Questions fréquentes sur les audits ISO
Des réponses courtes et honnêtes aux questions que les organisations nous posent le plus souvent sur les audits ISO 27001, NEN 7510 et ISO 9001 — du coût et des délais à la certification, aux audits internes et au recours à un Lead Auditor indépendant aux Pays-Bas.
Audits ISO : les bases
Un audit ISO est une évaluation systématique fondée sur des preuves, dans laquelle un auditeur vérifie si votre système de management répond à une norme ISO (comme ISO 27001 ou ISO 9001) et fonctionne dans la pratique. L'auditeur recueille des preuves via des documents, des entretiens et des échantillonnages, les compare aux exigences de la norme et rapporte les constats. Les audits suivent les lignes directrices de l'ISO 19011.
Il existe globalement trois types. Un audit de première partie est un audit interne que vous réalisez vous-même (ou via un auditeur engagé). Un audit de seconde partie est mené chez un fournisseur ou un partenaire. Un audit de tierce partie est réalisé par un organisme de certification indépendant et conduit à un certificat. Il existe aussi des formes préparatoires comme l'analyse d'écart et le pré-audit.
Vous réalisez un audit interne vous-même ou via un auditeur engagé, en tant qu'élément obligatoire de votre système de management (ISO 27001 article 9.2). Un audit de certification est mené par un organisme de certification accrédité et conduit au certificat officiel. Un bon audit interne et un pré-audit rendent l'audit de certification nettement plus fluide, car vous corrigez les écarts au préalable.
Une analyse d'écart est un état des lieux au début de votre démarche : l'auditeur cartographie votre situation par rapport à la norme, les mesures et documents manquants et ce qui est réellement nécessaire pour la certification. Le résultat est une liste de priorités concrète, pour avancer de façon ciblée et sans gaspillage.
Un pré-audit est une répétition générale juste avant l'audit de certification. Nous auditons comme le fait l'organisme de certification et signalons les écarts que vous pouvez encore corriger à temps. Vous abordez ainsi le vrai audit en confiance et sans surprise. Un pré-audit est particulièrement utile pour une première certification ou après des changements majeurs.
Un Lead Auditor dirige l'ensemble de l'audit selon l'ISO 19011 : il définit le périmètre avec vous, établit le plan d'audit, mène les entretiens et les échantillonnages, évalue les constats de façon objective et rapporte clairement. Un bon Lead Auditor allie la connaissance de la norme à l'expérience de terrain et parle aussi bien le langage technique que celui de la direction.
Un lead auditor externe apporte indépendance, connaissance de la norme et un regard neuf qui manque souvent en interne. Il peut réaliser votre audit interne obligatoire de façon objective, éliminer les surprises avant l'audit de certification grâce à un pré-audit, et établir votre point de départ avec une analyse d'écart. Il apporte aussi des comparaisons issues d'autres organisations et secteurs. En savoir plus.
Oui. Secrotec audite pour des entreprises étrangères ayant un bureau, des clients ou des fournisseurs aux Pays-Bas, et pour des organisations internationales souhaitant faire évaluer l'ISO 27001, la NEN 7510 ou l'ISO 9001 dans le contexte néerlandais. Nous travaillons sur site ou à distance et rapportons en néerlandais, anglais, allemand ou français. Contactez-nous.
Les deux. De nombreuses activités d'audit — revue documentaire, entretiens et échantillonnage — fonctionnent bien à distance via visioconférence et partage sécurisé de documents. Pour certains éléments, comme la sécurité physique ou une visite des locaux, une présence sur site apporte de la valeur. Nous convenons du mélange à l'avance, selon votre périmètre, vos sites et votre calendrier.
ISO 27001
Un audit ISO 27001 évalue si votre système de management de la sécurité de l'information (ISMS) répond à l'ISO 27001 et fonctionne en pratique. L'auditeur examine notamment l'analyse des risques, le Statement of Applicability, les mesures de maîtrise, la politique, les audits internes et la revue de direction, et rapporte les constats et points d'amélioration.
