Gap Analysis ISO 27001:2022 : Outil Excel Automatisé [93 Contrôles]

Erreurs courantes lors du gap analysis ISO 27001:2022

Réaliser un gap analysis est une étape structurante pour tout projet SMSI, mais plusieurs pièges récurrents peuvent fausser les résultats et compromettre la suite de la démarche. Connaître ces erreurs permet d'y remédier dès la phase d'analyse.

1. Surestimer la maturité par biais de conformité : La tentation est forte de noter les contrôles en fonction de ce qui "devrait exister" plutôt que de ce qui est effectivement en place et opérationnel. Un RSSI peut coter un contrôle à 3/5 parce qu'une politique a été rédigée, en oubliant qu'elle n'a jamais été communiquée aux collaborateurs ni testée. La règle d'or du gap analysis : ne noter que ce qui est prouvable par des preuves d'audit concrètes — documents datés, logs système, résultats de tests, comptes rendus d'interviews avec les propriétaires de processus.

2. Négliger la Déclaration d'Applicabilité (SoA) : Les 93 contrôles de l'Annexe A ne sont pas tous obligatoires — certains peuvent être exclus si les risques associés ne sont pas pertinents pour l'organisation. Ne pas formaliser cette exclusion dans la SoA constitue un écart majeur lors de l'audit de certification. Le gap analysis doit impérativement inclure une revue de l'applicabilité de chaque contrôle, avec une justification documentée pour chaque exclusion.

3. Oublier les 11 nouveaux contrôles 2022 : Les organisations en transition ISO 27001:2013 → 2022 se concentrent souvent sur leurs contrôles existants et passent à côté des 11 nouveaux contrôles introduits en 2022, notamment A.8.28 (Secure coding) et A.5.23 (Sécurité des services cloud). Ces contrôles représentent souvent des écarts significatifs et doivent faire l'objet d'une évaluation spécifique dans le gap analysis.

4. Traiter le gap analysis comme un exercice ponctuel : Le gap analysis n'est pas un document figé — il doit être mis à jour au moins annuellement, après chaque audit de surveillance, et après tout changement organisationnel ou technologique significatif. Une analyse vieille de deux ans n'a plus de valeur opérationnelle pour piloter l'amélioration continue du SMSI. Prévoir dès le départ une révision planifiée dans le calendrier du SMSI.

Ressources complémentaires pour la conduite du gap analysis ISO 27001:2022

Pour mener un gap analysis ISO 27001:2022 de qualité, plusieurs ressources officielles et communautaires complètent l'utilisation du template Excel. Les guides d'implémentation publiés par les organismes de certification accrédités (LRQA, Bureau Veritas, SGS) fournissent des interprétations pratiques des exigences de la norme, utiles pour calibrer correctement les scores de maturité. La plateforme ISMS.online et les forums ISO 27001 User Group offrent des benchmarks sectoriels sur les niveaux de maturité typiques par taille d'organisation et par secteur d'activité, permettant de contextualiser les résultats du gap analysis et de définir des objectifs de progression réalistes pour le plan de mise en conformité.

Le gap analysis ISO 27001:2022 (analyse d'écarts) est l'état des lieux préalable à toute démarche de certification ou de mise en conformité au SMSI. Il évalue le niveau de maturité actuel de votre organisation au regard des exigences de la norme ISO/IEC 27001:2022 — les 7 clauses obligatoires (chapitres 4 à 10) et les 93 contrôles de l'Annexe A — et identifie les écarts (gaps) à combler avant de pouvoir prétendre à la certification. Cet outil Excel, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, automatise cette analyse : chaque exigence est notée selon un score de maturité de 0 à 5 (de "inexistant" à "optimisé"), les scores sont agrégés par clause et par thème, et un radar de synthèse visuel identifie immédiatement les domaines les plus lacunaires. Le gap analysis est la première étape de tout projet ISO 27001 — il permet d'estimer le chemin restant avant la certification, de prioriser les actions d'amélioration, et de construire un plan de mise en conformité réaliste. Il est également utilisé lors des cycles de renouvellement de certification pour mesurer la progression du SMSI et identifier les domaines qui se sont dégradés. La version 2022 de la norme introduit des changements significatifs par rapport à la version 2013 (11 nouveaux contrôles, restructuration de l'Annexe A), ce qui rend cet outil particulièrement utile pour les organisations en transition ISO 27001:2013 → 2022. Le gap analysis s'articule avec la checklist d'audit de certification et l'analyse de risques pour former le socle analytique du projet SMSI.

