Comment structurer votre projet de certification ISO 27001 en 6 mois
Les étapes clés, les pièges à éviter et les ressources nécessaires pour une certification ISO 27001 réussie — un plan de projet concret pour les organisations canadiennes.
La certification ISO 27001 est un projet structurant qui demande rigueur, engagement de la direction et ressources dédiées. Six mois est un délai ambitieux mais atteignable pour les organisations qui démarrent avec une base documentaire existante. Voici un plan de projet éprouvé.
Plan de projet en 6 mois
Cadrage et engagement de la direction
- Obtenir le mandat formel de la direction (sine qua non)
- Définir le périmètre du SMSI (systèmes, processus, sites concernés)
- Constituer l'équipe projet (RSSI, DPO, représentants métier)
- Choisir l'organisme de certification (BSI, Bureau Veritas, SGS, etc.)
- Réaliser une analyse d'écart initiale pour évaluer le niveau de maturité
Un périmètre trop large ou mal défini est la première cause d'échec.
Analyse des risques et plan de traitement
- Choisir et documenter la méthodologie d'évaluation des risques
- Réaliser l'inventaire des actifs informationnels
- Identifier les menaces, vulnérabilités et impacts
- Évaluer et prioriser les risques selon l'appétit défini
- Rédiger la Déclaration d'applicabilité (SoA — Statement of Applicability)
La SoA est le document central de l'audit — ne la négligez pas.
Mise en œuvre des contrôles
- Implémenter les contrôles prioritaires de l'Annexe A
- Rédiger ou mettre à jour les politiques de sécurité
- Former le personnel aux politiques et procédures
- Mettre en place la gestion des incidents de sécurité
- Documenter les procédures opérationnelles clés
Priorisez les contrôles à fort impact — tout implémenter en 6 mois est irréaliste.
Audit interne et revue de direction
- Réaliser un audit interne complet du SMSI
- Documenter les non-conformités et ouvrir des plans d'action correctifs
- Tenir la revue de direction formelle avec les résultats
- Valider que tous les enregistrements requis sont en place
- Réaliser un exercice de simulation d'incident ou de continuité
L'audit interne doit être réalisé par quelqu'un d'indépendant du processus audité.
Audit de certification (Étape 1 + Étape 2)
- Audit documentaire (Stage 1) : vérification des politiques et de la SoA
- Corriger les écarts mineurs identifiés lors du Stage 1
- Audit sur site (Stage 2) : vérification de l'implémentation effective
- Traiter les non-conformités éventuelles dans le délai accordé
- Obtenir le certificat (valide 3 ans, audits de surveillance annuels)
Entre Stage 1 et Stage 2, prévoyez 2 à 4 semaines de correction.
Les 5 pièges les plus fréquents
Traiter ISO 27001 comme un projet IT uniquement
La certification concerne l'ensemble de l'organisation, pas seulement l'informatique. La direction et les métiers doivent être impliqués.
Sous-estimer la charge documentaire
ISO 27001 exige une documentation substantielle : politiques, procédures, enregistrements, résultats d'audit. Prévoyez les ressources humaines nécessaires.
Copier-coller des politiques génériques
Les politiques doivent refléter la réalité de votre organisation. Un auditeur expérimenté détecte immédiatement les politiques non appliquées.
Négliger la formation du personnel
L'Annexe A exige que le personnel soit sensibilisé à la sécurité. Sans formation documentée, les non-conformités sont inévitables.
Oublier les audits de surveillance
La certification dure 3 ans avec des audits annuels de surveillance. Le SMSI doit être maintenu et amélioré en continu.
Ressources pour aller plus loin
Gérez votre certification ISO 27001 dans CapGRC
Registre des risques, Déclaration d'applicabilité, plans d'action, audits internes — tout le nécessaire pour votre SMSI, intégré à votre programme GRC.