Maintenir la conformité ISO 27001 : Guide année après année

Points clés

Point	Résumé
Cycle de 3 ans	Année 1 : Certification → Années 2-3 : Audits de surveillance → Année 4 : Recertification
Audits de surveillance	Périmètre partiel (50-70% de l'initial), moins intensifs que la certification
Activités continues	Surveillance quotidienne, revues hebdomadaires, revues d'accès trimestrielles, évaluation des risques annuelle
Requis annuellement	Audit interne + revue de direction (avant l'audit de surveillance)
Défis courants	Fatigue compliance, dérive documentaire, expansion du périmètre, changements organisationnels

Réponse rapide : L'ISO 27001 a un cycle de certification de 3 ans avec des audits de surveillance aux Années 2-3. Maintenez votre SMSI via une surveillance quotidienne, des revues trimestrielles et des audits internes annuels. La recertification en Année 4 est un audit complet.

Le cycle de certification ISO 27001

Cycle de certification de 3 ans

Cycle de vie de la certification ISO 27001 :

Année 1 : Certification initiale :

• Implémentation
• Audit Stage 1
• Audit Stage 2
• Certificat émis ✓

Année 2 : Première surveillance :

• Opération SMSI continue
• Audit interne
• Revue de direction
• Audit de surveillance ✓

Année 3 : Seconde surveillance :

• Opération SMSI continue
• Audit interne
• Revue de direction
• Audit de surveillance ✓
• Préparer la recertification

Année 4 : Recertification :

• Audit complet
• Nouveau certificat 3 ans ✓
• Le cycle reprend

Surveillance vs Recertification

Type d'audit	Timing	Périmètre	Durée
Surveillance	Années 1-2 après certification	Partiel (échantillon)	50-70% de l'initial
Recertification	Année 3	SMSI complet	Similaire à l'initial

Activités SMSI continues

Activités quotidiennes

Activité	Responsable	Détails
Surveiller les événements sécurité	Sécurité/IT	Revoir les alertes et logs
Traiter les demandes d'accès	IT	Suivre les procédures d'accès
Gérer les incidents	Sécurité/IT	Répondre selon le processus incident

Activités hebdomadaires

Activité	Responsable	Détails
Revoir les métriques sécurité	Manager SMSI	Vérification tableau de bord
Traiter les éléments ouverts	Divers	Actions correctives, risques
Revue vulnérabilités	Sécurité	Résultats de scan, remédiation

Activités mensuelles

Activité	Responsable	Détails
Revue des preuves	Manager SMSI	Vérifier la fraîcheur des preuves
Vérifications ponctuelles des contrôles	Divers	Vérifier que les contrôles fonctionnent
Revue du registre des risques	Propriétaires risques	Mise à jour du statut
Reporting métriques	Manager SMSI	Compiler le rapport mensuel

Activités trimestrielles

Activité	Responsable	Détails
Revues d'accès	IT/Managers	Revoir et certifier les accès
Mise à jour évaluation des risques	Manager SMSI	Rafraîchir le registre des risques
Revue des politiques	Manager SMSI	Vérifier les mises à jour nécessaires
Statut formation	RH	Suivi des complétions

Activités annuelles

Activité	Responsable	Détails
Revue complète des politiques	Manager SMSI	Revoir et mettre à jour toutes les politiques
Évaluation complète des risques	Manager SMSI	Rafraîchissement complet des risques
Audit interne	Auditeur	Audit SMSI complet
Revue de direction	Leadership	Revue formelle du SMSI
Test d'intrusion	Sécurité	Évaluation sécurité annuelle
Audit de surveillance	Organisme de certification	Vérification externe

Calendrier de maintenance trimestriel

T1 : Revue post-audit

Si l'audit était au T4 :

• Traiter tous les constats d'audit
• Documenter les leçons apprises
• Mettre à jour les processus selon le feedback
• Planifier les améliorations pour l'année

Tâches T1 standards :

• Revue d'accès T4 (pour le trimestre précédent)
• Revoir les objectifs sécurité pour l'année
• Planifier le calendrier d'audit interne
• Revue du budget sécurité

T2 : Focus opérations

Opérations sécurité :

• Revue d'accès T1
• Revue gestion des vulnérabilités
• Exercice/tabletop réponse aux incidents
• Vérification complétion formation

Documentation :

• Vérification ponctuelle des politiques mi-année
• Mettre à jour les procédures pour tout changement
• Revoir l'exactitude de la SoA

T3 : Préparation pré-audit

Si l'audit est au T4 :

