Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Il n'existe pas de durée fixe pour une certification ISO 27001. De manière réaliste, le parcours entre le lancement du projet et la délivrance du certificat prend entre 3 et 12 mois. Les petites organisations dont le périmètre est clair y parviennent souvent en moins de 6 mois, tandis que les entreprises plus grandes ou plus complexes ont plutôt besoin de 9 à 12 mois. La durée réelle dépend de quelques facteurs clés.

Les facteurs qui influencent la durée

Facteur Effet sur la durée
Taille et complexité de l'organisation Davantage de sites, d'équipes et de processus allongent la définition du périmètre et la mise en œuvre.
Maturité de la sécurité existante Des politiques, des mesures et des preuves déjà en place raccourcissent nettement la préparation.
Périmètre (scope) du SMSI Un périmètre étroitement défini est plus rapide à mettre en œuvre qu'un périmètre à l'échelle de l'entreprise.
Ressources et expérience disponibles Du personnel dédié ou une expertise externe accélèrent considérablement le projet.
Recours à l'automatisation La collecte de preuves via une plateforme peut réduire le temps de préparation à quelques semaines.

Un calendrier type

Le chemin vers la certification peut être globalement découpé en plusieurs phases :

  • Préparation et analyse des écarts (environ 2 à 6 semaines) : définition du périmètre, état des lieux et comparaison avec les exigences de la norme.
  • Construction du SMSI et appréciation des risques (environ 1 à 4 mois) : rédaction des politiques, traitement des risques et élaboration de la Déclaration d'Applicabilité (SoA).
  • Mise en œuvre des mesures (environ 1 à 3 mois) : intégration des mesures pertinentes de l'Annexe A dans les opérations quotidiennes.
  • Phase d'exploitation et collecte de preuves (au moins plusieurs semaines) : le SMSI doit fonctionner de manière démontrable, avec un audit interne et une revue de direction avant l'audit externe.
  • Audit de certification (étape 1 et étape 2, à quelques semaines d'intervalle) : une fois l'audit de l'étape 2 réussi, le certificat est délivré.

Remarque importante : les auditeurs attendent généralement que le SMSI ait fonctionné efficacement pendant plusieurs semaines à plusieurs mois avant la tenue de l'audit de l'étape 2. Un audit interne et une revue de direction doivent avoir été réalisés de manière démontrable avant l'audit externe. Cette exigence constitue souvent le véritable goulot d'étranglement de la durée totale.

Comment Kertos accélère la certification

Kertos réduit le délai de certification en automatisant les étapes les plus longues et en les accompagnant d'une expertise accréditée. Kertos associe une plateforme de conformité agentique (KAIA) à des experts internes qui travaillent aux côtés de votre équipe :

  • Analyse des écarts et définition du périmètre plus rapides : la plateforme identifie les écarts tôt et priorise les étapes suivantes.
  • Modèles et collecte de preuves automatisée : les politiques, les appréciations des risques et la SoA sont en partie préparées et reliées en continu aux preuves.
  • Mise en œuvre guidée : des responsabilités claires et des échéances précises maintiennent le projet sur les rails.
  • Préparation aux audits menée par des experts : Kertos accompagne les audits internes, la revue de direction ainsi que les étapes 1 et 2.

Le résultat se reflète dans le bilan de Kertos : un taux de réussite aux audits de 100 %, environ 80 % d'effort de conformité manuel en moins, et des clients comme AskUI ayant obtenu la certification ISO 27001 en seulement 2,5 mois. Avec le bon accompagnement, un projet souvent étalé sur un an devient un processus prévisible de quelques mois.

PLUS INFORMATIONS

Découvrez nos ressources

Découvrez des livres blancs utiles, des vidéos et des outils pratiques qui vous aident à atteindre efficacement vos objectifs de conformité.

ISO 27001 : le guide complet de la certification en 2026
Guide
Sécurité de l'information
ISO 27001 : le guide complet de la certification en 2026

Ce que la norme exige, comment se déroule réellement l'audit, et comment obtenir la certification sans vous noyer dans les tableurs.

Jetz lesen
Souveraineté des données de l'UE : pourquoi le choix de votre fournisseur est désormais une décision de conformité
Article
Conformité
Souveraineté des données de l'UE : pourquoi le choix de votre fournisseur est désormais une décision de conformité

La résidence des données européennes ne suffit plus. Une nouvelle vague de lois européennes sur la souveraineté déplace la question : il ne s'agit plus de savoir où se trouvent vos données, mais qui contrôle l'entreprise qui les détient.

Jetz lesen
Certification ISO 27001 : Le guide complet pour les startups et les scale-ups
Article
Sécurité de l'information
Certification ISO 27001 : Le guide complet pour les startups et les scale-ups

Tout ce que vous devez savoir sur la certification : de la mise en œuvre du SMSI et des contrôles de l'annexe A aux coûts, aux délais et aux nouveautés de la révision 2022.

Jetz lesen
No items found.
No items found.

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check