Skip to main content

Le Parcours de Certification : Étape 1, Étape 2, Surveillance, Recertification et Chaque Type de Non-Conformité Expliqué

« La chance favorise l'esprit préparé. »

  • Louis Pasteur

Introduction : Ce qu'est Vraiment la Certification

La certification ISO 27001 est une affirmation formelle, par une tierce partie, que le Système de Management de la Sécurité de l'Information d'une organisation est conforme aux exigences de la norme et qu'il est effectivement mis en œuvre et maintenu. Elle est délivrée par un organisme de certification (OC) accrédité à la suite d'un processus d'audit structuré, maintenue par des audits de surveillance annuels et renouvelée par un audit de recertification complet tous les trois ans.

Comprendre ce qu'est la certification - et ce qu'elle n'est pas - est crucial pour la façon dont les organisations abordent le processus.

La certification n'est pas une garantie de sécurité. Elle ne signifie pas que l'organisation est immunisée contre les violations, que ses contrôles sont techniquement supérieurs ou que sa posture de risque est meilleure qu'une organisation non certifiée. Elle signifie qu'un auditeur qualifié et indépendant a évalué le SMSI par rapport à des critères définis, l'a trouvé conforme, et que le système de management présente les caractéristiques structurelles requises pour piloter l'amélioration continue de la sécurité.

La certification n'est pas un accomplissement ponctuel. C'est un cycle de trois ans d'évaluation continue - certification initiale, deux audits de surveillance annuels et un audit de recertification - qui maintient l'affirmation de conformité tant que le SMSI continue de satisfaire les exigences.

La certification n'est pas binaire. Le processus d'audit produit des constats sur un spectre - des non-conformités majeures qui bloquent la certification, des non-conformités mineures qui nécessitent une action corrective dans des délais définis, et des observations qui informent l'amélioration.

Ce chapitre vous guide à travers l'ensemble du cycle de vie de la certification avec la précision d'un praticien qui l'a vécu - la sélection d'un organisme de certification, les audits des étapes 1 et 2, le cycle de surveillance, le processus de recertification et la gestion de chaque type de constat.

Partie 1 - Sélectionner un Organisme de Certification

1.1 Accréditation : Le Fondement de la Crédibilité de la Certification

Les organismes de certification doivent eux-mêmes être accrédités - évalués par un organisme national d'accréditation (ONA) comme compétents pour réaliser des audits ISO 27001. L'accréditation est ce qui donne à la certification sa crédibilité : elle signifie que l'OC opère selon des normes de compétence définies, utilise des auditeurs qualifiés, suit des processus d'audit documentés et est soumis à la supervision d'un organisme indépendant.

Les principaux organismes d'accréditation par juridiction :

  • UKAS (United Kingdom Accreditation Service) - Royaume-Uni
  • DAkkS (Deutsche Akkreditierungsstelle) - Allemagne
  • COFRAC (Comité français d'accréditation) - France
  • ANAB (ANSI National Accreditation Board) - États-Unis
  • JAB (Japan Accreditation Board) - Japon
  • RvA (Dutch Accreditation Council) - Pays-Bas
  • ONA - varie selon le pays ; le Forum International d'Accréditation (IAF) maintient un arrangement de reconnaissance multilatérale (MLA) dans lequel les accréditations des organismes membres sont mutuellement reconnues

L'IAF MLA signifie qu'un certificat délivré par un OC accrédité par tout organisme membre de l'IAF MLA est reconnu internationalement. Lors de la sélection d'un OC, vérifiez qu'il détient une accréditation d'un organisme membre de l'IAF MLA - les certifications non accréditées ne sont pas reconnues internationalement.

1.2 Sélectionner le Bon Organisme de Certification

Tous les organismes de certification accrédités ne sont pas égaux en termes de qualité de leurs auditeurs, de profondeur de leurs audits, de pertinence de leur expertise sectorielle ou de crédibilité de leurs certificats.

Critères clés de sélection :

Expertise sectorielle : Les audits ISO 27001 nécessitent une compréhension technique des contrôles de sécurité de l'information dans le contexte du secteur spécifique de l'organisation. Demandez spécifiquement l'expérience sectorielle des auditeurs qui seraient affectés.

Couverture géographique : Pour les organisations multi-sites opérant dans plusieurs pays, l'OC doit pouvoir fournir des auditeurs dans toutes les juridictions pertinentes.

Reconnaissance sur le marché : Dans certains marchés - notamment les services financiers réglementés, les marchés publics et les achats technologiques d'entreprise - des OC spécifiques sont plus reconnus ou préférés. Comprenez si vos principaux clients ou régulateurs ont des préférences.

Approche d'audit : Différents OC ont différentes philosophies d'audit. Assurez-vous que l'approche de l'OC correspond à la maturité du SMSI de l'organisation.

Coût et calendrier : Les coûts de certification varient significativement - des différences de 50 à 100 % pour un périmètre équivalent ne sont pas inhabituelles.

Dispositions de transfert : Si l'organisation a précédemment été certifiée et envisage de changer d'OC, le nouvel OC doit réaliser une évaluation initiale complète.

1.3 L'Accord de Certification

Avant le début du processus d'audit, l'organisation et l'OC signent un accord de certification qui spécifie :

  • Le périmètre de la certification
  • Le calendrier d'audit et le plan de ressources
  • Les honoraires
  • Les obligations des deux parties
  • Le processus de traitement des constats
  • Les conditions de délivrance, de suspension et de retrait du certificat

Examinez attentivement l'accord de certification, en particulier les dispositions relatives à la suspension et au retrait du certificat.

Partie 2 - L'Audit Étape 1 : Revue de Documentation et Évaluation de la Préparation

2.1 Ce qu'est l'Étape 1

L'audit d'étape 1 - parfois appelé revue de documentation, audit préliminaire ou évaluation de la préparation - est le premier engagement formel avec l'auditeur de l'organisme de certification. Son objectif est d'évaluer si la documentation du SMSI de l'organisation est suffisamment complète et développée pour soutenir un audit d'étape 2.

L'étape 1 n'est pas l'audit de certification. Elle ne produit pas une décision de certification. Ce qu'elle produit est une évaluation de la préparation et un rapport d'étape 1 qui identifie les domaines où un travail supplémentaire est requis.

En pratique, l'étape 1 implique :

  • La revue du jeu de documentation du SMSI
  • La confirmation de la déclaration de périmètre
  • La revue de la méthodologie et des résultats de l'évaluation des risques
  • La revue de la DdA pour son exhaustivité et la qualité de ses justifications
  • L'évaluation de la période opérationnelle du SMSI pour produire des preuves
  • L'identification des domaines de préoccupation significatifs

2.2 L'Étape 1 peut être Réalisée à Distance ou sur Site

L'étape 1 est de plus en plus réalisée à distance - l'auditeur examine la documentation partagée via un portail sécurisé et réalise des entretiens par vidéoconférence. Pour les organisations grandes ou complexes, une étape 1 sur site peut fournir plus de valeur.

2.3 Ce que l'Étape 1 Trouve Couramment

Les constats de l'étape 1 qui retardent ou compliquent l'étape 2 tombent généralement dans plusieurs patterns :

Documentation obligatoire incomplète : L'évaluation des risques ne couvre pas le périmètre complet. La DdA manque de justifications pour les contrôles exclus. La politique de sécurité de l'information n'a pas été formellement approuvée. La revue de direction n'a pas été réalisée.

SMSI non opérationnel depuis une durée suffisante : La norme exige que le SMSI ait fonctionné pendant une période permettant de collecter des preuves de son fonctionnement - généralement un minimum de trois mois.

Incohérences dans la déclaration de périmètre : La déclaration de périmètre ne décrit pas de manière cohérente ce qui est inclus.

