Accueil / Ressources / Liste de contrôle de préparation ISO 27001

Liste de contrôle de préparation ISO 27001

Ce guide vous accompagne à travers chaque étape de la préparation à la certification ISO 27001 — de la mise en œuvre du SMSI et du traitement des risques à la validation de la Déclaration d'applicabilité, en passant par l'audit interne et la préparation aux Audits de Phase 1 et de Phase 2. Utilisez les sections de la liste de contrôle pour identifier les lacunes et mener votre programme à son terme avant l'arrivée de l'auditeur externe.

8 domaines de préparation 93 contrôles de l'Annexe A Calendrier de 8 à 20 semaines

Qu'est-ce que la préparation à ISO 27001 ?

La préparation à ISO 27001 signifie que votre système de management de la sécurité de l'information (SMSI) est entièrement mis en œuvre, documenté et étayé par des preuves — pas seulement conçu sur le papier. La préparation à la certification exige que vos politiques, votre traitement des risques, vos contrôles ISO 27001 et votre cycle d'audit interne soient tous opérationnels avant d'inviter un auditeur externe à les évaluer.

De nombreuses organisations confondent la mise en œuvre du SMSI avec la préparation à la certification. La mise en œuvre consiste à construire le système ; la préparation consiste à démontrer qu'il fonctionne. Les auditeurs lors de l'Audit de Phase 1 (revue documentaire) et de l'Audit de Phase 2 (efficacité des contrôles) recherchent des preuves d'exploitation, pas d'intention. Une politique qui existe mais n'est pas appliquée générera une non-conformité quelle que soit la qualité de sa rédaction.

Cette liste de contrôle couvre les huit domaines que les auditeurs externes examinent systématiquement. Parcourez chaque section, évaluez votre état actuel, désignez des responsables pour les points ouverts et consolidez vos preuves avant votre première date d'audit.

Liste de contrôle complète de préparation ISO 27001

Évaluez chaque point : complet, partiel ou non commencé. Les points partiels et manquants constituent votre backlog de remédiation.

1 Périmètre et contexte

  • La déclaration de périmètre du SMSI définit les frontières organisationnelles, géographiques et systèmes
  • L'analyse du contexte interne et externe (clause 4.1) est documentée
  • Les parties intéressées et leurs exigences pertinentes (clause 4.2) sont identifiées
  • Les exclusions du périmètre sont justifiées, documentées et défendables face à un auditeur

2 Leadership et gouvernance

  • L'engagement de la direction est attesté — procès-verbaux de réunion, approbations par e-mail ou validation de politique
  • La politique de sécurité de l'information est approuvée, datée et communiquée à l'ensemble du personnel
  • Les rôles et responsabilités en matière de sécurité sont attribués à des personnes nommément désignées, pas seulement à des intitulés de poste
  • Les objectifs de sécurité de l'information sont mesurables et liés au contexte de risque de l'organisation

3 Évaluation des risques

  • La méthodologie d'évaluation des risques est documentée avec des critères définis pour la probabilité, l'impact et l'acceptation
  • Le registre des risques couvre l'ensemble des actifs, processus ou scénarios relevant du périmètre du SMSI
  • Un propriétaire de risque est désigné pour chaque risque identifié
  • Le plan de traitement des risques sélectionne les options (traiter, tolérer, transférer, mettre fin) pour chaque risque au-dessus du seuil d'acceptation
  • Le plan de traitement des risques est examiné et formellement accepté par la direction

4 Déclaration d'applicabilité

  • Les 93 contrôles de l'Annexe A sont tous évalués — aucun n'est omis sans justification documentée
  • Chaque contrôle applicable indique son état de mise en œuvre : mis en œuvre, partiellement mis en œuvre ou planifié
  • Les contrôles exclus comportent une justification vérifiable faisant référence au périmètre, au risque ou à la base légale
  • La Déclaration d'applicabilité est gérée par version, datée et signée par la direction habilitée
  • La DdA est alignée sur le plan de traitement des risques — les contrôles sélectionnés traitent les risques identifiés

5 Contrôles de l'Annexe A

  • Tous les contrôles ISO 27001 sélectionnés dans la DdA sont mis en œuvre et s'appuient sur des politiques ou procédures
  • Les contrôles techniques — gestion des accès, chiffrement, journalisation, gestion des vulnérabilités — sont opérationnels
  • Les exigences de sécurité applicables aux fournisseurs et aux tiers figurent dans les contrats et sont évaluées périodiquement
  • La formation de sensibilisation à la sécurité est achevée et les attestations sont conservées
  • Les plans de réponse aux incidents et de continuité des activités ont été testés et les résultats sont documentés

6 Audit interne

  • Un programme d'audit interne couvre l'intégralité du périmètre du SMSI et tous les contrôles ISO 27001 applicables
  • Au moins un cycle complet d'audit interne est achevé avant l'Audit de Phase 1 (revue documentaire)
  • Les constats d'audit et les non-conformités sont formellement consignés dans un rapport
  • L'audit a été réalisé par une personne indépendante du domaine audité

7 Revue de direction

  • Une réunion de revue de direction a eu lieu et a été formellement consignée dans un procès-verbal
  • L'ordre du jour a couvert les résultats des audits internes, l'état des risques, les performances par rapport aux objectifs de sécurité et les opportunités d'amélioration
  • Les sorties de la revue documentent les décisions relatives aux évolutions du SMSI, aux besoins en ressources et aux actions d'amélioration
  • Les procès-verbaux sont conservés en tant qu'informations documentées et mis à disposition pour l'examen de l'auditeur

8 Actions correctives

  • Toutes les non-conformités issues des audits internes font l'objet d'une analyse des causes racines et d'une action corrective enregistrée
  • Chaque action corrective dispose d'un responsable nommément désigné et d'une date cible de clôture
  • Les actions achevées sont vérifiées quant à leur efficacité avant d'être clôturées
  • Le registre des actions correctives est à jour et disponible pour inspection par l'auditeur

Erreurs courantes de préparation

Ce sont les lacunes les plus fréquemment relevées comme non-conformités lors de la préparation à l'audit ISO 27001.

Traiter la Déclaration d'applicabilité comme un simple exercice administratif

La DdA doit refléter l'état réel de vos contrôles ISO 27001. Les auditeurs la recoupent avec les mises en œuvre effectives et soulèveront une non-conformité si des contrôles indiqués comme mis en œuvre ne peuvent pas être prouvés.

Aucun audit interne ni revue de direction achevés avant la Phase 1

Ces deux éléments sont des exigences obligatoires. Se présenter à l'Audit de Phase 1 sans registres complétés signifie que l'auditeur ne peut pas confirmer le fonctionnement de votre SMSI, et la certification sera retardée.

Contrôles documentés dans les politiques mais non appliqués en pratique

Il s'agit du constat le plus fréquent lors de l'Audit de Phase 2 (efficacité des contrôles). Une politique indiquant « les accès sont revus trimestriellement » doit être étayée par des enregistrements de revues d'accès datés. L'intention sans preuve constitue une non-conformité.

Plan de traitement des risques non formellement accepté par la direction

Réaliser une évaluation des risques ne suffit pas. ISO 27001 exige que la direction accepte formellement le risque résiduel et approuve le plan de traitement. Sans acceptation signée ou consignée dans un procès-verbal, la clause 6.1 est incomplète.

Non-conformités de l'audit interne toujours ouvertes lors de la Phase 2

Des actions correctives ouvertes indiquent que le cycle d'amélioration de votre SMSI ne fonctionne pas. Les auditeurs vérifient si les constats ont été clôturés et vérifiés, pas seulement enregistrés.

Périmètre du SMSI trop large par rapport aux preuves disponibles

Les organisations définissent parfois un périmètre étendu pour paraître exhaustives, puis peinent à produire des preuves cohérentes dans tous les domaines. Un périmètre restreint mais bien documenté se certifie plus fiablement qu'un périmètre large avec des lacunes probatoires.

Préparation à l'Audit de Phase 1 et à l'Audit de Phase 2

La certification ISO 27001 repose sur un processus d'audit en deux phases. Comprendre ce que chaque phase évalue vous permet de concentrer votre préparation dans le bon ordre.

1

Phase 1 — Revue documentaire

Généralement réalisé à distance, l'Audit de Phase 1 confirme que la documentation de votre SMSI est complète et que votre organisation est prête à passer à l'audit d'efficacité. Les constats de Phase 1 doivent être résolus avant la planification de la Phase 2.

Points examinés par les auditeurs

  • Le périmètre du SMSI est clairement défini et approprié
  • La Déclaration d'applicabilité est finalisée et signée
  • L'évaluation des risques et le plan de traitement des risques sont documentés
  • L'audit interne et la revue de direction ont été réalisés
  • Toutes les informations documentées obligatoires ISO 27001 sont présentes
2

Phase 2 — Efficacité des contrôles

L'Audit de Phase 2 vérifie si les contrôles ISO 27001 fonctionnent comme prévu, par des entretiens avec le personnel, des revues de processus et des sondages probatoires. C'est à cette étape que la certification est accordée ou que des non-conformités majeures sont soulevées.

Points examinés par les auditeurs

  • Les contrôles ISO 27001 fonctionnent comme décrit dans les politiques et la DdA
  • Les preuves sont récentes, cohérentes et traçables par rapport aux contrôles
  • Le personnel démontre sa connaissance de ses responsabilités au sein du SMSI
  • Les non-conformités de Phase 1 sont entièrement clôturées
  • Le registre des actions correctives témoigne d'un cycle d'amélioration efficace

FAQ

Qu'est-ce qu'un système de management de la sécurité de l'information (SMSI) ?

Un système de management de la sécurité de l'information est l'ensemble des politiques, procédures et contrôles qui gèrent de manière systématique les risques liés à la sécurité de l'information au sein d'une organisation. ISO 27001 est la norme internationale qui définit les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un SMSI. La certification démontre à vos clients et régulateurs que votre système de management de la sécurité de l'information satisfait à cette norme.

Combien de temps prend la mise en œuvre d'un SMSI ?

La plupart des programmes de mise en œuvre d'un SMSI prennent de 8 à 20 semaines du lancement à la préparation à l'Audit de Phase 1, selon la complexité du périmètre, la maturité de la documentation existante et la disponibilité des ressources dédiées. Prévoyez encore quatre à huit semaines entre la Phase 1 et la Phase 2 pour la consolidation des preuves et la remédiation des constats de Phase 1.

Qu'est-ce que la Déclaration d'applicabilité et pourquoi est-elle importante ?

La Déclaration d'applicabilité est le document qui met en correspondance les 93 contrôles de l'Annexe A avec votre organisation, en précisant lesquels sont applicables et mis en œuvre, et pourquoi certains sont exclus. C'est l'un des premiers documents demandés lors de l'Audit de Phase 1, car il donne à l'auditeur une vue d'ensemble de votre paysage de contrôles ISO 27001. Elle doit être gérée par version, à jour et signée par la direction.

Faut-il appliquer les 93 contrôles de l'Annexe A ?

Non, mais vous devez évaluer les 93 contrôles ISO 27001 et documenter une justification pour ceux que vous excluez. Les contrôles sont sélectionnés en fonction des risques de votre évaluation, de vos obligations légales et contractuelles, et de votre contexte opérationnel. Les exclusions non justifiées constituent un constat fréquent lors de l'Audit de Phase 1.

Que se passe-t-il si nous échouons à l'Audit de Phase 1 ?

Un Audit de Phase 1 non concluant signifie que l'auditeur a relevé des constats qui doivent être résolus avant que la Phase 2 puisse avoir lieu. Les constats peuvent être des observations mineures, des opportunités d'amélioration ou des non-conformités majeures. Les problèmes mineurs sont clôturés durant l'intervalle Phase 1 – Phase 2 ; les non-conformités majeures peuvent nécessiter un nouvel audit complet du domaine concerné et retarderont votre calendrier de certification.

La mise en œuvre d'un SMSI ISO 27001 peut-elle soutenir la conformité DORA ?

Oui. La gouvernance des politiques, le traitement des risques, la supervision des fournisseurs et les preuves de gestion des incidents constitués lors de la mise en œuvre du SMSI peuvent directement soutenir les obligations DORA. Les référentiels sont complémentaires : ISO 27001 établit votre socle de contrôles de sécurité de l'information, tandis que DORA ajoute des exigences de résilience opérationnelle numérique, de notification des incidents TIC et de supervision des prestataires tiers propres aux entités financières.

Speak with an expert

Talk to an experienced consultant about your objectives. We'll help you understand what it takes and how RiskNow can accelerate your path to compliance.