Certification ISO 27001 — Accompagnement Complet
ISO 27001 est LA norme internationale de référence en cybersécurité. Nous vous accompagnons de A à Z — de l'analyse d'écarts initiale jusqu'à l'obtention du certificat par un organisme accrédité.
Certifié ISO 27001
Taux de réussite certification
Certifications accompagnées
Qu'est-ce que ISO 27001 ?
ISO/IEC 27001:2022 est la norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI). Publiée par l'ISO et l'IEC, elle constitue le cadre de référence mondial pour la protection des actifs informationnels.
Le SMSI est une approche systématique qui intègre les personnes, les processus et les technologies pour protéger la confidentialité, l'intégrité et la disponibilité de l'information. Contrairement à une simple checklist technique, ISO 27001 impose une démarche d'amélioration continue basée sur le cycle PDCA.
La certification est délivrée par un organisme accrédité (Bureau Veritas, BSI, LRQA, AFNOR Certification) après un audit en deux étapes (Stage 1 : revue documentaire, Stage 2 : audit terrain). Elle est valable 3 ans, avec des audits de surveillance annuels.
Organisations certifiées dans le monde
Contrôles Annexe A
Thèmes de contrôles
Validité du certificat
Structure de la norme — 7 clauses
Contexte de l'organisation
Parties prenantes, périmètre du SMSI, enjeux internes et externes.
Leadership
Engagement de la direction, politique de sécurité, rôles et responsabilités.
Planification
Analyse de risques, objectifs de sécurité, plan de traitement des risques.
Support
Ressources, compétences, sensibilisation, communication, documentation.
Fonctionnement
Mise en œuvre du plan de traitement, gestion opérationnelle des risques.
Évaluation des performances
Surveillance, audit interne, revue de direction, indicateurs.
Amélioration
Non-conformités, actions correctives, amélioration continue du SMSI.
Annexe A
93 contrôles de sécurité répartis en 4 thèmes.
Annexe A — 93 contrôles en 4 thèmes
Organisationnels
Politiques, rôles, gestion des actifs, contrôle d'accès, continuité, conformité, gestion des fournisseurs.
Liés au personnel
Sélection, conditions d'emploi, sensibilisation, formation, processus disciplinaire, fin de contrat.
Physiques
Périmètres de sécurité, accès physique, protection des bureaux, surveillance, protection des équipements.
Technologiques
Postes, réseaux, chiffrement, journalisation, développement sécurisé, gestion des vulnérabilités.
Le cycle PDCA — Amélioration continue
Plan
Définir le périmètre, évaluer les risques, fixer les objectifs de sécurité et planifier le traitement des risques.
Do
Mettre en œuvre les mesures de sécurité, déployer les contrôles, former le personnel, exécuter les plans.
Check
Surveiller, mesurer, auditer les performances du SMSI. Revue de direction et audit interne.
Act
Corriger les écarts, traiter les non-conformités, améliorer en continu le système de management.
Qui est concerné par ISO 27001 ?
Toute organisation, quelle que soit sa taille ou son secteur, peut se certifier ISO 27001. Cependant, elle est devenue incontournable dans certains contextes :
- ► Secteur bancaire et financier — exigence des régulateurs (ACPR, BCE)
- ► Santé et HDS — prérequis pour l'hébergement de données de santé
- ► Défense et aérospatial — exigences supply chain (GIFAS, DGA)
- ► ESN et éditeurs SaaS — différenciateur commercial majeur
- ► Appels d'offres grands comptes — critère éliminatoire fréquent
- ► Directive NIS2 — ISO 27001 couvre 80% des exigences
- ► Règlement DORA — base de conformité pour les entités financières
- ► ETI et PME en croissance — structuration de la sécurité
Le saviez-vous ?
En France, la certification ISO 27001 connaît une croissance de +25% par an depuis 2020. La directive NIS2 et le règlement DORA accélèrent cette tendance.
Notre accompagnement en 6 phases
Un parcours structuré de 9 à 14 mois, adapté à votre maturité et votre taille. Chaque phase produit des livrables concrets, validés en COPIL.
