Exigée dans les appels d'offres, demandée par les assureurs, scrutée en due diligence : ISO 27001 est devenue la preuve de confiance numérique. Je vous accompagne de l'analyse d'écarts à l'audit de certification, puis dans la durée, sans conformité de façade.
Évaluation au regard des exigences de la norme et des 93 mesures de l'Annexe A (version 2022), avec un plan d'action priorisé et chiffré qui distingue ce qui protège de ce qui documente.
Périmètre, analyse de risques, déclaration d'applicabilité, politiques et gouvernance vivante : un système de management construit pour vos risques réels, pas pour l'auditeur.
Préparation des équipes, audit à blanc, accompagnement pendant les deux étapes de l'audit de certification, traitement des constats jusqu'à l'obtention.
Préparation des audits de surveillance annuels, pilotage des plans d'action correctifs sur non-conformités jusqu'à leur clôture : la certification est un régime de croisière, pas une ligne d'arrivée.
Mes références ISO 27001 couvrent le cycle complet : accompagnement à la certification mené jusqu'à l'audit avec organisme de certification, et pilotage de plans d'action correctifs en contexte d'audit de surveillance, avec des dizaines de non-conformités traitées et suivies jusqu'à clôture. Le même socle sert ensuite NIS2 et DORA.
De 6 à 18 mois selon la maturité de départ et le périmètre certifié : analyse d'écarts, construction du SMSI, déploiement des mesures, audit à blanc puis audit de certification en deux étapes. Un parcours jalonné évite les deux écueils classiques : le projet qui s'enlise et la certification de façade.
Le certificat est valable trois ans, avec un audit de surveillance chaque année et une recertification au terme du cycle. Les non-conformités relevées appellent des plans d'action correctifs suivis jusqu'à clôture : c'est souvent là que les organisations ont le plus besoin d'accompagnement.
Oui, et c'est même un cas fréquent : reprendre un SMSI existant, préparer un audit de surveillance, piloter un plan d'action correctif après des non-conformités majeures. Mes références incluent précisément ce type de mission.
6 piliers, 36 questions, 8 minutes. Repartez avec un aperçu de votre écart à la certification et de vos priorités.
→Démarrer l'auto-évaluationEn un appel de 30 minutes, vous savez où vous en êtes, la trajectoire réaliste et à quelles conditions avancer.
→Réserver un appel de qualificationPremier appel gratuit, sans engagement. Voir aussi la page GRC Cybersécurité.