Préparation documentaire pour l'audit Stage 1 ISO 27001 : points critiques à maîtriser

L'audit Stage 1 (revue documentaire) est souvent sous-estimé dans sa préparation par les organisations qui certifient pour la première fois. L'auditeur examine en détail le système documentaire du SMSI pour s'assurer que les exigences de la norme sont couvertes par des procédures, politiques et registres appropriés, avant de planifier l'audit Stage 2 sur site. La préparation optimale passe par une auto-évaluation documentaire systématique 3 à 6 semaines avant l'audit : chaque exigence des clauses 4 à 10 d'ISO 27001 est vérifiée contre la documentation existante du SMSI, avec identification des manques et des documents à compléter dans les délais disponibles avant la date d'audit. Les points les plus souvent insuffisants lors des audits Stage 1 sont la Déclaration d'Applicabilité incomplète ou dont les justifications d'exclusion ne sont pas suffisamment documentées et justifiées par rapport aux résultats de l'analyse de risques, l'analyse de risques elle-même qui n'est pas formalisée selon la méthodologie décrite dans la procédure d'analyse de risques du SMSI, et les objectifs de sécurité définis en clause 6.2 qui ne sont pas mesurables ou qui ne sont pas associés à des indicateurs de suivi quantifiables permettant de prouver leur niveau d'atteinte lors des audits de surveillance annuels réalisés par l'organisme certificateur accrédité par le COFRAC.

Gestion des non-conformités post-audit ISO 27001 et stratégie de maintien de certification

Lors d'un audit de certification ISO 27001, l'auditeur peut émettre des observations non bloquantes (à adresser lors du cycle suivant sans impact sur la certification), des non-conformités mineures, ou des non-conformités majeures. Les non-conformités mineures doivent être résolues dans un délai convenu, généralement 90 jours après l'audit, et vérifiées lors de l'audit de surveillance suivant via des preuves documentaires de mise en oeuvre des actions correctives. Les non-conformités majeures bloquent l'obtention de la certification : un audit de suivi spécifique est alors nécessaire, avec vérification sur site que les actions correctives ont bien été mises en oeuvre et que la cause racine a été traitée de façon durable et systémique. La clé d'une gestion efficace des non-conformités est de ne jamais se contenter de corriger le symptôme visible sans adresser le processus organisationnel défaillant qui a conduit à la non-conformité — cette approche superficielle conduit inévitablement à une récidive lors du prochain audit de surveillance annuel.

✅ Template gratuit · PDF

L'audit de certification est en 2 stages : revue documentaire (Stage 1) puis audit opérationnel (Stage 2). Cette checklist PDF rassemble ~80 questions auditeur typiques par stage, pour préparer chaque entretien avec sérénité.

📥 Télécharger (PDF gratuit)

L'audit de certification ISO 27001 est le processus par lequel un organisme de certification accrédité évalue la conformité de votre SMSI aux exigences de la norme ISO/IEC 27001:2022. Il se déroule en deux étapes distinctes : le Stage 1 (audit préliminaire ou revue documentaire) et le Stage 2 (audit principal de certification). Cette checklist, développée par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, rassemble les 80 questions les plus fréquemment posées par les auditeurs de certification lors de chaque stage, organisées par clause normative et par profil d'interlocuteur (RSSI, DSI, DRH, direction générale, utilisateurs). Se préparer à l'audit de certification ne signifie pas "apprendre par cœur les bonnes réponses" — l'auditeur est formé pour détecter les réponses récitées. La préparation consiste à comprendre les attentes de la norme, vérifier que vos pratiques sont réelles et cohérentes, et s'assurer que vos preuves documentaires sont à jour et accessibles. Le Stage 1 est souvent sous-estimé : si l'auditeur identifie lors du Stage 1 que votre SMSI n'est pas prêt, il peut recommander de reporter le Stage 2, ce qui implique des coûts supplémentaires et un délai de plusieurs mois. Cette checklist vous permet de réaliser une préparation autonome avant le Stage 1 et le Stage 2, d'identifier les zones de fragilité persistantes, et de briefer vos collègues qui seront interviewés pendant l'audit. Elle s'articule avec le gap analysis ISO 27001, le plan d'audit interne, et le rapport d'audit interne pour former le dispositif complet de préparation à la certification.