Cadrage & Gap Analysis
Mois 1-2Audit de maturité initial pour mesurer l'écart entre votre posture actuelle et les exigences ISO 27001:2022. Scoring détaillé par domaine.
Activités
- • Entretiens direction et équipes clés
- • Revue documentaire existante
- • Scoring des 93 contrôles Annexe A
- • Cartographie du SI et des flux
- • Identification des parties prenantes
Livrables
- • Rapport de gap analysis détaillé
- • Matrice de scoring par domaine
- • Cartographie des actifs informationnels
- • Feuille de route priorisée
- • Note de cadrage projet SMSI
Résultat
- • Score de maturité initial (0-100)
- • Identification des quick wins
- • Budget et planning réaliste
- • Définition du périmètre SMSI
- • Validation Go/No-Go direction
Analyse de risques ISO 27005 / EBIOS RM
Mois 2-4Construction de l'analyse de risques conformément à ISO 27005 ou EBIOS RM (méthode ANSSI). Identification systématique des menaces et scénarios de risque.
Activités
- • Identification des actifs informationnels
- • Inventaire des menaces et vulnérabilités
- • Construction des scénarios de risque
- • Évaluation vraisemblance / impact
- • Ateliers EBIOS RM (si méthode choisie)
Livrables
- • Registre des risques complet
- • Matrice de risques (heat map)
- • Plan de traitement des risques (PTR)
- • Critères d'acceptation validés
- • Déclaration d'acceptation des risques résiduels
Résultat
- • Cartographie complète des risques
- • Risques priorisés et traitement défini
- • Base de la SoA (Annexe A)
- • Engagement direction sur risques résiduels
- • Alignement avec ISO 27005:2022
Construction du SMSI
Mois 3-7Rédaction de l'ensemble du socle documentaire et construction du système de management. Politiques, procédures, registres, chartes — tout est créé sur mesure.
Activités
- • Rédaction PSSI et politique SI
- • Déclaration d'applicabilité (SoA)
- • Procédures obligatoires (12+)
- • Registres et formulaires
- • Chartes et politiques annexes
Livrables
- • PSSI complète alignée ISO 27001
- • SoA 93 contrôles documentée
- • 20+ documents opérationnels
- • PCA / PRA
- • Matrice RACI sécurité
Résultat
- • SMSI documentaire complet
- • Processus validés par la direction
- • Système de gestion documentaire en place
- • Rôles et responsabilités définis
- • Prêt pour Stage 1
Mise en œuvre technique
Mois 5-9Déploiement concret des mesures de sécurité : hardening, tests d'intrusion, corrections de vulnérabilités, mise en place des solutions techniques.
Activités
- • Hardening serveurs, postes, réseau
- • Pentest infrastructure et applicatif
- • Audit Active Directory / Entra ID
- • Déploiement EDR, SIEM, sauvegarde
- • Correction des vulnérabilités identifiées
Livrables
- • Rapports de pentest détaillés
- • Modes opératoires d'installation
- • Plan de remédiation technique
- • Schémas d'architecture sécurisée
- • Preuve de déploiement des contrôles
Résultat
- • Infrastructure conforme aux contrôles
- • Vulnérabilités critiques corrigées
- • Solutions open source privilégiées (ROI)
- • Journalisation et surveillance activées
- • Preuve d'efficacité des mesures
Audit interne & audit blanc
Mois 9-11Simulation complète de l'audit de certification (Stage 1 + Stage 2). Identification et correction des derniers écarts avant le passage devant l'auditeur.
Activités
- • Audit interne complet du SMSI
- • Simulation Stage 1 (revue documentaire)
- • Simulation Stage 2 (audit terrain)
- • Formation des interlocuteurs clés
- • Revue de direction formelle
Livrables
- • Rapport d'audit interne
- • Plan d'actions correctives
- • Compte-rendu revue de direction
- • Grille de préparation Stage 1 & 2
- • Supports de formation interlocuteurs
Résultat
- • SMSI prêt pour l'audit officiel
- • Interlocuteurs formés et confiants
- • Non-conformités résiduelles traitées
- • Preuves consolidées
- • Zero surprise le jour J
Accompagnement certification
Mois 11-14Présence lors de l'audit de certification, gestion des non-conformités éventuelles, suivi post-certification et préparation des audits de surveillance.
Activités
- • Sélection de l'organisme certificateur
- • Présence Stage 1 & Stage 2
- • Interface avec l'auditeur
- • Gestion des non-conformités
- • Suivi post-certification
Livrables
- • Plan de réponse aux non-conformités
- • Feuille de route maintien 3 ans
- • Planning audits de surveillance
- • Guide d'amélioration continue
- • Transfert de compétences équipe interne
Résultat
- • Certificat ISO 27001:2022 obtenu
- • SMSI autonome et viable
- • Équipe formée au maintien
- • Prêt pour surveillance annuelle
- • Valorisation commerciale immédiate
Prestation clé en main — tout est inclus
Un accompagnement 360° qui couvre l'intégralité du périmètre : audits techniques, documentation, formation et remédiation. Rien n'est en option.
Audits techniques inclus
Tous les audits nécessaires pour valider l'efficacité de vos contrôles techniques. Pas de prestataire tiers à coordonner.
- ✓ Audit Active Directory / Entra ID
- ✓ Audit Microsoft 365 / Google Workspace
- ✓ Audit infrastructure réseau et système
- ✓ Pentest web & applicatif (OWASP)
- ✓ Scan surface d'attaque externe
- ✓ Audit de configuration cloud (AWS, Azure, GCP)
Socle documentaire complet (20+ documents)
Rédaction intégrale du corpus documentaire exigé par la norme. Documents sur mesure, pas des templates génériques.
- ✓ PSSI (Politique de Sécurité des SI)
- ✓ Déclaration d'applicabilité (SoA) — 93 contrôles
- ✓ Analyse de risques et plan de traitement
- ✓ PCA / PRA (continuité et reprise d'activité)
- ✓ Procédures, registres, chartes, politiques
- ✓ Gestion des changements et des fournisseurs
Formation & sensibilisation
Programmes de formation adaptés à chaque profil : direction, équipes techniques, utilisateurs finaux.
- ✓ Supports de formation personnalisés
- ✓ Campagnes de phishing simulé
- ✓ Sensibilisation SMSI pour tous les collaborateurs
- ✓ Formation des auditeurs internes
- ✓ Exercices de gestion de crise
- ✓ Quiz et évaluations de connaissances
Plans de remédiation opérationnels
Pas seulement un constat : des feuilles de route actionables avec modes opératoires d'installation détaillés.
- ✓ Feuilles de route priorisées (quick wins, moyen terme, long terme)
- ✓ Modes opératoires d'installation détaillés
- ✓ Solutions open source privilégiées (Wazuh, CrowdSec, Graylog)
- ✓ Guides de hardening CIS Benchmarks
- ✓ Schémas d'architecture cible
- ✓ Suivi d'avancement en COPIL mensuel
Double expertise : conformité + technique
Là où la plupart des cabinets proposent soit du conseil GRC, soit du technique, nous combinons les deux dans une même prestation. Résultat : un SMSI solide sur le papier et efficace sur le terrain.
Volet conformité
-
►
Gap Analysis ISO 27001:2022 — Scoring détaillé des 93 contrôles, identification des écarts et plan de mise en conformité.
-
►
Rédaction documentaire complète — PSSI, procédures, registres, chartes. Documents sur mesure, réellement applicables.
-
►
Déclaration d'applicabilité (SoA) — Justification détaillée de chaque contrôle : appliqué, exclu, en cours, non applicable.
-
►
Analyse de risques ISO 27005 / EBIOS RM — Registre des risques, scénarios, plan de traitement, risques résiduels.
-
►
Audit interne et revue de direction — Conduite de l'audit interne, rédaction du rapport, animation de la revue de direction.
-
►
Interface avec l'auditeur — Présence lors du Stage 1 et Stage 2, gestion des échanges avec l'organisme certificateur.
Volet technique
-
►
Tests d'intrusion (pentest) — Pentest infrastructure, web, Active Directory, cloud. Méthodologie PTES / OWASP.
-
►
Hardening & sécurisation — Durcissement serveurs, postes, réseaux selon CIS Benchmarks. Guides de configuration détaillés.
-
►
Architecture réseau sécurisée — Segmentation, DMZ, micro-segmentation, zero trust. Conception et validation.
