ISO 2700110 min de lecture
Processus de certification ISO 27001 : Votre feuille de route complète
Le processus de certification ISO 27001 peut sembler intimidant, mais avec la bonne approche, il est gérable. Ce guide fournit une feuille de route complète de la planification initiale à la certification.
Points clés
| Point | Résumé |
|---|---|
| 7 phases | Planification → Développement SMSI → Implémentation → Audit interne → Stage 1 → Stage 2 → Certification |
| Délai | 3-4 mois avec service managé (6+ mois approche traditionnelle) |
| Audit en deux étapes | Stage 1 : Revue documentation ; Stage 2 : Vérification implémentation |
| Jalons clés | Évaluation des risques (Semaine 8), audit interne (Semaine 20), Stage 1 (Semaine 22), certification (Semaine 26) |
| Votre temps | ~20-25 heures au total avec service managé |
Réponse rapide : La certification ISO 27001 implique un audit en deux étapes. Le Stage 1 revoit votre documentation ; le Stage 2 vérifie l'implémentation. Avec une guidance experte, l'ensemble du processus prend 3-4 mois et environ 20-25 heures de votre temps.
Aperçu du processus de certification
Le parcours en un coup d'œil
Text
Parcours de certification ISO 27001
────────────────────────────────────────────────────────
Phase 1 : Planification & Analyse des écarts (Semaines 1-4)
│
▼
Phase 2 : Développement du SMSI (Semaines 4-10)
│
▼
Phase 3 : Implémentation (Semaines 10-18)
│
▼
Phase 4 : Audit interne & Revue (Semaines 18-20)
│
▼
Phase 5 : Audit Stage 1 (Semaines 21-22)
│
▼
Phase 6 : Audit Stage 2 (Semaines 23-26)
│
▼
Phase 7 : Certification & Maintenance (Continue)Jalons clés
| Jalon | Timing typique | Livrable |
|---|---|---|
| Lancement du projet | Semaine 1 | Plan de projet, équipe formée |
| Analyse des écarts complète | Semaine 3 | Rapport d'évaluation des écarts |
| Périmètre SMSI défini | Semaine 4 | Document de périmètre |
| Évaluation des risques terminée | Semaine 8 | Registre des risques, SoA |
| Contrôles implémentés | Semaine 16 | SMSI opérationnel |
| Audit interne complet | Semaine 20 | Rapport d'audit |
| Stage 1 réussi | Semaine 22 | Prêt pour Stage 2 |
| Certification obtenue | Semaine 26 | Certificat ISO 27001 |
Phase 1 : Planification et analyse des écarts
Semaines 1-2 : Configuration du projet
Établir la fondation
| Tâche | Livrable |
|---|---|
| Obtenir le sponsorship exécutif | Lettre d'engagement |
| Nommer le responsable SMSI | Personne responsable nommée |
| Former l'équipe projet | Liste de l'équipe |
| Définir le calendrier du projet | Plan de projet |
| Allouer le budget | Budget approuvé |
Parties prenantes clés à impliquer :
- Sponsor exécutif (CEO, CTO ou équivalent)
- Responsable SMSI (lead sécurité ou vCISO)
- Représentant IT/Engineering
- Représentant RH
- Représentant Juridique/Compliance
- Représentant Opérations
Semaines 2-4 : Analyse des écarts
Évaluer l'état actuel par rapport à l'ISO 27001
| Activité | Objectif |
|---|---|
| Revoir les politiques existantes | Identifier les écarts de documentation |
| Évaluer les contrôles actuels | Mapper aux exigences Annexe A |
| Interviewer le personnel clé | Comprendre les pratiques réelles |
| Revoir les configurations techniques | Vérifier les paramètres de sécurité |
| Documenter les conclusions | Créer le rapport d'écarts |
Sortie de l'analyse des écarts :
Résumé de l'évaluation des écarts :
| Domaine d'exigence | Statut | Niveau d'écart |
|---|---|---|
| Documentation SMSI | Partiel | Moyen |
| Évaluation des risques | Partiel | Élevé |
| Contrôles d'accès | Implémenté | Faible |
| Gestion des changements | Partiel | Moyen |
| Réponse aux incidents | Non commencé | Élevé |
| Continuité d'activité | Non commencé | Élevé |
| Audit interne | Non commencé | Élevé |
| Revue de direction | Non commencé | Moyen |
Phase 2 : Développement du SMSI
Semaines 4-6 : Établir le contexte et le périmètre
Définir la fondation de votre SMSI
| Livrable | Contenu |
|---|---|
| Analyse de contexte | Facteurs externes et internes |
| Registre des parties prenantes | Parties intéressées et leurs exigences |
| Document de périmètre | Ce qui est inclus et exclu |
| Politique de sécurité | Direction de haut niveau |
Considérations de périmètre :
- Quelles fonctions métier ?
