Comment la certification ISO 27001 est-elle maintenue et renouvelée (recertification) ?

Comment la certification ISO 27001 est-elle maintenue et renouvelée (recertification) ?

La certification ISO 27001 n'est pas un aboutissement ponctuel. Un certificat est valable trois ans, mais il ne reste valide que si l'organisation maintient le fonctionnement efficace de son Système de Management de la Sécurité de l'Information (SMSI) et réussit les audits planifiés tout au long de ce cycle. Le maintien et le renouvellement suivent un rythme fixe de trois ans.

Le cycle de certification de trois ans

Étape Quand Ce qui se passe
Certification initiale Année 0 L'étape 1 (revue de la maturité documentaire) et l'étape 2 (audit de mise en œuvre) aboutissent à la délivrance du certificat.
1er audit de surveillance environ 12 mois après la certification L'organisme de certification vérifie que le SMSI est toujours opérationnel, évalue les changements et contrôle les actions correctives. Le périmètre est plus restreint qu'un audit complet.
2e audit de surveillance environ 24 mois après la certification Une seconde vérification annuelle confirmant la conformité continue et l'amélioration.
Audit de recertification avant l'expiration des trois ans Une réévaluation complète de l'ensemble du SMSI, d'une profondeur comparable à l'étape 2 initiale, qui renouvelle le certificat pour trois années supplémentaires.

Activités de maintien continues (en permanence, et pas seulement au moment de l'audit)

Pour rester certifiée entre les audits, une organisation doit démontrer que le SMSI s'inscrit dans les opérations quotidiennes. Les principales activités récurrentes comprennent :

  • Les audits internes, au moins une fois par an, couvrant l'ensemble du SMSI sur la durée du cycle.
  • Les revues de direction, au cours desquelles la direction examine formellement la performance, les objectifs et les ressources du SMSI.
  • L'appréciation et le traitement des risques, les risques étant réévalués lorsque les actifs, les menaces ou l'activité évoluent. La Déclaration d'Applicabilité (Statement of Applicability, SoA) est tenue à jour.
  • L'amélioration continue, avec l'enregistrement des non-conformités, le suivi des actions correctives jusqu'à leur clôture et la réintégration des enseignements.
  • La surveillance et la mesure, les mesures de sécurité (par exemple revues des accès, gestion des incidents, sensibilisation à la sécurité) étant documentées en continu.
  • La tenue à jour de la documentation, afin que les politiques, les enregistrements et les preuves restent versionnés et prêts pour l'audit.

Remarque sur la norme actuelle : la version en vigueur est ISO/IEC 27001:2022. Les organisations certifiées selon l'ancienne version de 2013 devaient effectuer la transition avant le 31 octobre 2025. Les certifications nouvelles et renouvelées suivent donc désormais le jeu de mesures de 2022 (93 mesures de l'Annexe A).

Comment Kertos accompagne le maintien et la recertification

Kertos considère la conformité comme un résultat continu plutôt que comme un projet ponctuel, ce qui correspond exactement au cycle de maintien de l'ISO 27001. Kertos associe une plateforme de conformité agentique (KAIA) à des experts internes accrédités qui travaillent aux côtés de votre équipe :

  • Des preuves toujours prêtes pour l'audit : la plateforme collecte et relie en continu les preuves des mesures de sécurité, afin que les audits de surveillance et de recertification ne provoquent aucune précipitation de dernière minute.
  • Une gestion automatisée des risques et de la SoA : les appréciations des risques, les plans de traitement et la Déclaration d'Applicabilité restent actifs et à jour à mesure que votre environnement évolue.
  • Des audits internes et revues de direction planifiés : Kertos structure et suit les tâches récurrentes exigées par la norme, avec des rappels et des responsabilités clairement attribuées.
  • Un accompagnement d'audit mené par des experts : les experts de Kertos (y compris dans le cadre de mandats de CISO externe) vous préparent aux audits de surveillance et de recertification et vous accompagnent pendant leur déroulement.

Ce modèle reflète le bilan de Kertos : un taux de réussite aux audits de 100 %, environ 80 % d'effort de conformité manuel en moins, et des clients comme AskUI ayant obtenu la certification ISO 27001 en 2,5 mois, puis restant certifiés tout au long du cycle de maintien sans avoir à reconstituer leur base de preuves chaque année.

PLUS INFORMATIONS

Découvrez nos ressources

Découvrez des livres blancs utiles, des vidéos et des outils pratiques qui vous aident à atteindre efficacement vos objectifs de conformité.

ISO 27001 : le guide complet de la certification en 2026
Guide
Sécurité de l'information
ISO 27001 : le guide complet de la certification en 2026

Ce que la norme exige, comment se déroule réellement l'audit, et comment obtenir la certification sans vous noyer dans les tableurs.

Jetz lesen
Souveraineté des données de l'UE : pourquoi le choix de votre fournisseur est désormais une décision de conformité
Article
Conformité
Souveraineté des données de l'UE : pourquoi le choix de votre fournisseur est désormais une décision de conformité

La résidence des données européennes ne suffit plus. Une nouvelle vague de lois européennes sur la souveraineté déplace la question : il ne s'agit plus de savoir où se trouvent vos données, mais qui contrôle l'entreprise qui les détient.

Jetz lesen
Certification ISO 27001 : Le guide complet pour les startups et les scale-ups
Article
Sécurité de l'information
Certification ISO 27001 : Le guide complet pour les startups et les scale-ups

Tout ce que vous devez savoir sur la certification : de la mise en œuvre du SMSI et des contrôles de l'annexe A aux coûts, aux délais et aux nouveautés de la révision 2022.

Jetz lesen
No items found.
No items found.

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check