L'auditeur vérifie la conception et le fonctionnement : la politique et le périmètre du SMSI, l'appréciation et le traitement des risques, le Statement of Applicability, les mesures de l'Annexe A, la sensibilisation et la formation, la gestion des fournisseurs, la gestion des incidents, la journalisation et la surveillance, les audits internes, la revue de direction et l'amélioration continue. Pour chaque domaine, il recherche la preuve que cela se produit réellement.
Cela dépend du périmètre, du nombre de collaborateurs et de sites et de la complexité. Un audit interne dans une organisation plus petite peut souvent se faire en un à quelques jours, tandis qu'un audit de certification (étape 1 plus étape 2) dans de grandes organisations demande plus de jours. Les organismes de certification utilisent pour cela des lignes directrices fondées sur votre taille. Nous vous donnons une estimation réaliste à l'avance.
Le coût dépend du périmètre, du nombre de sites, de la maturité du SMSI et du type d'audit (analyse d'écart, audit interne ou pré-audit). Engager au cas par cas est généralement plus économique et plus flexible que d'employer un auditeur interne permanent : vous ne payez que les audits dont vous avez besoin. Demandez une estimation sans engagement pour votre situation.
Les non-conformités fréquentes : une appréciation des risques déconnectée de la réalité, un Statement of Applicability incohérent avec les mesures mises en œuvre, des audits internes et revues de direction absents ou superficiels, une gestion faible des fournisseurs et des accès, des preuves de sensibilisation insuffisantes et des actions correctives jamais clôturées. Le fil conducteur : une politique sur le papier dont on ne peut pas démontrer le fonctionnement en pratique.
Une non-conformité majeure est une défaillance grave ou systématique montrant qu'une exigence de la norme n'est pas satisfaite — par exemple un processus obligatoire totalement absent. Elle doit être résolue avant la certification. Une non-conformité mineure est un manquement plus limité et isolé ; vous disposez de temps pour la corriger via un plan d'actions correctives. De nombreuses mineures cumulées peuvent équivaloir à une majeure.
Oui, tout à fait. L'ISO 27001 est fondée sur les risques et s'adapte à votre taille : une petite entreprise n'a pas besoin du même volume de documentation qu'une multinationale. L'enjeu est de garder des mesures proportionnées et réalisables, sans service de sécurité dédié. De nombreuses PME visent le certificat précisément pour gagner des clients grands comptes ou des appels d'offres. Voir ISO 27001 pour les PME.
Pour la plupart des organisations, le parcours du départ au certificat prend environ trois à neuf mois, selon votre point de départ, la capacité disponible et la complexité. Le SMSI doit en outre fonctionner de façon démontrable pendant une période (incluant au moins un audit interne et une revue de direction) avant que l'audit de certification n'ait du sens. Une analyse d'écart au départ aide à bâtir un calendrier réaliste.
Un SMSI (Système de Management de la Sécurité de l'Information) est l'ensemble des politiques, processus, personnes et mesures avec lesquels vous gérez la sécurité de l'information de façon structurée. Ce n'est pas un logiciel mais une manière de travailler : vous déterminez les risques, choisissez des mesures adaptées, les mettez en œuvre, mesurez leur efficacité et vous améliorez en continu (le cycle plan-do-check-act). L'ISO 27001 fixe les exigences d'un tel SMSI.
Le Statement of Applicability (SoA) est un document central obligatoire dans lequel vous indiquez, pour chaque mesure de l'Annexe A de l'ISO 27001, si elle s'applique, pourquoi ou non, et comment elle est mise en œuvre. Le SoA relie votre appréciation des risques aux mesures retenues et est l'un des premiers documents qu'un auditeur demande. Il doit correspondre à la réalité.
L'appréciation des risques est le cœur de l'ISO 27001. Vous identifiez les risques pesant sur la confidentialité, l'intégrité et la disponibilité de l'information, estimez la vraisemblance et l'impact, et décidez quels risques vous acceptez, réduisez, transférez ou évitez. Le traitement choisi se traduit en mesures concrètes, consignées dans le Statement of Applicability. L'auditeur vérifie que ce processus est logique, reproductible et à jour.
Dans la version 2022, c'est surtout l'Annexe A qui a été révisée : les mesures ont été regroupées à 93 mesures, réparties en quatre thèmes (organisationnel, humain, physique et technologique), avec onze nouvelles mesures comme la threat intelligence, la sécurité du cloud et la prévention des fuites de données. Les exigences centrales (articles 4 à 10) sont restées en grande partie identiques. Les organisations déjà certifiées devaient migrer dans le délai de transition.