Contexte réglementaire et normatif

ISO/IEC 27001:2022 — La norme de référence

La norme ISO/IEC 27001:2022 (publiée en octobre 2022) est la version actuelle de la norme internationale de référence pour les systèmes de management de la sécurité de l'information. Elle succède à la version 2013 avec une mise à jour majeure de l'Annexe A : passage de 114 à 93 contrôles, réorganisation en 4 thèmes (Organisationnels, Personnes, Physiques, Technologiques), fusion de certains contrôles, et ajout de 11 nouveaux contrôles reflétant les enjeux actuels (cloud, threat intelligence, DLP, sécurisation du code). La date limite de transition pour les organisations certifiées ISO 27001:2013 était octobre 2025 pour la plupart des schémas de certification accrédités.

Structure de la norme ISO 27001:2022

La norme est organisée selon la structure de haut niveau HLS (High Level Structure) commune à toutes les normes de management ISO. Elle comprend 10 clauses : les clauses 1 à 3 (contexte, termes) ne contiennent pas d'exigences à auditer, les clauses 4 à 10 sont les exigences obligatoires du SMSI (contexte, leadership, planification, support, opérations, évaluation des performances, amélioration), et l'Annexe A liste les 93 contrôles de sécurité qui constituent les mesures disponibles pour traiter les risques. Toutes les exigences des clauses 4 à 10 sont obligatoires. Les contrôles de l'Annexe A ne sont obligatoires que s'ils sont applicables selon la Déclaration d'Applicabilité (SoA).

Les 11 nouveaux contrôles ISO 27001:2022

Parmi les 93 contrôles de l'Annexe A d'ISO 27001:2022, 11 sont nouveaux par rapport à la version 2013 : A.5.7 (Threat intelligence), A.5.23 (Sécurité des services cloud), A.5.30 (ICT readiness for business continuity), A.7.4 (Physical security monitoring), A.8.9 (Configuration management), A.8.10 (Information deletion), A.8.11 (Data masking), A.8.12 (Data leakage prevention), A.8.16 (Monitoring activities), A.8.23 (Web filtering), A.8.28 (Secure coding). Ces 11 contrôles doivent faire l'objet d'une évaluation spécifique dans le gap analysis pour les organisations en transition.

Structure détaillée du template Excel Gap Analysis

Onglet 1 — Instructions et mode d'emploi

Guide d'utilisation du template : définition des niveaux de maturité (0 à 5), méthode de cotation recommandée (entretiens, revue documentaire, tests techniques), profil des participants à l'atelier de gap analysis, et interprétation des scores. Cet onglet doit être lu avant de démarrer l'analyse.

Onglet 2 — Gap analysis clauses obligatoires (4 à 10)

Pour chacune des 7 clauses obligatoires, liste des exigences détaillées avec : texte de l'exigence normative, niveau de maturité actuel (0-5), commentaire justificatif, documents existants qui prouvent la mise en œuvre, et priorité d'amélioration (Critique/Haute/Moyenne/Basse). Score de maturité automatiquement calculé par clause avec code couleur (Rouge < 2, Orange 2-3, Jaune 3-4, Vert > 4).

Onglet 3 — Gap analysis Annexe A (93 contrôles)

Pour chacun des 93 contrôles de l'Annexe A, organisés par thème : applicabilité (Applicable / Non applicable / Partiellement applicable selon SoA), niveau de maturité actuel (0-5), commentaire, documents existants, gap identifié (description de l'écart), et priorité d'amélioration. Score de maturité automatiquement calculé par thème et au global.

Onglet 4 — Radar et tableau de bord

Dashboard visuel de synthèse : graphique radar avec le score de maturité par clause (clauses 4-10) et par thème Annexe A, score global de maturité, nombre d'exigences par niveau de maturité, top 10 des gaps prioritaires à combler, et estimation de l'effort de mise en conformité (Faible/Moyen/Élevé) par domaine.

Onglet 5 — Plan de mise en conformité

Généré automatiquement à partir des gaps identifiés : liste des actions de mise en conformité priorisées, responsable pour chaque action, délai de réalisation estimé, effort estimé (jours-homme), ressources nécessaires, et indicateur de clôture. Cet onglet est le point de départ du plan projet ISO 27001.