• Audit interne
• Traiter les constats d'audit interne
• Préparer la revue de direction
• Revue de la collecte de preuves

Tâches T3 standards :

• Revue d'accès T2
• Test d'intrusion (si annuel)
• Test de continuité d'activité
• Mise à jour de la revue fournisseurs

T4 : Audit et renouvellement

Audit de surveillance/recertification :

• Préparation finale des preuves
• Conduire l'audit externe
• Traiter tous les constats
• Recevoir la certification continue

Activités de fin d'année :

• Revue d'accès T3
• Compléter les revues de politiques
• Finaliser la formation annuelle
• Planifier pour l'année prochaine

Gérer les défis courants

Défi 1 : Fatigue compliance

Symptômes :

• Les contrôles commencent à glisser
• La documentation devient obsolète
• Les gens perdent le focus sur le SMSI

Solutions :

Approche	Action
Automatiser	Utiliser des outils pour la collecte de preuves
Intégrer	Construire le SMSI dans les workflows quotidiens
Célébrer	Reconnaître les réussites compliance
Simplifier	Supprimer la complexité inutile

Défi 2 : Changements organisationnels

Déclencheurs :

• Nouveaux employés qui arrivent
• Employés qui partent
• Changements de rôle
• Restructuration organisationnelle

Réponse :

Changement	Action SMSI
Nouvelle embauche	Formation onboarding, provisioning d'accès
Départ	Retrait d'accès, transfert de connaissances
Changement de rôle	Revue d'accès, mise à jour responsabilités
Restructuration	Revue périmètre SMSI, mise à jour propriétés

Défi 3 : Changements système

Déclencheurs :

• Nouvelles applications déployées
• Changements d'infrastructure
• Migrations cloud
• Acquisitions

Réponse :

Changement	Action SMSI
Nouveau système	Évaluation des risques, implémentation contrôles
Changement majeur	Gestion des changements, mise à jour SoA
Migration	Revue sécurité, mise à jour documentation
Acquisition	Revue périmètre, planification intégration

Défi 4 : Dérive des contrôles

Symptômes :

• Contrôles fonctionnant différemment de ce qui est documenté
• Preuves ne correspondant pas à la politique
• Constats d'audit en augmentation

Solutions :

Approche	Action
Surveiller	Tests réguliers des contrôles
Alerter	Vérifications compliance automatisées
Revoir	Auto-évaluations périodiques
Corriger	Traiter la dérive immédiatement

Défi 5 : Documentation obsolète

Symptômes :

• Politiques ne reflétant pas les pratiques actuelles
• Procédures obsolètes
• SoA inexacte

Solutions :

Approche	Action
Planifier	Calendrier de revue régulier
Déclencher	Mettre à jour lors de changements de processus
Automatiser	Contrôle de version et rappels
Assigner	Propriété documentaire claire

Préparation à l'audit de surveillance

Ce que les auditeurs vérifient

Zone de focus	Intérêt auditeur
Constats précédents	Ont-ils été traités ?
Changements	Qu'est-ce qui a changé depuis le dernier audit ?
Efficacité	Le SMSI fonctionne-t-il ?
Contrôles échantillonnés	Fonctionnent-ils comme décrit ?
Preuves	Sont-elles actuelles et complètes ?

Timeline de préparation 3 mois

3 mois avant :

• Revoir les constats d'audit précédents
• Vérifier la complétion des actions correctives
• Planifier l'audit interne
• Identifier tout changement de périmètre

2 mois avant :

• Compléter l'audit interne
• Traiter les constats d'audit interne
• Tenir la revue de direction
• Mettre à jour la documentation

1 mois avant :

• Revue finale des preuves
• Compléter toute formation en suspens
• Briefer l'équipe sur le processus d'audit
• Confirmer la logistique d'audit

1 semaine avant :

• Vérification finale des preuves
• Préparer l'espace de travail audit
• Confirmer les arrangements avec l'auditeur
• Briefer le personnel clé

Préparation des preuves

Type de preuve	Fraîcheur requise
Revues d'accès	Trimestre actuel
Enregistrements de formation	Dans les 12 mois
Évaluation des risques	Dans les 12 mois
Revues de politiques	Dans les 12 mois
Scans de vulnérabilités	Mois actuel
Enregistrements d'incidents	Période depuis le dernier audit

Amélioration continue

Exigée par l'ISO 27001

La clause 10.2 exige l'amélioration continue :

"L'organisation doit continuellement améliorer la pertinence, l'adéquation et l'efficacité du SMSI."

