ISO 27001 : de l’analyse d’écarts à l’audit de certification, le parcours réaliste

ISO 27001 est devenue la lingua franca de la confiance numérique. En effet, les appels d’offres l’exigent, les assureurs cyber la demandent, la due diligence la scrute. Mais entre la décision de se certifier et le certificat, il y a un parcours que beaucoup sous-estiment. Voici ce parcours ISO 27001, sans enjolivure.

Étape 1 : l’analyse d’écarts

Tout commence par une photographie honnête. Où en êtes-vous par rapport aux exigences de la norme, c’est-à-dire le système de management ? Et par rapport aux mesures de son Annexe A ? La version 2022 en compte 93, réparties en quatre thèmes : organisationnelles, humaines, physiques, technologiques. En effet, le livrable utile n’est pas un score. C’est un plan d’action priorisé et chiffré, qui distingue ce qui protège réellement de ce qui documente.

Étape 2 : construire le SMSI

Le Système de Management de la Sécurité de l’Information (SMSI) est le coeur certifiable. Il couvre le périmètre, l’analyse de risques, la déclaration d’applicabilité et les politiques. Surtout, il porte une gouvernance vivante : revues de direction, indicateurs, audits internes. C’est ici que se joue la différence entre un système utile et une conformité de façade. En effet, un SMSI construit pour l’auditeur plutôt que pour les risques réels se voit à l’audit, et surtout au premier incident.

Étape 3 : déployer les mesures

C’est la phase la plus longue. Elle met en oeuvre les mesures retenues, sensibilise les équipes et traite les risques fournisseurs. Elle couvre aussi la journalisation et la gestion des accès. Enfin, un audit à blanc en fin de phase permet d’arriver à la certification sans suspense inutile.

Étape 4 : l’audit de certification, puis la vraie vie

L’audit se déroule en deux temps : la revue documentaire (stage 1), puis l’audit de mise en oeuvre (stage 2). Les non-conformités relevées appellent un plan d’action correctif, suivi jusqu’à clôture. Le certificat reste valable trois ans, avec un audit de surveillance chaque année. Ainsi, la certification n’est pas une ligne d’arrivée, c’est un régime de croisière. D’ailleurs, c’est souvent là que les organisations ont le plus besoin d’aide : dans le pilotage des plans d’action correctifs entre deux audits.

Combien de temps, combien d’énergie ?

Il faut compter de 6 à 18 mois, selon la maturité de départ et le périmètre certifié. Les deux écueils classiques sont symétriques. D’un côté, le projet qui s’enlise faute de pilotage. De l’autre, la certification express de façade, qui s’effondre au premier audit de surveillance. Dans les deux cas, le remède est le même : un parcours jalonné, un responsable, un reporting à la direction.

ISO 27001 : ce qu’il faut retenir

ISO 27001 se gagne comme un programme : un état des lieux honnête, une trajectoire réaliste, une exécution pilotée. De plus, le même socle sert ensuite NIS2, DORA et la confiance de vos clients.

Un projet de certification, ou des non-conformités à traiter ? Découvrez le volet GRC Cybersécurité ou parlons de votre situation.
Partager cet article
Lien copié