Audit interne, analyse d'écart et audit de certification : quelle est la différence ?
Une analyse d'écart mesure au préalable où vous en êtes par rapport à la norme. Un audit interne est un auto-contrôle obligatoire et périodique de votre ISMS. Un audit de certification est réalisé par un organisme accrédité et mène au certificat. En bref : l'analyse d'écart planifie, l'audit interne entraîne et assure, et l'audit de certification décide.
Analyse d'écart : où en suis-je maintenant ?
Une analyse d'écart compare votre situation actuelle à la norme et fournit une liste de priorités et une feuille de route. Idéale comme point de départ, avant de vous lancer dans un parcours de mise en œuvre.
Audit interne : fonctionne-t-il de manière démontrable ?
L'audit interne est obligatoire dans l'ISO 27001 et vérifie si l'ISMS est conforme et efficace. Vous pouvez l'externaliser auprès d'un auditeur indépendant — cela renforce l'objectivité.
Audit de certification : le verdict officiel
L'audit de certification (phase 1 + phase 2) est réalisé par un organisme de certification et mène au certificat ISO 27001. Nous ne le réalisons pas, mais nous vous y rendons prêt pour l'audit via un pré-audit.
Aide au choix
- Vous venez de commencer ? → analyse d'écart.
- L'ISMS tourne, obligation annuelle ? → audit interne.
- Le certificat est presque en vue ? → pré-audit, puis audit de certification.
ISO 19011 — lignes directrices pour l'audit (source officielle).
Questions fréquentes
Des réponses courtes et directes — rédigées pour les humains comme pour les moteurs de recherche IA.
Non. Une analyse d'écart est un instantané préalable qui cartographie les lacunes afin de planifier. Un audit interne est une évaluation formelle et périodique de l'ISMS en fonctionnement par rapport à la norme, y compris la preuve et le rapport. L'analyse d'écart est une préparation ; l'audit interne est une assurance.
Non. L'audit de certification doit être réalisé par un organisme de certification indépendant et accrédité. Un consultant ou un auditeur interne qui vous a accompagné ne peut pas assumer ce rôle. En revanche, une partie indépendante peut réaliser votre audit interne et votre pré-audit.
Pour la certification, vous avez en tout cas besoin d'un audit interne et de l'audit de certification. Une analyse d'écart n'est pas obligatoire, mais fortement recommandée car elle évite les surprises et les coûts.
Un pré-audit simule l'audit de certification (phase 1 et phase 2) afin que vous sachiez si vous êtes prêt. Ce n'est pas une obligation, mais il réduit considérablement le risque de non-conformités lors du véritable audit de certification.
Poursuivez votre lecture
Vous voulez savoir si vous êtes prêt pour l'audit ?
Planifiez un audit-scan sans engagement et sachez en un seul entretien où vous en êtes et quelle est la prochaine étape.
