Aller au contenu principal

ISO 27001 : comment prouver la sensibilisation de vos équipes lors d'un audit

Publié le 25 novembre 2025

Lors d'un audit ISO 27001, une question revient systématiquement : "Comment prouvez-vous que vos collaborateurs ont pris connaissance de la politique de sécurité ?"

Si votre réponse est "on leur a envoyé un email", vous risquez une non-conformité. Voici pourquoi — et comment y remédier simplement.

Ce que dit la norme ISO 27001

La clause 7.3 (Sensibilisation) de l'ISO 27001:2022 est explicite :

Les personnes effectuant un travail sous le contrôle de l'organisme doivent être sensibilisées à la politique de sécurité de l'information.

Et la clause 7.5 (Informations documentées) impose de conserver des preuves de cette sensibilisation.

Concrètement, l'auditeur attend :

  • Une liste nominative des personnes sensibilisées
  • Un horodatage de chaque prise de connaissance
  • Une version du document concerné
  • La possibilité de vérifier ces informations

Pourquoi l'email ne suffit pas

Envoyer la politique de sécurité par email pose plusieurs problèmes :

  1. Aucune preuve de lecture : l'accusé de réception prouve la livraison, pas la lecture
  2. Pas de traçabilité consolidée : impossible de voir qui a lu quoi en un coup d'œil
  3. Versioning flou : quelle version du document a été envoyée ?
  4. Export compliqué : comment présenter ces preuves à l'auditeur ?

La solution : l'acknowledgement horodaté

L'acknowledgement (confirmation de lecture) résout ces problèmes :

  1. L'employé reçoit un lien vers le document
  2. Il s'authentifie (OAuth2, SSO entreprise)
  3. Il clique sur "J'ai lu et compris"
  4. L'action est enregistrée avec signature cryptographique

Résultat : une preuve infalsifiable, horodatée, et exportable.

Ce qu'Ackify apporte à votre SMSI

Traçabilité complète

Chaque confirmation génère un enregistrement avec :

  • Identité de l'utilisateur (email, ID OAuth)
  • Date et heure UTC
  • Hash du document (intégrité garantie)
  • Signature Ed25519

Tableau de bord de suivi

Visualisez en temps réel :

  • Qui a confirmé la lecture
  • Qui n'a pas encore lu
  • Historique par document

Export pour audit

Générez un rapport CSV ou JSON avec toutes les preuves — prêt pour l'auditeur.

Auto-hébergement

Vos données restent sur vos serveurs. Aucune dépendance à un tiers américain. Souveraineté totale.

Exemple concret : mise à jour de la PSSI

Votre RSSI met à jour la Politique de Sécurité des Systèmes d'Information. Voici le workflow avec Ackify :

  1. Upload du nouveau document (ou lien vers votre wiki interne)
  2. Envoi d'une campagne d'acknowledgement aux équipes concernées
  3. Suivi des confirmations en temps réel
  4. Relance automatique des retardataires
  5. Export des preuves pour le registre SMSI

Lors de l'audit, vous présentez le rapport : nom, date, signature cryptographique. Conformité démontrée.

Autres documents concernés

L'acknowledgement s'applique à tous les documents du SMSI :

  • Politique de sécurité (PSSI)
  • Charte informatique
  • Procédures de gestion des incidents
  • Politique de classification des données
  • Règles d'utilisation des équipements mobiles
  • Politique de télétravail

Conclusion

L'ISO 27001 exige des preuves de sensibilisation. L'email ne suffit pas. L'acknowledgement horodaté est la réponse adaptée — simple pour les équipes, robuste pour l'audit.

Ackify est conçu pour ce besoin précis : un outil open source, auto-hébergé, avec signatures cryptographiques Ed25519.

➡️ Découvrez Ackify — la traçabilité de sensibilisation pour votre SMSI.

Prêt à sécuriser vos preuves de prise de connaissance ?

Créez votre compte en 30 secondes et commencez à tracer la lecture de vos documents critiques.