Accueil de l'Académie
Blogs
Certification ISO 27001 : Que se passe-t-il lors de l'audit de certification ?
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Certification ISO 27001 : Que se passe-t-il lors de l'audit de certification ?

Collection ISO 27001
Certification ISO 27001 : Que se passe-t-il lors de l'audit de certification ?
Collection NIS2
Certification ISO 27001 : Que se passe-t-il lors de l'audit de certification ?
Cyberday blog
Certification ISO 27001 : Que se passe-t-il lors de l'audit de certification ?

L'objectif principal des audits est de réaliser des évaluations indépendantes et systématiques du SMSI et de la sécurité de l'information de l'organisation.

Les audits vous aideront à trouver les parties obsolètes de votre SMSI, qui ne sont plus exactes. Ils vous aideront à trouver des domaines à améliorer et à identifier les lacunes. Ils constituent l'une des méthodes permettant d'assurer l'amélioration continue et la responsabilisation en matière de sécurité de l'information. Les audits vous permettent de rester honnête (lorsqu'ils sont bien faits).

Cet article de blog présente une introduction générale à l'audit de la sécurité de l'information et un aperçu détaillé du processus d'audit de certification ISO 27001.

Qu'est-ce qu'un audit de la sécurité de l'information ?

Les audits de sécurité de l'information sont des évaluations systématiques de la sécurité de l'information de l'organisation. Ils peuvent porter sur des systèmes spécifiques ou sur les politiques, procédures et contrôles de l'organisation en matière de sécurité de l'information.

Les audits visent à s'assurer que l'organisation fonctionne effectivement conformément aux exigences fixées ou aux meilleures pratiques choisies pour protéger son patrimoine informationnel.

Les objectifs d'un audit de la sécurité de l'information sont généralement les suivants

  1. Évaluer la conformité: Vérifier que l'organisation se conforme réellement aux politiques internes ou aux cadres choisis (par exemple ISO 27001, NIS2, GDPR, HIPAA).
  2. Identifier les non-conformités: Détecter les parties des politiques qui ne sont pas correctement mises en œuvre ou les vulnérabilités plus techniques des systèmes ou des applications qui pourraient être exploitées par des menaces.
  3. Évaluer les contrôles: Analyser si les contrôles définis sont efficaces pour protéger les actifs informationnels et trouver les domaines où l'amélioration est la plus critique.
  4. Faire preuve de responsabilité: Fournir la preuve d'une diligence raisonnable dans la mise en œuvre du SMSI et la gestion des risques.

Les audits peuvent être réalisés en interne par des employés compétents et habilités (audit interne) ou en externe par des partenaires indépendants choisis (audit externe). Certains audits sont réalisés principalement du point de vue de la conformité (audits de conformité) et d'autres d'un point de vue plus technique (audits techniques), en se concentrant par exemple sur des systèmes de données ou des sujets spécifiques (par exemple, la sécurité des réseaux, la sécurité des applications).

Qu'est-ce qu'un audit de certification ISO 27001 ?

L'audit de certification ISO 27001 est un audit spécifique de la sécurité de l'information, qui est mis en œuvre par un auditeur accrédité et conformément aux lignes directrices d'audit définies dans la série de normes ISO 27000.

L'objectif de l'audit de certification ISO 27001 est de vérifier que le système de gestion de la sécurité de l'information (SGSI) de l'organisation est conforme aux exigences de la norme ISO 27001.

Comment se déroule l'audit de certification ISO 27001 ?

Un audit de certification ISO 27001 est un processus structuré au cours duquel un organisme de certification tiers évalue le SMSI d'une organisation par rapport aux exigences de la norme ISO/IEC 27001. Il existe généralement de nombreux organismes dans chaque pays qui sont accrédités par la norme

L'audit proprement dit se déroule en deux étapes principales : une évaluation préliminaire (étape 1) et un examen détaillé (étape 2). En outre, un organisme peut éventuellement procéder à une évaluation de l'état de préparation avant l'audit proprement dit. Les activités post-audit garantissent ensuite que le SMSI est continuellement amélioré et correctement entretenu.

Vous trouverez ci-dessous des explications plus détaillées sur le déroulement de chaque étape de l'audit de certification.

1. Préparation de l'audit

Avant le début de l'audit de certification, l'organisation doit bien sûr se préparer et s'assurer qu'elle estime être en conformité avec la norme ISO 27001.