-
►
EDR / XDR / SIEM — Déploiement et configuration Wazuh, CrowdStrike, Microsoft Defender, Graylog.
-
►
Modes opératoires d'installation — Guides pas-à-pas pour chaque solution déployée. Transfert de compétences à vos équipes.
-
►
Scan de vulnérabilités & surface d'attaque — Surveillance continue, analyse des expositions, priorisation des corrections.
Socle documentaire ISO 27001 — ce que nous créons
L'intégralité du corpus documentaire exigé par l'auditeur, rédigé sur mesure pour votre organisation. Chaque document est adapté à votre contexte, votre taille et votre secteur.
Politique de Sécurité (PSSI)
Alignée ISO 27001:2022, approuvée par la direction, communiquée à tous.
Déclaration d'applicabilité (SoA)
93 contrôles documentés : statut, justification, preuves, responsable.
Analyse de risques & plan de traitement
Méthode ISO 27005 ou EBIOS RM. Registre, heat map, PTR, risques résiduels.
Procédure de maîtrise des documents
Création, validation, diffusion, archivage, révision de tous les documents SMSI.
Procédure d'audit interne
Programme d'audit, grilles, méthodologie, rapport type, suivi des constats.
Procédure d'actions correctives
Détection, analyse cause racine, plan d'action, vérification d'efficacité.
Procédure de gestion des incidents
Détection, classification, escalade, réponse, communication, retour d'expérience.
PCA / PRA (Continuité d'activité)
Plan de continuité et de reprise : BIA, stratégies, procédures, tests réguliers.
Procédure de gestion de la conformité
Veille réglementaire, exigences légales, contractuelles et normatives.
Procédure de gestion des accès
Provisioning, déprovisioning, revue des droits, principe du moindre privilège.
Registre des actifs informationnels
Inventaire complet : propriétaire, classification, localisation, mesures de protection.
Matrice des rôles et responsabilités
RACI sécurité : DG, RSSI, DSI, administrateurs, utilisateurs, DPO.
Charte informatique
Règles d'utilisation du SI pour tous les collaborateurs. Annexée au règlement intérieur.
Charte administrateurs
Engagements spécifiques des administrateurs systèmes et réseaux.
Politique de classification de l'information
Niveaux de classification, marquage, manipulation, stockage, destruction.
Procédure de gestion des changements
Demande, évaluation d'impact, approbation, implémentation, revue post-changement.
Procédure de gestion des fournisseurs
Évaluation sécurité, clauses contractuelles, suivi, audit fournisseurs critiques.
ISO 27001 vs NIS2 vs SOC 2 vs HDS
Comprendre les différences pour choisir le bon référentiel — ou les combiner intelligemment. ISO 27001 est souvent le socle commun.
| Critère | ISO 27001 | NIS2 | SOC 2 | HDS |
|---|---|---|---|---|
| Périmètre | Sécurité de l'information (global) | Cybersécurité des entités essentielles/importantes | Contrôles SI pour prestataires de services | Hébergement données de santé |
| Obligatoire ? | Volontaire (mais souvent exigé contractuellement) | Oui — directive européenne | Volontaire (exigé par clients US) | Oui — légal en France |
| Base normative | ISO/IEC 27001:2022 | Directive (UE) 2022/2555 | AICPA Trust Services Criteria | Décret + référentiel ANS |
| Niveaux | Certifié / Non certifié | Entité essentielle / importante | Type I / Type II | Certifié / Non certifié |
| Durée typique | 9 à 14 mois | 6 à 18 mois (mise en conformité) | 6 à 12 mois | 12 à 18 mois |
| Coût indicatif | 30k€ à 150k€ | Variable (sanctions jusqu'à 10M€) | 20k€ à 80k€ | 50k€ à 200k€ |
| Reconnu par | International (150+ pays) | Union européenne | Amérique du Nord principalement | France |
| Compatibilité | NIS2, HDS, SOC 2, DORA, TISAX | ISO 27001 couvre ~80% | ISO 27001 (mapping partiel) | ISO 27001 (prérequis de fait) |
ISO 27001 = le socle universel
La certification ISO 27001 facilite la mise en conformité avec NIS2, HDS, SOC 2 et DORA. En vous certifiant ISO 27001, vous couvrez déjà 60 à 80% des exigences des autres référentiels.
Cas client — ETI 200 salariés, certifiée en 8 mois
Retour d'expérience anonymisé d'un accompagnement ISO 27001 pour une ETI du secteur des services numériques.
Contexte
- ► Secteur : ESN / éditeur SaaS, 200 collaborateurs
- ► Enjeu : Certification exigée pour répondre aux appels d'offres bancaires
- ► État initial : Score de maturité 22/100, pas de PSSI, pas d'analyse de risques
- ► Contrainte : Délai impératif de 8 mois (appel d'offres client)
Résultats
Score de maturité
Non-conformité majeure
Délai de certification
Documents créés
Chronologie du projet
Mois 1-2
Cadrage & risques
Gap analysis, analyse de risques EBIOS RM, cartographie des actifs, note de cadrage.
Mois 3-5
Documentation & technique
Rédaction PSSI, SoA, procédures. Pentest, hardening AD, déploiement Wazuh.
Mois 6-7
Audit blanc & formation
Simulation Stage 1+2, formation interlocuteurs, corrections des derniers écarts.
Mois 8
Certification obtenue
Stage 1 et Stage 2 réussis. 0 non-conformité majeure, 2 mineures traitées en 48h.
Êtes-vous prêt pour ISO 27001 ?
Répondez à ces 10 questions pour évaluer votre niveau de préparation. Résultat instantané.
1. Avez-vous une Politique de Sécurité des SI (PSSI) formalisée et approuvée par la direction ?
2. Avez-vous réalisé une analyse de risques formelle (ISO 27005, EBIOS RM ou équivalent) ?
3. Disposez-vous d'un inventaire des actifs informationnels (matériels, logiciels, données) ?
4. Avez-vous défini des procédures de gestion des incidents de sécurité ?
5. La direction est-elle engagée et prête à sponsoriser un projet de certification ?
6. Avez-vous un contrôle d'accès formalisé (politique de mots de passe, MFA, revue des droits) ?
7. Réalisez-vous des sauvegardes régulières et testées de vos données critiques ?
8. Sensibilisez-vous régulièrement vos collaborateurs à la cybersécurité ?
9. Disposez-vous d'un plan de continuité d'activité (PCA) ou de reprise (PRA) ?
10. Avez-vous déjà passé un audit de sécurité (interne ou externe) au cours des 12 derniers mois ?
Répondez aux question(s) restante(s)
Recommandation : accompagnement complet (12-14 mois)
Votre organisation a besoin d'un accompagnement structuré sur l'ensemble des 6 phases. Nous partons de zéro et construisons votre SMSI intégralement.
Recommandation : accompagnement ciblé (9-11 mois)
Vous avez des bases solides. L'accompagnement se concentrera sur la formalisation, la consolidation de l'existant et la préparation à l'audit.
Recommandation : audit blanc + accompagnement certification (4-6 mois)
Votre organisation est déjà mature. Un audit blanc suivi de l'accompagnement à la certification suffira pour obtenir le certificat.
Nos engagements contractuels
Des engagements concrets, inscrits au contrat. Pas de promesses en l'air.
Interlocuteur unique
Un seul consultant senior dédié de A à Z. Pas de turnover, pas de consultant junior en sous-traitance. Continuité garantie.
COPIL mensuel
Comité de pilotage mensuel avec la direction : avancement, risques projet, décisions. Transparence totale sur l'état du projet.
Délai garanti
Planning contractuel avec jalons. Si le retard est de notre fait, les jours supplémentaires sont à notre charge. Engagement ferme.
Obligation de résultat
Nous nous engageons sur l'obtention de la certification. En cas d'échec imputable à notre prestation, nous poursuivons sans surcoût.
Questions fréquentes sur ISO 27001
ISO 27001 est la norme internationale de référence pour la sécurité de l'information. Elle définit les exigences pour établir un Système de Management de la Sécurité de l'Information (SMSI). Se certifier permet de démontrer à vos clients, partenaires et régulateurs que vous protégez leurs données de manière systématique. C'est aussi un avantage compétitif majeur pour les appels d'offres et un accélérateur de conformité NIS2 et DORA.
Comptez en général 9 à 14 mois pour une première certification, selon votre taille et votre maturité initiale. Une PME de 50 personnes avec des bases solides peut être certifiée en 6-8 mois. Une ETI de 500 personnes partant de zéro nécessitera plutôt 12-14 mois. Notre gap analysis initiale permet de définir un planning réaliste dès le démarrage.
Non, ce n'est pas une exigence formelle de la norme. ISO 27001 exige qu'un « responsable du SMSI » soit désigné, mais ce rôle peut être cumulé (DSI, DG, responsable qualité). Nous pouvons également intervenir en tant que RSSI externalisé pendant la durée du projet et transférer les compétences à un collaborateur interne.
Le coût varie selon la taille de l'organisation et le périmètre. Pour une PME (50-100 salariés), comptez 30 000 à 60 000 € pour l'accompagnement complet. Pour une ETI (200-500 salariés), le budget se situe entre 60 000 et 150 000 €. À cela s'ajoutent les frais de l'organisme certificateur (5 000 à 15 000 €). Nous privilégions les solutions open source pour réduire les coûts de licences logicielles.
Absolument. ISO 27001 couvre environ 80% des exigences de la directive NIS2. Les deux cadres partagent les mêmes fondamentaux : analyse de risques, gestion des incidents, continuité d'activité, contrôle d'accès, sensibilisation. Les 20% restants (notification obligatoire aux autorités, supply chain security renforcée) sont couverts par des compléments spécifiques que nous intégrons à notre démarche.
Les non-conformités mineures (observations) sont courantes et ne bloquent pas la certification : vous disposez d'un délai (généralement 90 jours) pour les traiter. Les non-conformités majeures nécessitent une correction avant la délivrance du certificat. Notre audit blanc (Phase 5) vise précisément à éliminer tout risque de non-conformité majeure avant l'audit officiel. C'est pourquoi notre taux de réussite est de 100%.
Non. Le certificat ISO 27001 est valable 3 ans. Pendant cette période, vous devez passer des audits de surveillance annuels (années 1 et 2) pour vérifier que le SMSI est maintenu et amélioré. Au bout de 3 ans, un audit de renouvellement complet est nécessaire. Nous pouvons également vous accompagner sur le maintien et le renouvellement de la certification.
ISO 27001 est une certification internationale reconnue dans plus de 150 pays. SOC 2 est un rapport d'audit américain (AICPA) principalement demandé par les clients nord-américains. ISO 27001 est prescriptive (93 contrôles Annexe A) tandis que SOC 2 offre plus de flexibilité sur les contrôles. En Europe, ISO 27001 est nettement plus valorisée. Si vous avez des clients aux États-Unis, les deux sont complémentaires — et ISO 27001 facilite l'obtention du SOC 2.
Pourquoi nous choisir ?
100% de réussite certification
Toutes les organisations que nous avons accompagnées ont obtenu leur certification du premier coup. Zéro non-conformité majeure.
Expertise GRC + pentest
Rare combinaison : consultant Lead Auditor ISO 27001 ET pentester certifié. Le SMSI est validé par des tests réels, pas seulement sur papier.
Documents opérationnels
Nos livrables sont conçus pour être utilisés au quotidien, pas rangés dans un tiroir. Procédures réalistes, adaptées à votre contexte.
Open source first
Nous privilégions les solutions open source (Wazuh, CrowdSec, Graylog) pour maximiser votre ROI et éviter la dépendance aux éditeurs.
+20 ans d'expérience
Deux décennies d'expérience en cybersécurité : audit, pentest, GRC, réponse à incident. Tous les secteurs, toutes les tailles.
Transfert de compétences
Objectif : autonomie. Vos équipes sont formées pour maintenir le SMSI sans dépendance externe. Le savoir-faire reste chez vous.
Lancez votre projet de certification ISO 27001
Chaque mois sans certification, c'est un appel d'offres perdu, un client qui choisit un concurrent certifié, un risque non maîtrisé. Prenons rendez-vous pour évaluer votre situation et définir votre feuille de route.
Réponse sous 24h — Échange initial gratuit et sans engagement