ISO 270019 min de lectureMis à jour mars 2026

Audits externes ISO 27001 : À quoi s'attendre

Les audits externes sont la dernière étape pour obtenir la certification ISO 27001. Comprendre ce que les auditeurs recherchent et comment le processus fonctionne vous aide à vous préparer efficacement et à aborder les audits avec confiance.

Robin Coste

•

Co-founder

Robin is a co-founder of Bastion, bringing extensive experience in compliance automation and security strategy. Previously, he led compliance as a tech lead at Palantir. He helps startups navigate the complexities of SOC 2 and ISO 27001 certification.

SOC 2ISO 27001Compliance AutomationSecurity Strategy

Points clés

Point	Résumé
Processus en deux étapes	Stage 1 (revue documentaire) + Stage 2 (vérification de l'implémentation)
Durée typique	Stage 1 : 1 jour ; Stage 2 : 2-5 jours (varie selon la taille de l'organisation)
Approche auditeur	Basée sur l'échantillonnage : les auditeurs vérifient des preuves représentatives, pas tout
Options de résultat	Certification recommandée, non-conformités mineures, non-conformités majeures
Après certification	Audits de surveillance annuels + recertification tous les 3 ans

Réponse rapide : La certification ISO 27001 implique deux étapes d'audit. Le Stage 1 revoit votre documentation pour vérifier la complétude. Le Stage 2 vérifie que vos contrôles sont réellement implémentés. La plupart des organisations reçoivent la certification avec des constats mineurs facilement adressables. La préparation est clé : un audit interne approfondi au préalable détecte la plupart des problèmes.

Le processus d'audit en deux étapes

Pourquoi deux étapes ?

L'audit en deux étapes assure que les organisations sont véritablement prêtes avant l'audit de certification complet. Il est conçu pour :

Confirmer que la documentation est complète avant la revue détaillée
Identifier les gaps majeurs qui empêcheraient la certification
Permettre du temps pour adresser les problèmes entre les étapes
Rendre le Stage 2 plus efficace et focalisé

Stage 1 : Revue documentaire

Objectif : Vérifier que votre documentation SMSI est complète et que vous êtes prêt pour le Stage 2.

Ce que les auditeurs revoient :

Documentation du périmètre et du contexte SMSI
Politique de sécurité de l'information
Méthodologie et résultats de l'évaluation des risques
Déclaration d'Applicabilité (SoA)
Plan de traitement des risques
Résultats de l'audit interne
Enregistrements de la revue de direction

Durée typique : 1 jour pour les petites organisations ; 2-3 jours pour les plus grandes.

Résultats :

Prêt pour le Stage 2 (avec ou sans observations mineures)
Pas prêt pour le Stage 2 (gaps significatifs identifiés)

Intervalle entre Stage 1 et Stage 2 : Typiquement 2-4 semaines, permettant du temps pour adresser les problèmes identifiés.

Stage 2 : Vérification de l'implémentation

Objectif : Vérifier que vos contrôles documentés sont réellement implémentés et efficaces.

Ce que font les auditeurs :

Revoir les preuves d'implémentation des contrôles
Conduire des interviews avec le personnel
Tester les contrôles par échantillonnage
Vérifier que les processus correspondent à la documentation
Évaluer l'efficacité du SMSI

Durée typique : 2-3 jours pour les petites organisations ; 4-5 jours pour les plus grandes.

Méthodes utilisées :

Revue documentaire
Interviews avec différents rôles
Démonstrations système
Échantillonnage de preuves
Observation des processus

Ce que les auditeurs recherchent

Exigences fondamentales du SMSI

Clause	Ce que les auditeurs vérifient
4. Contexte	Périmètre défini, parties intéressées identifiées
5. Leadership	Engagement du management, politique approuvée
6. Planification	Évaluation des risques complète, objectifs définis
7. Support	Ressources, compétence, sensibilisation, communication
8. Opération	Contrôles implémentés, processus suivis
9. Évaluation	Surveillance, audit interne, revue de direction
10. Amélioration	Non-conformités adressées, amélioration continue

Vérification des contrôles

Les auditeurs vérifient les contrôles de l'Annexe A par échantillonnage :

Domaine de contrôle	Exemples de preuves revues
Contrôle d'accès	Listes d'accès utilisateurs, revues de privilèges, configuration MFA
Gestion des changements	Tickets de changement, enregistrements d'approbation, preuves de test
Réponse aux incidents	Enregistrements d'incidents, procédures de réponse, leçons apprises
Sensibilisation sécurité	Enregistrements de formation, taux de complétion, contenu
Gestion des fournisseurs	Évaluations fournisseurs, contrats, enregistrements de surveillance
Sécurité physique	Logs d'accès, procédures visiteurs, contrôles des locaux

Documents clés demandés par les auditeurs

Document	Objectif
Politique de sécurité de l'information	Fondation du SMSI
Évaluation des risques	Compréhension des menaces et risques
Déclaration d'Applicabilité	Justification de la sélection des contrôles
Plan de traitement des risques	Comment les risques sont adressés
Rapport d'audit interne	Résultats de l'auto-évaluation
Procès-verbal de revue de direction	Preuve d'engagement du leadership
Politiques et procédures	Contrôles documentés
Preuves d'opération des contrôles	Preuve que les contrôles fonctionnent

Constats d'audit expliqués

Types de constats

Type de constat	Définition	Impact
Non-conformité majeure	Défaillance significative à satisfaire une exigence	Empêche la certification jusqu'à résolution
Non-conformité mineure	Problème isolé qui ne compromet pas le SMSI	La certification peut procéder ; doit résoudre avant l'audit de surveillance
Observation	Zone d'amélioration potentielle	Aucune action requise ; à considérer
Opportunité d'amélioration	Suggestion d'amélioration	Aucune action requise

Exemples de chaque type

Exemples de non-conformité majeure :

Pas d'évaluation des risques conduite
Déclaration d'Applicabilité manquante
Pas d'audit interne réalisé
Revue de direction non complétée
Contrôle de sécurité critique non implémenté

Exemples de non-conformité mineure :

Revue d'accès non complétée pour un trimestre
Document de politique unique sans date d'approbation
Enregistrements de formation incomplets pour 2-3 employés
Preuve d'un contrôle partiellement manquante

Exemples d'observation :

L'évaluation des risques pourrait inclure plus de détails
Les métriques sécurité pourraient être plus complètes
Le format de documentation pourrait être standardisé

Adresser les non-conformités

Pour les non-conformités majeures :

Doivent être résolues avant certification
Nécessitent une soumission de preuves supplémentaires
Peuvent nécessiter une visite d'audit de suivi
Timeline : typiquement 4-12 semaines

Pour les non-conformités mineures :

Peuvent recevoir la certification avec des constats mineurs
Doivent résoudre avant le prochain audit de surveillance
Soumettre les preuves de résolution
Timeline : typiquement sous 90 jours ou avant l'audit de surveillance

Attentes pour les interviews

Qui est interviewé

Rôle	Sujets couverts
Management/Exécutif	Engagement, politique, ressources, appétit au risque
Propriétaire/Manager SMSI	Opération SMSI, évaluation des risques, contrôles
IT/Sécurité	Contrôles techniques, surveillance, réponse aux incidents
RH	Contrôles personnel, screening, formation, départ
Opérations	Processus métier, gestion des changements
Personnel général	Sensibilisation, compréhension des politiques, procédures

Questions d'interview courantes

Pour le management :

Comment la sécurité de l'information est-elle priorisée ?
Quelles ressources sont allouées à la sécurité ?
Comment êtes-vous tenu informé du statut de sécurité ?

Pour Sécurité/IT :

Décrivez-moi votre processus de provisioning d'accès
Comment gérez-vous les incidents de sécurité ?
Montrez-moi des preuves de gestion récente des vulnérabilités

Pour le personnel :

Que feriez-vous si vous soupçonniez un incident de sécurité ?
Quelle formation sécurité avez-vous reçue ?
Comment protégez-vous les informations sensibles ?

Conseils pour les interviews

Répondez honnêtement, les auditeurs apprécient la franchise
Si vous ne savez pas, dites-le et proposez de vous renseigner
Démontrez une compréhension pratique, pas juste une récitation de politique
Ayez les preuves prêtes pour supporter vos réponses
Demandez des clarifications si les questions ne sont pas claires

Bonnes pratiques de préparation à l'audit

Checklist pré-audit

Documentation :

Tous les documents requis complets et à jour
Contrôle de version et dates d'approbation en place
Documents accessibles et organisés
Déclaration d'Applicabilité exacte

Preuves :

Preuves collectées pour tous les contrôles applicables
Preuves couvrant la période pertinente
Preuves organisées et accessibles
Gaps identifiés et adressés

Personnel :

Personnel clé disponible pendant l'audit
Staff briefé sur le processus d'audit
Questions d'interview pratiquées
Rôles et responsabilités clairs

Technique :

Systèmes accessibles pour démonstration
Partage d'écran/accès distant fonctionnel
Preuves de configuration préparées
Outils de sécurité prêts à démontrer

Pièges d'audit courants

Piège	Comment éviter
Preuves manquantes	Collecter les preuves avant l'audit
Documentation obsolète	Revoir et mettre à jour tous les docs au préalable
Personnel pas au courant des politiques	Conduire une formation de sensibilisation
Pas d'audit interne	Compléter l'audit interne 4-6 semaines avant
Revue de direction manquante	Planifier la revue avant l'audit
Problèmes techniques	Tester les systèmes et accès au préalable

Après l'audit

Recevoir votre certificat

Après un Stage 2 réussi :

L'auditeur soumet le rapport à l'organisme de certification
Revue technique par l'organisme de certification
Soumission des preuves de non-conformité mineure (le cas échéant)
Certificat émis
Listé dans le registre de l'organisme de certification

Timeline : Typiquement 2-4 semaines après le Stage 2 (en supposant pas de non-conformités majeures).

Audits de surveillance (Années 2-3)

Les audits de surveillance annuels maintiennent la certification :

Aspect	Audit de surveillance
Durée	1-2 jours (50-70% de l'initial)
Focus	Changements depuis le dernier audit, échantillon de contrôles
Périmètre	Couverture partielle du SMSI (zones différentes chaque année)
Résultat	Certification continuée ou constats

Recertification (Année 4)

Audit de recertification complet tous les trois ans :

Aspect	Audit de recertification
Durée	Similaire à la certification initiale
Focus	Couverture complète du SMSI
Périmètre	Revue complète de toutes les exigences
Résultat	Nouveau certificat 3 ans

Choisir un organisme de certification

Ce qu'il faut considérer

Facteur	Considération
Accréditation	Doit être accrédité par un organisme reconnu (UKAS, COFRAC, etc.)
Expérience	Familiarité avec votre industrie et taille
Disponibilité	Alignement de la timeline avec vos besoins
Coût	Prix compétitif pour un périmètre similaire
Réputation	Références clients et avis
Approche	Style collaboratif vs adversarial

Organismes d'accréditation

Assurez-vous que votre organisme de certification est accrédité par un organisme d'accréditation reconnu :

COFRAC (France)
UKAS (UK)
DAkkS (Allemagne)
ANAB (US)
Autres organismes d'accréditation nationaux

Questions courantes

Les audits peuvent-ils être conduits à distance ?

Oui. Les audits à distance sont devenus courants, surtout pour les organisations cloud-native. Certains organismes de certification peuvent préférer une journée sur site pour le Stage 2, mais les audits entièrement à distance sont de plus en plus acceptés.

Quel délai de préavis avons-nous avant les audits ?

Vous planifiez typiquement les audits 4-8 semaines à l'avance pour la certification initiale. Les audits de surveillance sont planifiés annuellement pendant votre cycle de certification.

Que se passe-t-il si on échoue ?

Les non-conformités majeures empêchent la certification jusqu'à résolution. Vous aurez l'opportunité d'adresser les constats et de soumettre des preuves ou de subir un audit de suivi. Échouer complètement est rare avec une préparation appropriée.

Peut-on changer d'organisme de certification ?

Oui, via un "audit de transfert". Le nouvel organisme de certification revoit votre certification existante et conduit un audit pour prendre la suite. Cela ajoute quelques frictions mais c'est possible.

Travailler avec Bastion

Nous aidons les organisations à se préparer et naviguer les audits externes :

Domaine de support	Ce que nous fournissons
Revue pré-audit	Identifier et adresser les gaps avant l'audit
Préparation des preuves	Organiser la documentation et les preuves
Coordination d'audit	Planifier et gérer la logistique avec l'auditeur
Préparation aux interviews	Briefer les membres de l'équipe sur les attentes de l'audit
Résolution des constats	Aider à adresser toutes les non-conformités
Support continu	Préparer pour les audits de surveillance

Prêt à préparer votre audit ISO 27001 ? Parlez à notre équipe

Sources

ISO/IEC 27001:2022 - Exigences pour le SMSI
ISO/IEC 27006:2015 - Exigences pour les organismes d'audit et de certification
International Accreditation Forum - Information sur les organismes d'accréditation

← PrécédentISO 27701 : Système de Management des Informations sur la Vie Privée (PIMS)Suivant →Exigences documentaires ISO 27001

Retour aux guides ISO 27001

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company