Comment préparer une certification ISO 27001 ?
La norme ISO 27001 ne demande pas d'être parfait : elle demande de démontrer que la sécurité de l'information est pilotée de façon systématique, avec des risques identifiés, des contrôles proportionnés et une amélioration continue. La majorité des non-conformités constatées lors des audits blancs ne portent pas sur des failles techniques, mais sur l'absence de preuves documentées : politique de sécurité non formalisée, revue des accès non tracée, plan de continuité jamais testé.
La première étape consiste à définir le périmètre du SMSI : quels systèmes, quelles équipes, quels sites sont couverts. Un périmètre trop large complexifie inutilement la préparation ; un périmètre trop restreint peut être jugé non représentatif par l'auditeur. Vient ensuite l'analyse de risques, cœur de la norme : chaque actif informationnel doit être associé à des menaces, une probabilité, un impact, et des mesures de traitement documentées.
Les domaines les plus souvent sous-évalués en amont d'un audit sont la gestion des accès (IAM), la journalisation et supervision, la gestion des incidents et la continuité d'activité. Ce sont aussi les domaines où un audit structuré, mené question par question avec preuves à l'appui, permet de gagner le plus de temps avant l'audit officiel.
Un pré-audit structuré, mené en amont sur ces domaines, permet d'objectiver l'écart avec le référentiel et de prioriser les actions correctives avant l'audit de certification proprement dit, plutôt que de découvrir les non-conformités le jour J.
Prêt à évaluer votre organisation ?
Essayer gratuitementÀ lire aussi