CONFORMITÉ checklist-audit-certification-iso-27001-stage1-stage2 ÉTAPES / CONTRÔLES 1 Contexte : le processus d'audit de… 2 Checklist Stage 1 — Questions typiques de… 3 Checklist Stage 2 — Questions typiques de… 4 Guide de préparation à l'audit de… 5 Points de vigilance pour l'audit de… EXIGENCES CLÉS audit de certification ISO 27001 Ayi NEDJIMI Réaliser un pré-audit interne… Vérifier l'exhaustivité et la… Briefer les personnes qui seront… ayinedjimi-consultants.fr

Contexte : le processus d'audit de certification ISO 27001

Choix de l'organisme de certification

Le choix de l'organisme de certification est une décision importante qui mérite réflexion. En France, les principaux organismes accrédités COFRAC (Comité Français d'Accréditation) pour ISO 27001 sont Bureau Veritas, AFNOR Certification, BSI, SGS, et DNV. Vérifiez que l'organisme est bien accrédité COFRAC pour ISO 27001 (une certification délivrée par un organisme non accrédité a peu de valeur sur le marché). Comparez les tarifs (les devis peuvent varier de 30 à 50%), l'expérience de l'auditeur dans votre secteur, et la disponibilité pour les délais qui vous conviennent. Demandez un CV ou une biographie de l'auditeur pressenti — vous avez le droit de refuser un auditeur qui ne vous semble pas compétent pour votre secteur.

Déroulement du Stage 1 — Audit préliminaire

Le Stage 1 est une revue essentiellement documentaire qui se déroule généralement sur site ou à distance, pour une durée de 1 à 2 jours selon la taille de l'organisation. L'auditeur vérifie que le SMSI est suffisamment développé pour passer au Stage 2. Il examine : la politique de sécurité de l'information, le périmètre du SMSI, les résultats de l'appréciation des risques et du plan de traitement, la Déclaration d'Applicabilité (SoA), la réalisation d'un audit interne, la tenue d'une revue de direction, et la documentation générale du SMSI. Le Stage 1 produit un rapport avec les observations préliminaires et liste les points à traiter avant le Stage 2. Un délai de 4 à 8 semaines entre le Stage 1 et le Stage 2 est recommandé pour traiter les observations.

Déroulement du Stage 2 — Audit principal de certification

Le Stage 2 est l'audit principal qui vérifie l'efficacité opérationnelle du SMSI. Il dure généralement 2 à 5 jours selon la taille de l'organisation et implique des entretiens avec de nombreuses parties prenantes (direction, RSSI, DSI, équipes opérationnelles, parfois des utilisateurs). L'auditeur vérifie non seulement l'existence des documents mais aussi leur application réelle dans les pratiques quotidiennes. Il teste la cohérence entre ce que disent les documents, ce que disent les personnes interrogées, et ce que montrent les traces et journaux techniques. À l'issue du Stage 2, l'auditeur produit un rapport de constatations. Si des non-conformités majeures sont identifiées, la certification est refusée jusqu'à leur résolution. Si seules des NC mineures ou des observations sont relevées, la certification peut être accordée sous réserve de traitement dans un délai défini (généralement 3 à 6 mois).

