Conseil ISO 27001
La certification ISO 27001 ouvre les appels d’offres entreprise, satisfait les obligations de la chaîne d’approvisionnement NIS2 et fournit la preuve la plus défendable de conformité à l’article 32 du GDPR. La préparation représente 4–9 mois de conception d’ISMS, rédaction de politiques, travail sur le registre des risques et collecte de preuves. Nous nous en chargeons entièrement — prix fixe, avec une complète préparation à l’audit à chaque étape.
ISO 27001 fait une fois, fait correctement
Nous dimensionnons les engagements ISO 27001 pour couvrir l’intégralité du cycle de préparation : périmètre de l’ISMS, évaluation des risques, sélection des contrôles de l’Annexe A, rédaction de politiques, implémentation des contrôles techniques, collecte de preuves, audit interne et coordination des auditeurs pour l’Étape 1 et l’Étape 2. La certification est le livrable, et chaque étape entre le lancement et le certificat est incluse dans le périmètre de l’engagement.
Le conseil ISO 27001 s’intègre naturellement avec notre retainer CISO fractionnel : le vCISO est propriétaire de l’ISMS de façon continue une fois le certificat émis, gère les audits de surveillance et maintient le registre des risques. La plupart des clients combinent le conseil ISO 27001, notre service de test d’intrusion (requis par le contrôle Annexe A 8.8) et le retainer vCISO en un programme de sécurité intégré unique.
De l’analyse des écarts à l’ISMS certifié
Conception de l’ISMS
Périmètre du Système de Management de la Sécurité de l’Information, contexte de l’organisation (clause 4), exigences de leadership (clause 5) et structure de planification (clause 6) — conçu pour correspondre à la taille de votre entreprise, votre secteur et les exigences de l’organisme de certification. Le périmètre de l’ISMS est défini pour couvrir ce que les auditeurs testeront et rien d’inutile.
Registre & traitement des risques
Évaluation des risques selon la clause 6.1 d’ISO 27001 : identification des actifs informationnels, analyse des menaces et vulnérabilités, notation de la probabilité et de l’impact, sélection du plan de traitement (atténuer, accepter, transférer, éviter). Déclaration d’Applicabilité (SoA) rédigée selon l’Annexe A d’ISO 27001:2022. Le registre des risques est maintenu comme document vivant tout au long de l’engagement.
Documentation des politiques
Suite complète de politiques rédigée pour votre entreprise : politique de sécurité de l’information, utilisation acceptable, gestion des accès, réponse aux incidents, gestion des fournisseurs, gestion des changements, continuité d’activité, reprise après sinistre et gestion des actifs. Rédigée en langage clair, révisée par votre équipe, approuvée au bon niveau et maintenue selon une cadence documentée.
Accompagnement à l’audit de certification
Nous coordonnons l’audit avec l’organisme de certification de votre choix : revue documentaire de l’Étape 1 et audit sur site ou à distance de l’Étape 2. Nous préparons votre équipe pour les entretiens avec les auditeurs, gérons la salle des preuves, répondons aux constatations pendant la fenêtre d’audit et suivons la remédiation des non-conformités jusqu’à leur clôture.
Conseil ISO 27001 — Questions fréquemment posées
Combien de temps prend la certification ISO 27001 ?
Du lancement à la décision de certification, ISO 27001 prend généralement 4–9 mois. Les entreprises sans contrôles ou documentation de sécurité préalables prennent plus de temps ; les organisations ayant des pratiques de sécurité existantes et une certaine documentation peuvent aller plus vite. Les phases principales sont : analyse des écarts et périmètre de l’ISMS (2–4 semaines), construction des politiques et du registre des risques (6–12 semaines), implémentation des contrôles techniques (en parallèle, 4–12 semaines), collecte de preuves et audit interne (4–6 semaines), audit Étape 1 (2–4 semaines) et audit Étape 2 (2–4 semaines). Notre analyse des écarts en première semaine vous donne un calendrier de projet précis avant le début de l’engagement principal.
ISO 27001 vs SOC 2 — de quoi ai-je besoin ?
ISO 27001 est plus répandu dans les appels d’offres européens et est de plus en plus requis dans le cadre des obligations de la chaîne d’approvisionnement NIS2. SOC 2 est la norme pour les acheteurs entreprise américains et les entreprises SaaS vendant sur le marché américain. Si vous vendez aux deux marchés, ou si vos acheteurs sont de grandes multinationales, vous pourriez avoir besoin des deux. Nous dimensionnons des engagements combinés ISO 27001 + SOC 2 avec une base de preuves partagée — environ 70% des contrôles de l’Annexe A correspondent aux Critères des services de confiance SOC 2, rendant la double certification 20–35% moins chère que deux programmes séparés.
Combien coûte le conseil ISO 27001 ?
Notre engagement de conseil ISO 27001 à prix fixe commence à €12,000 pour un périmètre d’ISMS bien défini dans une entreprise de 20–100 personnes. Les grandes organisations, les périmètres d’ISMS plus larges ou les programmes combinés ISO 27001 + SOC 2 sont dimensionnés individuellement. L’engagement couvre l’analyse des écarts, la conception de l’ISMS, le registre des risques, la rédaction des politiques, l’implémentation des contrôles techniques, la collecte de preuves, l’audit interne et la coordination des auditeurs pour les Étapes 1 & 2. Les frais d’audit de l’organisme de certification sont séparés (généralement €5,000–€15,000 selon l’auditeur et la taille de l’organisation).
Ai-je besoin d’ISO 27001 pour la conformité GDPR ?
ISO 27001 n’est pas imposé par le GDPR, mais il soutient considérablement la conformité à l’article 32 du GDPR — qui exige des “mesures techniques et organisationnelles appropriées” pour protéger les données personnelles. Un ISMS ISO 27001 est la preuve la plus défendable que ces mesures sont systématiques, documentées et révisées. De nombreuses autorités de contrôle et APD considèrent la certification ISO 27001 comme une preuve solide de conformité GDPR en matière de sécurité. Si vous traitez des volumes importants de données personnelles de l’UE, ou si vous opérez dans un secteur réglementé, ISO 27001 vaut la peine d’être poursuivi pour la seule gestion des risques réglementaires — indépendamment de toute exigence d’un acheteur entreprise.
Certification ISO 27001 sans la majoration des cabinets de conseil
Dites-nous le périmètre de votre ISMS, votre calendrier de certification et les preuves que vous avez déjà — nous reviendrons avec une proposition à prix fixe.
Nous contacter → ISO 27001 & SOC 2 →