L'ISO 27001 ne prescrit pas de fréquence fixe mais exige des audits internes à intervalles planifiés (article 9.2). En pratique, cela signifie au moins une fois par an, l'ensemble du périmètre étant couvert sur un cycle de certification. En cas de risques plus élevés ou de changements majeurs, vous auditez plus souvent ou de façon plus ciblée. Un programme d'audit pluriannuel aide à le planifier de façon démontrable.
Un audit de certification se déroule en deux étapes. À l'étape 1, l'organisme de certification examine surtout votre documentation et si le SMSI est prêt pour l'évaluation réelle (revue de préparation). À l'étape 2, l'auditeur teste le fonctionnement en pratique via entretiens, observation et échantillonnage, et consigne les éventuels écarts. Après réussite et clôture des écarts, le certificat est délivré, suivi d'audits de surveillance annuels.
L'ISO 27001 n'est pas en soi légalement obligatoire. En pratique, le certificat est toutefois souvent exigé contractuellement ou dans les appels d'offres par les clients, partenaires et administrations. Il aide aussi à démontrer le respect de cadres légaux comme le RGPD et NIS2. Pour de nombreuses organisations, l'ISO 27001 est donc « de facto » requise pour faire des affaires, même si elle ne figure pas dans la loi.
L'ISO 27001 et le RGPD se recoupent fortement mais ne sont pas identiques. L'ISO 27001 porte sur la sécurité de l'information au sens large ; le RGPD sur la protection des données personnelles. Un bon SMSI produit beaucoup de preuves également utiles au RGPD (gestion des accès, des incidents, des sous-traitants). Pour une couverture complète de la vie privée, l'extension ISO 27701 ou une approche RGPD et ISO 27001 ciblée est recommandée.
NIS2 est une législation européenne qui impose aux organisations essentielles et importantes la gestion des risques, la notification des incidents et une responsabilité au niveau de la direction en matière de cybersécurité. L'ISO 27001 ne remplace pas légalement NIS2, mais en constitue une excellente base : un SMSI opérationnel couvre de façon démontrable une grande partie des obligations NIS2. En savoir plus sur NIS2 et la conformité.
NEN 7510 (santé)
La NEN 7510 est la norme néerlandaise de sécurité de l'information dans le secteur de la santé. Elle s'appuie sur l'ISO 27001 et l'ISO 27002 mais ajoute des exigences propres à la protection des données des patients et d'autres informations de santé. Les organisations traitant des données de santé personnelles utilisent la NEN 7510 pour démontrer un traitement soigneux de ces données sensibles. Voir notre audit NEN 7510.
En pratique, la NEN 7510 est obligatoire aux Pays-Bas pour les prestataires de soins et les autres parties traitant des données de santé personnelles : la norme est désignée par la loi comme la norme à utiliser pour la sécurité de l'information dans la santé. Les régulateurs attendent des organisations de santé qu'elles respectent la NEN 7510 de façon démontrable. Vérifiez les exigences actuelles via NEN et votre conseiller juridique.
Les deux normes partagent la même base (un système de management de la sécurité de l'information), mais la NEN 7510 est adaptée à la santé. Là où l'ISO 27001 est neutre sur le plan sectoriel, la NEN 7510 ajoute des mesures et exigences propres à la santé concernant les données des patients, l'accès aux dossiers médicaux et la journalisation. En pratique, les deux se combinent bien : un SMSI conforme à l'ISO 27001 est une excellente base pour la NEN 7510.
La NEN 7510 s'applique à toutes les organisations traitant des données de santé personnelles : hôpitaux, médecins généralistes, établissements de santé mentale et de soins, mais aussi dentistes, pharmacies et prestataires de soins. La norme est également de plus en plus exigée des fournisseurs de la santé, comme les éditeurs de logiciels, les hébergeurs et les sous-traitants travaillant avec des données médicales. Nous vous conseillons volontiers.
Oui. Comme la NEN 7510 repose sur la même structure que l'ISO 27001, une approche combinée est efficace : vous évaluez une seule fois la base commune et accordez une attention supplémentaire aux exigences propres à la santé. Cela fait gagner du temps, évite les doublons et réduit les coûts. Voir notre audit combiné pour plusieurs normes à la fois.
Commencez par une appréciation des risques réellement alignée sur vos processus de soins, et assurez-vous que l'accès aux données médicales est strictement contrôlé et journalisé. Les écueils fréquents sont la gestion des autorisations, la journalisation des accès aux dossiers et les accords avec les sous-traitants. Un audit interne ou un pré-audit préalable révèle ces points à temps. Notre approche NEN 7510 vous aide à vous préparer.
ISO 9001
Un audit ISO 9001 évalue votre système de management de la qualité : votre organisation répond-elle de façon démontrable aux exigences des clients et de la réglementation, et vous améliorez-vous en continu ? L'auditeur examine notamment le contexte et les objectifs, les processus, la satisfaction client, l'approche par les risques, la maîtrise des non-conformités et la revue de direction, en cherchant la preuve que cela fonctionne en pratique.
L'ISO 9001 concerne le management de la qualité — livrer de façon constante ce que les clients attendent et s'améliorer en continu. L'ISO 27001 concerne la sécurité de l'information — maîtriser les risques pesant sur la confidentialité, l'intégrité et la disponibilité de l'information. Les deux partagent la même structure de système de management (High Level Structure), ce qui facilite leur mise en œuvre et leur audit en parallèle ou de façon combinée.
Les problèmes surviennent souvent avec : des objectifs non mesurables ou non suivis, des processus qui se déroulent autrement que décrits, une maîtrise faible des non-conformités et des actions correctives, une analyse insuffisante de la satisfaction client et des revues de direction trop superficielles. Comme pour l'ISO 27001, le fil conducteur est l'écart entre le système sur le papier et la réalité du travail.
L'approche par les risques signifie que vous identifiez à l'avance les risques et opportunités qui influent sur la qualité de vos produits ou services et que vous les pilotez délibérément — au lieu de réagir aux problèmes après coup. Depuis l'ISO 9001:2015, cela traverse toute la norme comme un fil conducteur. L'auditeur n'attend pas un registre des risques lourd, mais une réflexion démontrable sur ce qui peut mal tourner et sur ce que vous faites.
Oui. Grâce à la structure commune des systèmes de management, vous pouvez bien combiner l'ISO 9001 et l'ISO 27001 (et par exemple la NEN 7510) en un seul programme intégré. Un audit combiné évalue les éléments communs — contexte, leadership, objectifs, audit interne, revue de direction — en une fois et traite séparément les exigences propres à chaque norme. Cela fait gagner du temps et évite les doublons.
Le processus d'audit & collaborer avec Secrotec
Veillez à ce que votre documentation soit à jour et conforme à la pratique, que les éléments obligatoires aient été réalisés de façon démontrable (appréciation des risques, audit interne, revue de direction, actions correctives) et que le personnel sache ce qu'on attend de lui. Rassemblez les preuves à l'avance, pas pendant l'audit. Un audit interne ou un pré-audit est la meilleure répétition générale. Voir notre plan de préparation.
Pour l'ISO 27001, on retrouve notamment : le périmètre du SMSI, la politique de sécurité de l'information, l'appréciation des risques et le plan de traitement, le Statement of Applicability, les preuves des mesures, les résultats des audits internes et de la revue de direction, et le registre des non-conformités et actions correctives. Les autres normes demandent des documents de base comparables. Nous vous envoyons une check-list claire à l'avance.
Vous recevez un rapport d'audit clair avec les constats, hiérarchisés par risque et impact, ainsi qu'un plan d'amélioration concret avec des étapes réalisables. Nous rapportons sur deux niveaux : une synthèse pour la direction et des constats détaillés pour les équipes opérationnelles. Vous savez ensuite exactement où vous en êtes, ce qu'il reste à faire et dans quel ordre vous améliorer.
Un constat est le résultat général de la comparaison des preuves à la norme. Une non-conformité est un constat où une exigence n'est manifestement pas satisfaite ; vous devez la corriger. Une observation ou piste d'amélioration n'est pas une non-conformité, mais une occasion de renforcer un point ou un avertissement d'une éventuelle non-conformité future. Les bons rapports d'audit rendent cette distinction explicite.
Non. Seul un organisme de certification accrédité peut délivrer le certificat ISO officiel. Secrotec est un Lead Auditor indépendant et réalise des analyses d'écart, des audits internes, des pré-audits et des audits fournisseurs. Précisément parce que nous ne certifions pas et n'évaluons pas un travail que nous avons nous-mêmes mis en œuvre, notre jugement reste impartial et exploitable par votre organisme de certification. Nous vous préparons au mieux ; il délivre le certificat.
Oui. L'indépendance est au cœur d'un jugement d'audit exploitable. Nous n'évaluons pas un travail de conseil ou de mise en œuvre que nous avons nous-mêmes réalisé, et nous travaillons selon les principes d'objectivité et d'impartialité de l'ISO 19011. Ainsi, notre audit interne satisfait à l'exigence d'impartialité de l'ISO 27001 (article 9.2) et notre jugement est exploitable en amont de votre certification.
Souvent en quelques semaines, selon le périmètre et votre calendrier. Un entretien de découverte sans engagement est généralement possible rapidement. Nous y définissons ensemble le périmètre, la bonne forme d'audit et un calendrier réaliste. Avez-vous une échéance liée à un client ou un appel d'offres ? Indiquez-le, nous en tiendrons compte. Contactez-nous pour fixer une date.
Secrotec travaille notamment pour des entreprises IT et SaaS, des établissements de santé (y compris NEN 7510), des PME et des fournisseurs de l'administration et de grands donneurs d'ordre. Pour l'IT/SaaS, nous nous alignons sur le cloud et le développement ; en santé, sur les données des patients ; pour les PME, nous gardons une approche légère et réalisable sans service de sécurité dédié. Nous adaptons toujours le périmètre et la profondeur à votre taille, vos risques et votre secteur.
En tant qu'auditeur indépendant, nous ne pouvons pas mettre en œuvre un travail que nous évaluerions ensuite nous-mêmes — cela compromettrait l'impartialité. Ce que nous faisons : livrer vos constats de façon claire et hiérarchisée, avec un plan d'amélioration concret et actionnable, pour que votre équipe ou un partenaire de conseil distinct puisse s'y mettre immédiatement. Vous gardez ainsi la maîtrise et le jugement d'audit reste intègre.
Un audit de surveillance est un audit de contrôle périodique réalisé par l'organisme de certification, généralement annuel, entre les recertifications triennales. Il vérifie par échantillonnage que votre système de management reste conforme et continue de s'améliorer. Avec de bons audits internes et un SMSI opérationnel, les audits de surveillance se passent généralement bien, car vous restez en permanence « prêt pour l'audit ».
Lors d'un audit fournisseur, vous évaluez, au nom de votre organisation, la sécurité de l'information d'un fournisseur ou d'un sous-traitant — par exemple par rapport à l'ISO 27001 ou à votre propre référentiel d'exigences. C'est de plus en plus important alors que de nombreux risques se situent dans la chaîne d'approvisionnement : cloud, hébergement et logiciels tiers. Secrotec réalise ces audits de façon indépendante pour vous et vous fournit un jugement clair et étayé sur le fournisseur.
Nous réalisons les audits et rapportons en néerlandais et en anglais, et sur demande aussi en allemand ou en français. Pour les organisations internationales, nous livrons le rapport d'audit en anglais, afin que le siège et les équipes locales puissent utiliser le même document. Indiquez votre langue préférée lors de votre demande.
C'est simple : contactez-nous via le formulaire, par e-mail ou par téléphone et décrivez brièvement votre situation (norme, taille, objectif et échéance éventuelle). Nous planifions un scan d'audit sans engagement, vous donnons une estimation adaptée et proposons la bonne forme d'audit. Vous n'êtes engagé à rien jusqu'à votre accord.
Votre question n'y figure pas ?
Planifiez un scan d'audit sans engagement. En un seul entretien, vous saurez où vous en êtes, quelle forme d'audit convient et quelle est la prochaine étape.
Sources officielles
Vous souhaitez consulter vous-même les normes et les cadres ? Voici les sources de référence sur lesquelles reposent nos réponses :