Lacunes dans la méthodologie d'évaluation des risques : La méthodologie de risque est documentée mais ne produit pas de résultats suffisamment spécifiques.

Qualité des justifications de la DdA : Les contrôles sont listés dans la DdA comme exclus avec « N/A » ou sans justification substantielle.

2.4 Gérer l'Écart entre l'Étape 1 et l'Étape 2

Si l'étape 2 est confirmée :

  • Traitez promptement les constats de l'étape 1 - ils seront examinés à l'étape 2
  • Utilisez la période d'écart (généralement 4 à 12 semaines) pour s'assurer que les preuves opérationnelles s'accumulent
  • Informez le personnel clé de ce à quoi s'attendre

Si une préparation supplémentaire est requise :

  • Convenez d'un calendrier réaliste avec l'OC basé sur les lacunes spécifiques identifiées
  • Ne vous précipitez pas pour reprogrammer l'étape 2 avant que les lacunes soient réellement traitées

Partie 3 - L'Audit Étape 2 : La Décision de Certification

3.1 Ce qu'est l'Étape 2

L'audit d'étape 2 est l'audit de certification - l'évaluation formelle déterminant si le SMSI de l'organisation est conforme aux exigences de l'ISO 27001 et si un certificat doit être délivré. Il est plus complet, plus intensif et plus important que l'étape 1.

L'étape 2 évalue à la fois le SMSI documenté et sa mise en œuvre opérationnelle. La question n'est pas seulement si la documentation existe - c'est si le SMSI est effectivement mis en œuvre, cohéremment opéré et produisant les résultats de management de la sécurité qu'il est conçu pour produire.

3.2 Ce que Font les Auditeurs lors de l'Étape 2

Les auditeurs d'étape 2 utilisent trois méthodes principales de collecte de preuves :

Revue documentaire : Revue de la documentation du SMSI pour son exhaustivité, sa cohérence et sa qualité.

Entretiens : Entretiens avec le personnel à plusieurs niveaux de l'organisation - direction générale, fonction sécurité, opérations informatiques, représentants des unités commerciales, RH.

Observation et revue technique : Observation des processus de sécurité en fonctionnement, revue des configurations systèmes, examen des dispositions de sécurité physique.

3.3 Le Processus d'Audit Étape 2

Réunion d'ouverture : L'équipe d'audit rencontre le responsable SMSI pour confirmer le périmètre, le plan et la logistique.

Collecte de preuves : Le travail d'audit substantiel - revues de documents, entretiens, revues techniques et observations.

Réunion de l'équipe d'auditeurs : À la fin de la collecte de preuves, l'équipe d'audit se réunit pour examiner les constats et convenir des classifications.

Réunion de clôture : L'équipe d'audit présente les constats préliminaires. L'organisation a la possibilité de fournir des corrections factuelles.

Rapport d'audit : Dans un délai défini après la réunion de clôture - généralement 2 à 4 semaines - l'OC émet un rapport d'audit formel.

3.4 L'Entretien d'Étape 2 : À Quoi Ça Ressemble de l'Intérieur

Les auditeurs ne cherchent pas à piéger le personnel. Ils cherchent à comprendre si le SMSI est réel - si les personnes censées le mettre en œuvre savent ce qu'elles sont censées faire et le font réellement.

Ce que les auditeurs demandent généralement lors des entretiens avec la direction générale :

  • Comment démontrez-vous votre engagement envers la sécurité de l'information ?
  • Quelle est votre compréhension des risques de sécurité de l'information les plus significatifs de l'organisation ?
  • Comment le conseil d'administration ou l'équipe dirigeante reçoit-il des informations sur les performances de sécurité ?
  • Quand avez-vous examiné pour la dernière fois la politique de sécurité de l'information, et quels changements ont été apportés ?
  • Quelles ressources ont été allouées à la sécurité de l'information dans le dernier cycle budgétaire ?

Ce que les auditeurs demandent généralement lors des entretiens avec le gestionnaire SMSI :

  • Expliquez-moi comment un nouveau risque est identifié et ajouté au registre des risques
  • Comment les décisions de traitement des risques sont-elles prises, et par qui ?
  • Quel a été le dernier incident significatif, et à quelle conclusion a abouti la revue post-incident ?
  • Comment vérifiez-vous que les fournisseurs respectent leurs exigences de sécurité ?
  • Quand le dernier audit interne a-t-il été réalisé, et quels étaient les principaux constats ?

Ce que les auditeurs demandent généralement lors des entretiens avec les opérations informatiques :

  • Comment savez-vous quels patchs de sécurité doivent être appliqués aux systèmes que vous gérez ?
  • Quel processus suivez-vous lorsqu'une alerte de sécurité est générée par le SIEM ?
  • Comment demandez-vous et recevez-vous l'accès à un nouveau système ?
  • Que feriez-vous si vous découvriez une vulnérabilité de sécurité dans un système que vous gérez ?

Ce que les auditeurs demandent généralement lors des entretiens avec le personnel général :

  • Quelle formation avez-vous reçue sur la sécurité de l'information ?
  • Quel est le schéma de classification des informations organisationnelles, et comment classifieriez-vous un e-mail contenant des données financières clients ?
  • Comment signaleriez-vous un incident de sécurité suspecté ?
  • Connaissez-vous la politique d'utilisation acceptable de l'organisation ?

3.5 La Décision de Certification

À la suite de l'étape 2, l'organisme de certification prend l'une des trois décisions suivantes :

Recommander la certification : L'audit a trouvé une conformité avec toutes les exigences obligatoires. L'OC délivre le certificat.

Recommandation conditionnelle : L'audit a trouvé des non-conformités mineures qui doivent être résolues avant la délivrance du certificat. L'organisation dispose d'une période définie - généralement 30 à 90 jours.

Ne pas recommander la certification : L'audit a trouvé des non-conformités majeures qui compromettent fondamentalement la conformité ou l'efficacité du SMSI. Un audit supplémentaire est requis.

Partie 4 - Le Cycle d'Audit de Surveillance

4.1 Le Cycle de Certification de Trois Ans

Les certificats ISO 27001 sont valables trois ans, sous réserve d'audits de surveillance satisfaisants en années un et deux. Le cycle de trois ans consiste en :

  • Année 0 : Certification initiale (Étape 1 + Étape 2)
  • Année 1 : Premier audit de surveillance (AS1)
  • Année 2 : Deuxième audit de surveillance (AS2)
  • Année 3 : Audit de recertification (équivalent Étape 1 + Étape 2)

4.2 Sur Quoi se Concentrent les Audits de Surveillance

Les audits de surveillance donnent la priorité à :

Résolution des non-conformités : Toute non-conformité de l'audit précédent doit être clôturée.

Preuves d'amélioration continue : Le SMSI s'est-il amélioré depuis le dernier audit ?

Changements depuis le dernier audit : Tout changement significatif apporté à l'organisation doit être évalué pour son impact sur le SMSI.

Preuves de la revue de direction et de l'audit interne : Des revues de direction ont-elles été réalisées ? Des audits internes sont-ils exécutés ?

Domaines de contrôle sélectionnés : Chaque audit de surveillance couvrira une sélection de domaines de contrôle de l'Annexe A en profondeur.

4.3 Le Mode d'Échec de l'Audit de Surveillance

Le pattern le plus courant d'échec d'audit de surveillance est la « gueule de bois de certification » - une organisation qui a investi intensivement dans la préparation du SMSI pour la certification initiale et a ensuite repris les opérations normales, traitant les activités du SMSI comme un projet ayant pris fin lors de la certification.

La gueule de bois de surveillance se manifeste par :

Documentation obsolète : Politiques non révisées depuis la certification. Registre des risques non mis à jour pour refléter les changements organisationnels.

Lacunes dans les preuves : Revues de direction réalisées mais non documentées. Audits internes planifiés mais non exécutés.

Non-clôture des non-conformités : Actions correctives de la certification initiale non mises en œuvre.

Dérive du SMSI par rapport à la réalité organisationnelle : L'organisation a changé de manières non reflétées dans le SMSI.

L'antidote à la gueule de bois de certification est le calendrier opérationnel du SMSI décrit au Chapitre 6 - un rythme d'activités régulières du SMSI générant des preuves comme sous-produit d'une opération authentique.

4.4 Suspension du Certificat

Un OC peut suspendre un certificat lorsque :

  • Une non-conformité est identifiée qui entraînerait un échec de recertification si elle n'est pas rapidement corrigée
  • L'organisation ne fournit pas l'accès à l'audit lorsque cela est requis
  • L'organisation a volontairement demandé la suspension
  • Des preuves documentées indiquent que le SMSI n'est plus effectivement maintenu

La suspension du certificat a des conséquences commerciales significatives - cela signifie que le certificat ne peut pas être revendiqué, que les clients doivent être informés et que la suspension apparaît dans le registre public de l'OC.

4.5 Retrait du Certificat

Le retrait du certificat - la révocation permanente du certificat - survient lorsque :

  • L'organisation ne résout pas une suspension dans le délai défini
  • L'organisation se retire volontairement de la certification
  • L'organisation cesse d'exister ou cesse d'opérer dans le périmètre certifié

Contrairement à la suspension, le retrait nécessite un nouveau processus de certification initiale (Étape 1 + Étape 2) pour regagner la certification.

Partie 5 - Recertification : La Revue de Trois Ans

5.1 Ce qu'implique la Recertification

L'audit de recertification à la fin du cycle de certification de trois ans est une réévaluation complète du SMSI - équivalente en périmètre et en profondeur à la certification initiale, mais avec le bénéfice de trois ans d'historique opérationnel.

La recertification implique :

Revue de documentation (équivalent étape 1) : Revue du jeu de documentation du SMSI pour son actualité et son exhaustivité.

Évaluation opérationnelle (équivalent étape 2) : Évaluation du fonctionnement du SMSI dans l'ensemble du périmètre.

Évaluation des tendances sur trois ans : La recertification offre l'opportunité d'évaluer le développement du SMSI sur le cycle de trois ans.

5.2 Préparer la Recertification

La préparation à la recertification devrait commencer au moins six mois avant la date d'expiration de la certification :

Revue complète du SMSI : Revoyez toute la documentation du SMSI pour son actualité.

Clôture des constats ouverts : Revoyez le registre des actions correctives pour tout constat ouvert des audits de surveillance.

Compilation des preuves : Confirmez que les enregistrements de preuves opérationnelles couvrent le cycle de certification complet de trois ans.

Revue du périmètre : Confirmez que la déclaration de périmètre décrit précisément le SMSI actuel.

Pré-audit interne : Réalisez un pré-audit interne complet sur l'ensemble du périmètre du SMSI environ 3 à 4 mois avant la date de recertification.

Partie 6 - Gestion des Non-Conformités : Une Taxonomie Complète

6.1 Non-Conformités Majeures

Une non-conformité majeure représente une défaillance significative du SMSI - soit l'absence d'un élément requis, soit une défaillance systémique d'un processus requis.

Caractéristiques d'une non-conformité majeure :

  • Absence d'un élément requis (p. ex., aucune évaluation des risques documentée, aucune DdA, aucune revue de direction jamais réalisée)
  • Défaillance systémique d'un processus sur tout le périmètre
  • Multiples non-conformités mineures dans le même domaine indiquant une défaillance systémique
  • Preuve que le SMSI n'est fondamentalement pas opérationnel

Conséquences d'une non-conformité majeure :

  • Lors de la certification initiale : le certificat ne peut pas être délivré tant que la non-conformité n'est pas résolue.
  • Lors d'une surveillance ou recertification : le certificat peut être suspendu.

Le processus de résolution de non-conformité majeure :

  1. Reconnaître formellement le constat
  2. Analyser la cause racine
  3. Développer un plan d'action corrective traitant la cause racine
  4. Mettre en œuvre l'action corrective
  5. Collecter des preuves que la non-conformité a été résolue
  6. Soumettre les preuves à l'OC dans le délai défini
  7. L'OC examine les preuves et réalise tout audit de vérification requis
  8. L'OC confirme la clôture

6.2 Non-Conformités Mineures

Une non-conformité mineure représente une défaillance spécifique à satisfaire une exigence qui ne compromet pas, en elle-même, l'efficacité globale du SMSI.

Exemples de non-conformités mineures :

  • Une politique unique qui n'a pas été révisée dans son cycle de révision défini
  • Des enregistrements de formation incomplets pour un petit nombre de personnel en scope
  • Une action de traitement des risques en retard sans prolongation approuvée
  • Une revue de fournisseur qui n'a pas été réalisée dans le délai défini pour un seul fournisseur
  • Un constat d'audit interne d'un cycle précédent avec un plan d'action corrective mais une mise en œuvre incomplète
  • Un contrôle spécifique de l'Annexe A inclus dans la DdA avec statut « à mettre en œuvre » mais sans date cible

Patterns à surveiller : Les OC suivent les patterns de non-conformités sur les cycles de certification. La même non-conformité mineure apparaissant dans plusieurs audits consécutifs sera généralement élevée au rang de non-conformité majeure.

6.3 Observations et Opportunités d'Amélioration

Une observation est le constat d'un auditeur selon lequel une exigence est satisfaite mais il y a une préoccupation ou une opportunité d'amélioration qui, si elle n'est pas traitée, peut entraîner une non-conformité à l'avenir.

Les observations ne sont pas des non-conformités. Elles ne nécessitent pas d'action corrective formelle dans un délai défini. Mais elles ne devraient pas être rejetées.

Exemples d'observations :

  • Un contrôle est mis en œuvre mais les preuves de son fonctionnement sont minces
  • Un processus fonctionne adéquatement mais manque de métriques définies permettant de détecter une dégradation
  • Une relation fournisseur a évolué en périmètre et en risque depuis la dernière revue de classification
  • La culture de signalement des incidents semble sous-développée

6.4 Le Plan d'Action Corrective : Ce qu'Attendent les OC

Pour chaque non-conformité - majeure ou mineure - l'organisation doit soumettre un plan d'action corrective (PAC) dans le délai spécifié par l'OC (généralement 30 à 90 jours pour les non-conformités mineures).

Un plan d'action corrective qui satisfait un OC a quatre composantes :

Correction : Quelle action immédiate a été prise pour traiter la non-conformité spécifique ? Cela traite le symptôme mais pas la cause racine.

Analyse des causes racines : Pourquoi la non-conformité s'est-elle produite ? L'analyse doit être substantielle - pas « la politique n'a pas été révisée parce qu'elle n'a pas été révisée » mais une analyse de la défaillance organisationnelle, de processus ou systémique.

Action corrective : Quel changement systématique a été apporté pour prévenir la récurrence ? Cela traite la cause racine.

Preuves : Preuves spécifiques démontrant que la correction et l'action corrective ont toutes deux été mises en œuvre.

Les OC qui reçoivent des PAC sans analyse des causes racines, des PAC où l'action corrective proposée ne traite que le symptôme, ou des PAC manquant de preuves spécifiques, demanderont une resoumission.

6.5 Clôture des Non-Conformités

Une non-conformité est clôturée lorsque l'OC a examiné les preuves soumises dans le PAC et est convaincu que :

  1. La non-conformité spécifique a été corrigée
  2. La cause racine a été identifiée
  3. L'action corrective est adéquate pour prévenir la récurrence
  4. Les preuves démontrent une mise en œuvre réelle, pas seulement un plan

Partie 7 - Patterns Courants d'Échec de Certification

7.1 Le SMSI Documentaire

L'organisation a produit une documentation complète et bien structurée pour chaque aspect du SMSI. Et puis l'audit d'étape 2 commence à interroger les gens. L'équipe des opérations informatiques ne sait pas quel schéma de classification s'applique aux données clients. Le responsable RH ne sait pas qu'il a des responsabilités dans le SMSI.

La documentation décrit un SMSI. L'organisation opère quelque chose de différent. L'écart entre les deux est le constat.

Prévention : Concevez le SMSI autour de la pratique opérationnelle réelle, pas de la pratique idéale. Formez les personnes ayant des responsabilités SMSI avant l'audit et vérifiez qu'elles comprennent ces responsabilités.

7.2 Le Sprint Pré-Audit

L'organisation programme la certification pour une date spécifique, découvre six semaines avant que la préparation est significativement incomplète et exécute un sprint pré-audit intensif.

Les auditeurs expérimentés reconnaissent rapidement les SMSI assemblés en sprint. Les enregistrements de preuves ont des dates suspicieusement similaires. Les comptes rendus de la revue de direction ne reflètent pas une discussion commerciale authentique.

Prévention : Construisez le calendrier SMSI à rebours depuis la date de certification avec des durées réalistes pour chaque composante. Un minimum de six mois de véritable fonctionnement du SMSI avant l'étape 2 est un repère pratique.

7.3 La Discordance de Périmètre

L'organisation est certifiée pour un périmètre défini. L'audit d'étape 2 identifie qu'une partie significative des actifs informationnels censés être en scope est soit gérée par des fonctions non incluses dans la gouvernance du SMSI, protégée par des contrôles non documentés dans le SMSI, ou soumise à des risques non traités dans l'évaluation des risques.

Prévention : Soumettez la déclaration de périmètre à un défi avant l'étape 2. Demandez à quelqu'un n'ayant pas participé à la rédaction du périmètre de le lire et de parcourir l'environnement informationnel réel.

7.4 La Déconnexion Risque-Contrôle

L'évaluation des risques identifie des risques spécifiques. La DdA liste des contrôles spécifiques. Mais lorsque les auditeurs tracent la connexion entre eux, la réponse est une déclaration générique ne traçant aucun risque spécifique dans le registre des risques.

La connexion risque-contrôle est le fondement logique du SMSI basé sur les risques. Lorsqu'elle est absente, le SMSI est une collection de politiques et de contrôles sans une logique de sécurité cohérente.

Prévention : Construisez la DdA directement à partir de la sortie de l'évaluation des risques, avec des références croisées explicites entre risques et contrôles.

7.5 L'Écart d'Engagement des Dirigeants

La direction générale a approuvé la politique de sécurité de l'information et signé les comptes rendus de la revue de direction. Mais lorsque l'auditeur interroge le PDG ou le directeur financier, leurs réponses révèlent une compréhension minimale du SMSI et aucun engagement significatif avec la gouvernance de la sécurité entre les réunions formelles de revue de direction.

C'est un constat contre la Clause 5.1 (Leadership et engagement) et est l'un des prédicteurs les plus significatifs d'échec du SMSI.

Prévention : L'engagement des dirigeants doit être intégré dans le programme SMSI dès le début - pas comme activité de préparation à la certification mais comme véritable engagement organisationnel.

Partie 8 - Le Programme Pré-Audit : Comment Se Préparer Sans Performer

8.1 Le Pré-Audit Interne

L'investissement unique le plus précieux dans la préparation à la certification est un pré-audit interne bien conçu - une évaluation interne structurée qui examine le SMSI comme l'auditeur certificateur le fera, identifie les lacunes avant l'arrivée de l'OC et permet de les traiter avec du temps.

Un pré-audit devrait être réalisé 3 à 4 mois avant l'étape 2. Ce calendrier est critique - suffisamment tôt pour traiter les constats, suffisamment tard pour que les preuves opérationnelles du SMSI soient représentatives.

Le pré-audit devrait :

Couvrir le jeu de documentation obligatoire complet : Vérifiez que chaque document obligatoire existe, est actuel et correctement approuvé.

Tester la connexion risque-contrôle : Tracez depuis chaque risque significatif dans le registre vers les contrôles qui l'adressent.

Échantillonner les preuves opérationnelles : Tirez des échantillons de preuves pour les activités clés du SMSI - les trois derniers mois de rapports de surveillance, les enregistrements de complétion de la dernière campagne de formation.

Réaliser des entretiens simulés : Interrogez le personnel clé - direction générale, opérations informatiques, personnel général - en utilisant les patterns de questions décrits en Partie 3.

Parcourir l'environnement physique : Pour les audits sur site, parcourez physiquement les sites en scope.

Examiner les constats précédents : Si l'organisation a précédemment été certifiée, examinez toutes les non-conformités et observations précédentes pour confirmer qu'elles ont été correctement résolues.

8.2 Préparation du Personnel

Les personnes qui seront interrogées lors de l'étape 2 devraient comprendre :

  • Ce qu'est le SMSI et ce qu'implique leur rôle
  • Ce qu'exigent d'eux les principales politiques de sécurité
  • Comment décrire leurs activités pertinentes à la sécurité avec précision
  • Comment répondre lorsqu'elles ne connaissent pas la réponse (la bonne réponse est « je ne sais pas, mais voici comment je le découvrirais »)
  • Ce qu'il ne faut pas faire lors d'un audit

La préparation du personnel devrait être un briefing factuel, pas un entraînement des réponses. Les auditeurs qui sentent que les réponses sont répétées plutôt qu'authentiques sondera plus profondément.

8.3 Organisation des Preuves

Avant l'étape 2, organisez les preuves dans un pack de preuves structuré permettant la récupération rapide de tout document ou enregistrement que l'auditeur demande. La structure du pack de preuves devrait refléter la structure des clauses de l'ISO 27001 - organisée par clause et catégorie de contrôle de l'Annexe A.

Résumé : Ce que le Chapitre 8 a Établi

Le parcours de certification est un cycle de trois ans - certification initiale, deux audits de surveillance et recertification - qui maintient une affirmation continue de conformité du SMSI tant que le système de management continue de fonctionner efficacement.

La sélection de l'organisme de certification détermine la qualité et la crédibilité de la certification. L'accréditation est le minimum non négociable.

L'étape 1 évalue la préparation de la documentation et la préparation opérationnelle.

L'étape 2 est l'audit de certification - une évaluation complète du SMSI documenté et de sa mise en œuvre opérationnelle. Les entretiens avec les auditeurs sont le mécanisme de collecte de preuves le plus révélateur.

Les audits de surveillance maintiennent la certification sur le cycle de trois ans. La gueule de bois de certification - la dégradation qui survient lorsque les activités SMSI sont traitées comme un projet ayant pris fin lors de la certification - est le pattern dominant d'échec d'audit de surveillance.

La gestion des non-conformités est un processus défini : les non-conformités majeures bloquent ou menacent la certification, les mineures nécessitent une action corrective dans des délais définis, et les observations signalent les risques futurs. Le plan d'action corrective - avec ses quatre composantes de correction, analyse des causes racines, action corrective et preuves - est le mécanisme par lequel les constats sont résolus.

La préparation sans performance - construire un SMSI qui fonctionne authentiquement - est le prédicteur le plus fiable du succès de la certification et, surtout, d'un SMSI qui protège réellement l'organisation.

Suivant : Chapitre 9 - ISO 27001 dans l'Écosystème de Conformité : NIST CSF, SOC 2, RGPD, NIS2, DORA et Cartes d'Alignement ISO 27002

© ISO 27001 Wiki - Pour les RSSI, Analystes de Sécurité et Professionnels GRC