Vous obtenez une certification ISO 27001 en construisant un Système de Management de la Sécurité de l'Information (SMSI), en l'exploitant de manière démontrable, puis en le faisant évaluer par un organisme de certification indépendant et accrédité. Le parcours est clairement structuré : créer les prérequis, mettre en œuvre le SMSI, le réviser en interne et réussir l'audit de certification externe. Vous trouverez ci-dessous le parcours habituel, les prérequis et le rôle que joue Kertos.
Les prérequis
Avant que l'audit externe puisse avoir lieu, quelques fondamentaux doivent être en place :
- Un périmètre défini (scope) : préciser clairement quels domaines, systèmes et informations le SMSI couvre.
- Le soutien de la direction : les responsabilités, les ressources et une politique de sécurité de l'information sont établies.
- Appréciation des risques et SoA : les risques sont évalués, les mesures sélectionnées et documentées dans la Déclaration d'Applicabilité.
- Mesures mises en œuvre : les mesures pertinentes de l'Annexe A sont intégrées dans les opérations quotidiennes.
- Audit interne et revue de direction : les deux doivent avoir été réalisés de manière démontrable avant l'audit externe.
Le parcours habituel vers la certification
| Phase |
Ce qu'elle implique |
| 1. Périmètre et préparation |
Définir le périmètre, réaliser une analyse des écarts, mettre en place le projet. |
| 2. Appréciation des risques et planification |
Évaluer les risques, sélectionner les mesures, élaborer la SoA et les politiques. |
| 3. Mise en œuvre |
Mettre en œuvre les mesures, former les collaborateurs, collecter les preuves. |
| 4. Revue interne |
Réaliser l'audit interne et la revue de direction, corriger les non-conformités. |
| 5. Audit de certification étape 1 |
Revue documentaire par l'organisme de certification, identification des points ouverts. |
| 6. Audit de certification étape 2 |
Évaluation de la mise en œuvre effective, suivie de la délivrance du certificat. |
Important : le certificat est valable trois ans. Suivent ensuite des audits de surveillance annuels, puis un audit de recertification avant l'expiration. Le SMSI doit avoir fonctionné efficacement de manière démontrable pendant plusieurs semaines à plusieurs mois avant l'audit de l'étape 2.
Qui réalise l'audit externe
Le certificat lui-même est délivré uniquement par un organisme de certification indépendant et accrédité. Pour des raisons d'indépendance, cet organisme n'est pas autorisé à agir également comme votre consultant. Le conseil, la mise en œuvre et la préparation peuvent toutefois être assurés par votre équipe ou par un partenaire tel que Kertos.
Comment Kertos rend le parcours plus rapide, plus efficace et moins coûteux
Kertos vous accompagne tout au long du parcours vers la certification et automatise les étapes les plus exigeantes. Kertos associe une plateforme de conformité agentique (KAIA) à des experts internes accrédités qui travaillent aux côtés de votre équipe :
- Plus rapide : l'analyse des écarts, l'appréciation des risques et la collecte de preuves automatisées raccourcissent nettement la préparation.
- Plus efficace : des modèles de politiques et une SoA générée automatiquement évitent le travail en double.
- Moins coûteux : jusqu'à 60 % d'économies par rapport au conseil traditionnel, avec des coûts prévisibles.
- Continu : après la certification, la conformité reste active, y compris la préparation aux audits de surveillance et de recertification.
- Avec une responsabilité d'experts : sur demande, Kertos assume des mandats de CISO externe et accompagne l'audit externe.
Cela se reflète dans le bilan de Kertos : un taux de réussite aux audits de 100 %, environ 80 % d'effort de conformité manuel en moins, une satisfaction client de 98 %, et des clients comme AskUI ayant obtenu la certification ISO 27001 en seulement 8 à 10 semaines. Un projet souvent étalé sur un an devient ainsi un processus prévisible et continu.
