Combien de temps prend l'ISO 27001 ?
L'un des avantages de l'ISO 27001 par rapport à d'autres référentiels est qu'il n'y a pas de période d'observation obligatoire. Une fois que vous avez implémenté votre Système de Management de la Sécurité de l'Information, vous pouvez procéder à la certification.
Points clés
| Point | Résumé |
|---|---|
| Délai typique | 3-4 mois avec accompagnement expert |
| Pas de période d'observation | Contrairement au SOC 2, l'ISO 27001 n'a pas de période d'attente obligatoire |
| Audit en deux étapes | Stage 1 (revue documentation) + Stage 2 (vérification implémentation) |
| Phases clés | Implémentation → Audit interne → Stage 1 → Stage 2 → Certificat |
| Facteurs affectant le délai | Taille de l'entreprise, complexité du périmètre, maturité sécurité existante |
Réponse rapide : L'ISO 27001 prend généralement 3-4 mois du lancement à la certification avec un accompagnement expérimenté. L'absence de période d'observation obligatoire permet un chemin vers la certification plus efficace par rapport à certaines alternatives.
Aperçu du délai typique
| Phase | Durée |
|---|---|
| Évaluation & Planification | 1-2 semaines |
| Implémentation | 6-8 semaines |
| Audit interne | 1 semaine |
| Audit Stage 1 | 1 semaine |
| Audit Stage 2 | 1-2 semaines |
| Émission du certificat | 2-3 semaines |
| Total | 3-4 mois |
*Les délais varient selon la taille de l'entreprise, sa complexité et sa maturité initiale en matière de sécurité.
Travailler avec un partenaire expérimenté peut vous aider à avancer efficacement à travers chaque phase, car ils peuvent gérer une grande partie du travail de documentation et de préparation pendant que votre équipe se concentre sur la revue, l'approbation et les activités métier principales.
Comprendre chaque phase
Évaluation & Planification (Semaines 1-2)
Le projet commence par la compréhension de votre organisation :
- Définition du périmètre de votre SMSI
- Évaluation des pratiques de sécurité actuelles par rapport aux exigences
- Identification des écarts et planification de l'implémentation
- Établissement de la méthodologie d'évaluation des risques
Implémentation (Semaines 3-10)
La phase d'implémentation principale implique :
- Développement des politiques et procédures requises
- Implémentation des contrôles de sécurité
- Mise en place des processus de collecte de preuves
- Complétion de la formation de sensibilisation à la sécurité requise
- Création de la Déclaration d'Applicabilité
Travailler avec un partenaire de services managés signifie qu'une grande partie de ce travail est géré pour vous. Ils fournissent des templates, rédigent la documentation et guident l'implémentation, permettant à votre équipe de se concentrer sur la revue et l'approbation.
Audit interne (Semaine 11)
L'ISO 27001 exige un audit interne avant la certification :
- Revue de la documentation et de l'implémentation du SMSI
- Identification des écarts ou non-conformités
- Complétion de la revue de direction
- Traitement des conclusions avant l'audit externe
Audits de certification (Semaines 12-14)
Stage 1 (Revue de documentation) :
- L'auditeur revoit la documentation du SMSI
- Confirme la préparation pour le Stage 2
- Identifie les écarts significatifs
- Généralement 1 jour pour les petites organisations
Stage 2 (Vérification de l'implémentation) :
- Vérification que les contrôles sont implémentés
- Revue des preuves et tests
- Interviews avec le personnel clé
- Généralement 2-3 jours pour les petites organisations
Émission du certificat (Semaines 14-16)
Après un Stage 2 réussi :
- L'auditeur soumet ses conclusions
- Les non-conformités mineures sont traitées
- Le certificat est émis par l'organisme de certification
- Vous êtes certifié ISO 27001
Délai selon la taille de l'organisation
Petites organisations (10-50 employés)
| Phase | Durée typique |
|---|---|
| Implémentation | 6 semaines |
| Audit interne | 3-4 jours |
| Audit Stage 1 | 1 jour |
| Audit Stage 2 | 2 jours |
| Total | 3 mois |
Avantages :
- Moins de systèmes à documenter
- Processus de décision plus simples
- Périmètre moins complexe
- Durée d'audit plus courte
Organisations moyennes (50-150 employés)
| Phase | Durée typique |
|---|---|
| Implémentation | 8 semaines |
| Audit interne | 1 semaine |
| Audit Stage 1 | 1-2 jours |
| Audit Stage 2 | 3-4 jours |
| Total | 3,5-4 mois |
Considérations :
- Plus de parties prenantes à coordonner
- Plus de systèmes généralement dans le périmètre
- Effort de collecte de preuves plus important
- Revue plus complète par l'auditeur
Grandes organisations (150+ employés)
| Phase | Durée typique |
|---|---|
| Implémentation | 10-12 semaines |
| Audit interne | 2 semaines |
| Audit Stage 1 | 2-3 jours |
| Audit Stage 2 | 4-5 jours |
| Total | 4-5 mois |
Considérations :
- Multiples équipes et départements
- Définition de périmètre complexe
- Exigences documentaires extensives
- Engagements d'audit plus longs
Facteurs qui influencent le délai
Accélérateurs
| Facteur | Impact |
|---|---|
| Conformité SOC 2 existante | Économies de temps significatives (typiquement ~70% de chevauchement des contrôles pour les entreprises SaaS) |
| Infrastructure cloud moderne | Beaucoup de contrôles déjà intégrés |
| Coordination de projet dédiée | Maintient l'élan tout au long |
| Guidance experte dès le début | Évite la courbe d'apprentissage et les reprises |
| Templates de politiques pré-construits | Accélère la phase de documentation |
Retards potentiels
| Facteur | Impact |
|---|---|
| Périmètre flou ou changeant | Peut ajouter des semaines à la planification |
| Attention à temps partiel | Ralentit la prise de décision |
| Capacité d'audit interne manquante | Peut nécessiter un support externe |
| Écarts de documentation | Nécessite une préparation supplémentaire |
| Non-conformités majeures à l'audit | Peut nécessiter un audit de suivi |
Le processus d'audit en deux étapes
Stage 1 : Revue de documentation
Ce que les auditeurs évaluent :
- La documentation du SMSI est-elle complète ?
- L'évaluation des risques a-t-elle été conduite ?
- La Déclaration d'Applicabilité est-elle appropriée ?
- Êtes-vous prêt pour le Stage 2 ?
Cette étape survient généralement 2-4 semaines avant le Stage 2, donnant le temps de traiter les écarts identifiés.
Stage 2 : Vérification de l'implémentation
Ce que les auditeurs vérifient :
- Les contrôles documentés sont-ils réellement implémentés ?
- Les preuves soutiennent-elles vos affirmations ?
- Le personnel comprend-il ses responsabilités de sécurité ?
- Le SMSI fonctionne-t-il efficacement ?
Après l'audit
| Résultat | Délai typique jusqu'au certificat |
|---|---|
| Pas de conclusions | 2-3 semaines |
| Non-conformités mineures uniquement | 4-6 semaines (après soumission des preuves) |
| Non-conformités majeures | Variable (peut nécessiter audit de suivi) |
Les organisations avec une préparation appropriée et une guidance experte obtiennent généralement la certification avec des conclusions minimales.
Considérations multi-référentiels
Poursuivre ISO 27001 et SOC 2 ensemble
Typiquement pour les entreprises SaaS, le ~70% de chevauchement entre les référentiels crée de l'efficacité :
| Approche | Délai |
|---|---|
| ISO 27001 seul | 3-4 mois |
| SOC 2 seul | 4,5-6 mois |
| Les deux ensemble | 5-6 mois au total |
Vous pouvez souvent obtenir la certification ISO 27001 en premier (pas de période d'observation), puis continuer avec la période d'observation SOC 2.
Ajouter l'ISO 27001 à un SOC 2 existant
Si vous avez déjà la conformité SOC 2 :
- De nombreux contrôles déjà implémentés
- Processus de collecte de preuves établis
- Équipe familière avec les processus de compliance
- Délai additionnel : 6-8 semaines
Audits de surveillance : Années 2-3
Après la certification initiale, les audits de surveillance annuels sont moins intensifs :
| Aspect | Certification initiale | Audits de surveillance |
|---|---|---|
| Durée d'audit | 3-5 jours | 1-2 jours |
| Périmètre | SMSI complet | Sous-ensemble de contrôles |
| Focus | Tout | Changements et échantillons |
La recertification en Année 4 est similaire en périmètre à la certification initiale.
Planifier votre calendrier
En planifiant à rebours depuis une date cible :
| Jalon | Timing avant la cible |
|---|---|
| Lancement du projet | 16 semaines |
| Début de l'implémentation | 14 semaines |
| Implémentation complète | 6 semaines |
| Audit interne | 5 semaines |
| Audit Stage 1 | 4 semaines |
| Audit Stage 2 | 2 semaines |
| Cible du certificat | Date cible |
Nous recommandons d'intégrer une marge pour les retards imprévus.
Questions courantes
Le délai peut-il être significativement raccourci ?
Bien que certaines organisations avec de solides pratiques de sécurité existantes puissent aller plus vite, nous recommandons généralement des délais réalistes qui permettent une implémentation de qualité. Se précipiter peut mener à des conclusions d'audit et finalement prendre plus de temps.
Que se passe-t-il si le Stage 2 trouve des problèmes significatifs ?
Les non-conformités majeures doivent être résolues avant l'émission du certificat. Une préparation appropriée (incluant un audit interne approfondi) aide à éviter ce scénario. Les organisations travaillant avec des partenaires expérimentés rencontrent rarement des conclusions majeures.
Les audits sont-ils conduits à distance ?
De plus en plus, oui. Pour les organisations cloud-native sans traitement de données on-premise, les audits à distance sont courants. Certains organismes de certification peuvent préférer une journée sur site pour le Stage 2.
Peut-on changer d'organisme de certification plus tard ?
Oui, bien que cela ajoute quelques frictions car le nouvel auditeur doit se familiariser avec votre environnement. La plupart des organisations maintiennent la continuité avec leur organisme de certification sauf s'il y a une raison impérieuse de changer.
La valeur du support expert
Travailler avec un partenaire de services managés offre plusieurs avantages en termes de délai :
- Implémentation efficace : Les templates et la guidance accélèrent la documentation
- Choses bien faites du premier coup : Éviter les reprises et itérations coûteuses
- Mains supplémentaires pour le gros du travail : Votre équipe peut se concentrer sur le travail principal
- Préparation à l'audit : Les revues pré-audit détectent les problèmes avant la certification
- Support d'audit interne : L'audit requis géré par des professionnels expérimentés
L'alternative (apprendre le référentiel tout en l'implémentant) étend généralement les délais et augmente le risque de complications.
Prêt à discuter de votre calendrier ? Parlez à notre équipe et nous vous aiderons à planifier votre chemin de certification.
Sources
- ISO/IEC 27001:2022 - Spécification officielle de la norme ISO 27001
- ISO/IEC 27006:2015 - Exigences pour les organismes fournissant l'audit et la certification