Certification ISO 27001 — Accompagnement Complet

ISO 27001 est LA norme internationale de référence en cybersécurité. Nous vous accompagnons de A à Z — de l'analyse d'écarts initiale jusqu'à l'obtention du certificat par un organisme accrédité.

Découvrir l'offre

Lead Auditor

Certifié ISO 27001

100%

Taux de réussite certification

+30

Certifications accompagnées

Voir les ressources gratuites liées

Qu'est-ce que ISO 27001 ?

ISO/IEC 27001:2022 est la norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI). Publiée par l'ISO et l'IEC, elle constitue le cadre de référence mondial pour la protection des actifs informationnels.

Le SMSI est une approche systématique qui intègre les personnes, les processus et les technologies pour protéger la confidentialité, l'intégrité et la disponibilité de l'information. Contrairement à une simple checklist technique, ISO 27001 impose une démarche d'amélioration continue basée sur le cycle PDCA.

La certification est délivrée par un organisme accrédité (Bureau Veritas, BSI, LRQA, AFNOR Certification) après un audit en deux étapes (Stage 1 : revue documentaire, Stage 2 : audit terrain). Elle est valable 3 ans, avec des audits de surveillance annuels.

70 000+

Organisations certifiées dans le monde

Contrôles Annexe A

Thèmes de contrôles

3 ans

Validité du certificat

Structure de la norme — 7 clauses

Contexte de l'organisation

Parties prenantes, périmètre du SMSI, enjeux internes et externes.

Leadership

Engagement de la direction, politique de sécurité, rôles et responsabilités.

Planification

Analyse de risques, objectifs de sécurité, plan de traitement des risques.

Support

Ressources, compétences, sensibilisation, communication, documentation.

Fonctionnement

Mise en œuvre du plan de traitement, gestion opérationnelle des risques.

Évaluation des performances

Surveillance, audit interne, revue de direction, indicateurs.

Amélioration

Non-conformités, actions correctives, amélioration continue du SMSI.

Annexe A

93 contrôles de sécurité répartis en 4 thèmes.

Annexe A — 93 contrôles en 4 thèmes

Organisationnels

Politiques, rôles, gestion des actifs, contrôle d'accès, continuité, conformité, gestion des fournisseurs.

Liés au personnel

Sélection, conditions d'emploi, sensibilisation, formation, processus disciplinaire, fin de contrat.

Physiques

Périmètres de sécurité, accès physique, protection des bureaux, surveillance, protection des équipements.

Technologiques

Postes, réseaux, chiffrement, journalisation, développement sécurisé, gestion des vulnérabilités.

Le cycle PDCA — Amélioration continue

Plan

Définir le périmètre, évaluer les risques, fixer les objectifs de sécurité et planifier le traitement des risques.

Do

Mettre en œuvre les mesures de sécurité, déployer les contrôles, former le personnel, exécuter les plans.

Check

Surveiller, mesurer, auditer les performances du SMSI. Revue de direction et audit interne.

Act

Corriger les écarts, traiter les non-conformités, améliorer en continu le système de management.

Qui est concerné par ISO 27001 ?

Toute organisation, quelle que soit sa taille ou son secteur, peut se certifier ISO 27001. Cependant, elle est devenue incontournable dans certains contextes :

► Secteur bancaire et financier — exigence des régulateurs (ACPR, BCE)
► Santé et HDS — prérequis pour l'hébergement de données de santé
► Défense et aérospatial — exigences supply chain (GIFAS, DGA)
► ESN et éditeurs SaaS — différenciateur commercial majeur

► Appels d'offres grands comptes — critère éliminatoire fréquent
► Directive NIS2 — ISO 27001 couvre 80% des exigences
► Règlement DORA — base de conformité pour les entités financières
► ETI et PME en croissance — structuration de la sécurité

Le saviez-vous ?

En France, la certification ISO 27001 connaît une croissance de +25% par an depuis 2020. La directive NIS2 et le règlement DORA accélèrent cette tendance.

Notre accompagnement en 6 phases

Méthodologie éprouvée — 6 à 18 mois selon votre maturité initiale. Glissez ou utilisez les flèches/clavier pour naviguer.

Cadrage & Gap Analysis

Mois 1-2

Audit de maturité initial pour mesurer l'écart entre votre posture actuelle et les exigences ISO 27001:2022. Scoring détaillé par domaine.

Activités

• Entretiens direction et équipes clés
• Revue documentaire existante
• Scoring des 93 contrôles Annexe A
• Cartographie du SI et des flux
• Identification des parties prenantes

Livrables

• Rapport de gap analysis détaillé
• Matrice de scoring par domaine
• Cartographie des actifs informationnels
• Feuille de route priorisée
• Note de cadrage projet SMSI

Résultat

• Score de maturité initial (0-100)
• Identification des quick wins
• Budget et planning réaliste
• Définition du périmètre SMSI
• Validation Go/No-Go direction

Analyse de risques ISO 27005 / EBIOS RM

Mois 2-4

Construction de l'analyse de risques conformément à ISO 27005 ou EBIOS RM (méthode ANSSI). Identification systématique des menaces et scénarios de risque.

Activités

• Identification des actifs informationnels
• Inventaire des menaces et vulnérabilités
• Construction des scénarios de risque
• Évaluation vraisemblance / impact
• Ateliers EBIOS RM (si méthode choisie)

Livrables

• Registre des risques complet
• Matrice de risques (heat map)
• Plan de traitement des risques (PTR)
• Critères d'acceptation validés
• Déclaration d'acceptation des risques résiduels

Résultat

• Cartographie complète des risques
• Risques priorisés et traitement défini
• Base de la SoA (Annexe A)
• Engagement direction sur risques résiduels
• Alignement avec ISO 27005:2022

Construction du SMSI

Mois 3-7

Rédaction de l'ensemble du socle documentaire et construction du système de management. Politiques, procédures, registres, chartes — tout est créé sur mesure.

Activités

• Rédaction PSSI et politique SI
• Déclaration d'applicabilité (SoA)
• Procédures obligatoires (12+)
• Registres et formulaires
• Chartes et politiques annexes

Livrables

• PSSI complète alignée ISO 27001
• SoA 93 contrôles documentée
• 20+ documents opérationnels
• PCA / PRA
• Matrice RACI sécurité

Résultat

• SMSI documentaire complet
• Processus validés par la direction
• Système de gestion documentaire en place
• Rôles et responsabilités définis
• Prêt pour Stage 1

Mise en œuvre technique

Mois 5-9

Déploiement concret des mesures de sécurité : hardening, tests d'intrusion, corrections de vulnérabilités, mise en place des solutions techniques.

Activités

• Hardening serveurs, postes, réseau
• Pentest infrastructure et applicatif
• Audit Active Directory / Entra ID
• Déploiement EDR, SIEM, sauvegarde
• Correction des vulnérabilités identifiées

Livrables

• Rapports de pentest détaillés
• Modes opératoires d'installation
• Plan de remédiation technique
• Schémas d'architecture sécurisée
• Preuve de déploiement des contrôles

Résultat

• Infrastructure conforme aux contrôles
• Vulnérabilités critiques corrigées
• Solutions open source privilégiées (ROI)
• Journalisation et surveillance activées
• Preuve d'efficacité des mesures

Audit interne & audit blanc

Mois 9-11

Simulation complète de l'audit de certification (Stage 1 + Stage 2). Identification et correction des derniers écarts avant le passage devant l'auditeur.

Activités

• Audit interne complet du SMSI
• Simulation Stage 1 (revue documentaire)
• Simulation Stage 2 (audit terrain)
• Formation des interlocuteurs clés
• Revue de direction formelle

Livrables

• Rapport d'audit interne
• Plan d'actions correctives
• Compte-rendu revue de direction
• Grille de préparation Stage 1 & 2
• Supports de formation interlocuteurs

Résultat

• SMSI prêt pour l'audit officiel
• Interlocuteurs formés et confiants
• Non-conformités résiduelles traitées
• Preuves consolidées
• Zero surprise le jour J

Accompagnement certification

Mois 11-14

Présence lors de l'audit de certification, gestion des non-conformités éventuelles, suivi post-certification et préparation des audits de surveillance.

Activités

• Sélection de l'organisme certificateur
• Présence Stage 1 & Stage 2
• Interface avec l'auditeur
• Gestion des non-conformités
• Suivi post-certification

Livrables

• Plan de réponse aux non-conformités
• Feuille de route maintien 3 ans
• Planning audits de surveillance
• Guide d'amélioration continue
• Transfert de compétences équipe interne

Résultat

• Certificat ISO 27001:2022 obtenu
• SMSI autonome et viable
• Équipe formée au maintien
• Prêt pour surveillance annuelle
• Valorisation commerciale immédiate

Prestation clé en main — tout est inclus

Un accompagnement 360° qui couvre l'intégralité du périmètre : audits techniques, documentation, formation et remédiation. Rien n'est en option.

Audits techniques inclus

Tous les audits nécessaires pour valider l'efficacité de vos contrôles techniques. Pas de prestataire tiers à coordonner.

✓ Audit Active Directory / Entra ID
✓ Audit Microsoft 365 / Google Workspace
✓ Audit infrastructure réseau et système
✓ Pentest web & applicatif (OWASP)
✓ Scan surface d'attaque externe
✓ Audit de configuration cloud (AWS, Azure, GCP)

Socle documentaire complet (20+ documents)

Rédaction intégrale du corpus documentaire exigé par la norme. Documents sur mesure, pas des templates génériques.

✓ PSSI (Politique de Sécurité des SI)
✓ Déclaration d'applicabilité (SoA) — 93 contrôles
✓ Analyse de risques et plan de traitement
✓ PCA / PRA (continuité et reprise d'activité)
✓ Procédures, registres, chartes, politiques
✓ Gestion des changements et des fournisseurs

Formation & sensibilisation

Programmes de formation adaptés à chaque profil : direction, équipes techniques, utilisateurs finaux.

✓ Supports de formation personnalisés
✓ Campagnes de phishing simulé
✓ Sensibilisation SMSI pour tous les collaborateurs
✓ Formation des auditeurs internes
✓ Exercices de gestion de crise
✓ Quiz et évaluations de connaissances

Plans de remédiation opérationnels

Pas seulement un constat : des feuilles de route actionables avec modes opératoires d'installation détaillés.

✓ Feuilles de route priorisées (quick wins, moyen terme, long terme)
✓ Modes opératoires d'installation détaillés
✓ Solutions open source privilégiées (Wazuh, CrowdSec, Graylog)
✓ Guides de hardening CIS Benchmarks
✓ Schémas d'architecture cible
✓ Suivi d'avancement en COPIL mensuel

Double expertise : conformité + technique

Là où la plupart des cabinets proposent soit du conseil GRC, soit du technique, nous combinons les deux dans une même prestation. Résultat : un SMSI solide sur le papier et efficace sur le terrain.

Volet conformité

►
Gap Analysis ISO 27001:2022 — Scoring détaillé des 93 contrôles, identification des écarts et plan de mise en conformité.
►
Rédaction documentaire complète — PSSI, procédures, registres, chartes. Documents sur mesure, réellement applicables.
►
Déclaration d'applicabilité (SoA) — Justification détaillée de chaque contrôle : appliqué, exclu, en cours, non applicable.
►
Analyse de risques ISO 27005 / EBIOS RM — Registre des risques, scénarios, plan de traitement, risques résiduels.
►
Audit interne et revue de direction — Conduite de l'audit interne, rédaction du rapport, animation de la revue de direction.
►
Interface avec l'auditeur — Présence lors du Stage 1 et Stage 2, gestion des échanges avec l'organisme certificateur.

Volet technique

►
Tests d'intrusion (pentest) — Pentest infrastructure, web, Active Directory, cloud. Méthodologie PTES / OWASP.
►
Hardening & sécurisation — Durcissement serveurs, postes, réseaux selon CIS Benchmarks. Guides de configuration détaillés.
►
Architecture réseau sécurisée — Segmentation, DMZ, micro-segmentation, zero trust. Conception et validation.
►
EDR / XDR / SIEM — Déploiement et configuration Wazuh, CrowdStrike, Microsoft Defender, Graylog.
►
Modes opératoires d'installation — Guides pas-à-pas pour chaque solution déployée. Transfert de compétences à vos équipes.
►
Scan de vulnérabilités & surface d'attaque — Surveillance continue, analyse des expositions, priorisation des corrections.

Socle documentaire ISO 27001 — ce que nous créons

L'intégralité du corpus documentaire exigé par l'auditeur, rédigé sur mesure pour votre organisation. Chaque document est adapté à votre contexte, votre taille et votre secteur.

Politique de Sécurité (PSSI)

Alignée ISO 27001:2022, approuvée par la direction, communiquée à tous.

Déclaration d'applicabilité (SoA)

93 contrôles documentés : statut, justification, preuves, responsable.

Analyse de risques & plan de traitement

Méthode ISO 27005 ou EBIOS RM. Registre, heat map, PTR, risques résiduels.

Procédure de maîtrise des documents

Création, validation, diffusion, archivage, révision de tous les documents SMSI.

Procédure d'audit interne

Programme d'audit, grilles, méthodologie, rapport type, suivi des constats.

Procédure d'actions correctives

Détection, analyse cause racine, plan d'action, vérification d'efficacité.

Procédure de gestion des incidents

Détection, classification, escalade, réponse, communication, retour d'expérience.

PCA / PRA (Continuité d'activité)

Plan de continuité et de reprise : BIA, stratégies, procédures, tests réguliers.

Procédure de gestion de la conformité

Veille réglementaire, exigences légales, contractuelles et normatives.

Procédure de gestion des accès

Provisioning, déprovisioning, revue des droits, principe du moindre privilège.

Registre des actifs informationnels

Inventaire complet : propriétaire, classification, localisation, mesures de protection.

Matrice des rôles et responsabilités

RACI sécurité : DG, RSSI, DSI, administrateurs, utilisateurs, DPO.

Charte informatique

Règles d'utilisation du SI pour tous les collaborateurs. Annexée au règlement intérieur.

Charte administrateurs

Engagements spécifiques des administrateurs systèmes et réseaux.

Politique de classification de l'information

Niveaux de classification, marquage, manipulation, stockage, destruction.

Procédure de gestion des changements

Demande, évaluation d'impact, approbation, implémentation, revue post-changement.

Procédure de gestion des fournisseurs

Évaluation sécurité, clauses contractuelles, suivi, audit fournisseurs critiques.

ISO 27001 vs NIS2 vs SOC 2 vs HDS

Comprendre les différences pour choisir le bon référentiel — ou les combiner intelligemment. ISO 27001 est souvent le socle commun.

Critère	ISO 27001	NIS2	SOC 2	HDS
Périmètre	Sécurité de l'information (global)	Cybersécurité des entités essentielles/importantes	Contrôles SI pour prestataires de services	Hébergement données de santé
Obligatoire ?	Volontaire (mais souvent exigé contractuellement)	Oui — directive européenne	Volontaire (exigé par clients US)	Oui — légal en France
Base normative	ISO/IEC 27001:2022	Directive (UE) 2022/2555	AICPA Trust Services Criteria	Décret + référentiel ANS
Niveaux	Certifié / Non certifié	Entité essentielle / importante	Type I / Type II	Certifié / Non certifié
Durée typique	9 à 14 mois	6 à 18 mois (mise en conformité)	6 à 12 mois	12 à 18 mois
Coût indicatif	30k€ à 150k€	Variable (sanctions jusqu'à 10M€)	20k€ à 80k€	50k€ à 200k€
Reconnu par	International (150+ pays)	Union européenne	Amérique du Nord principalement	France
Compatibilité	NIS2, HDS, SOC 2, DORA, TISAX	ISO 27001 couvre ~80%	ISO 27001 (mapping partiel)	ISO 27001 (prérequis de fait)

ISO 27001 = le socle universel

La certification ISO 27001 facilite la mise en conformité avec NIS2, HDS, SOC 2 et DORA. En vous certifiant ISO 27001, vous couvrez déjà 60 à 80% des exigences des autres référentiels.

Cas client — ETI 200 salariés, certifiée en 8 mois

Retour d'expérience anonymisé d'un accompagnement ISO 27001 pour une ETI du secteur des services numériques.

Contexte

► Secteur : ESN / éditeur SaaS, 200 collaborateurs
► Enjeu : Certification exigée pour répondre aux appels d'offres bancaires
► État initial : Score de maturité 22/100, pas de PSSI, pas d'analyse de risques
► Contrainte : Délai impératif de 8 mois (appel d'offres client)

Résultats

22 → 91

Score de maturité

Non-conformité majeure

8 mois

Délai de certification

Documents créés

Chronologie du projet

Mois 1-2

Cadrage & risques

Gap analysis, analyse de risques EBIOS RM, cartographie des actifs, note de cadrage.

Mois 3-5

Documentation & technique

Rédaction PSSI, SoA, procédures. Pentest, hardening AD, déploiement Wazuh.

Mois 6-7

Audit blanc & formation

Simulation Stage 1+2, formation interlocuteurs, corrections des derniers écarts.

Mois 8

Certification obtenue

Stage 1 et Stage 2 réussis. 0 non-conformité majeure, 2 mineures traitées en 48h.

Êtes-vous prêt pour ISO 27001 ?

Répondez à ces 10 questions pour évaluer votre niveau de préparation. Résultat instantané.

Nos engagements contractuels

Des engagements concrets, inscrits au contrat. Pas de promesses en l'air.

Interlocuteur unique

Un seul consultant senior dédié de A à Z. Pas de turnover, pas de consultant junior en sous-traitance. Continuité garantie.

COPIL mensuel

Comité de pilotage mensuel avec la direction : avancement, risques projet, décisions. Transparence totale sur l'état du projet.

Délai garanti

Planning contractuel avec jalons. Si le retard est de notre fait, les jours supplémentaires sont à notre charge. Engagement ferme.

Obligation de résultat

Nous nous engageons sur l'obtention de la certification. En cas d'échec imputable à notre prestation, nous poursuivons sans surcoût.

Questions fréquentes sur ISO 27001

ISO 27001 est la norme internationale de référence pour la sécurité de l'information. Elle définit les exigences pour établir un Système de Management de la Sécurité de l'Information (SMSI). Se certifier permet de démontrer à vos clients, partenaires et régulateurs que vous protégez leurs données de manière systématique. C'est aussi un avantage compétitif majeur pour les appels d'offres et un accélérateur de conformité NIS2 et DORA.

Comptez en général 9 à 14 mois pour une première certification, selon votre taille et votre maturité initiale. Une PME de 50 personnes avec des bases solides peut être certifiée en 6-8 mois. Une ETI de 500 personnes partant de zéro nécessitera plutôt 12-14 mois. Notre gap analysis initiale permet de définir un planning réaliste dès le démarrage.

Non, ce n'est pas une exigence formelle de la norme. ISO 27001 exige qu'un « responsable du SMSI » soit désigné, mais ce rôle peut être cumulé (DSI, DG, responsable qualité). Nous pouvons également intervenir en tant que RSSI externalisé pendant la durée du projet et transférer les compétences à un collaborateur interne.

Le coût varie selon la taille de l'organisation et le périmètre. Pour une PME (50-100 salariés), comptez 30 000 à 60 000 € pour l'accompagnement complet. Pour une ETI (200-500 salariés), le budget se situe entre 60 000 et 150 000 €. À cela s'ajoutent les frais de l'organisme certificateur (5 000 à 15 000 €). Nous privilégions les solutions open source pour réduire les coûts de licences logicielles.

Absolument. ISO 27001 couvre environ 80% des exigences de la directive NIS2. Les deux cadres partagent les mêmes fondamentaux : analyse de risques, gestion des incidents, continuité d'activité, contrôle d'accès, sensibilisation. Les 20% restants (notification obligatoire aux autorités, supply chain security renforcée) sont couverts par des compléments spécifiques que nous intégrons à notre démarche.

Les non-conformités mineures (observations) sont courantes et ne bloquent pas la certification : vous disposez d'un délai (généralement 90 jours) pour les traiter. Les non-conformités majeures nécessitent une correction avant la délivrance du certificat. Notre audit blanc (Phase 5) vise précisément à éliminer tout risque de non-conformité majeure avant l'audit officiel. C'est pourquoi notre taux de réussite est de 100%.

Non. Le certificat ISO 27001 est valable 3 ans. Pendant cette période, vous devez passer des audits de surveillance annuels (années 1 et 2) pour vérifier que le SMSI est maintenu et amélioré. Au bout de 3 ans, un audit de renouvellement complet est nécessaire. Nous pouvons également vous accompagner sur le maintien et le renouvellement de la certification.

ISO 27001 est une certification internationale reconnue dans plus de 150 pays. SOC 2 est un rapport d'audit américain (AICPA) principalement demandé par les clients nord-américains. ISO 27001 est prescriptive (93 contrôles Annexe A) tandis que SOC 2 offre plus de flexibilité sur les contrôles. En Europe, ISO 27001 est nettement plus valorisée. Si vous avez des clients aux États-Unis, les deux sont complémentaires — et ISO 27001 facilite l'obtention du SOC 2.

Pourquoi nous choisir ?

100% de réussite certification

Toutes les organisations que nous avons accompagnées ont obtenu leur certification du premier coup. Zéro non-conformité majeure.

Expertise GRC + pentest

Rare combinaison : consultant Lead Auditor ISO 27001 ET pentester certifié. Le SMSI est validé par des tests réels, pas seulement sur papier.

Documents opérationnels

Nos livrables sont conçus pour être utilisés au quotidien, pas rangés dans un tiroir. Procédures réalistes, adaptées à votre contexte.

Open source first

Nous privilégions les solutions open source (Wazuh, CrowdSec, Graylog) pour maximiser votre ROI et éviter la dépendance aux éditeurs.

+20 ans d'expérience

Deux décennies d'expérience en cybersécurité : audit, pentest, GRC, réponse à incident. Tous les secteurs, toutes les tailles.

Transfert de compétences

Objectif : autonomie. Vos équipes sont formées pour maintenir le SMSI sans dépendance externe. Le savoir-faire reste chez vous.

Témoignages

Ce que disent nos clients

"Le pentest Active Directory a révélé 3 chemins d'escalade de privilèges que notre équipe sécurité n'avait pas détectés. Le rapport était actionnable dès le lendemain. Résultats remédiation : 100% des chemins critiques fermés en 3 semaines."

Directeur Technique

ETI industrielle · 400 collaborateurs

"Nous avons obtenu notre certification ISO 27001 du premier coup. L'accompagnement d'Ayi NEDJIMI a été déterminant : rigueur méthodologique, livrables directement utilisables, et une vraie pédagogie pour embarquer nos équipes."

Responsable SSI

PME SaaS B2B · 80 collaborateurs

"En tant que sous-traitant Airbus, la conformité AirCyber était une obligation. Ayi NEDJIMI nous a guidés de l'évaluation initiale Bronze jusqu'au Silver en 4 mois. Approche pragmatique, pas de sur-ingénierie."

Dirigeant

Sous-traitant aéronautique · 35 pers.

Lancez votre projet de certification ISO 27001

Chaque mois sans certification, c'est un appel d'offres perdu, un client qui choisit un concurrent certifié, un risque non maîtrisé. Prenons rendez-vous pour évaluer votre situation et définir votre feuille de route.

Réponse sous 24h — Échange initial gratuit et sans engagement