- Quelles localisations ?
- Quels systèmes et données ?
- Quelles sont les limites ?
- Qu'est-ce qui est explicitement exclu ?
Semaines 6-8 : Évaluation des risques
Identifier et évaluer les risques
Processus d'évaluation des risques :
Étape 1 : Identification des actifs :
- Actifs informationnels (types de données)
- Actifs physiques (serveurs, appareils)
- Actifs logiciels (applications)
- Actifs de service (services cloud)
Étape 2 : Identification des menaces :
- Menaces externes (hackers, malware)
- Menaces internes (employés)
- Menaces environnementales (catastrophes)
- Menaces techniques (pannes système)
Étape 3 : Évaluation des vulnérabilités :
- Vulnérabilités techniques
- Faiblesses de processus
- Vulnérabilités liées aux personnes
- Vulnérabilités physiques
Étape 4 : Analyse des risques :
- Évaluation de la probabilité
- Évaluation de l'impact
- Calcul du risque
Étape 5 : Évaluation des risques :
- Comparer aux critères
- Prioriser les risques
- Déterminer le traitement
Options de traitement des risques :
| Option | Quand l'utiliser | Exemple |
|---|---|---|
| Modifier | Risque trop élevé, contrôles disponibles | Implémenter MFA |
| Accepter | Risque dans la tolérance | Documenter l'acceptation |
| Éviter | Risque inacceptable | Arrêter l'activité |
| Partager | Transfert possible | Assurance cyber |
Semaines 8-10 : Créer la Déclaration d'Applicabilité
Mapper les contrôles à votre environnement
| Pour chaque contrôle | Documenter |
|---|---|
| Applicable ? | Oui/Non avec justification |
| Implémenté ? | Complet/Partiel/Planifié |
| Comment implémenté ? | Description du contrôle |
| Preuves ? | Où trouver la preuve |
Structure SoA :
| Contrôle | Titre | Applicable | Justification | Implémentation | Preuve |
|---|---|---|---|---|---|
| 5.1 | Politiques de sécurité de l'information | Oui | Requis pour la gouvernance SMSI | Complet | Document de politique |
| 8.4 | Accès au code source | Oui | Entreprise SaaS développe des logiciels | Partiel | Paramètres GitHub |
| 7.1 | Périmètres de sécurité physique | Non | Cloud uniquement, pas de serveurs physiques | N/A | SOC 2 du fournisseur cloud |
Phase 3 : Implémentation
Semaines 10-14 : Développement des politiques et procédures
Créer la documentation requise
| Type de document | Exemples |
|---|---|
| Politiques | Sécurité de l'information, contrôle d'accès, utilisation acceptable |
| Standards | Standards de chiffrement, standards de durcissement |
| Procédures | Réponse aux incidents, sauvegarde, provisioning d'accès |
| Guides | Guides de mots de passe, guides de travail à distance |
Hiérarchie documentaire :
Text
Niveau 1 : Politique de sécurité de l'information
(Ce à quoi nous nous engageons)
│
Niveau 2 : Politiques de domaine
(Ce que nous exigeons)
│
Niveau 3 : Standards
(Spécifications techniques)
│
Niveau 4 : Procédures
(Comment nous le faisons)
│
Niveau 5 : Instructions de travail
(Guides étape par étape)Semaines 12-16 : Implémentation des contrôles techniques
Déployer les contrôles requis
| Domaine de contrôle | Tâches d'implémentation |
|---|---|
| Contrôle d'accès | Configurer SSO, implémenter MFA, mettre en place RBAC |
| Sécurité endpoints | Déployer MDM, configurer les politiques d'appareils |
| Sécurité réseau | Configurer les firewalls, implémenter la segmentation |
| Monitoring | Mettre en place SIEM, configurer les alertes |
| Gestion des vulnérabilités | Déployer scanner, établir processus de remédiation |
| Sauvegarde | Configurer les sauvegardes, tester les restaurations |
Semaines 14-16 : Formation et sensibilisation
Préparer vos équipes
| Activité | Public cible |
|---|---|
| Formation de sensibilisation SMSI | Tous les employés |
| Formation spécifique au rôle | Propriétaires de contrôles |
| Attestation des politiques | Tous les employés |
