Obtenir la certification ISO 27001 est un projet structurant qui mobilise l ensemble de l organisation pendant 9 à 14 mois. Sans feuille de route claire, les retards s accumulent, les budgets dérapent et la motivation des équipes s érode. Ce guide expert présente un plan de route en 12 étapes éprouvé lors de dizaines d accompagnements, de la décision initiale de la direction à l obtention du certificat. Chaque étape est détaillée avec les livrables attendus, les pièges à éviter et les ressources nécessaires. Que vous soyez RSSI, DSI ou consultant, cette feuille de route vous permettra de piloter votre projet de certification ISO 27001 avec rigueur et efficacité, en maintenant l engagement de toutes les parties prenantes.
En bref
- La certification ISO 27001 prend en moyenne 9 à 14 mois
- Le budget typique pour une PME est de 30 000 à 80 000 euros (hors audit externe)
- 12 étapes clés, de l engagement de la direction à l audit de certification
- Les principales causes d échec : manque de sponsorship, périmètre trop large, sous-estimation des ressources
Vue d ensemble : les 12 étapes de la certification
| Étape | Phase | Activité | Durée | Livrable clé |
|---|---|---|---|---|
| 1 | Lancement | Engagement de la direction | 2 sem. | Lettre d engagement signée |
| 2 | Lancement | Nomination du responsable SMSI | 1 sem. | Fiche de poste, mandat |
| 3 | Cadrage | Définition du périmètre | 2-3 sem. | Document de périmètre |
| 4 | Cadrage | Analyse de l existant (gap analysis) | 3-4 sem. | Rapport d écart, scoring |
| 5 | Construction | Rédaction de la PSSI et politiques | 4-6 sem. | PSSI, politiques dérivées |
| 6 | Construction | Analyse de risques | 4-8 sem. | Registre des risques, PTR |
| 7 | Construction | Déclaration d applicabilité (SOA) | 2 sem. | SOA validée par la direction |
| 8 | Mise en oeuvre | Implémentation des contrôles | 8-16 sem. | Preuves de mise en oeuvre |
| 9 | Mise en oeuvre | Formation et sensibilisation | 2-4 sem. | Plan de formation, attestations |
| 10 | Vérification | Audit interne | 2-3 sem. | Rapport d audit interne |
| 11 | Vérification | Revue de direction | 1 sem. | PV de revue, décisions |
| 12 | Certification | Audit de certification (étapes 1 et 2) | 2-3 sem. | Certificat ISO 27001 |
Étape 1 : Obtenir l engagement formel de la direction
La clause 5.1 de l ISO 27001 exige un engagement démontrable de la direction. Sans ce sponsorship, le projet échouera inévitablement. En pratique, cette étape consiste à :
- Présenter un business case avec le ROI de la certification (avantage commercial, conformité réglementaire, réduction des risques)
- Définir le budget prévisionnel et les ressources humaines nécessaires
- Obtenir une lettre d engagement signée par le DG ou le président
- Nommer un sponsor exécutif au niveau Comex
Conseil terrain
Pour convaincre la direction, présentez la certification ISO 27001 comme un avantage concurrentiel mesurable : réduction des primes de cyber-assurance (15-25%), accès à des marchés publics et grands comptes, conformité anticipée à NIS 2 et DORA. Chiffrez le coût de la non-certification en termes d opportunités perdues.
Étape 2 : Nommer le responsable du SMSI
Le responsable du SMSI (souvent le RSSI) pilote le projet au quotidien. Son mandat doit être formalisé avec :
- L autorité nécessaire pour mobiliser les métiers et la DSI
- Un accès direct au sponsor exécutif
- Un budget dédié et des objectifs mesurables
- Du temps alloué (50 à 100% selon la taille de l organisme)
Étape 3 : Définir le périmètre du SMSI
La définition du périmètre (clause 4.3) est l étape la plus stratégique. Un périmètre bien calibré est la clé de la réussite :
- Périmètre restreint initial : commencez par une BU, un site ou un périmètre applicatif limité pour obtenir une première certification rapide
- Extension progressive : élargissez le périmètre lors des cycles de surveillance
- Documentez les exclusions : chaque exclusion doit être justifiée et ne pas compromettre la sécurité des actifs inclus
Piège fréquent
Ne cherchez pas à certifier l ensemble du SI dès le premier cycle. Un périmètre trop ambitieux (toute l entreprise, tous les sites, tous les processus) allonge le projet de 6 à 12 mois, multiplie les coûts par 2 à 3, et épuise les équipes. Commencez petit, réussissez, puis étendez.
Étape 4 : Gap analysis (analyse d écart)
Le gap analysis compare l état actuel de votre sécurité aux exigences de l ISO 27001. Ce diagnostic initial permet de :
- Identifier les points forts sur lesquels capitaliser
- Lister les écarts à combler avec un effort estimé
- Établir un planning réaliste pour la mise en conformité
- Affiner le budget du projet
Utilisez notre checklist des 93 contrôles de l Annexe A comme grille d évaluation pour le gap analysis.
Étape 5 : Rédiger le socle documentaire
Le socle documentaire constitue l épine dorsale du SMSI. Les documents obligatoires sont :
- PSSI : politique de sécurité de l information (clause 5.2)
- Politique de gestion des risques : méthodologie et critères (clause 6.1)
- Déclaration d applicabilité (SOA) : contrôles retenus et justifications
- Plan de traitement des risques : actions, responsables, échéances
- Charte informatique : utilisation acceptable des ressources
- Procédures opérationnelles : incidents, accès, changements, continuité
Étape 6 : Conduire l analyse de risques
L analyse de risques est le coeur du SMSI. Elle détermine quels contrôles de l Annexe A seront retenus dans la SOA. Suivez la méthodologie ISO 27005 ou EBIOS RM selon votre contexte.
Points clés pour une analyse de risques réussie :
- Impliquer les métiers dans l évaluation des impacts business
- Ne pas se limiter aux risques techniques : inclure les risques organisationnels et humains
- Faire valider les critères par la direction avant de commencer
- Documenter le risque résiduel après application des contrôles
Étapes 7-9 : SOA, implémentation et sensibilisation
La Déclaration d Applicabilité (SOA) est le document pivot qui lie l analyse de risques aux contrôles implémentés. Elle doit :
- Lister les 93 contrôles avec le statut : applicable/non applicable
- Justifier chaque exclusion
- Indiquer l état d implémentation : implémenté, en cours, planifié
- Être validée et signée par la direction
L implémentation des contrôles (étape 8) est la phase la plus longue. Priorisez les contrôles en fonction du niveau de risque et de l effort de mise en oeuvre.
Étapes 10-12 : Audit interne, revue et certification
Avant de passer l audit de certification, deux étapes préparatoires sont obligatoires :
- Audit interne (clause 9.2) : réalisé par un auditeur indépendant du périmètre. Identifie les non-conformités résiduelles avant l audit externe
- Revue de direction (clause 9.3) : présentation des résultats du SMSI à la direction avec décisions formalisées dans un PV
L audit de certification se déroule en deux étapes :
| Étape | Objet | Durée | Résultat |
|---|---|---|---|
| Étape 1 | Revue documentaire (PSSI, SOA, analyse de risques) | 1-2 jours | Avis favorable pour passer à l étape 2 |
| Étape 2 | Audit sur site, entretiens, vérification des preuves | 3-8 jours | Certification ou non-conformités à corriger |
À retenir
La certification ISO 27001 n est pas une fin en soi mais le début d un cycle d amélioration continue. Après la certification, des audits de surveillance annuels vérifient le maintien de la conformité, et un audit de renouvellement a lieu tous les 3 ans. Planifiez dès le départ les ressources pour le maintien du SMSI.
Budget et ressources nécessaires
| Poste | PME (50-200) | ETI (200-1000) | Grand groupe |
|---|---|---|---|
| Accompagnement consultant | 20-40 K€ | 40-80 K€ | 80-200 K€ |
| Outils et technologies | 5-15 K€ | 15-50 K€ | 50-200 K€ |
| Ressources internes (ETP) | 0.5-1 ETP | 1-2 ETP | 2-5 ETP |
| Audit de certification | 8-15 K€ | 15-30 K€ | 30-80 K€ |
| Total estimé | 33-70 K€ | 70-160 K€ | 160-480 K€ |
Ressources complémentaires
- ISO 27001:2022 — Guide complet de certification
- SMSI ISO 27001 — Guide d implémentation
- ISO 27001:2022 vs 2013 — Différences clés
- ISO/IEC 27001:2022 — Norme officielle
- ANSSI — Prestataires PASSI qualifiés
- Modèle IA ISO 27001 Expert
Faites-vous accompagner vers la certification
De la gap analysis à la certification — Audit technique et pentests inclus — 100% de réussite
Demander un devis gratuitFAQ — Certification ISO 27001
Combien de temps faut-il pour obtenir la certification ISO 27001 ?
En moyenne 9 à 14 mois pour une PME, 12 à 18 mois pour une ETI. Ce délai dépend de la maturité initiale en sécurité, du périmètre choisi et des ressources allouées. Un organisme déjà conforme à NIS 2 ou disposant d un RSSI expérimenté peut raccourcir à 6-9 mois.
Faut-il un consultant externe pour la certification ?
Ce n est pas obligatoire mais fortement recommandé, surtout pour une première certification. Un consultant apporte l expertise méthodologique, les modèles documentaires et le retour d expérience des audits. Le ROI est significatif : gain de temps, évitement des erreurs coûteuses et meilleur taux de réussite.
La certification ISO 27001 est-elle valable combien de temps ?
Le certificat est valable 3 ans, sous réserve de réussir les audits de surveillance annuels. Au bout de 3 ans, un audit de renouvellement complet est nécessaire. La certification est délivrée par un organisme accrédité (COFRAC en France, UKAS au Royaume-Uni).
Article recommandé
Pour comprendre les enjeux de la SOA dans votre parcours de certification, consultez notre guide SOA ISO 27001 : Statement of Applicability Guide Complet.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire