auxlo
Start free assessment
Gestion de la sécurité de l'information

Certification ISO 27001:2022, conçue pour réussir et pour durer.

L'ISO/IEC 27001 est la référence internationale en matière de sécurité de l'information. Nous concevons des programmes SMSI allégés qui passent la certification du premier coup et continuent de fonctionner sans devenir un fardeau documentaire, couvrant l'ensemble des contrôles de l'annexe A dans la version 2022.

Book a 30-min scoping callRun a free self-assessment
Contrôles annexe A
93 (révision 2022)
Délai typique
6 à 12 mois
Cycle d'audit
Recertification tous les 3 ans

Ce qu'exige réellement l'ISO 27001

L'ISO/IEC 27001:2022 exige un système de management de la sécurité de l'information opérationnel : périmètre défini, politique de sécurité, méthode d'évaluation des risques, déclaration d'applicabilité couvrant les 93 contrôles de l'annexe A, objectifs de sécurité, programme d'audit interne, calendrier de revue de direction et amélioration continue. La certification est délivrée par un organisme accrédité après une revue documentaire en phase 1 et un audit d'implémentation en phase 2.

C'est une norme de système de management. Cela signifie que les auditeurs ne vérifient pas seulement l'existence des contrôles : ils s'assurent que le SMSI est réellement géré.

Comment nous pilotons un programme ISO 27001

  1. Périmètre et contexte. Définir ce qui est inclus dans le SMSI : sites, services, types de données. Résister à l'élargissement du périmètre à cette étape, cela paie plus tard.
  2. Évaluation des risques. Une méthode reproductible, un inventaire des actifs et des menaces, un registre des risques, un plan de traitement.
  3. Déclaration d'applicabilité. Chaque contrôle de l'annexe A inclus, exclu ou partiellement adopté, avec justification documentée.
  4. Mise en oeuvre des contrôles. Politiques, procédures, contrôles techniques. Nous rédigeons la documentation à un niveau opérationnel réel, non pas un déversement de gabarits.
  5. Audit interne et revue de direction. Audit interne indépendant, tableau de bord d'indicateurs, revue de direction formelle avec décisions consignées.
  6. Audits de phase 1 et phase 2. Nous coordonnons avec l'organisme de certification et menons des simulations d'audit avant chaque phase.

Ce que la révision 2022 a changé

L'annexe A a été restructurée, passant de 114 contrôles à 93, regroupés en thèmes Organisationnel, Personnes, Physique et Technologique. Onze nouveaux contrôles ont été ajoutés : veille sur les menaces (A.5.7), sécurité de l'information pour les services en nuage (A.5.23), préparation des TIC pour la continuité des activités (A.5.30), surveillance de la sécurité physique (A.7.4), gestion de la configuration (A.8.9), suppression de l'information (A.8.10), masquage des données (A.8.11), prévention des fuites de données (A.8.12), activités de surveillance (A.8.16), filtrage Web (A.8.23) et codage sécurisé (A.8.28). La transition depuis la version 2013 s'est terminée le 31 octobre 2025; les nouvelles certifications doivent utiliser la version 2022.

ISO 27001 et SOC 2 ensemble

Les deux normes se recoupent à environ 70 %. Nous concevons un cadre de contrôle sous-jacent unique qui produit à la fois un rapport SOC 2 Type 2 et une certification ISO 27001 avec des preuves communes, une formation commune et des travaux d'audit interne communs, réduisant généralement l'effort combiné de 30 à 40 % par rapport à deux programmes parallèles.

FAQ

Common questions

Qu'est-ce que l'ISO/IEC 27001?
L'ISO/IEC 27001 est la norme internationale pour un système de management de la sécurité de l'information (SMSI). La version actuelle (2022) exige un SMSI documenté avec l'engagement de la direction, une évaluation des risques, une déclaration d'applicabilité couvrant les 93 contrôles de l'annexe A, un audit interne, une revue de direction et une amélioration continue, vérifiés par un organisme de certification accrédité.
Combien de temps prend la certification ISO 27001?
Du démarrage à l'audit de certification de phase 2, prévoyez 6 à 12 mois pour une petite ou moyenne organisation. Des audits de surveillance suivent en année 1 et en année 2, avec une recertification complète en année 3.
ISO 27001 ou SOC 2, lequel choisir?
Si vous vendez principalement à des acheteurs nord-américains, le rapport SOC 2 Type 2 est l'artefact le plus demandé. Si vous vendez en Europe, dans des secteurs réglementés ou auprès de gouvernements, l'ISO 27001 a davantage de poids. Les contrôles se recoupent à environ 70 %, donc nous concevons des programmes capables de produire les deux efficacement le moment venu.
Qu'est-ce qui a changé dans l'ISO 27001:2022?
L'annexe A a été restructurée, passant de 114 contrôles à 93, regroupés en quatre thèmes (organisationnel, personnes, physique, technologique). Onze nouveaux contrôles ont été ajoutés, notamment la veille sur les menaces, la sécurité en nuage, le masquage des données et le codage sécurisé. Les organisations certifiées selon la version 2013 avaient une période de transition qui s'est terminée le 31 octobre 2025.
Devons-nous mettre en oeuvre les 93 contrôles de l'annexe A?
Non. La déclaration d'applicabilité est le document où vous justifiez l'inclusion ou l'exclusion de chaque contrôle en fonction de votre évaluation des risques. Les auditeurs s'intéressent à la solidité du raisonnement, non à la couverture maximale.

Your next enterprise contract is waiting on this.

  • Flat fee, total cost known up front
  • Canadian data residency available on paid engagements
Book a free intro call