Sans classification, impossible de protéger ce qui doit l'être. Ce modèle Word définit 4 niveaux (Public, Interne, Confidentiel, Restreint) avec règles.
TL;DR — En résumé
Template Word gratuit pour ISO 27001:2022. Sans classification, impossible de protéger ce qui doit l'être. Ce modèle Word définit 4 niveaux (Pu
🗂️ Template gratuit · Word
Sans classification, impossible de protéger ce qui doit l'être. Ce modèle Word définit 4 niveaux (Public, Interne, Confidentiel, Restreint) avec règles précises de marquage, stockage, transmission et destruction par niveau — conforme A.5.12 ISO 27001:2022.
La politique de classification de l'information est l'un des documents les plus structurants du Système de Management de la Sécurité de l'Information (SMSI). Sans elle, il est impossible de répondre à la question fondamentale de toute démarche sécurité : comment protéger ce qu'on ne sait pas identifier ? Le contrôle A.5.12 — Classification de l'information de la norme ISO/IEC 27001:2022 impose à toute organisation de définir et d'appliquer une politique de classification de l'information basée sur les besoins en matière de confidentialité, d'intégrité et de disponibilité, tout en tenant compte des exigences légales, réglementaires et contractuelles applicables. Ce modèle Word, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, définit 4 niveaux de classification (Public, Interne, Confidentiel, Restreint/Secret) avec des règles précises de marquage, de stockage, de transmission, de partage et de destruction pour chaque niveau. Cette politique est le document de référence qui permet à chaque collaborateur de savoir comment traiter un document selon sa sensibilité, à chaque propriétaire d'actif de définir la classification appropriée pour ses données, et aux auditeurs de vérifier la cohérence entre les niveaux déclarés et les mesures de protection appliquées. Elle est directement liée au contrôle A.5.9 (inventaire des actifs), A.5.13 (marquage de l'information), A.5.14 (transfert de l'information), et A.8.10 (effacement de l'information). La classification de l'information n'est pas un exercice théorique : c'est le mécanisme qui permet d'allouer les ressources de sécurité proportionnellement à la valeur et à la sensibilité des actifs — un principe d'efficacité économique autant qu'une exigence normative. Cette politique concerne toutes les organisations, quelle que soit leur taille, leur secteur ou leur niveau de maturité SMSI, et elle doit être comprise et appliquée par l'ensemble des collaborateurs, pas seulement par les équipes informatiques.
Contexte réglementaire et normatif
La classification de l'information est exigée par de multiples référentiels qui se renforcent mutuellement :
ISO/IEC 27001:2022 — Contrôles A.5.12 à A.5.14
Le contrôle A.5.12 impose de classifier l'information selon des catégories définies en tenant compte des besoins légaux, valeur, criticité et sensibilité à une divulgation ou modification non autorisée. Le contrôle A.5.13 (Marquage de l'information) impose d'appliquer des procédures de marquage conformes à la politique de classification. Le contrôle A.5.14 (Transfert de l'information) impose des règles formelles de protection des informations selon leur classification lors de tout transfert (email, clé USB, cloud, impression, verbal). Ces trois contrôles forment un ensemble indissociable : classifier sans marquer est inutile ; marquer sans règles de transfert est incomplet. En audit de certification Stage 2, les auditeurs vérifient l'application concrète de la politique — pas seulement son existence.
RGPD — Principe de minimisation et protection par défaut
Le RGPD impose une protection renforcée des données personnelles proportionnelle au risque pour les droits et libertés des personnes. La classification ISO 27001 doit intégrer la dimension données personnelles : les données personnelles ordinaires appartiennent au moins au niveau "Confidentiel", et les catégories particulières de données (santé, opinions politiques, orientation sexuelle, etc.) doivent être classifiées au niveau le plus élevé ("Restreint"). La cohérence entre la politique de classification ISO 27001 et le registre des activités de traitement RGPD est vérifiée lors des audits ISO 27001 depuis que l'ANSSI et les certificateurs ont intégré la conformité RGPD dans leurs grilles d'évaluation.
Directive NIS 2 et classification des actifs critiques
Pour les entités soumises à NIS 2, la classification de l'information est particulièrement importante pour les informations liées aux systèmes d'information d'importance vitale (SIIV) et aux systèmes essentiels. Les informations sur les architectures réseau, les procédures de continuité, les incidents de sécurité, et les vulnérabilités identifiées doivent être classifiées au niveau le plus élevé et faire l'objet de mesures de protection strictes. Consultez notre guide sur la conformité NIS 2 pour le contexte réglementaire complet.
Référentiels sectoriels
Certains secteurs imposent des classifications spécifiques supplémentaires : le secteur de la défense utilise la classification "Diffusion Restreinte" réglementée par l'instruction générale interministérielle IGI 1300 ; le secteur de la santé impose une protection particulière des données de santé (Hébergeur de Données de Santé - HDS) ; le secteur bancaire est soumis aux exigences DORA (Règlement sur la résilience opérationnelle numérique) ; et les organisations traitant des informations classifiées gouvernementales doivent respecter les règles de sécurité des systèmes d'information (RGS).
Structure détaillée de la politique de classification
Chapitre 1 — Définitions et niveaux de classification
Ce chapitre définit les 4 niveaux de classification avec des critères clairs et des exemples :
Niveau 1 — PUBLIC : information destinée à être partagée librement avec le public. Impact négligeable si divulguée, modifiée ou détruite. Exemples : plaquettes commerciales, communiqués de presse, offres d'emploi publiées, contenu site web public.
Niveau 2 — INTERNE : information destinée à être partagée à l'intérieur de l'organisation. Impact limité et gérable si divulguée à l'externe. Exemples : procédures internes de travail, notes de service, organigrammes, plans de formation, budgets prévisionnels non confidentiels.
Niveau 3 — CONFIDENTIEL : information dont la divulgation pourrait nuire à l'organisation ou aux personnes. Impact significatif si compromise. Exemples : données personnelles des collaborateurs, données clients, contrats commerciaux, résultats financiers avant publication, plans stratégiques, données de santé.
Niveau 4 — RESTREINT / SECRET : information dont la divulgation pourrait causer un préjudice grave à l'organisation ou aux personnes concernées. Impact critique si compromise. Exemples : données d'authentification et secrets cryptographiques, données personnelles sensibles (santé, convictions), informations classifiées, données de R&D critiques, plans de continuité et de sécurité, informations sur les incidents en cours.
Chapitre 2 — Responsabilités
Ce chapitre définit qui est responsable de la classification : le propriétaire de l'actif est responsable de la classification initiale et de sa révision ; le créateur/auteur est responsable d'appliquer la classification appropriée lors de la création d'un document ; le RSSI est responsable de la politique de classification et de son application ; les utilisateurs sont responsables de respecter les règles de traitement correspondant à la classification de chaque information traitée.
Chapitre 3 — Règles de marquage
Ce chapitre définit les modalités de marquage pour chaque niveau et chaque type de support : documents numériques (mention dans l'en-tête, le pied de page, et les métadonnées), documents imprimés (mention visible en première page), emails (mention dans l'objet et le corps), présentations (mention sur chaque diapositive), et données structurées (champ "classification" dans les bases de données).
Chapitre 4 — Règles de traitement par niveau
Pour chaque niveau de classification, ce chapitre définit des règles précises dans les domaines suivants :
- Stockage : où l'information peut-elle être stockée ? (GED, partage réseau, cloud autorisé, coffre-fort physique)
- Transmission électronique : peut-on envoyer par email ? Chiffrement requis ? Messagerie sécurisée obligatoire ?
- Impression : l'impression est-elle autorisée ? Qui peut imprimer ? Où stocker les impressions ?
- Partage externe : peut-on partager avec des tiers ? Conditions requises ? Accord de confidentialité (NDA) requis ?
- Téléchargement et supports amovibles : peut-on copier sur clé USB ? Chiffrement requis ?
- Destruction : comment détruire de façon sécurisée ? (corbeille normale, déchiqueteuse, effacement certifié)
Chapitre 5 — Processus de classification et de révision
Ce chapitre décrit comment classifier un nouveau document, comment réviser la classification d'un document existant (déclassification ou reclassification), et à quelle fréquence réviser les classifications (annuellement ou lors d'événements déclencheurs : changement de réglementation, incident, changement de périmètre métier).
