ISO/IEC 27001 reste la référence internationale des systèmes de management de la sécurité de l'information (SMSI). Sa révision 2022 — désormais la seule version certifiable — réorganise les mesures de sécurité de l'annexe A en 4 thèmes (organisationnel, personnel, physique, technologique) et introduit des mesures attendues de longue date : threat intelligence, sécurité du cloud, prévention des fuites de données, codage sécurisé.
Pour un cabinet de conseil, une banque ou un prestataire IT, la certification n'est pas une fin en soi : c'est un signal de confiance vérifiable par un tiers, de plus en plus exigé dans les appels d'offres des secteurs financiers et publics.
Les étapes qui comptent
- Définir un périmètre pertinent : assez large pour être crédible commercialement, assez maîtrisé pour être auditable.
- Conduire une appréciation des risques réellement utilisée pour décider — pas un tableur d'apparat.
- Rédiger la déclaration d'applicabilité (SoA) : chaque mesure de l'annexe A retenue, justifiée ou écartée avec argument.
- Mettre en œuvre les mesures et collecter les preuves de fonctionnement pendant plusieurs mois.
- Auditer en interne, corriger, puis passer l'audit de certification en deux étapes (documentation, puis efficacité).
Les trois pièges classiques
Premier piège : la sur-documentation. Un SMSI n'est pas une bibliothèque de politiques que personne ne lit, mais un ensemble de pratiques vivantes et mesurées. Deuxième piège : porter le projet uniquement par l'IT. La sécurité de l'information engage les RH, le juridique, les achats et la direction générale — l'auditeur le vérifiera. Troisième piège : viser la certification sans prévoir la suite ; le SMSI vit au rythme d'audits de surveillance annuels, et un certificat se perd plus vite qu'il ne s'obtient.
Nos consultants certifiés ISO 27001 Lead Implementer et Lead Auditor accompagnent votre démarche de bout en bout — du cadrage initial jusqu'à l'audit de certification — en visant un SMSI utile à votre activité, pas un SMSI de papier.
