Audit ISO 27001 pour les organisations qui veulent être conformes de manière démontrable
Un audit ISO 27001 vérifie si votre système de management de la sécurité de l'information (ISMS) fonctionne de manière démontrable dans la pratique — et pas seulement sur le papier. Un auditeur indépendant évalue le contexte de l'organisation, l'analyse des risques, le Statement of Applicability, les mesures de sécurité, l'audit interne, la revue de direction et les actions d'amélioration. Vous recevez un rapport de constats clair, avec preuves, risques et points d'amélioration concrets. Vous passez ainsi de documents épars à un ISMS qui fonctionne de manière démontrable et prêt pour l'audit de certification.
Qu'est-ce qu'un audit ISO 27001 ?
Lors d'un audit ISO 27001, un auditeur évalue si votre ISMS répond à l'ISO/IEC 27001:2022 et s'il fonctionne. Cela se fait au moyen d'une revue documentaire, d'entretiens et d'échantillonnages de preuves. L'auditeur suit les principes de l'ISO 19011 : indépendance, approche fondée sur les preuves et rapport honnête.
À qui cela s'adresse-t-il ?
Aux organisations qui souhaitent obtenir l'ISO 27001, conserver leur certificat, ou faire réaliser un audit interne indépendant. Également aux entreprises à qui des clients ou un appel d'offres demandent de maîtriser la sécurité de l'information de manière démontrable.
Quels problèmes résolvons-nous ?
- Des politiques et une analyse des risques qui ne correspondent pas à la pratique.
- Un Statement of Applicability non justifié.
- Un audit interne et une revue de direction absents ou purement formels.
- L'incertitude quant à la réussite de l'audit de certification.
Notre approche en 5 étapes
- Définir le périmètre — limites, objectifs et contexte de l'ISMS.
- Revue documentaire — politiques, analyse des risques et SoA par rapport à la norme.
- Entretiens & échantillonnages — la politique fonctionne-t-elle de manière démontrable ?
- Rapport de constats — preuves, risques et priorités.
- Plan d'amélioration & suivi — actions concrètes vers la certification.
Preuves : ce que l'auditeur veut voir
Un auditeur recherche des preuves que la politique est appliquée : registres de risques complétés, audits internes réalisés, comptes rendus de la revue de direction, journalisation, revues d'accès et actions d'amélioration suivies. Nous vous aidons à rendre ces preuves démontrables et faciles à trouver.
Ce que vous obtenez (livrables)
- Rapport de constats avec non-conformités et observations.
- Priorisation selon le risque et l'impact.
- Plan d'amélioration pratique avec planning.
- Conseil sur la voie vers un audit combiné ou la certification.
ISO/IEC 27001 — page officielle de la norme (source officielle).
Questions fréquentes
Des réponses courtes et directes — rédigées pour les humains comme pour les moteurs de recherche IA.
Un audit ISO 27001 est une évaluation indépendante de votre système de management de la sécurité de l'information (ISMS). L'auditeur vérifie si vous répondez aux exigences de l'ISO/IEC 27001 et, plus important encore, si le système fonctionne de manière démontrable. Il évalue notamment le contexte, l'analyse des risques, le Statement of Applicability, les mesures de sécurité, l'audit interne et la revue de direction. Le résultat est un rapport présentant les constats, les risques et les points d'amélioration.
L'auditeur vérifie si une politique existe non seulement mais est également appliquée. Concrètement, il examine le périmètre et le contexte, l'évaluation et le traitement des risques, le Statement of Applicability, le fonctionnement des mesures de sécurité techniques et organisationnelles, la sensibilisation des collaborateurs, les audits internes, la revue de direction et le suivi des actions d'amélioration. Il recueille des preuves au moyen de documents, d'entretiens et d'échantillonnages sur le terrain.
Les coûts dépendent du périmètre, du nombre de sites, du nombre de collaborateurs et de la maturité de votre ISMS. Une analyse d'écart ou un audit interne est généralement plus limité qu'un parcours de certification complet. Les coûts du certificat lui-même sont déterminés par l'organisme de certification, et non par nous. Planifiez un scan d'audit sans engagement pour obtenir une estimation adaptée à votre situation.
Commencez par une analyse d'écart pour voir où vous en êtes. Veillez à ce que le périmètre soit clair, que l'analyse des risques soit à jour et liée au Statement of Applicability, et que les politiques et procédures soient réellement utilisées. Réalisez au moins un audit interne et une revue de direction et consignez les actions d'amélioration. Un pré-audit simule l'audit réel et élimine au préalable les mauvaises surprises.
Un audit interne fait partie de votre propre ISMS et peut être réalisé par un auditeur indépendant engagé, tant qu'il n'évalue pas son propre travail. L'audit de certification est réalisé par un organisme de certification accrédité et débouche sur le certificat ISO 27001 officiel. Un bon audit interne et un pré-audit rendent cet audit de certification nettement plus fluide.
Le Statement of Applicability est un document obligatoire qui indique, pour chaque mesure de sécurité de l'Annex A (93 mesures dans l'ISO 27001:2022), si elle est applicable, avec justification et statut de mise en œuvre. La SoA relie vos risques à des mesures concrètes et constitue le cœur de tout audit ISO 27001. Une SoA incomplète ou non justifiée est une cause fréquente de constats.
Un parcours de mise en œuvre et de certification dure généralement de 3 à 9 mois, selon la taille de l'organisation et le nombre de mesures de sécurité déjà en place. Une analyse d'écart ou un audit interne isolé est le plus souvent achevé en une à deux semaines, rapport compris. Une analyse d'écart préalable vous donne un planning réaliste.
Au moins une fois par an, et tous les éléments de l'ISMS doivent être couverts au cours du cycle de certification de trois ans. De nombreuses organisations travaillent avec un programme d'audit dans lequel les sujets sont planifiés tout au long de l'année en fonction du risque et des constats antérieurs. Nous établissons avec vous un programme d'audit adapté.
Planifiez un scan d'audit ISO 27001 indépendant
En un seul entretien, vous savez si votre ISMS est prêt pour l'audit et quelle est la prochaine étape.