| Formation signalement d'incidents | Tous les employés |
| Formation développement sécurisé | Équipe engineering |
Semaines 16-18 : Opération du SMSI
Faire fonctionner le système
| Activité | Fréquence |
|---|---|
| Monitorer les contrôles | Continue |
| Collecter les preuves | Continue |
| Gérer les accès | Selon besoin |
| Gérer les incidents | Quand ils surviennent |
| Traiter les changements | Selon gestion des changements |
Phase 4 : Vérification pré-audit
Semaines 18-19 : Audit interne
Vérifier l'efficacité du SMSI
| Périmètre d'audit | Domaines de focus |
|---|---|
| Clauses 4-10 | Toutes les exigences obligatoires |
| Contrôles Annexe A | Échantillon de contrôles applicables |
| Documentation | Documents requis en place |
| Implémentation | Contrôles fonctionnant efficacement |
| Preuves | Enregistrements disponibles |
Processus d'audit interne :
Flux d'audit interne :
1. Planifier l'audit :
- Définir périmètre et critères
- Créer checklist d'audit
- Planifier les interviews
2. Conduire l'audit :
- Revue documentaire
- Interviews du personnel
- Tests des contrôles
- Examen des preuves
3. Rapporter les conclusions :
- Non-conformités identifiées
- Observations notées
- Conclusions positives enregistrées
4. Suivi :
- Actions correctives définies
- Actions implémentées
- Efficacité vérifiée
Semaines 19-20 : Revue de direction
Supervision exécutive
| Entrée | Discussion |
|---|---|
| Résultats audit interne | Conclusions et statut de remédiation |
| Statut évaluation des risques | Posture de risque actuelle |
| Métriques de performance | Efficacité du SMSI |
| Opportunités d'amélioration | Propositions d'amélioration |
| Changements externes | Nouvelles exigences ou menaces |
| Sortie | Action |
|---|---|
| Décisions d'amélioration | Changements approuvés |
| Allocation de ressources | Budget/effectifs |
| Changements du SMSI | Modifications nécessaires |
Semaines 20-21 : Préparation à l'audit
Se préparer pour l'audit externe
| Tâche | Détails |
|---|---|
| Revoir la documentation | Tous les documents à jour et approuvés |
| Vérifier les preuves | Complètes et accessibles |
| Briefer le personnel | Processus d'audit et attentes |
| Préparer la logistique | Salle, accès, contacts |
| Sélectionner l'organisme de certification | Si pas encore fait |
Phase 5 : Audit Stage 1
Ce qui se passe au Stage 1
Revue de documentation et préparation
| Focus de l'auditeur | Ce qu'il recherche |
|---|---|
| Périmètre SMSI | Clairement défini, approprié |
| Politique de sécurité | Approuvée, communiquée |
| Évaluation des risques | Méthodologie suivie, résultats documentés |
| Déclaration d'Applicabilité | Complète, justifiée |
| Audit interne | Conduit, conclusions traitées |
| Revue de direction | Conduite, documentée |
Résultats du Stage 1 :
| Résultat | Prochaines étapes |
|---|---|
| Prêt pour Stage 2 | Planifier Stage 2 (généralement 2-4 semaines plus tard) |
| Écarts mineurs | Traiter avant Stage 2 |
| Écarts majeurs | Reporter Stage 2, remédiation significative nécessaire |
Calendrier typique du Stage 1
| Jour | Activités |
|---|---|
| Jour 1 AM | Réunion d'ouverture, confirmation du périmètre |
| Jour 1 PM | Revue documentaire |
| Jour 2 AM | Suite de la revue, évaluation de la préparation |
| Jour 2 PM | Réunion de clôture, planification Stage 2 |
Phase 6 : Audit Stage 2
Ce qui se passe au Stage 2
Vérification de l'implémentation et de l'efficacité
| Focus de l'auditeur | Méthodes |
|---|---|
| Implémentation des contrôles | Interviews, observation |
| Revue des preuves | Examen documentaire |
| Efficacité des contrôles | Tests et échantillonnage |
| Compétence du personnel | Interviews dans l'organisation |
| Opération du SMSI | Observation des processus |
Techniques d'audit Stage 2
Méthodes d'audit Stage 2 :
Interviews :
- Poser des questions sur les politiques et procédures