Sources d'amélioration

Source	Exemples
Constats d'audit	Internes et externes
Analyse d'incidents	Leçons apprises
Changements de risques	Risques nouveaux ou modifiés
Données de performance	Métriques et tendances
Bonnes pratiques	Évolutions de l'industrie
Feedback	Des parties prenantes

Suivi des améliorations

ID Amélioration	Source	Description	Statut	Responsable
IMP-2024-001	Audit	Automatiser les revues d'accès	En cours	IT
IMP-2024-002	Incident	Améliorer la capacité de détection	Terminé	Sécurité
IMP-2024-003	Métriques	Réduire le backlog de vulnérabilités	En cours	DevOps

Métriques clés à surveiller

Métriques opérationnelles

Métrique	Cible	Fréquence
Complétion revues d'accès	100%	Trimestrielle
Complétion formation	100%	Mensuelle
SLA remédiation vulnérabilités	>90%	Hebdomadaire
Temps de réponse incident	<4 heures	Par incident
Conformité patching	>95%	Mensuelle

Métriques santé SMSI

Métrique	Cible	Fréquence
Constats audit ouverts	0 majeur	Mensuelle
Efficacité des contrôles	>95%	Trimestrielle
Actualité registre des risques	<30 jours	Mensuelle
Statut revue politiques	Dans les temps	Mensuelle
Fraîcheur des preuves	Actuelle	Mensuelle

Exemple de tableau de bord

Tableau de bord santé SMSI :

Statut global : ✓ Sain

Métrique	Statut
Revues d'accès	✓ 100%
Formation	✓ 98%
Vulnérabilités	✓ 94% SLA
Constats ouverts	✓ 0 majeur
Registre des risques	✓ Actuel
Jours avant audit	45
Statut preuves	✓ Actuel
Statut politiques	✓ Actuel
Incidents MTD	2

Activité récente :

• Revue d'accès T2 complétée (15 juin)
• Formation sensibilisation sécurité déployée (10 juin)
• Revue trimestrielle registre des risques (5 juin)

Revue de direction

Quand la conduire

• Au moins annuellement (plus fréquent recommandé)
• Après des changements significatifs
• Après des incidents majeurs
• Avant les audits de certification

Entrées requises

Entrée	Source
Actions de la revue précédente	Dernière revue de direction
Changements internes/externes	Surveillance du contexte
Feedback performance SMSI	Métriques, audits, incidents
Feedback parties prenantes	Clients, régulateurs
Résultats évaluation des risques	Registre des risques
Opportunités d'amélioration	Sources diverses

Sorties requises

Sortie	Action
Décisions d'amélioration	Quoi améliorer
Changements SMSI	Quoi modifier
Besoins en ressources	Ce qui est requis

Template d'agenda de réunion

Réunion de revue de direction :

1. Revue des actions de la réunion précédente (10 min) :

• Statut de chaque élément d'action

2. Changements affectant le SMSI (15 min) :

• Changements externes (réglementaires, menaces)
• Changements internes (org, systèmes)

3. Revue de performance SMSI (20 min) :

• Vue d'ensemble des métriques
• Résultats d'audit
• Résumé des incidents
• Statut des non-conformités

4. Statut évaluation des risques (15 min) :

• Mises à jour registre des risques
• Risques nouveaux/modifiés
• Efficacité du traitement

5. Opportunités d'amélioration (15 min) :

• Améliorations proposées
• Besoins en ressources

6. Décisions et actions (15 min) :

• Approuver les améliorations
• Allouer les ressources
• Assigner les éléments d'action

L'avantage Bastion pour la maintenance

Compliance continue

Bastion rend la maintenance sans effort :

Défi	Solution Bastion
Fraîcheur des preuves	Collecte automatisée continue
Surveillance des contrôles	Suivi d'efficacité en temps réel
Préparation audit	Toujours prêt pour l'audit
Documentation	Contrôle de version automatique
Rappels	Notifications de tâches planifiées

Support continu

Votre vCISO aide avec :

• Revues SMSI trimestrielles
• Préparation à l'audit
• Guidance incident
• Amélioration continue
• Support revue de direction

Coût de la maintenance

Aspect maintenance	Sans Bastion	Avec Bastion
Effort annuel	300-500 heures	100-200 heures
Préparation surveillance	40-80 heures	10-20 heures
Gestion des preuves	Manuelle	Automatisée
Support expert	Coût supplémentaire	Inclus

---

Besoin d'aide pour maintenir votre certification ISO 27001 ? Parlez à notre équipe →