Niveaux de maturité du gap analysis

Guide d'utilisation étape par étape

1. Constituer l'équipe de gap analysis : le gap analysis doit être réalisé par une équipe pluridisciplinaire — RSSI (coordinateur), DSI (contrôles techniques), DRH (contrôles RH et formation), juriste (aspects légaux/RGPD), et si possible un consultant ISO 27001 externe pour l'objectivité. Une seule personne ne peut pas avoir la vision complète du SMSI nécessaire pour coter tous les contrôles honnêtement.
2. Préparer les preuves documentaires avant l'atelier : avant de commencer l'évaluation, rassemblez tous les documents existants relatifs à la sécurité de l'information (politiques, procédures, registres, rapports d'audit, contrats fournisseurs, formations, etc.). Ces preuves permettront de coter les contrôles avec plus de précision et moins de biais subjectif.
3. Coter les clauses obligatoires (4 à 10) en priorité : les clauses obligatoires sont non-négociables pour la certification. Commencez par évaluer le niveau de maturité pour chacune des exigences des clauses 4 à 10. Un score inférieur à 3 sur une exigence des clauses obligatoires est une NC potentielle lors de l'audit de certification.
4. Évaluer l'Annexe A par thème : pour chaque contrôle de l'Annexe A, commencez par déterminer son applicabilité dans votre contexte (ce qui alimentera votre SoA). Pour les contrôles applicables, évaluez le niveau de maturité actuel. Pour les contrôles non applicables, documentez la justification d'exclusion (qui sera reprise dans le SoA).
5. Prioriser les gaps identifiés : tous les gaps ne sont pas égaux. Priorisez en fonction de l'impact potentiel sur la sécurité (risque résiduel élevé = priorité haute), du délai de mise en conformité (certaines actions prennent plusieurs mois), et du coût de mise en conformité. Utilisez la matrice risque × complexité pour prioriser.
6. Construire le plan de mise en conformité : à partir des gaps identifiés, construisez un plan de mise en conformité avec des jalons réalistes. Estimez le délai total jusqu'à la certification en tenant compte des dépendances entre actions (ex. : la politique de sécurité doit être finalisée avant la sensibilisation des utilisateurs).
7. Valider le gap analysis avec la direction : présentez les résultats du gap analysis à la direction et obtenez leur validation des scores et du plan de mise en conformité. Le soutien de la direction est une condition sine qua non de succès d'un projet ISO 27001 — ce moment de présentation est l'occasion d'obtenir leur engagement.
8. Renouveler le gap analysis annuellement : le gap analysis n'est pas un exercice one-shot. Réalisez-le annuellement (ou avant chaque audit interne) pour mesurer la progression du SMSI et identifier les domaines qui se sont dégradés. La comparaison year-on-year est l'un des indicateurs de performance du SMSI les plus pertinents pour la revue de direction.

Tableau des contrôles — Checklist gap analysis ISO 27001:2022

Points de vigilance pour l'audit de certification

1. Gap analysis trop optimiste : surestimer les niveaux de maturité lors du gap analysis conduit à une surprise désagréable lors de l'audit de certification. Remédiation : faites valider les cotations par un consultant externe qui apportera un regard objectif — l'auto-évaluation tend systématiquement à surestimer la maturité.
2. Absence de preuves documentaires : un score de maturité élevé sans documents de preuve n'a aucune valeur lors d'un audit. L'auditeur de certification demande des preuves concrètes : politiques signées, registres tenus à jour, formations documentées, rapports d'audit. Remédiation : pour chaque contrôle coté ≥ 3, identifiez et référencez les preuves correspondantes dans le gap analysis.
3. Négliger les 11 nouveaux contrôles 2022 : pour les organisations en transition de la version 2013, les 11 nouveaux contrôles sont souvent absents ou en niveau 0-1. Remédiation : réservez une attention particulière à ces contrôles dans votre gap analysis et votre plan de mise en conformité.
4. Confondre gap analysis et audit interne : le gap analysis est une auto-évaluation préliminaire, pas un audit interne formel. Il n'est pas une preuve de conformité suffisante pour l'audit de certification. Remédiation : après avoir comblé les gaps, réalisez un audit interne formel (clause 9.2) pour vérifier l'efficacité de la mise en conformité avant l'audit de certification.

Questions fréquentes

Combien de temps prend un gap analysis ISO 27001 complet ?