- Vérifier la compréhension
- Confirmer l'opération des contrôles
Revue documentaire :
- Politiques et procédures
- Enregistrements et preuves
- Compte-rendus de réunions
Observation :
- Observer les processus en action
- Visite de sécurité physique
- Démonstrations système
Tests :
- Échantillonner les revues d'accès
- Vérifier les enregistrements de changement
- Vérifier les restaurations de sauvegarde
- Revoir la gestion des incidents
Gérer les conclusions d'audit
| Type de conclusion | Définition | Réponse |
|---|---|---|
| NC Majeure | Défaillance significative du SMSI | Doit résoudre avant certification |
| NC Mineure | Écart n'affectant pas le SMSI globalement | Traiter dans les 90 jours |
| Observation | Opportunité d'amélioration | À considérer |
| Positif | Bonne pratique notée | Continuer ! |
Résultats du Stage 2
| Résultat | Prochaines étapes |
|---|---|
| Certification recommandée | Certificat émis (2-4 semaines) |
| NC Mineures | Soumettre plan/preuves d'action corrective |
| NC Majeures | Résoudre et audit de suivi potentiel |
Phase 7 : Certification et maintenance
Après la certification
Actions immédiates :
- Célébrer avec votre équipe !
- Communiquer la réussite en interne
- Mettre à jour le site web/marketing
- Informer les clients
- Planifier la maintenance continue
Cycle de certification
Cycle de certification de 3 ans :
Année 1 :
- Audit de certification (Stage 1 + Stage 2)
- Certificat émis
Année 2 :
- Audit de surveillance 1
- Vérifier la conformité continue
Année 3 :
- Audit de surveillance 2
- Préparer la recertification
Année 4 :
- Audit de recertification
- Nouveau cycle de 3 ans commence
Audits de surveillance
| Aspect | Détails |
|---|---|
| Fréquence | Annuelle (certains auditeurs font semestriel) |
| Durée | Généralement 50-70% des jours d'audit initiaux |
| Focus | Échantillon de contrôles, changements, conclusions précédentes |
| Résultat | Maintien de la certification ou traitement des problèmes |
Recertification
| Aspect | Détails |
|---|---|
| Timing | Avant expiration du certificat (Année 3) |
| Périmètre | Revue complète du SMSI (comme certification initiale) |
| Durée | Similaire au Stage 1 + Stage 2 initial |
| Résultat | Nouveau certificat de 3 ans |
Choisir un organisme de certification
Critères de sélection
| Critère | Considération |
|---|---|
| Accréditation | COFRAC, UKAS, ou autre organisme reconnu |
| Expérience | Expertise ISO 27001, connaissance du secteur |
| Réputation | Références, track record |
| Coût | Pricing compétitif |
| Disponibilité | Peut respecter votre calendrier |
| Approche | Auditeurs pratiques, utiles |
Organismes d'accréditation
| Organisme | Région |
|---|---|
| COFRAC | France |
| UKAS | Royaume-Uni |
| ANAB | États-Unis |
| DAkkS | Allemagne |
| JAS-ANZ | Australie/Nouvelle-Zélande |
L'avantage Bastion
Processus de certification rationalisé
Bastion accélère chaque phase :
| Phase | Traditionnel | Avec Bastion |
|---|---|---|
| Analyse des écarts | 2-4 semaines | 1-2 semaines |
| Développement SMSI | 6-8 semaines | 3-4 semaines |
| Implémentation | 8-10 semaines | 4-6 semaines |
| Préparation audit | 2-4 semaines | 1-2 semaines |
| Total | 18-26 semaines | 9-14 semaines |
Ce que Bastion fournit
| Phase | Support Bastion |
|---|---|
| Planification | Lancement et planification de projet guidés par experts |
| Analyse des écarts | Évaluation automatisée + revue experte |
| Développement SMSI | Politiques pré-construites, personnalisation guidée |
| Implémentation | Roadmap priorisée, preuves automatisées |
| Audit interne | Support d'audit, remédiation des conclusions |
| Stage 1 & 2 | Préparation à l'audit, coordination |
| Maintenance | Monitoring continu, support de renouvellement |
Prêt à démarrer votre parcours de certification ? Parlez à notre équipe →