GRC Cybersécurité · Certification ISO 27001

ISO 27001 : certifié,
et toujours certifié l'année d'après.

Exigée dans les appels d'offres, demandée par les assureurs, scrutée en due diligence : ISO 27001 est devenue la preuve de confiance numérique. Je vous accompagne de l'analyse d'écarts à l'audit de certification, puis dans la durée, sans conformité de façade.

L'accompagnement

Ce que couvre la mission.

Analyse d'écarts

Évaluation au regard des exigences de la norme et des 93 mesures de l'Annexe A (version 2022), avec un plan d'action priorisé et chiffré qui distingue ce qui protège de ce qui documente.

Construction du SMSI

Périmètre, analyse de risques, déclaration d'applicabilité, politiques et gouvernance vivante : un système de management construit pour vos risques réels, pas pour l'auditeur.

Audit à blanc et certification

Préparation des équipes, audit à blanc, accompagnement pendant les deux étapes de l'audit de certification, traitement des constats jusqu'à l'obtention.

Surveillance et plans d'action correctifs

Préparation des audits de surveillance annuels, pilotage des plans d'action correctifs sur non-conformités jusqu'à leur clôture : la certification est un régime de croisière, pas une ligne d'arrivée.

Références

Des missions menées jusqu'à l'audit, pas jusqu'au rapport.

Mes références ISO 27001 couvrent le cycle complet : accompagnement à la certification mené jusqu'à l'audit avec organisme de certification, et pilotage de plans d'action correctifs en contexte d'audit de surveillance, avec des dizaines de non-conformités traitées et suivies jusqu'à clôture. Le même socle sert ensuite NIS2 et DORA.

Engagement de méthode : pas de certification de façade. Un SMSI construit pour l'auditeur plutôt que pour les risques s'effondre au premier audit de surveillance, ou au premier incident.
Questions fréquentes

Ce qu'on me demande sur ISO 27001.

Combien de temps prend une certification ?

De 6 à 18 mois selon la maturité de départ et le périmètre certifié : analyse d'écarts, construction du SMSI, déploiement des mesures, audit à blanc puis audit de certification en deux étapes. Un parcours jalonné évite les deux écueils classiques : le projet qui s'enlise et la certification de façade.

Que se passe-t-il après le certificat ?

Le certificat est valable trois ans, avec un audit de surveillance chaque année et une recertification au terme du cycle. Les non-conformités relevées appellent des plans d'action correctifs suivis jusqu'à clôture : c'est souvent là que les organisations ont le plus besoin d'accompagnement.

Intervenez-vous sur un SMSI existant ?

Oui, et c'est même un cas fréquent : reprendre un SMSI existant, préparer un audit de surveillance, piloter un plan d'action correctif après des non-conformités majeures. Mes références incluent précisément ce type de mission.

Ressource gratuite

Testez gratuitement votre maturité ISO 27001.

6 piliers, 36 questions, 8 minutes. Repartez avec un aperçu de votre écart à la certification et de vos priorités.

Démarrer l'auto-évaluation

Visez le certificat qui tient dans la durée.

En un appel de 30 minutes, vous savez où vous en êtes, la trajectoire réaliste et à quelles conditions avancer.

Réserver un appel de qualification

Premier appel gratuit, sans engagement. Voir aussi la page GRC Cybersécurité.