Guide d'utilisation étape par étape
- Personnaliser les niveaux de classification : adaptez les noms des niveaux à votre culture d'entreprise si nécessaire (certaines organisations préfèrent "Strictement confidentiel" à "Restreint"). L'essentiel est la cohérence interne et l'alignement avec les référentiels applicables.
- Compléter les exemples par secteur et métier : la politique est beaucoup plus utile si les exemples sont contextualisés à votre activité. Une ESN n'aura pas les mêmes exemples qu'un cabinet de santé ou une collectivité territoriale. Impliquez chaque direction pour identifier ses données les plus sensibles.
- Aligner avec l'inventaire des actifs : les niveaux CIA de l'inventaire des actifs doivent être cohérents avec les niveaux de classification de cette politique. La confidentialité de niveau 4 dans l'inventaire correspond au niveau "Restreint" de la politique de classification.
- Former les collaborateurs : une politique de classification qui n'est pas comprise des utilisateurs est inapplicable. Organisez des formations courtes (20-30 minutes) pour expliquer les 4 niveaux avec des exemples concrets du quotidien, et les règles de traitement les plus importantes (comment envoyer un document confidentiel par email, comment détruire une impression sensible).
- Implémenter le marquage technique : configurez vos outils (Microsoft 365 avec Purview, Google Workspace avec DLP) pour permettre le marquage automatique et appliquer des contrôles techniques selon la classification (interdiction d'envoyer à l'externe un document "Restreint" non chiffré).
- Piloter par les audits et les incidents : incluez la vérification de l'application de la politique de classification dans les audits internes annuels. Les incidents de fuite de données sont souvent liés à une mauvaise classification ou à un non-respect des règles de transmission.
- Réviser annuellement : la politique doit être revue a minima une fois par an et lors de tout changement réglementaire (nouvelle catégorie de données protégées), organisationnel (fusion, acquisition), ou technologique (nouveau service cloud utilisé).
- Gérer les exceptions formellement : définissez un processus de dérogation pour les cas où les règles standard ne peuvent pas s'appliquer (ex: partage d'un document "Restreint" avec un partenaire pour une raison métier valide). Les dérogations doivent être documentées dans le registre des dérogations.
Tableau des contrôles — Checklist politique de classification complète
| Contrôle | Exigence ISO 27001 | Statut | Responsable | Preuve attendue | Commentaire |
|---|---|---|---|---|---|
| Politique de classification documentée et approuvée | A.5.12 | ☐ Conforme / ☐ NC | RSSI / DG | Document signé et daté | Version courante dans GED |
| Niveaux de classification définis avec critères clairs | A.5.12 | ☐ Conforme / ☐ NC | RSSI | Grille de classification | Min. 3 niveaux (Public/Int/Conf) |
| Exemples concrets par niveau et par type de données | A.5.12 | ☐ Conforme / ☐ NC | RSSI / Directions métier | Liste exemples dans politique | Contextualisés à l'activité |
| Propriétaires d'actifs formés à la classification | A.5.12, A.5.9 | ☐ Conforme / ☐ NC | RSSI / RH | Feuilles de présence formation | Formation + quiz de validation |
| Tous les collaborateurs formés aux règles de traitement | A.5.12, A.6.3 | ☐ Conforme / ☐ NC | RSSI / RH | Preuves de sensibilisation | E-learning ou présentiel |
| Règles de marquage définies par niveau et par support | A.5.13 | ☐ Conforme / ☐ NC | RSSI / DSI | Tableau de marquage | Numérique, papier, email |
| Règles de stockage définies par niveau | A.5.12 | ☐ Conforme / ☐ NC | RSSI / DSI | Tableau règles de stockage | GED, cloud autorisé, coffre |
| Règles de transmission définies par niveau | A.5.14 | ☐ Conforme / ☐ NC | RSSI / DSI | Tableau règles de transmission | Email, partage, messagerie |
| Règles de destruction définies par niveau | A.5.12, A.8.10 | ☐ Conforme / ☐ NC | RSSI / DSI | Procédure destruction | Effacement sécurisé, déchiqueteuse |
| Données personnelles intégrées dans la classification | A.5.12 / RGPD | ☐ Conforme / ☐ NC | DPO / RSSI | Données perso ≥ Confidentiel | Catégories particulières → Restreint |
| Cohérence avec l'inventaire des actifs CIA | A.5.12, A.5.9 | ☐ Conforme / ☐ NC | RSSI | Même grille CIA | Vérification croisée requise |
| Processus de dérogation formalisé | A.5.12 | ☐ Conforme / ☐ NC | RSSI / DG | Registre dérogations | Voir registre NC/dérogations |
| Application vérifiée lors des audits internes | A.5.12, Clause 9.2 | ☐ Conforme / ☐ NC | Auditeur interne | Rapport d'audit interne | Vérification sur échantillon |
| Politique révisée annuellement | A.5.12, Clause 7.5 | ☐ Conforme / ☐ NC | RSSI | Historique de révisions | Et lors de tout changement majeur |
| Chiffrement des supports/transmissions niveau Restreint | A.5.12, A.8.24 | ☐ Conforme / ☐ NC | DSI / RSSI | Politique de chiffrement | Voir politique cryptographie |
| Contrôles techniques DLP alignés avec la classification | A.5.12, A.5.14 | ☐ Conforme / ☐ NC | DSI / RSSI | Configuration DLP documentée | M365 Purview ou équivalent |
| Durées de conservation définies par niveau | A.5.12 / RGPD Art.5 | ☐ Conforme / ☐ NC | DPO / Juridique | Tableau durées rétention | Cohérent avec registre RGPD |
| Classification revue lors du départ des collaborateurs | A.5.12, A.6.5 | ☐ Conforme / ☐ NC | RH / RSSI | Procédure offboarding | Actifs récupérés, accès coupés |
| Prestataires informés de la politique de classification | A.5.12, A.5.19 | ☐ Conforme / ☐ NC | Achats / RSSI | Clauses contractuelles | NDA + obligations de classification |
| Intégration dans le processus de création documentaire | A.5.12, A.5.13 | ☐ Conforme / ☐ NC | DSI / Tous | Templates avec classification | Marquage automatique si possible |
Points de vigilance pour l'audit de certification
- Politique non connue des collaborateurs : si aucun collaborateur interviewé par l'auditeur ne peut citer les niveaux de classification et leurs règles de base, c'est une non-conformité grave. Remédiation : formez tous les collaborateurs lors de l'onboarding et lors des révisions annuelles de la politique.
- Classification trop complexe ou trop simple : 7 niveaux sont ingérables ; 2 niveaux (Public/Confidentiel) sont insuffisants pour une organisation de taille significative. Remédiation : 3 à 5 niveaux maximum, avec des critères de distinction clairs et mémorisables.
- Incohérence entre classification déclarée et mesures appliquées : si un document est classifié "Restreint" mais transmis par email non chiffré et stocké sur un partage public, la classification est fictive. Remédiation : alignez systématiquement les contrôles techniques avec les règles de classification — la classification sans contrôle est du "security theater".
- Données personnelles sous-classifiées : les données personnelles ordinaires doivent être au minimum en niveau "Confidentiel" et les catégories particulières en niveau "Restreint". Une organisation qui classe les données de ses clients en "Interne" risque une observation RGPD. Remédiation : incluez explicitement dans la politique que toutes les données personnelles sont classifiées au niveau "Confidentiel" minimum.
- Absence de règles pour les données au repos dans le cloud : beaucoup de politiques définissent des règles pour les documents bureautiques mais oublient les données dans les services cloud (bases de données, stockage objet, SaaS). Remédiation : étendez les règles à tous les types de supports, y compris le cloud.
- Pas de processus de déclassification : certains documents ont une durée de vie de sensibilité limitée (ex: un résultat financier est "Restreint" avant publication puis "Public" après). Sans processus de déclassification, les données s'accumulent inutilement dans les niveaux élevés. Remédiation : incluez des règles de déclassification automatique (par ex: "Confidentiel pendant 2 ans, puis Interne") ou sur demande.
- Politique inapplicable techniquement : si la politique impose le chiffrement de tous les fichiers "Confidentiel" mais que l'outil de chiffrement n'est pas déployé sur les postes, la politique est théorique. Remédiation : synchronisez la politique avec les capacités techniques réelles et prévoyez un plan de déploiement pour combler les écarts.
Intégration dans le SMSI : liens avec les autres documents
Arborescence documentaire SMSI — Politique de Classification A.5.12
POLITIQUE DE CLASSIFICATION (A.5.12) ← Document de référence
│
├── ALIMENTE →
│ ├── Inventaire des actifs (A.5.9) — mêmes niveaux CIA
│ ├── Politique d'accès logiques (A.5.15-18) — accès selon classification
│ ├── Politique cryptographie (A.8.24) — chiffrement selon niveau
│ ├── Charte utilisateur SI — règles de traitement pour les collaborateurs
│ └── Contrats fournisseurs — obligations de classification tierces
│
├── EST APPLIQUÉE PAR →
│ ├── Contrôles DLP techniques (M365 Purview, CASB)
│ ├── Étiquettes de sensibilité (sensitivity labels)
│ ├── Règles de partage et de stockage
│ └── Procédures de destruction sécurisée (A.8.10)
│
├── EST COHÉRENTE AVEC →
│ ├── Registre RGPD (Art.30) — classification des données personnelles
│ ├── Analyse de risques — actifs classifiés = actifs à risques
│ ├── SoA (Clause 6.1.3) — A.5.12 inclus dans le périmètre
│ └── Référentiels sectoriels (IGI 1300, HDS, DORA selon secteur)
│
└── EST VÉRIFIÉE PAR →
├── Audit interne (Clause 9.2) — test d'application sur échantillon
├── Revue de direction (Clause 9.3) — rapport d'application
└── Audit certification Stage 2 — interviews + test documentaire
Bonnes pratiques terrain
- Commencez par classifier vos "joyaux de la couronne" : plutôt que de classifier tous les documents en partant de zéro, identifiez d'abord les 10-20 actifs informationnels les plus sensibles de votre organisation et assurez-vous qu'ils sont correctement classifiés et protégés. C'est là que le retour sur investissement est maximal.
- Impliquez les métiers dans la définition des exemples : les exemples de la politique doivent résonner avec le quotidien des utilisateurs. Un atelier d'une heure avec chaque direction pour identifier leurs données sensibles est beaucoup plus efficace qu'une liste générique rédigée par le RSSI seul.
- Utilisez les étiquettes de sensibilité Microsoft 365 / Google Workspace : si vous utilisez ces suites, les étiquettes de sensibilité permettent d'appliquer automatiquement des contrôles techniques (chiffrement, restrictions de partage, marquage) selon la classification. C'est l'automatisation la plus efficace pour réduire les erreurs humaines.
- Intégrez la classification dans l'onboarding : formez chaque nouveau collaborateur à la politique de classification dès sa première semaine. Incluez un quiz simple pour valider la compréhension et tracez cette formation dans le système RH comme preuve pour l'audit.
- Auditez régulièrement par sondage : quelques fois par an, sélectionnez aléatoirement 20-30 documents récents (emails, fichiers partagés) et vérifiez qu'ils sont correctement classifiés et marqués. Ce processus simple identifie rapidement les lacunes dans l'application de la politique sans attendre l'audit de certification.
Questions fréquentes sur la politique de classification ISO 27001
Combien de niveaux de classification faut-il pour une PME ?
Pour une PME, trois niveaux de classification sont généralement suffisants et opérationnels : Public (diffusable librement), Interne (réservé aux collaborateurs), et Confidentiel (accès restreint, protection renforcée). Un quatrième niveau "Restreint" ou "Secret" peut être ajouté si l'organisation traite des données particulièrement sensibles (données de santé, informations classifiées, secrets d'affaires critiques). L'erreur courante est de créer trop de niveaux : au-delà de 5, la politique devient ingérable car les utilisateurs ne savent plus quelle classification appliquer. La règle d'or est qu'un collaborateur doit pouvoir déterminer le niveau de classification d'un document en moins de 30 secondes. Si la grille de classification nécessite une analyse complexe pour chaque document, elle est trop complexe et ne sera pas appliquée. Pour les organisations en phase de démarrage SMSI, commencez par 3 niveaux simples, appliquez-les rigoureusement pendant 12 mois, puis affinez si des lacunes apparaissent. Il vaut mieux une classification simple bien appliquée qu'une classification sophistiquée ignorée par les utilisateurs.