Vous trouverez plus d'informations sur les étapes clés de la mise en œuvre d'un SMSI dans un autre article.

2. Évaluation de l'état de préparation (facultatif)

L'évaluation de l'état de préparation à un audit de certification ISO 27001 est une évaluation préparatoire facultative visant à déterminer si une organisation est bien préparée à l'audit de certification officiel.

Cette évaluation peut être réalisée par le même auditeur que celui qui mettra en œuvre les dernières parties du processus.

L'évaluation de l'état de préparation peut aider à identifier les lacunes les plus importantes du SMSI par rapport aux exigences de la norme ISO 27001.

L'évaluation de l'état de préparation est volontaire. Elle doit être utilisée si l'organisation n'est pas sûre de sa conformité à la norme ISO 27001.

3. Audit de l'étape 1 : Examen de la documentation principale du SMSI

L'audit de l'étape 1 est réalisé pour évaluer le degré de préparation de l'organisation à l'étape 2 et identifier les éventuelles lacunes critiques.

Cette phase est principalement axée sur la documentation de votre SMSI le plus important et peut également être mise en œuvre à distance. L'auditeur examinera certains documents clés afin de déterminer si les principaux processus du SMSI sont en place et fonctionnent correctement.

Les documents clés que vous devrez généralement partager avec l'auditeur lors de l'étape 1 de l'audit ISO 27001 sont les suivants : 

  • Déclaration d'applicabilité (SoA) : Liste de tous les contrôles de la norme ISO 27002 et détails de l'état de chaque contrôle (par exemple, état de la mise en œuvre du contrôle, brève description de la mise en œuvre et des contrôles jugés non applicables).
  • Description et portée du SMSI: Ce document doit expliquer à l'auditeur comment le SMSI de l'organisation est structuré, exploité et contrôlé. Il explique également quelles parties de l'organisation sont couvertes par le SMSI, quels sont les rôles clés correspondants, quel type d'information est lié au SMSI et comment il est contrôlé. En consultant ce document, l'auditeur saura comment trouver les principales informations relatives à l'audit de certification.
  • Politique de sécurité de l'information: Document de haut niveau décrivant l'engagement de votre organisation en matière de conformité et, par exemple, le rôle de l'encadrement supérieur dans la garantie de la conformité et le soutien nécessaire à ce travail.
  • Procédure de gestion des risques: Décrit votre processus d'identification, d'évaluation et de traitement des risques liés à la sécurité de l'information.
  • Procédure d'audit interne (+ principaux résultats) : Décrit votre processus de réalisation des audits internes et la tenue d'un calendrier d'audit. Vous devrez être en mesure de présenter les résultats d'un audit interne réalisé conformément à la procédure, avant l'audit de certification (sinon il s'agira d'une non-conformité majeure).
  • Procédure de revue de direction (+ principaux résultats) : Décrit votre processus de réalisation des revues de direction. Il s'agit de l'un des principaux moyens par lesquels la direction de votre organisation participera à la sécurité de l'information. Vous devrez être en mesure de présenter les résultats d'une revue de direction effectuée conformément à la procédure, avant l'audit de certification (sinon il s'agira d'une non-conformité majeure).
  • Procédure de sensibilisation du personnel: Décrit votre processus visant à garantir que les employés, les sous-traitants et les tiers concernés sont conscients de leur rôle et de leurs responsabilités dans le maintien de la sécurité de l'information. Ce document doit, par exemple, décrire la manière dont vous formez les employés, leur fournir des lignes directrices sur la sécurité des opérations et s'assurer qu'ils s'engagent à respecter ces lignes directrices.

À la fin de l'audit de l'étape 1, l'auditeur fournit une liste de constatations, qui peut comprendre des non-conformités majeures ou mineures. Les non-conformités doivent être corrigées par des actions correctives avant de poursuivre le processus d'audit.

Lorsque les auditeurs signalent des non-conformités, ils indiquent toujours la section de la norme (par exemple 9.1.1) qui n'est pas respectée.

4. Audit de phase 2 : Examen de la mise en œuvre et de l'efficacité du SMSI

L'audit d'étape 2 est la partie principale de l'audit de certification. Il permet de confirmer que le SMSI est entièrement mis en œuvre, efficace et conforme à la norme ISO 27001.

Cette phase est mise en œuvre sur place, ce qui est important non seulement pour un meilleur partage des informations, mais aussi pour confirmer les contrôles de sécurité physique.

Au cours de cette phase, l'auditeur devra obtenir des preuves appropriées de votre conformité avec votre propre documentation ISMS et avec la norme ISO 27001. Pour ce faire, l'auditeur devra

  • Mener des entretiens:
    • Les auditeurs demanderont aux responsables des différents domaines du SMSI d'expliquer, de montrer et de donner plus de détails sur la mise en œuvre des politiques et des contrôles.
    • Les auditeurs interagiront également avec les employés "de base", qui n'ont pas nécessairement de rôle particulier dans la gestion du SMSI, afin d'évaluer leur connaissance des politiques et des lignes directrices en matière de sécurité.
  • Examiner les preuves:
    • Examiner le contenu du SMSI, les registres pertinents, les dossiers d'incidents, les dossiers de formation, les plans de traitement des risques, les rapports d'audit et tout autre élément pertinent pour prouver que les choses ont effectivement été mises en œuvre conformément à ce qui a été défini.
  • Évaluer l'adéquation des contrôles:
    • Vérifier que les contrôles de sécurité énumérés dans la SdA sont mis en œuvre et efficaces.
    • Testez les contrôles liés à la sécurité physique, à la gestion des accès, à la réponse aux incidents, etc.

Le principal résultat de son travail est que l'auditeur.. :

  • Identifier les non-conformités:
    • Non-conformités majeures : Problèmes critiques qui doivent faire l'objet d'actions correctives et être présentés à l'auditeur avant la certification.
    • Non-conformités mineures : Problèmes moins critiques qui nécessitent une action corrective (par exemple, un plan d'action à présenter à l'auditeur au cours des trois prochains mois) mais qui n'empêchent pas la certification.
  • Formuler des recommandations et toute autre observation pertinente : 
    • D'une manière générale, les auditeurs observeront également les explications que vous donnez et vos activités quotidiennes afin de vérifier la conformité.
    • Lorsque les auditeurs repèrent des points qui devraient être améliorés, ils peuvent les signaler sous forme de recommandations ou d'autres observations. Les recommandations sont des éléments qui pourraient être améliorés du point de vue de l'auditeur, mais pas des non-conformités (du moins pour l'instant). Si l'on ne réagit pas aux recommandations, par exemple avant le prochain audit, elles peuvent devenir des non-conformités.

Lorsqu'aucune non-conformité majeure n'est plus constatée, l'organisation est recommandée pour la certification.

Les auditeurs rassemblent les résultats de l'audit dans un rapport d'audit, qui explique toutes les constatations et est envoyé aux entités auditées.

5. Activités post-audit

Après l'audit de certification proprement dit, il reste encore des choses importantes à faire:‍

  • Délivrer le certificat :
    • Une fois que l'organisation a passé l'audit avec succès, l'organisme de certification délivre le certificat ISO 27001.
    • Le certificat est valable trois ans et fait l'objet d'un contrôle régulier.
  • Effectuer des audits de surveillance annuels:
    • Des audits courts, menés annuellement, pour s'assurer que le SGSI reste conforme.
    • Se concentrer sur des domaines sélectionnés du SMSI et sur les changements pertinents intervenus depuis le dernier audit.
  • Réaliser un audit de recertification tous les 3 ans :
    • Réalisé tous les trois ans pour le renouvellement de la certification.
    • Comprend une évaluation complète similaire au processus de certification initiale.
Le message du certificat est le suivant : "L'organisme d'audit X a vérifié que l'organisation Y respecte la norme Z" (exemple tiré de Cyberday.ai).

Questions les plus fréquentes concernant les audits de certification ISO 27001

Combien de temps faut-il aux organisations pour se préparer à l'audit de certification ISO 27001 ?

Nous travaillons actuellement avec environ 600 organisations par le biais de notre application Cyberday ISMS. Nous avons vu le chemin initial vers la conformité prendre de quelques semaines à 12 mois, et tout ce qu'il y a entre les deux. Et oui, il y a aussi ces initiatives qui n'aboutissent jamais.

