction : préparez un rapport synthétique du registre NC pour chaque revue de direction, avec focus sur les NC ouvertes depuis plus de 6 mois, les NC récurrentes (même cause racine), et les tendances par domaine ISO 27001. La revue de direction doit prendre des décisions sur les NC en retard.

Tableau des contrôles — Checklist gestion des NC et amélioration continue

Points de vigilance pour l'audit de certification

1. NC identifiées mais jamais traitées : un registre qui s'allonge sans que les NC ne soient clôturées est le signal d'un SMSI qui ne fonctionne pas. Les auditeurs de renouvellement comparent systématiquement le registre actuel avec celui du cycle précédent. Si les mêmes NC reviennent, c'est une non-conformité en soi. Remédiation : établissez des SLA de traitement par gravité (mineure : 90 jours, majeure : 30 jours, critique : 15 jours) et escaladez systématiquement les dépassements en revue de direction.
2. Analyse des causes racines superficielle : "cause = négligence humaine" ou "cause = oubli" est une analyse insuffisante. La vraie question est : pourquoi cela a-t-il pu se produire ? (manque de formation, processus absent, contrôle inefficace). Remédiation : imposez l'utilisation formelle de la méthode des 5 Pourquoi et vérifiez que la cause identifiée est systémique, pas individuelle.
3. Actions correctives vs corrections confondues : corriger le document non conforme est une correction (action curative immédiate), pas une action corrective. L'action corrective doit s'attaquer à la cause : "Mettre en place un rappel automatique de révision documentaire 3 semaines avant l'échéance annuelle". Remédiation : formez les responsables d'actions à cette distinction et vérifiez lors du plan d'audit interne.
4. Registre incomplet — NC d'audit non enregistrées : si les rapports d'audit interne mentionnent des NC mais que le registre ne les contient pas, c'est un écart grave. Remédiation : mettez en place un processus systématique de transfert des NC d'audit vers le registre dans les 5 jours ouvrés suivant le rapport.
5. Vérification d'efficacité absente ou formelle : clôturer une NC en disant "action réalisée" sans vérifier que le problème ne se reproduit plus est insuffisant. Remédiation : imposez un délai minimum de 3 mois entre la mise en œuvre de l'action et la vérification d'efficacité, avec une vérification par une personne différente de celle qui a mis en œuvre l'action.
6. NC de certification précédente non suivies : lors d'un audit de renouvellement ou de surveillance, l'auditeur vérifiera spécifiquement que les NC identifiées lors du précédent audit de certification ont été traitées de façon durable. Remédiation : gardez une section spécifique dans le registre pour les NC d'audit de certification, avec un suivi prioritaire.
7. Dérogations non documentées : si l'organisation s'écarte de ses propres exigences sans documentation formelle, c'est soit une NC, soit une dérogation non tracée — dans tous les cas, c'est un problème. Remédiation : formalisez un processus de dérogation et vérifiez que tout écart connu et toléré est documenté dans l'onglet dérogations.

Intégration dans le SMSI : liens avec les autres documents

REGISTRE NC ET ACTIONS CORRECTIVES (Clause 10) ← Moteur amélioration continue
│
├── ALIMENTÉ PAR →
│   ├── Rapports d'audit interne (Clause 9.2) — source principale
│   ├── Rapports d'audit de certification (externe) — NC formelles
│   ├── Registre incidents (A.5.24) — incidents récurrents → NC
│   ├── Tableau de bord KPI SMSI — indicateurs hors cible → NC
│   └── Revue de direction (Clause 9.3) — décisions → actions d'amélioration
│
├── ALIMENTE →
│   ├── Plan d'amélioration SMSI — NC structurelles → plan pluriannuel
│   ├── Revue de direction (Clause 9.3) — input statut NC ouvertes
│   ├── Rapport annuel RSSI — synthèse NC pour la Direction
│   └── Mise à jour documentaire — NC révèle lacune → révision politique
│
├── COHÉRENCE REQUISE AVEC →
│   ├── Plan d'audit interne — NC alimente le périmètre audit suivant
│   ├── Registre des risques — NC peut révéler risque non identifié
│   └── SoA — NC sur un contrôle peut exiger révision de l'applicabilité
│
└── EST VÉRIFIÉ PAR →
    ├── Audit interne (Clause 9.2) — suivi NC précédentes
    ├── Revue de direction (Clause 9.3) — statut NC présenté
    └── Audit certification — vérification traitement NC précédentes

Bonnes pratiques terrain

• Traitez les NC comme des opportunités, pas des sanctions : la culture d'amélioration continue ne peut s'épanouir que dans un environnement où identifier et déclarer une NC est valorisé, pas pénalisé. Les managers qui cachent des NC pour "ne pas avoir de mauvaises nouvelles" sabotent le SMSI.
• Dédiez du temps management aux NC majeures : les NC mineures peuvent être gérées par le RSSI. Les NC majeures nécessitent l'implication de la Direction — en ressources, en décisions, en arbitrages. Sans soutien managérial, les NC majeures ne se clôturent pas.
• Utilisez le registre NC pour piloter le plan d'audit interne : les domaines ISO 27001 qui concentrent le plus de NC sont aussi ceux qui méritent le plus d'attention lors du prochain audit. Votre plan d'audit interne doit être adapté en fonction de ces données.
• Benchmarkez le nombre de NC avec votre secteur : il n'existe pas de nombre "normal" de NC, mais un registre vierge après plusieurs cycles d'audit est suspect. Un SMSI mature devrait avoir une vingtaine de NC par an (de gravité variable), démontrant que le système d'amélioration continue fonctionne activement.
• Intégrez les NC dans les objectifs individuels des responsables : si les responsables d'actions correctives ont des objectifs formels liés au taux de clôture des NC dans les délais, l'adhésion et la réactivité sont significativement meilleures que si le registre NC est perçu comme un outil RH/RSSI sans impact sur leurs évaluations.

