J–90 avant un audit ISO 27001 : tout le monde travaille, mais personne ne sait vraiment où
en est l’entreprise.
Ce n’est pas un problème de bonne volonté, c’est un problème de pilotage.
« On en est où ? »
Réunion du lundi matin, 9h. Le DSI pose une question banale :
- « Concrètement, on en est où sur l’ISO 27001 ? »
Tour de table. Les équipes ont travaillé, c’est évident :
- les risques sont analysés… dans plusieurs fichiers ;
- les procédures existent… en trois versions différentes ;
- les preuves sont « quelque part »… dans des mails, un outil qualité, des dossiers
partagés.
Chacun détient une partie de la réponse, mais personne n’a la vue d’ensemble.
La tension monte : l’audit est dans trois mois, et le projet ressemble davantage à un puzzle
sans image de référence qu’à une trajectoire cadrée.
Beaucoup de travail, peu de pilotage
En grattant un peu, on retrouve un schéma fréquent :
- chaque équipe gère ses propres tableaux ;
- les plans d’action ne sont pas alignés entre eux ;
- les preuves ne sont pas clairement reliées aux exigences des normes ;
- la direction reçoit des slides rassurants… qui ne reflètent pas toujours la réalité du
terrain.
Résultat :
À l’approche de l’audit, tout se transforme en course de rattrapage : on cherche, on recolle,
on revalide.
Pas parce que l’entreprise est réellement « en retard », mais parce que rien n’est, au fond,
centralisé ni piloté.
Un socle unique pour exigences, risques, actions et preuves
Ce type de situation pointe toujours dans la même direction :
- Tant que les référentiels, les risques, les actions et les preuves ne vivent pas
dans un socle unique, la conformité reste fragile.
Un dispositif solide, ce n’est pas forcément « plus de documentation ».
C’est surtout :
- une vue consolidée : quelles exigences, quels risques associés, quelles actions,
quelles preuves ; - une lecture simple pour la direction : où l’on est robuste, où l’on est exposé, où il
faut investir ; - une préparation d’audit continue, au fil de l’eau, plutôt qu’un sprint de dernière
minute.
À partir de là, l’audit n’est plus un couperet, mais une étape pour formaliser un
fonctionnement déjà en place.
La question en suspens
Dans notre histoire, l’entreprise a fini par revoir sa façon de piloter : centralisation,
clarifications, trajectoire lisible.
Mais la vraie question, c’est celle-ci :
- Si quelqu’un vous demande demain : « Où en sommes-nous sur notre
conformité ? », êtes-vous capable de répondre en une page… ou en dix
dossiers ?
Notion clé du jour
La maturité ne se mesure pas au nombre de fichiers, mais à la capacité à répondre
clairement à une question simple :
- « Que maîtrisons-nous vraiment, et sur quoi sommes-nous encore fragiles ? »
Si cette question met tout le monde mal à l’aise en réunion, ce n’est pas forcément mauvais
signe :
- c’est souvent le point de départ d’un vrai travail de fond
Et c’est précisément à ce moment-là que des acteurs comme KP Consulting peuvent
apporter de la méthode, un socle de pilotage… et un peu de sérénité dans la discussion.