Un gap analysis complet ISO 27001:2022 prend généralement entre 2 et 5 jours-expert selon la taille et la complexité de l'organisation. Pour une PME de 50 à 200 personnes avec un périmètre SMSI limité, comptez 2 à 3 jours : 0,5 jour de préparation et collecte documentaire, 1 à 1,5 jour d'ateliers avec les parties prenantes clés (RSSI, DSI, DRH, direction), et 0,5 à 1 jour de rédaction du rapport et du plan de mise en conformité. Pour une organisation de taille intermédiaire (500 à 2 000 personnes, périmètre SMSI étendu), comptez 4 à 5 jours. Pour un grand groupe avec des filiales dans le périmètre, le gap analysis peut prendre 2 à 3 semaines. Notre template Excel permet de réaliser un premier gap analysis préliminaire en auto-évaluation en environ 2 heures — ce premier résultat vous donnera une vision rapide des domaines prioritaires, mais il devra être complété et validé par des ateliers avec les parties prenantes.

Quelle est la différence entre le gap analysis et la Déclaration d'Applicabilité (SoA) ?

Le gap analysis et la SoA (Statement of Applicability) sont deux documents complémentaires mais distincts. Le gap analysis évalue le niveau de maturité actuel de l'organisation pour chaque exigence de la norme — c'est un outil de diagnostic et de priorisation. La SoA est un document formel requis par ISO 27001 (clause 6.1.3) qui liste les 93 contrôles de l'Annexe A, indique pour chacun s'il est applicable ou non au SMSI, justifie les exclusions, et décrit comment les contrôles applicables sont mis en œuvre. En pratique, le gap analysis alimente la SoA : les contrôles identifiés comme non applicables dans le gap analysis sont documentés comme exclus dans la SoA avec leur justification. Le gap analysis vous aide également à prioriser les contrôles à implémenter en premier, ce qui oriente la rédaction de la SoA. La SoA est un document contractuel présenté lors de l'audit de certification — l'auditeur la compare avec les preuves de mise en œuvre des contrôles déclarés applicables.

Comment interpréter le score global du gap analysis ?

Le score global de maturité doit être interprété avec précaution car il masque des disparités importantes entre domaines. Un score global de 3/5 avec des écarts allant de 0 à 5 est plus préoccupant qu'un score global de 2,5/5 très homogène. Les points importants à analyser sont les minima plutôt que les moyennes : un domaine à 0 ou 1 sur une clause obligatoire est une NC certaine lors de l'audit. Voici une grille d'interprétation indicative. Score global < 1,5 : organisation au stade initial, certification à 18-24 mois minimum. Score global 1,5 à 2,5 : organisation en développement, certification à 12-18 mois avec un programme d'actions structuré. Score global 2,5 à 3,5 : organisation proche de la certification, 6-12 mois avec un focus sur les gaps résiduels. Score global > 3,5 : SMSI mature, certification à 3-6 mois, focus sur la démonstration des preuves et l'audit interne. Ces délais supposent que les ressources et le budget nécessaires sont mobilisés.

Faut-il refaire un gap analysis après la certification initiale ?

Oui, absolument. Le gap analysis n'est pas un exercice one-shot pour la certification initiale — il doit être renouvelé régulièrement dans la vie du SMSI. Après la certification initiale, le gap analysis sert à mesurer la progression du SMSI et à identifier les domaines qui se sont dégradés ou qui restent lacunaires malgré la certification. Un SMSI certifié ISO 27001 peut avoir été certifié avec des domaines à maturité 3 (niveau minimum) qui méritent d'être renforcés pour atteindre une maturité 4 ou 5. Le cycle de renouvellement de certification (3 ans) est l'occasion de définir des objectifs de progression par domaine. Idéalement, réalisez un gap analysis : annuellement (en préparation de l'audit interne et de la revue de direction), lors d'une évolution majeure du périmètre (nouveau SI critique, acquisition, réorganisation), et lors de la publication d'une nouvelle version de la norme (pour identifier les impacts de la mise à jour normative). Le gap analysis annuel permet également de préparer le bilan pour la revue de direction (clause 9.3) avec des données mesurables sur la progression de la maturité.

Pour aller plus loin

• Checklist audit de certification ISO 27001 Stage 1 + Stage 2
• Plan d'audit interne ISO 27001 — Template Excel 12 mois
• Rapport d'audit interne ISO 27001 — Modèle Word préformaté
• Tableau de bord KPI SMSI ISO 27001/27004 — Excel
• Notre service d'accompagnement ISO 27001 complet