Checklist Stage 1 — Questions typiques de l'auditeur

Documentation du SMSI — Questions Stage 1

Question typique Stage 1 Clause ISO 27001 Document attendu Piège fréquent
Montrez-moi la politique de sécurité de l'information approuvée par la direction Clause 5.2 Politique signée par DG, datée, diffusée Politique non mise à jour depuis > 1 an, non signée
Quel est le périmètre exact du SMSI ? Qu'est-ce qui est inclus et exclu ? Clause 4.3 Document de périmètre, justification des exclusions Périmètre trop large ou mal délimité
Présentez-moi votre analyse de risques et votre plan de traitement Clause 6.1.2-6.1.3 Registre des risques, plan de traitement à jour Analyse de risques périmée, non mise à jour après incidents
Montrez-moi votre Déclaration d'Applicabilité (SoA) Clause 6.1.3 SoA couvrant les 93 contrôles Annexe A SoA ne référençant pas les contrôles 2022 (11 nouveaux)
Avez-vous réalisé un audit interne ? Montrez-moi le rapport Clause 9.2 Rapport d'audit interne récent (< 12 mois) Audit interne non réalisé avant Stage 1
Montrez-moi le compte rendu de votre dernière revue de direction Clause 9.3 PV revue de direction avec ordre du jour conforme Revue de direction sans tous les inputs requis
Quelles NC ont été identifiées ? Comment sont-elles suivies ? Clause 10.1 Registre des NC avec statuts et actions correctives NC identifiées sans actions correctives documentées
Comment avez-vous identifié les parties intéressées et leurs exigences ? Clause 4.2 Liste parties prenantes + exigences documentées Parties prenantes réduites aux clients/fournisseurs directs

Checklist Stage 2 — Questions typiques de l'auditeur par profil

Questions pour le RSSI / Responsable SMSI

Question typique Stage 2 Clause / Contrôle Réponse attendue Piège fréquent
Décrivez-moi le dernier incident de sécurité que vous avez géré A.5.24-28 Référencer le registre d'incidents, décrire le processus "Nous n'avons eu aucun incident" — réponse non crédible
Comment gérez-vous les accès des fournisseurs à votre SI ? A.5.19-23 Contrats avec clauses sécurité, accès VPN nominatifs, logs Accès fournisseurs partagés, non tracés, non révoqués
Comment assurez-vous la sensibilisation de l'ensemble du personnel ? A.6.3 Programme de formation annuel, taux de complétion, tests Sensibilisation uniquement à l'onboarding, non renouvelée
Quels KPI utilisez-vous pour mesurer l'efficacité du SMSI ? Clause 9.1, A.5.36 Tableau de bord avec KPI mesurés sur période de suivi KPI définis mais jamais mesurés
Comment gérez-vous les changements affectant le SMSI ? A.8.32, Clause 6.3 Procédure gestion des changements, CAB, revue de sécurité Changements sans évaluation d'impact sécurité

Questions pour la Direction Générale

Question typique Stage 2 Clause Réponse attendue
Quel est votre niveau de connaissance des principaux risques SI de l'organisation ? Clause 5.1, 6.1 Citer les 3-5 risques majeurs identifiés dans l'analyse de risques
Comment vous assurez-vous que la sécurité de l'information est une priorité dans vos décisions ? Clause 5.1 Budget SMSI alloué, participation à la revue de direction, incidents remontés
Quand avez-vous tenu votre dernière revue de direction SMSI ? Clause 9.3 Date précise, présenter le PV, décrire les décisions prises

Guide de préparation à l'audit de certification

  1. Réaliser un pré-audit interne complet 3 mois avant le Stage 1 : l'audit interne est une exigence obligatoire (clause 9.2) ET un excellent outil de préparation. Réalisez-le en utilisant les mêmes questions que celles que posera l'auditeur de certification. Les NC identifiées lors de l'audit interne doivent être traitées avant le Stage 1.
  2. Vérifier l'exhaustivité et la fraîcheur des documents obligatoires : 2 mois avant le Stage 1, compilez la liste de tous les documents obligatoires (politique, SoA, analyse de risques, plan de traitement, rapport d'audit interne, PV revue de direction, registre des NC) et vérifiez qu'ils sont complets, à jour, et signés. Un document daté de plus de 12 mois sans révision sera questionné.
  3. Briefer les personnes qui seront interrogées lors du Stage 2 : l'auditeur interviewera plusieurs personnes en dehors du RSSI — direction, DSI, DRH, responsables métier, utilisateurs. Ces personnes doivent comprendre les principes de base du SMSI, connaître les documents qui les concernent (charte utilisateur, procédure de gestion des incidents), et savoir comment répondre aux questions sur leurs pratiques réelles.
  4. Préparer un cartable documentaire organisé : constituez un classeur (physique ou numérique) avec tous les documents que vous pourriez avoir à présenter lors de l'audit. Organisez-le par clause pour faciliter la navigation lors de l'audit. L'auditeur appréciera une organisation claire — c'est un signe de maturité.
  5. Tester les accès aux preuves techniques : l'auditeur pourra demander à consulter des logs de connexion, des configurations de contrôle d'accès, des rapports de vulnérabilités, des sauvegardes. Vérifiez que ces accès sont disponibles et que les personnes capables de les montrer seront présentes lors de l'audit.
  6. Préparer une liste des exceptions et dérogations : si certains contrôles ne sont pas complètement mis en œuvre, préparez une justification documentée (dérogation formelle, risque résiduel accepté par la direction). Il vaut mieux avoir une dérogation documentée qu'un contrôle déclaré en place mais dont les preuves sont insuffisantes.

Points de vigilance pour l'audit de certification

  1. L'auditeur interroge les collaborateurs en dehors de votre présence : lors du Stage 2, l'auditeur peut demander à interviewer des collaborateurs (techniciens, utilisateurs, responsables métier) sans la présence du RSSI. Ces personnes doivent connaître les pratiques réelles et les documents qui les concernent — pas uniquement ce que le RSSI souhaite qu'ils disent.
  2. Incohérence entre documents et pratiques : l'erreur la plus fréquente en audit est l'incohérence entre les procédures documentées et les pratiques réelles. Si votre procédure de gestion des accès dit "les accès sont révoqués sous 24h lors d'un départ" mais que l'auditeur trouve des comptes actifs de collaborateurs partis depuis 6 mois, c'est une NC majeure.
  3. Documenter les améliorations récentes : si vous avez amélioré le SMSI dans les semaines précédant l'audit pour traiter des NC, documentez ces améliorations avec des dates claires. Un auditeur ne peut pas sanctionner une amélioration récente, mais il peut questionner sa pérennité si elle paraît "cosmétique".
  4. Les NC mineures ne bloquent pas la certification : une ou plusieurs NC mineures lors du Stage 2 ne signifient pas un refus de certification. La certification est accordée avec un plan d'actions correctives à réaliser dans un délai défini. Seules les NC majeures (non-conformité à une exigence obligatoire de la norme) bloquent la certification.

Questions fréquentes

Combien de temps dure une certification ISO 27001 et quels sont les coûts ?

Le processus de certification ISO 27001 comporte trois phases avec des coûts différents. La certification initiale (Stage 1 + Stage 2) représente le coût le plus élevé. Pour une organisation de 50 à 200 personnes, comptez entre 8 000 et 20 000 € HT pour les frais de certification (hors préparation interne). Les surveillances annuelles (années 1 et 2 du cycle de 3 ans) sont moins coûteuses — entre 4 000 et 10 000 € HT. Le renouvellement complet après 3 ans est similaire à la certification initiale. Ces tarifs varient selon l'organisme de certification, la taille du périmètre, et le nombre de sites. En plus des frais de certification, prévoyez les coûts de préparation interne : temps RSSI et équipes (souvent 6 à 18 mois de travail partiel), formation des auditeurs internes, consulting éventuel, et mise en conformité technique. Sur l'ensemble du cycle de 3 ans, le coût total d'une certification ISO 27001 pour une PME est typiquement de 50 000 à 150 000 €, incluant la préparation, la certification, et les surveillances annuelles.

Peut-on passer directement au Stage 2 sans Stage 1 ?

Non, le Stage 1 est une étape obligatoire du processus de certification ISO 27001. Il ne peut pas être sauté ou combiné avec le Stage 2. La norme ISO/IEC 17021 (qui régit les exigences pour les organismes de certification) impose ce processus en deux étapes distinctes. Le Stage 1 a pour objectif de vérifier que le SMSI est suffisamment développé pour justifier un audit de certification complet — cela évite de "gaspiller" le budget d'un Stage 2 complet sur un SMSI qui n'est pas prêt. En pratique, certains organismes de certification peuvent être plus ou moins stricts sur l'intensité du Stage 1 (une demi-journée à distance vs. 2 jours sur site), mais les deux stages sont toujours requis. Entre le Stage 1 et le Stage 2, un délai minimum de 4 semaines est recommandé pour traiter les observations du Stage 1. Ce délai peut être plus long si des NC importantes ont été identifiées au Stage 1.

Qu'est-ce qu'une non-conformité majeure vs mineure lors de l'audit de certification ?

La distinction entre NC majeure et NC mineure est cruciale car elle détermine si la certification est accordée ou refusée. Une non-conformité majeure est le non-respect d'une exigence obligatoire de la norme ISO 27001 (clauses 4 à 10 ou d'un contrôle Annexe A déclaré applicable dans le SoA) d'une manière systémique. Elle indique l'absence d'un processus clé, le manquement à plusieurs contrôles dans un même domaine, ou une situation qui compromet l'efficacité globale du SMSI. Exemples : absence totale de procédure de gestion des incidents, analyse de risques jamais réalisée, pas d'audit interne réalisé. Une NC majeure entraîne le refus de la certification jusqu'à sa résolution démontrée. Une non-conformité mineure est le non-respect partiel ou isolé d'une exigence, un écart ponctuel, ou un processus en place mais insuffisamment démontré par les preuves. Exemples : une procédure documentée mais avec un exemple de non-application, un registre incomplet pour quelques entrées. Une NC mineure n'empêche pas la certification mais doit être traitée dans un délai convenu (généralement 3 à 6 mois) avec vérification par l'organisme de certification. Une observation (ou "opportunité d'amélioration") est un point signalé par l'auditeur comme une bonne pratique à renforcer, sans exigence formelle de traitement. Elle ne bloque pas la certification.

Comment se prépare-t-on à la surveillance annuelle ?

Les audits de surveillance (années 1 et 2 du cycle de certification) sont moins intenses que l'audit initial mais ne doivent pas être négligés. L'auditeur vérifie que le SMSI continue de fonctionner et s'améliore. Pour préparer efficacement une surveillance annuelle : assurez-vous que l'audit interne annuel a été réalisé et son rapport est disponible, vérifiez que la revue de direction annuelle a eu lieu avec un PV complet, compilez les indicateurs de performance du SMSI sur l'année (KPI, incidents, NC traitées), préparez la liste des changements significatifs intervenus dans l'organisation ou le SI et documentez comment le SMSI s'est adapté, et vérifiez que les NC identifiées lors de la certification initiale ou de la dernière surveillance ont été traitées et clôturées. Une surveillance bien préparée devrait ne prendre qu'une journée et confirmer le maintien de la certification sans NC majeure.

À retenir — Audit de certification ISO 27001

  • Le Stage 1 vérifie la documentation et la maturité globale du SMSI — préparez tous les documents obligatoires 2 mois avant
  • Le Stage 2 vérifie l'efficacité opérationnelle réelle — briefez toutes les personnes qui seront interrogées
  • L'audit interne (clause 9.2) doit être réalisé AVANT le Stage 1 — c'est une exigence obligatoire
  • Les NC mineures ne bloquent pas la certification — seules les NC majeures entraînent un refus
  • La cohérence documents/pratiques est la clé — un document parfait avec des pratiques contraires = NC majeure
  • Auteur : Ayi NEDJIMI, consultant cybersécurité — accompagnement ISO 27001

Pour aller plus loin