Blog · ISO 27001

Ce que vérifie un auditeur lors d'un audit ISO 27001 ?

Lors d'un audit ISO 27001, l'auditeur vérifie si votre ISMS fonctionne de manière démontrable — et non s'il existe seulement sur le papier. Il évalue entre autres le contexte de l'organisation, l'analyse de risques, la Statement of Applicability, le fonctionnement des mesures de maîtrise, les audits internes, la revue de direction et le suivi des actions d'amélioration. Le fil conducteur : la preuve que la politique est appliquée en pratique.

Demandez un audit-scan

Que regarde l'auditeur ?

L'auditeur rassemble des preuves au moyen de documents, d'entretiens et d'échantillonnages. Concrètement, sont abordés :

Contexte & périmètre — la délimitation de l'ISMS correspond-elle à la réalité ?
Évaluation & traitement des risques — à jour, étayés, reliés aux mesures ?
Statement of Applicability — justifiée pour chaque mesure de l'Annex A ?
Mesures de maîtrise — techniques et organisationnelles, fonctionnent-elles de manière démontrable ?
Audit interne & revue de direction — réalisés, rapportés, suivis ?
Actions d'amélioration — les non-conformités sont-elles réellement corrigées ?

Le processus d'audit ISO 27001 en cinq étapes : définir le périmètre, revue documentaire, entretiens et échantillonnages, rapport de constatations, plan d'amélioration et suivi — Le processus d'audit en 5 étapes.

La preuve avant le papier

Le plus grand piège : des documents qui ont fière allure mais qui ne sont pas vivants. Un auditeur creuse et veut voir des preuves — registres complétés, journaux, comptes rendus, tickets. Lisez aussi la checklist d'audit ISO 27001 pour vérifier si vous disposez de ces preuves.

Comment vous préparer ?

Commencez par une analyse d'écart et faites réaliser un audit interne indépendant. Vous saurez ainsi à l'avance où les preuves manquent. Pour en savoir plus sur l'ensemble du parcours, consultez notre page sur l'audit ISO 27001.

ISO/IEC 27001 — page officielle de la norme (source officielle).

FAQ

Questions fréquentes

Des réponses courtes et directes — rédigées pour les humains comme pour les moteurs de recherche IA.

L'auditeur contrôle-t-il aussi la technique ou seulement les documents ?

Les deux. L'auditeur évalue les documents et le fonctionnement en pratique : il examine par exemple la gestion des accès, la journalisation, les sauvegardes et la gestion des correctifs au moyen d'échantillonnages et d'entretiens. Les documents seuls ne suffisent pas ; ce qui compte, c'est un fonctionnement démontrable.

Combien de collaborateurs un auditeur rencontre-t-il ?

Cela dépend du périmètre et de l'ampleur, mais un auditeur interroge généralement un échantillon représentatif : la direction, le responsable de l'ISMS, l'informatique et quelques collaborateurs opérationnels. L'objectif est de vérifier si la politique est largement connue et respectée.

Que se passe-t-il si l'auditeur constate une non-conformité ?

Une non-conformité est consignée avec justification. Lors d'un audit de certification, vous devez corriger les non-conformités majeures avant que le certificat ne soit délivré ; les non-conformités mineures se voient accorder un délai. Un bon pré-audit élimine ces surprises au préalable.

Qu'est-ce qu'un auditeur souhaite voir avant tout ?

La preuve que l'ISMS est vivant : que les risques sont gérés, que les mesures fonctionnent, que l'audit interne et la revue de direction ont réellement lieu et que les actions d'amélioration sont suivies. En bref, un cycle d'amélioration qui fonctionne plutôt qu'un beau classeur.