Non, un consultant externe n'est pas obligatoire. L'ISO 27001 ne prescrit pas qui construit le Système de Management de la Sécurité de l'Information (SMSI). Vous pouvez obtenir la certification entièrement avec des ressources internes. La seule chose qui compte est une séparation claire : le conseil, la mise en œuvre et l'audit interne peuvent être réalisés par votre propre équipe ou par des consultants. L'audit de certification externe, en revanche, doit toujours être effectué par un organisme de certification indépendant et accrédité. Pour des raisons d'indépendance, cet organisme n'est pas autorisé à agir également comme votre consultant.
Faire soi-même ou se faire accompagner ?
| Approche |
Avantages |
Défis |
| Entièrement en interne |
Coûts externes réduits, montée en compétence interne complète, contrôle total |
Investissement en temps élevé, connaissance de la norme requise, les erreurs allongent souvent le projet |
| Consultant externe |
Expérience, mise en œuvre plus rapide, évitement des erreurs typiques |
Coût, dépendance, le savoir peut quitter l'entreprise une fois le projet terminé |
| Hybride (plateforme et experts) |
Automatisation du travail de routine, expertise là où elle compte, le savoir reste en interne |
Nécessite de choisir le bon prestataire |
Quand un accompagnement externe en vaut la peine
Un accompagnement externe est particulièrement utile lorsqu'un ou plusieurs des points suivants s'appliquent :
- Temps limité : un contrat client à venir ou une échéance d'audit impose de la rapidité.
- Manque d'expérience de la norme : personne dans l'équipe n'a déjà construit un SMSI.
- Capacité interne limitée : l'équipe ne peut pas absorber le travail en plus des opérations quotidiennes.
- Première certification : les exigences sont les plus difficiles à évaluer la première fois.
Une approche purement interne fonctionne bien lorsque le temps suffisant, une maturité de sécurité existante et une connaissance interne de la norme se conjuguent. Si l'un de ces facteurs manque, l'expérience montre que le projet a tendance à durer nettement plus longtemps.
Comment Kertos combine le meilleur des deux mondes
Kertos dissout la question du « soit l'un, soit l'autre » : vous n'avez pas à choisir entre un conseil coûteux et un travail interne laborieux. Kertos associe une plateforme de conformité agentique (KAIA) à des experts internes accrédités qui travaillent aux côtés de votre équipe :
- La plateforme pour le travail de routine : l'analyse des écarts, l'appréciation des risques, la SoA et la collecte de preuves sont automatisées plutôt que réalisées manuellement.
- Des experts là où cela compte : les spécialistes de Kertos accompagnent les questions d'interprétation, l'audit interne et la préparation à l'audit externe, y compris des mandats de CISO externe.
- Le savoir reste chez vous : au lieu d'une dépendance à un consultant, vous obtenez un SMSI durable et vécu que vous pouvez continuer à utiliser.
- Indépendance préservée : Kertos vous prépare à l'audit, tandis que l'audit de certification externe reste réalisé par un organisme indépendant.
Le résultat se reflète dans le bilan de Kertos : un taux de réussite aux audits de 100 %, environ 80 % d'effort de conformité manuel en moins, une satisfaction client de 98 %, et des clients comme AskUI ayant obtenu la certification ISO 27001 en seulement 8 à 10 semaines. Vous gardez ainsi le contrôle en interne sans avoir à supporter seul l'ensemble de l'effort.