En règle générale, le processus prend entre 3 et 9 mois. Les principaux facteurs qui influencent le calendrier sont la complexité et la taille de vos opérations, le niveau actuel de maturité en matière de sécurité de l'information, les ressources et l'expertise que vous pouvez consacrer au travail et les outils utilisés pour gérer le SMSI.

Combien de temps dure l'audit de certification ISO 27001 ?

Les audits de certification ISO 27001 réalisés de manière acceptable ont une durée minimale clairement définie, décrite dans la série de normes ISO 27000.

Dans une petite organisation (moins de 10 employés), vous aurez besoin d'un total de 7 à 14 jours de travail d'auditeur au cours d'une période de certification de trois ans. Dans une grande organisation (plus de 10 000 employés), le nombre de jours de travail de l'auditeur s'élèvera à environ 50 jours pour une période de certification de trois ans.

Durée typique d'un audit en fonction de la taille de l'organisation

Quels sont les coûts de la certification ISO 27001 ?

Le coût direct de l'audit de certification ISO 27001 est facile à estimer si vous regardez la question ci-dessus relative à la durée de l'audit. Le coût principal est celui que vous payez pour le travail de l'auditeur, qui est estimé à 1000 € par jour dans l'UE.

Ainsi, la facture directe à payer pour les organismes d'audit effectuant l'audit de certification s'élèvera entre 10 000 € et 50 000 € pour l'ensemble de la période de trois ans, en fonction de la taille de votre organisation.

Les coûts internes (par exemple, les travaux nécessaires au SMSI, le temps du personnel, les solutions logicielles, les autres investissements technologiques, la formation nécessaire) dépendent totalement de votre maturité initiale en matière de sécurité de l'information.

Quelle est la fréquence des audits ISO 27001 ?

L'audit de certification (ou de re-certification) sera effectué tous les trois ans. Les audits de surveillance sont des audits annuels de plus courte durée, qui seront réalisés au cours des années restantes afin de garantir une amélioration continue et une maintenance adéquate du SMSI.

Que se passe-t-il si vous échouez à l'audit de certification ISO 27001 ?

"L'échec d'un audit de certification ISO 27001 signifie essentiellement que l'organisation n'a pas satisfait à toutes les exigences de la norme au moment de l'audit et que des non-conformités ont donc été identifiées.

Ensuite, l'organisation aura la possibilité de traiter les non-conformités par des actions correctives et de poursuivre le processus de certification. Il s'agit d'élaborer un plan d'actions correctives et de mettre en œuvre ces corrections. Pour les non-conformités majeures, les corrections doivent être vérifiées par l'auditeur. Pour les non-conformités mineures, une simple vérification du plan suffit.

Lorsque le suivi des actions correctives démontre la conformité, la certification peut alors être accordée.

Il est important de comprendre qu'il n'y a pas d'échec dans le processus d'audit de certification. L'auditeur vous aidera simplement à identifier les non-conformités, qui sont autant de points à améliorer. Même si des non-conformités sont détectées (ce qui est tout à fait normal), vous disposerez d'une liste de tâches à accomplir en vue de la certification et vous aurez amélioré votre sécurité de l'information.

Rédigé par
Aleksi Pulkkanen
22.1.2025
@
apulkkanen
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Partager l'article

Autres contenus similaires de Academy

Blogs

Les 10 non-conformités les plus fréquentes lors des audits ISO 27001

Les audits et les non-conformités poussent les organisations à l'amélioration continue. Mais avant votre première certification ISO 27001, il est bon de connaître les non-conformités les plus courantes, afin de les éviter lors de votre audit de certification.
18.2.2025

J'ai reçu une demande d'entretien pour un audit ISO 27001 - à quoi dois-je m'attendre ?

Dans ce blog, nous parlerons de l'importance de la participation des employés dans le processus d'entretien d'audit, des raisons pour lesquelles les auditeurs apprécient les points de vue des employés, et nous examinerons les questions qui peuvent être posées lors d'un entretien ISO 27001.
13.2.2025

Liste de contrôle de la conformité et de la certification ISO 27001

Vous souhaitez vous assurer que vous répondez aux exigences de la norme ISO 27001 ? Cette liste de contrôle présente des étapes clés clairement ordonnées qui guident votre organisation dans la mise en place d'un SMSI et la mise en conformité avec la norme ISO 27001.
6.2.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuRésumés hebdomadaires d'informationsS'abonner à l'AcadémieLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité