Certification ISO 27001 : par où commencer vraiment ?
De l'analyse des écarts à l'audit de certification, le parcours ISO 27001 est exigeant. Voici la feuille de route que nous appliquons à nos clients pour atteindre la certification en 9 à 12 mois.

La norme ISO 27001 reste la référence internationale pour structurer un système de management de la sécurité de l'information. Mais son parcours est souvent perçu comme un labyrinthe administratif.
1. État des lieux et analyse d'écarts
Avant tout, il faut mesurer l'écart entre vos pratiques actuelles et les 93 contrôles de l'Annexe A. Cet audit initial dure typiquement 2 à 4 semaines et donne une feuille de route concrète.
2. Définir le périmètre du SMSI
Le périmètre est la pierre angulaire du SMSI. Trop large, il devient ingérable ; trop étroit, il perd sa valeur commerciale. Notre conseil : démarrer par les activités les plus exposées au risque ou stratégiques pour vos clients.
3. Construire et déployer le SMSI
Politiques, procédures, registre des risques, plan de traitement, indicateurs… cette phase dure 4 à 6 mois et mobilise plusieurs services au-delà de la DSI.
4. Audit à blanc
L'audit à blanc, conduit par un tiers indépendant, permet d'identifier les non-conformités avant l'audit officiel et de les corriger sereinement.
5. Certification
L'audit de certification se déroule en deux étapes (revue documentaire puis audit terrain). Une fois la certification obtenue, elle est valable 3 ans avec des audits de surveillance annuels.
ARTICLES CONNEXES
5 signes que votre SI est vulnérable sans le savoir
Un audit technique révèle souvent des angles morts insoupçonnés. Voici cinq signaux faibles qui doivent vous alerter avant qu'il ne soit trop tard.
NIS2 en France : ce qui change concrètement pour votre entreprise en 2026
La directive européenne NIS2 impose de nouvelles obligations aux entreprises de taille intermédiaire dès cette année. Voici les impacts réels, les délais à respecter et comment se préparer.