Questions fréquentes sur le registre des non-conformités ISO 27001

Quelle est la différence entre une non-conformité mineure et majeure en ISO 27001 ?

La distinction entre NC mineure et majeure est fondamentale pour déterminer le niveau de réponse requis et l'impact sur la certification. Une non-conformité majeure est un écart significatif par rapport aux exigences de la norme ISO 27001 qui indique soit l'absence complète d'un élément exigé (l'organisation n'a pas du tout d'inventaire des actifs), soit une défaillance systémique d'un processus clé (le processus d'audit interne n'a jamais été exécuté), soit un risque immédiat et significatif pour la sécurité de l'information. En audit de certification, une NC majeure empêche l'obtention ou le maintien du certificat jusqu'à sa résolution démontrée. Une non-conformité mineure est un écart limité qui n'indique pas une défaillance systémique : un document existant mais non mis à jour depuis plus d'un an, un registre incomplet sur quelques points, un audit interne réalisé mais dont le rapport n'est pas formellement approuvé. En audit de certification, les NC mineures peuvent être compensées par un plan d'action documenté, mais leur accumulation (5+ NC mineures du même type) peut constituer une NC majeure. Dans votre registre, catégorisez les NC selon ces critères dès leur identification, et appliquez des SLA différenciés : NC majeure → plan d'action en 5 jours, NC mineure → plan d'action en 15 jours.

Doit-on enregistrer les NC identifiées lors d'un audit de certification dans le registre interne ?

Oui, et c'est même une obligation. Les NC formelles identifiées par l'auditeur de certification (organisme accrédité : AFNOR, Bureau Veritas, SGS, etc.) doivent être enregistrées dans votre registre interne des NC avec une fiche distincte et un traitement prioritaire. Ces NC ont généralement un délai de traitement contractuel défini par l'organisme de certification (souvent 60 à 90 jours pour les NC mineures, traitement immédiat pour les NC majeures). L'organisme de certification fera une vérification de la clôture avant d'accorder ou de maintenir le certificat. Dans votre registre, créez une catégorie "NC Certification" pour les distinguer des NC internes, et assurez-vous que les preuves de traitement (plan d'action, mise en œuvre, vérification d'efficacité) sont compilées dans un dossier dédié à soumettre à l'organisme certificateur. Ne laissez pas ces NC uniquement dans la documentation de l'organisme de certification — elles doivent être intégrées dans votre système d'amélioration continue pour garantir un traitement durable et éviter la récurrence lors du prochain audit de surveillance.

Comment traiter une NC dont la cause racine est externe (fournisseur, réglementation) ?

Certaines NC ont des causes racines partiellement ou totalement externes : un fournisseur SaaS qui ne respecte pas ses SLA de disponibilité entraîne une NC sur la disponibilité de vos services ; une nouvelle réglementation impose des contrôles que vous n'avez pas encore mis en place. Dans ces cas, la NC reste enregistrée dans votre registre mais l'action corrective doit intégrer la dimension externe. Pour les NC liées à un fournisseur : engagez formellement le fournisseur sur un plan correctif documenté, actionnez les clauses contractuelles si nécessaire, et évaluez si le fournisseur doit être remplacé ou si des mesures compensatoires sont nécessaires en attendant. Ces actions correctives auprès des fournisseurs doivent être tracées dans le registre des sous-traitants. Pour les NC réglementaires (nouvelle exigence non encore satisfaite) : les auditeurs ISO 27001 comprennent que les délais de mise en conformité réglementaire ne sont pas toujours immédiats, mais ils attendent un plan d'action documenté avec des jalons réalistes et une direction impliquée. La transparence sur ces NC externes avec un plan de traitement crédible est toujours mieux reçue qu'une dissimulation ou un registre incomplet.

Combien de temps doit-on conserver le registre des NC ?

ISO 27001 impose de conserver les informations documentées comme preuves de conformité sans spécifier de durée minimale. La pratique professionnelle recommande de conserver le registre des NC pendant au moins 5 ans (un cycle complet de certification initial + deux renouvellements de surveillance). Cette durée permet aux auditeurs de renouvellement de vérifier le traitement durable des NC des cycles précédents et de démontrer la tendance d'amélioration continue du SMSI dans le temps. Sur le plan technique, le registre doit être archivé dans un format non modifiable (PDF signé ou export horodaté) pour garantir son intégrité, et stocké dans un espace sécurisé avec accès restreint. Certaines NC peuvent avoir des implications légales (NC sur la protection des données personnelles RGPD) qui justifient une conservation plus longue — alignez-vous dans ce cas avec votre DPO sur la politique de rétention applicable.

Pour aller plus loin

• Rapport d'audit interne ISO 27001 — Modèle Word préformaté
• Plan d'audit interne ISO 27001 — Template Excel annuel
• Checklist audit de certification ISO 27001 Stage 1 + Stage 2
• Tableau de bord KPI ISMS ISO 27004 [25 indicateurs]
• Notre service d'accompagnement ISO 27001 complet