La revue de direction (clause 9.3) est l'un des moments forts du SMSI : la direction valide la performance et décide des évolutions. Ce template Word fo.
TL;DR — En résumé
Template Word gratuit ISO 27001:2022 — La revue de direction (clause 9.3) est l'un des moments forts du SMSI : la direction valide la perfo
Template gratuit · Word — Gouvernance
La revue de direction (clause 9.3) est l'un des moments forts du SMSI : la direction valide la performance et décide des évolutions. Ce template Word fournit l'agenda complet (8 inputs ISO obligatoires), un PV pré-structuré et un suivi des décisions.
La revue de direction ISO 27001 — ou Management Review — est le rendez-vous annuel où la direction générale examine les performances du Système de Management de la Sécurité de l'Information, valide ses orientations stratégiques et prend les décisions nécessaires à son amélioration continue. Exigée par la clause 9.3 — Revue de direction d'ISO/IEC 27001:2022, elle est bien plus qu'une formalité documentaire : c'est le moment où la sécurité de l'information remonte au plus haut niveau de l'organisation, où les risques résiduels sont acceptés formellement, où les ressources nécessaires sont allouées, et où les orientations stratégiques du SMSI pour l'année suivante sont fixées. La clause 9.3 définit précisément les huit sujets qui doivent être couverts lors de cette revue (les "inputs"), dont les résultats des audits internes et des mesures de la performance, l'état des actions des revues précédentes, les retours des parties intéressées, les incidents de sécurité de l'année, les résultats du processus d'appréciation des risques, l'avancement du plan de traitement, les opportunités d'amélioration continue et les besoins de ressources. Sans revue de direction formellement documentée, couvrant ces huit points, la certification ISO 27001 ne peut pas être obtenue ou maintenue. Ce template Word, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, fournit l'agenda complet de la revue de direction avec les huit inputs ISO obligatoires, un procès-verbal pré-structuré facilitant la documentation des décisions, un tableau de suivi des actions décidées lors de la revue, et des indicateurs de performance recommandés pour chaque domaine. Il s'adresse aux RSSI qui organisent et animent la revue de direction, aux dirigeants qui y participent et y prennent les décisions, aux auditeurs internes qui vérifient la conformité du processus, et aux consultants qui accompagnent les organisations dans leur démarche de certification ISO 27001. La revue de direction est systématiquement contrôlée lors des audits de certification — les auditeurs demandent les PV des deux dernières revues et vérifient que les huit inputs sont couverts et que les décisions ont été suivies d'effets.
Contexte réglementaire et normatif
La clause 9.3 d'ISO/IEC 27001:2022 impose que la direction passe en revue le SMSI de l'organisation à des intervalles planifiés pour s'assurer qu'il est toujours approprié, adapté et efficace. Les éléments d'entrée de la revue de direction sont précisément définis :
- 9.3.2a — L'état des actions décidées lors des revues précédentes
- 9.3.2b — Les modifications des enjeux internes et externes pertinents pour le SMSI
- 9.3.2c — Les retours d'information sur les performances de la sécurité de l'information, notamment les tendances concernant les non-conformités, les actions correctives, les résultats de la surveillance et des mesures, les résultats des audits
- 9.3.2d — Les retours d'information des parties intéressées
- 9.3.2e — Les résultats de l'appréciation des risques et l'état du plan de traitement des risques
- 9.3.2f — Les opportunités d'amélioration continue
Les éléments de sortie de la revue doivent inclure les décisions et actions relatives aux opportunités d'amélioration continue, aux besoins de modification du SMSI, et aux besoins en ressources.
Structure détaillée du template
Document 1 — Agenda de la revue de direction
Agenda type en 10 points couvrant les 8 inputs ISO obligatoires : (1) Introduction et rappel du périmètre SMSI, (2) Suivi des actions de la revue précédente, (3) Performances des indicateurs SMSI et résultats des mesures, (4) Résultats des audits internes et des évaluations de conformité, (5) Retours des parties intéressées et des clients, (6) État de l'appréciation des risques et du plan de traitement, (7) Incidents de sécurité de l'année et analyse des tendances, (8) Évolutions du contexte et nouvelles menaces, (9) Besoins en ressources et budget sécurité, (10) Décisions, orientations et plan d'actions pour la période suivante. Durée recommandée : 3 à 4 heures. Participants minimum : DG ou Directeur délégué, RSSI, DSI, et idéalement DRH et DPO.
Document 2 — Dossier de présentation (slides)
Structure du dossier de présentation soumis à la direction avant et pendant la revue : tableau de bord des KPI sécurité avec tendances, synthèse des incidents de l'année (nombre, catégories, impacts, leçons apprises), état d'avancement du RTP (pourcentage d'actions complètes), résultats des audits internes, état du registre des risques (évolution du nombre de risques critiques et de la criticité résiduelle), budget sécurité consommé vs alloué, benchmarks sectoriels si disponibles, propositions d'amélioration pour la période suivante.
Document 3 — Procès-verbal de la revue
PV structuré avec : informations générales (date, lieu, participants, durée), synthèse des décisions prises pour chaque point de l'agenda, actions décidées avec responsable et délai, budget approuvé pour les mesures de sécurité de la période suivante, risques résiduels acceptés formellement par la direction, orientations stratégiques pour le SMSI, prochaine revue planifiée, signatures des participants. Ce PV est le document de conformité central — c'est lui que l'auditeur examinera en priorité.
Document 4 — Tableau de suivi des décisions
Tableau de suivi des décisions et actions issues de la revue de direction : identifiant de l'action, description, responsable, délai, statut de suivi (ouvert / en cours / clôturé), preuve de réalisation. Ce tableau est présenté en début de chaque revue pour valider l'état des décisions précédentes (clause 9.3.2a).
Guide d'utilisation étape par étape
Étape 1 — Planifier la revue 6 à 8 semaines à l'avance
La revue de direction ne peut pas être organisée à la dernière minute — la direction a un agenda chargé et le dossier de présentation nécessite un travail de compilation important. Envoyez les invitations 6 à 8 semaines à l'avance avec l'agenda et la liste des documents à préparer. Planifiez une revue annuelle minimum (exigence ISO 27001), avec éventuellement une revue intermédiaire semestrielle pour les organisations en première certification ou avec un niveau de risque élevé.
Étape 2 — Compiler le dossier de présentation
3 à 4 semaines avant la revue, le RSSI compile le dossier de présentation. Les données proviennent de multiples sources : tableau de bord SIEM (KPI de surveillance), registre des incidents, résultats d'audits internes, registre des risques et RTP, feedback des parties prenantes (résultats des questionnaires clients, remontées des fournisseurs), indicateurs de formation sécurité, budget consommé. Chaque indicateur doit être accompagné de sa tendance (en amélioration, stable, en dégradation) pour faciliter les décisions de la direction.
Étape 3 — Soumettre le dossier aux participants
Envoyez le dossier de présentation aux participants au moins 1 semaine avant la revue. Cela leur permet de le lire, de préparer des questions, et d'arriver à la revue avec une compréhension suffisante des sujets pour prendre des décisions éclairées. Une revue où les participants découvrent les données le jour même est moins efficace et génère moins de décisions de qualité.
Étape 4 — Animer la revue
Le RSSI anime la revue en s'appuyant sur le dossier de présentation. Pour chaque point de l'agenda : présentation factuelle des données, analyse des tendances, identification des points d'attention, propositions du RSSI (orientations, ressources demandées, décisions à prendre). La direction réagit, pose des questions, et prend les décisions. Le secrétaire de séance (qui peut être le RSSI lui-même ou un assistant) note les décisions et actions au fil de la réunion.
Étape 5 — Documenter les décisions dans le PV
Le PV doit être rédigé et validé dans les 5 jours ouvrés suivant la revue. Chaque décision est formulée de manière précise et actionnable : "La direction approuve un budget de X euros pour le déploiement d'un outil EDR sur l'ensemble du parc informatique, avec mise en production avant le [date]. Responsable : DSI." Les décisions vagues ("améliorer la sécurité") sont à éviter — elles ne permettent pas de vérifier leur mise en œuvre.
Étape 6 — Valider le PV par les participants
Le PV doit être validé (relecture et signature) par au minimum le président de séance (DG ou délégué) et le RSSI. Idéalement, tous les participants valident le PV pour confirmer que les décisions notées correspondent bien à ce qui a été décidé. La signature du PV par le DG est une evidence d'engagement de la direction (clause 5.1) systématiquement vérifiée en audit.
Étape 7 — Diffuser et archiver
Diffusez le PV aux participants et aux personnes concernées par les décisions prises. Archivez le PV dans le système de gestion documentaire SMSI avec classification appropriée. Mettez à jour le tableau de suivi des décisions et intégrez les nouvelles actions dans le RTP.
Étape 8 — Suivre les décisions jusqu'à la prochaine revue
Les décisions de la revue de direction doivent être suivies régulièrement par le RSSI (idéalement mensuel). Les actions en retard doivent être escaladées formellement. Le tableau de suivi des décisions est le premier point de l'agenda de la revue suivante — démontrant ainsi la continuité du processus.
Tableau des contrôles / checklist complète
| Contrôle | Clause ISO | Statut | Responsable | Preuve | Commentaire |
|---|---|---|---|---|---|
| Revue de direction réalisée au moins annuellement | 9.3 | À vérifier | RSSI / Direction | PV daté | |
| Direction générale (ou délégataire) présente | 9.3 + 5.1 | À vérifier | Direction | Liste participants PV | |
| Input 9.3.2a — État actions revue précédente couvert | 9.3.2a | À vérifier | RSSI | PV + tableau suivi | |
| Input 9.3.2b — Évolutions du contexte couvertes | 9.3.2b | À vérifier | RSSI | Section PV contexte | |
| Input 9.3.2c — Performances SMSI et tendances présentées | 9.3.2c | À vérifier | RSSI | Tableau de bord KPI | |
| Résultats audits internes présentés | 9.3.2c | À vérifier | RSSI | Synthèse audits internes | |
| Incidents de sécurité de l'année présentés | 9.3.2c | À vérifier | RSSI | Rapport incidents | |
| Input 9.3.2d — Retours parties intéressées présentés | 9.3.2d | À vérifier | RSSI | Section PV | |
| Input 9.3.2e — Résultats appréciation risques présentés | 9.3.2e | À vérifier | RSSI | Synthèse registre risques | |
| État avancement RTP présenté | 9.3.2e | À vérifier | RSSI | Tableau de bord RTP | |
| Input 9.3.2f — Opportunités amélioration continue discutées | 9.3.2f | À vérifier | RSSI | Section PV | |
| Risques résiduels acceptés formellement par la direction | 6.1.3f + 9.3 | À vérifier | Direction | Décision dans PV | |
| Budget sécurité approuvé pour la période suivante | 7.1 + 9.3 | À vérifier | Direction | Décision dans PV | |
| Décisions documentées dans le PV avec responsable et délai | 9.3 | À vérifier | RSSI | PV structuré | |
| PV signé par le DG ou son délégataire | 5.1 + 9.3 | À vérifier | Direction | PV signé | |
| PV archivé comme information documentée (7.5) | 9.3 + 7.5 | À vérifier | RSSI | GED | |
| Actions issues de la revue suivies jusqu'à clôture | 9.3 | À vérifier | RSSI | Tableau suivi décisions | |
| Dossier de présentation soumis aux participants 1 semaine avant | 9.3 | À vérifier | RSSI | Email envoi dossier | |
| Résultats de l'UAR (User Access Review) présentés | A.5.18 + 9.3 | À vérifier | RSSI | Rapport UAR dans dossier | |
| Conformité légale et contractuelle passée en revue | A.5.31 + 9.3 | À vérifier | RSSI / Juriste | Section PV conformité | |
| Indicateurs de performance SMSI mesurés avant la revue | 9.1 + 9.3 | À vérifier | RSSI | Tableau de bord KPI | |
| Opportunités de certification ou d'extension du périmètre discutées | 9.3.2f | À vérifier | RSSI / Direction | Section PV | |
| Prochaine revue planifiée et datée dans le PV | 9.3 | À vérifier | RSSI | PV - date prochaine revue | |
| RTP approuvé ou révisé lors de la revue | 6.1.3 + 9.3 | À vérifier | Direction | Décision PV | |
| Engagement de la direction formalisé dans le PV | 5.1 + 9.3 | À vérifier | Direction | Signature DG | |
| Résultats de la revue communiqués aux parties concernées | 7.4 + 9.3 | À vérifier | RSSI | Email diffusion PV |
Points de vigilance pour l'audit de certification
Piège 1 — PV vague sans décisions actionnables
Un PV qui conclut "la direction a exprimé sa satisfaction avec le SMSI" sans décisions concrètes est insuffisant. Les auditeurs s'attendent à voir des décisions précises : budgets alloués, actions approuvées, risques résiduels acceptés formellement, orientations stratégiques définies. Remédiation : structurez le PV avec une section "Décisions et actions" pour chaque point de l'agenda, et rédigez des décisions SMART (Spécifiques, Mesurables, Atteignables, Réalistes, Temporelles).
Piège 2 — Absence de signature du DG
Si le PV n'est pas signé par le directeur général ou son délégataire expressément autorisé, il ne démontre pas l'engagement de la direction (clause 5.1) ni la prise de décision au niveau approprié. Remédiation : exigez systématiquement la signature du DG sur le PV, ou obtenez une délégation formelle écrite si la direction est représentée par un délégué.
Piège 3 — Revue réalisée mais actions non suivies
Une revue sans suivi des décisions est un exercice stérile. Si les actions décidées lors de la revue de l'année précédente sont toujours "En cours" ou "Non démarrées" à la revue suivante, c'est une non-conformité au processus d'amélioration continue. Remédiation : intégrez les actions de la revue de direction dans le RTP avec un suivi mensuel identique aux autres actions.
Piège 4 — Inputs ISO non tous couverts
Si le PV ne mentionne pas les retours des parties intéressées (9.3.2d) ou les opportunités d'amélioration continue (9.3.2f), même brièvement, il y a une non-conformité formelle. Remédiation : utilisez ce template avec ses 8 inputs obligatoires et vérifiez que chacun est traité dans le PV, même si certains ne génèrent pas de décisions spécifiques.
Intégration dans le SMSI
- En entrée — Registre des risques et RTP : l'état des risques et l'avancement du plan de traitement sont des inputs obligatoires.
- En entrée — Audit interne (9.2) : les résultats des audits internes alimentent la revue de direction.
- En entrée — Monitoring et KPI : les indicateurs de performance SIEM et sécurité sont présentés en revue.
- En sortie — Ressources allouées (7.1) : la direction approuve les ressources nécessaires au SMSI lors de la revue.
- En sortie — Actions correctives (10.1-10.2) : les décisions de revue génèrent des actions d'amélioration continue.
Bonnes pratiques terrain
Évitez la revue pro-forma : certaines organisations organisent une revue de direction "pour cocher la case" avec un PV prérédigé et une signature rapide. Les auditeurs expérimentés détectent ce type de revue — les décisions sont trop génériques, les dates de signature sont suspectes, il n'y a pas de trace de débat ou de questions. Remédiation : impliquez vraiment la direction dans la revue, posez des questions difficiles, confrontez aux indicateurs réels, et documentez les débats substantiels.
Préparez un one-pager exécutif : la direction générale n'a pas le temps de lire 50 pages de rapport technique. Préparez un résumé exécutif d'une page qui présente les 5 messages clés que vous voulez que la direction retienne : niveau de risque actuel, incidents majeurs de l'année, avancement du programme de sécurité, décisions attendues, budget demandé. Ce résumé facilite une prise de décision rapide et efficace.
Invitez les bons participants : en plus du RSSI et du DG, invitez le DSI (pour les décisions techniques et budgétaires), le DPO (pour les sujets RGPD), le DRH (pour les sujets liés aux ressources humaines et à la formation), et éventuellement le responsable juridique (pour la conformité légale). Une revue avec les seuls RSSI et DG manquera de la perspective nécessaire pour prendre des décisions éclairées sur l'ensemble des 8 inputs.
FAQ
La revue de direction peut-elle être réalisée à distance (visioconférence) ?
Oui, ISO 27001 n'impose pas que la revue de direction se tienne en présentiel. Une revue en visioconférence est tout à fait acceptable, à condition que le PV documente les participants (avec leurs fonctions), que les décisions soient documentées avec la même rigueur qu'en présentiel, et que le PV soit formellement signé par les participants (signature électronique acceptée). La pandémie de 2020 a normalisé les revues de direction à distance, et la plupart des organismes de certification acceptent pleinement cette modalité. L'important est que la revue soit réelle et substantielle, pas qu'elle soit en présentiel.
Quelle est la fréquence minimale de la revue de direction ?
ISO 27001:2022 impose une revue à "des intervalles planifiés" sans préciser la fréquence minimale. La pratique standard est une revue annuelle minimum, coïncidant avec le cycle de renouvellement du SMSI. Pour les organisations en première certification, une revue tous les 6 mois est recommandée pendant les deux premières années, pour maintenir un niveau d'engagement élevé et piloter la mise en place du SMSI. Pour les organisations soumises à NIS 2 ou avec un profil de risque élevé, une revue semestrielle voire trimestrielle peut être justifiée. L'important est que la fréquence soit planifiée à l'avance (dans le planning SMSI annuel) et respectée.
Comment traiter les absences lors de la revue de direction ?
Si le DG est absent, il doit nommer formellement un délégataire avec une délégation de signature explicite pour les décisions SMSI. Cette délégation doit être documentée (email ou lettre de délégation) et annexée au PV. Si plusieurs participants clés sont absents et que cela compromet la qualité des décisions (par exemple, absence du DSI pour des décisions techniques importantes), envisagez de reporter la revue plutôt que de la tenir avec un quorum insuffisant. Un PV d'une revue tenue avec les mauvais participants sera de moindre valeur pour l'auditeur.
Points clés à retenir
- La revue de direction est obligatoire au moins annuellement — sans PV, pas de certification possible
- Les 8 inputs ISO (9.3.2a à 9.3.2f) doivent tous être couverts dans le PV
- Le PV doit être signé par le DG ou son délégataire formel
- Les décisions doivent être SMART et suivies jusqu'à leur clôture
- Les risques résiduels sont acceptés formellement par la direction lors de cette revue
- Le budget de sécurité pour la période suivante doit être approuvé lors de la revue
- Préparez un dossier synthétique 1 semaine avant pour une prise de décision éclairée
- Évitez la revue "pro-forma" — les auditeurs expérimentés la détectent immédiatement
La revue de direction ISO 27001 ne doit pas être perçue comme une simple formalité de conformité, mais comme un levier stratégique pour piloter la performance du SMSI et démontrer l'engagement de la direction au sens de la clause 5.1. Une revue efficace s'appuie sur des indicateurs de performance clés (KPI) quantifiables : taux de traitement des non-conformités, évolution du risque résiduel, couverture des formations de sensibilisation, nombre d'incidents de sécurité et temps moyen de détection et de réponse (MTTD/MTTR).
La fréquence de la revue de direction doit être adaptée au contexte de l'organisation : pour les organisations à risque élevé ou en phase de certification initiale, une fréquence trimestrielle est recommandée. Le compte-rendu de la revue de direction constitue une preuve d'audit majeure que les auditeurs de certification examinent systématiquement pour évaluer l'efficacité du SMSI et la réalité de l'implication managériale dans la gouvernance de la sécurité de l'information.
Un projet cybersécurité ?
Expert dispo · Réponse 24h