Un client m’appelle il y a quelques mois. Il a acheté un pack de templates ISO 27001 en ligne. Fier de lui. Six mois de travail à remplir des documents. Je me retrouve dans ses locaux pour l’audit interne préparatoire. On ouvre le dossier “Politique de sécurité”. Il y a 10 fichiers distincts sur le même sujet. Il ne sait pas lequel s’applique. Il ne sait pas lequel est à jour. Et quand je lui demande d’expliquer son processus de gestion des risques, il me regarde avec les yeux d’un homme qui vient de réaliser qu’il a un problème.
Ce n’est pas une exception. C’est ce que je vois de plus en plus.
La vraie question derrière la question
Quand une organisation me demande si elle peut “utiliser des templates” ou “laisser l’IA générer la documentation”, la vraie question qu’elle pose c’est : “Peut-on raccourcir le travail?”
La réponse honnête : non.
ISO 27001 ne certifie pas vos documents. Elle certifie votre capacité à démontrer que vous comprenez et contrôlez votre programme de sécurité de l’information. C’est une nuance fondamentale que les vendeurs de templates ne mentionnent jamais sur leur page de vente.
Pour rappel : ce que l’auditeur évalue vraiment
La norme repose sur trois réalités concrètes.
L’identification et le traitement des risques propres à votre organisation. Pas les risques génériques d’un document conçu pour une entreprise fictive qui ressemble vaguement à la vôtre.
La mise en oeuvre de contrôles adaptés à votre contexte. Pas 93 contrôles copiés-collés parce que le template les incluait tous par défaut.
La démonstration continue que ça fonctionne. Pas une liasse de documents produite six mois avant l’audit puis rangée dans un dossier partagé que personne ne consulte.
Un auditeur ISO 27001 compétent ne regarde pas si vos documents existent. Il vérifie si vous les comprenez, si vous les appliquez et si vous pouvez en parler avec aisance et précision. La différence entre les deux, c’est là que les certifications se gagnent ou se perdent.
Problème 1 : la perte de contrôle
Les templates et l’IA génèrent du contenu. Beaucoup de contenu. Vite. Le problème : ce contenu n’est pas le vôtre. Il décrit un programme de sécurité générique, conçu pour une organisation fictive qui ressemble vaguement à la vôtre mais ne l’est pas.
Quand votre auditeur vous demande : “Comment gérez-vous les accès privilégiés dans votre environnement infonuagique?”, vous devez pouvoir répondre avec précision. Nommer vos outils. Décrire vos processus. Expliquer vos exceptions. Si votre politique a été générée par l’IA ou copiée d’un template, la réponse sera vague, hésitante et déconnectée de la réalité de vos systèmes.
Et l’auditeur va le voir. Immédiatement.
J’ai eu des conversations où le client pouvait réciter sa politique quasi mot pour mot. Pourtant, il était incapable de m’expliquer comment elle s’appliquait dans son infrastructure. C’est exactement le signal qu’un auditeur cherche : la déconnexion entre le document et la réalité opérationnelle.
Un programme de sécurité que vous ne comprenez pas = un programme que vous ne contrôlez pas. Et un programme que vous ne contrôlez pas, vous ne pouvez pas le certifier. C’est aussi simple que ça.
Problème 2 : le scope creep documentaire
Les templates viennent en paquets. Souvent gros. Souvent redondants. Et personne ne vous dit quoi enlever.
Le cas de mon client n’est pas isolé. Je l’ai vu se reproduire chez plusieurs organisations cette année : on achète un pack de 50, 80, 100 documents. On commence à les remplir. Six mois plus tard, on a 10 fichiers qui couvrent partiellement le même sujet avec des contradictions internes, des versions non contrôlées et personne ne sait lequel prime sur l’autre.
C’est le scope creep documentaire. Et c’est un problème d’audit direct.
ISO 27001 exige la maîtrise des informations documentées. Ça inclut le contrôle des versions, la revue périodique et la clarté des responsabilités de mise à jour. Quand vous arrivez en audit avec une documentation gonflée et mal maîtrisée, vous créez vous-même vos non-conformités. Vous offrez des constats à l’auditeur sur un plateau.
Ce que j’ai dû faire chez ce client : consolider 10 documents en un seul. Retirer tout ce qui ne s’appliquait pas à leur contexte. Réécrire les sections qui contredisaient leur réalité opérationnelle. Puis recommencer le travail de compréhension qu’ils auraient dû faire dès le départ.
Le temps économisé avec les templates avait été dépensé deux fois en corrections.
L’IA : même problème, nouvel emballage
L’IA générative change la vitesse de production. Elle ne change pas la nature du problème.
Vous pouvez demander à un LLM de générer une politique de gestion des incidents en 30 secondes. Le résultat sera cohérent, bien structuré et professionnel. Il sera aussi générique, incomplet sur vos spécificités et potentiellement en contradiction avec vos pratiques réelles ou vos obligations sous la Loi 25.
L’IA est un outil de rédaction. Ce n’est pas un outil de compréhension de votre contexte organisationnel. Elle ne connaît pas votre infrastructure, vos processus critiques, votre tolérance au risque ou les contraintes de votre secteur.
Utiliser l’IA pour générer votre documentation ISO 27001, c’est comme utiliser un GPS pour répondre à la question “Où est-ce que je veux aller?” Le GPS vous guide une fois que vous connaissez la destination. Il ne peut pas la choisir à votre place.
En pratique : comment utiliser ces outils sans se piéger
Les templates et l’IA peuvent être utiles, mais seulement dans un rôle précis : celui de point de départ à adapter, pas de livrable final.
Voici ce qui fonctionne :
Commencez par comprendre votre contexte avant d’ouvrir un seul template. Quels sont vos actifs critiques? Quelles sont vos menaces réelles? Quelle est votre tolérance au risque? Ce travail ne peut pas être délégué à un document générique.
Utilisez les templates comme structure, pas comme contenu. Un template vous montre quelles sections inclure dans une politique. Il ne vous dit pas ce que doivent dire ces sections pour votre organisation.
Limitez votre documentation à ce que vous pouvez maîtriser et défendre. Moins de documents bien compris vaut mieux que 100 documents que personne ne peut expliquer en audit.
Si vous utilisez l’IA, traitez chaque sortie comme un premier jet qui nécessite une revue approfondie par quelqu’un qui connaît votre environnement. Chaque contrôle mentionné, chaque procédure décrite doit être validé par rapport à votre réalité.
Questions à vous poser avant votre audit
Pouvez-vous expliquer votre processus de gestion des risques sans lire votre document?
Si un auditeur vous demande comment vous appliquez concrètement telle politique, pouvez-vous répondre avec des exemples précis tirés de vos opérations?
Savez-vous combien de documents couvrent chaque sujet et lequel est la référence officielle en cas de contradiction?
Chacun de vos documents a-t-il été revu, approuvé et intégré dans vos pratiques, ou a-t-il simplement été déposé dans un dossier après remplissage?
Si vous hésitez à l’une de ces questions, vous avez du travail à faire avant de passer en audit.
Bref, ISO 27001 n’est pas une épreuve documentaire. C’est une démonstration de maîtrise. Les templates et l’IA peuvent vous donner une structure de départ, mais ils ne peuvent pas faire le travail de compréhension à votre place. Et c’est exactement ce travail que votre auditeur va évaluer, dès la première question.