Comment gérer les documents qui changent de niveau de classification au fil du temps ?
Les cycles de vie de classification sont une réalité courante : un résultat financier trimestriel est "Restreint" avant sa publication officielle puis "Public" après ; un plan stratégique est "Restreint" pendant sa phase d'élaboration puis "Confidentiel" après validation ; des données personnelles d'un collaborateur qui a quitté l'entreprise peuvent être anonymisées et descendre en classification. La politique doit définir deux mécanismes de gestion de ces évolutions : la déclassification temporelle (le document passe automatiquement à un niveau inférieur après une date ou un événement défini — documentez cette date dans les métadonnées du document), et la reclassification sur demande (le propriétaire de l'actif peut demander une révision de la classification, validée par le RSSI). Dans tous les cas, la reclassification doit être tracée dans l'historique du document ou dans un registre de reclassification. Évitez de supprimer purement et simplement la classification d'un document : préférez une déclassification formelle avec traçabilité.
Comment classifier les emails professionnels ?
Les emails sont l'un des vecteurs de fuite de données les plus fréquents, et leur classification est souvent négligée. La politique de classification doit inclure des règles spécifiques aux emails : par défaut, un email professionnel est classifié "Interne" sauf mention contraire ; les emails contenant des données personnelles ou des informations commerciales sensibles doivent être explicitement marqués "Confidentiel" dans l'objet et le corps ; les emails contenant des données "Restreint" ne peuvent pas être envoyés à des adresses email externes non chiffrées. En pratique, Microsoft 365 Purview et Google Workspace permettent d'appliquer des étiquettes de sensibilité aux emails qui déclenchent automatiquement des contrôles (blocage d'envoi externe, chiffrement automatique). Pour les organisations sans ces outils, la règle manuelle doit être claire et simple : "Si vous envoyez un document confidentiel par email, utilisez un mot de passe pour l'archive ZIP et communiquez le mot de passe par un canal séparé (SMS, téléphone)." Cette règle simple est compréhensible par tous et applicable sans formation avancée.
La classification s'applique-t-elle aux données dans les bases de données ?
Oui, et c'est souvent le point le plus négligé. Les données dans les bases de données (clients, RH, finance, santé) sont souvent les actifs les plus sensibles de l'organisation, mais leur classification est rarement formalisée. La politique de classification doit s'appliquer aux données structurées avec les mécanismes suivants : chaque base de données ou chaque table doit avoir une classification définie dans l'inventaire des actifs (qui détermine le niveau de protection technique requis : chiffrement at-rest, accès restreint, audit des accès, masquage des données) ; les exports de données issues de tables classifiées "Confidentiel" ou "Restreint" doivent être traités avec les mêmes précautions que les documents du même niveau ; et les outils de découverte et de classification automatique des données (comme Varonis, BigID, ou Microsoft Purview Data Map) peuvent automatiser cette classification pour les grandes bases de données. En audit ISO 27001, les auditeurs demandent de plus en plus fréquemment comment les données dans les bases de production sont classifiées et protégées — une réponse floue ("ce sont des données normalement protégées") n'est pas satisfaisante.
À retenir — Politique de classification ISO 27001
- Le contrôle A.5.12 impose une classification formelle basée sur la confidentialité, l'intégrité et la disponibilité
- 3 à 4 niveaux maximum pour une politique applicable — la complexité tue l'adhésion
- Les données personnelles (RGPD) doivent être au minimum classifiées "Confidentiel" — point vérifié en audit
- Les contrôles A.5.13 (marquage) et A.5.14 (transfert) sont inséparables de A.5.12 et vérifiés en même temps
- La politique doit être connue de tous les collaborateurs et son application vérifiée par audit interne
- Les contrôles techniques DLP doivent être alignés avec la politique — classification sans contrôle technique = sécurité théorique
- Auteur : Ayi NEDJIMI, consultant cybersécurité — accompagnement ISO 27001
Pour aller plus loin
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Mise en conformité NIS 2 et ISO 27001
Accompagnement sur mesure pour les PME et ETI soumises à NIS 2 ou engagées dans une démarche ISO 27001. Gap analysis, plan d'action, audit interne.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire