Liste de contrôle pour la certification ISO 27001 pour les entreprises SaaS

La certification ISO 27001 est un projet en plusieurs phases — et les entreprises SaaS qui l’abordent comme un effort structuré et phasé sont celles qui obtiennent la certification sans épuiser leurs équipes ni faire exploser leurs budgets. Traiter la certification comme une course effrénée dans les semaines précédant l’arrivée de l’auditeur conduit à des lacunes, des non-conformités et des retards qui coûtent plus cher que de faire les choses correctement dès le départ.

Cette liste de contrôle couvre l’ensemble du cycle de vie de la certification : de votre analyse initiale des écarts à la mise en œuvre du SMSI (ISMS), l’audit interne, la revue de direction, et l’audit de certification en deux étapes — plus la surveillance continue. Chaque section renvoie à un guide détaillé où vous pouvez approfondir des sujets spécifiques.

Si vous êtes nouveau dans l’ISO 27001, commencez par notre guide Qu’est-ce que l’ISO 27001 ? pour les concepts fondamentaux avant de travailler sur cette liste de contrôle.

Phase 1 : Analyse des écarts et évaluation de l’état actuel

Avant de construire quoi que ce soit, vous devez comprendre où vous en êtes. Une analyse des écarts compare vos pratiques actuelles de sécurité de l’information aux exigences de l’ISO 27001 et identifie exactement ce qui doit changer.

Évaluer vos pratiques de sécurité existantes

Cartographiez vos contrôles, politiques, processus et documentation actuels par rapport aux exigences de l’ISO 27001 (Articles 4-10) et aux 93 contrôles de l’Annexe A. Soyez honnête sur ce qui existe réellement par rapport à ce que vous pensez exister — « nous le faisons de manière informelle » est une lacune, pas un contrôle.

Ce qu’il faut rechercher :

• Politiques écrites versus conventions non écrites
• Procédures documentées versus connaissances tacites
• Contrôles formels avec preuves versus pratiques ad hoc
• Rôles et responsabilités attribués versus propriété supposée
• Revues et mesures régulières versus mises en œuvre configurées et oubliées

Exemple SaaS : Votre équipe d’ingénierie utilise le contrôle d’accès basé sur les rôles dans AWS, impose le MFA et effectue la rotation des identifiants — mais il n’y a pas de politique de contrôle d’accès écrite, pas de calendrier formel de revue des accès, et pas de processus documenté pour accorder ou révoquer les accès. Techniquement, vous avez des contrôles d’accès. Du point de vue de l’ISO 27001, vous avez une lacune documentaire significative.

Identifier les écarts par rapport aux exigences ISO 27001

Pour chaque exigence ISO 27001, documentez si vous êtes pleinement conforme, partiellement conforme ou non conforme. Cela produit une feuille de route de remédiation claire avec des éléments spécifiques à traiter.

Pour un parcours détaillé de chaque exigence, consultez notre guide des exigences ISO 27001.

Lacunes courantes découvertes par les entreprises SaaS :

• Pas de définition formelle du périmètre du SMSI (ISMS)
• Processus d’évaluation des risques informel ou incohérent
• La politique de sécurité de l’information existe mais n’a pas été revue ou approuvée par la direction
• Pas de Déclaration d’Applicabilité documentant la justification de la sélection des contrôles
• L’audit interne n’a jamais été mené
• La revue de direction de la sécurité de l’information n’a jamais eu lieu en tant que processus formel
• Les procédures de gestion des incidents existent dans les runbooks mais ne sont pas liées à un processus formel du SMSI (ISMS)
• Les évaluations de sécurité des fournisseurs sont effectuées lors de l’intégration mais jamais réévaluées

Prioriser la remédiation

Toutes les lacunes n’ont pas le même poids. Priorisez en fonction de :

• Criticité pour la certification : Les lacunes qui entraîneraient des non-conformités majeures lors de l’audit de certification doivent être traitées en premier. La documentation obligatoire manquante (évaluation des risques, DdA, politique de sécurité de l’information) entre dans cette catégorie.
• Niveau de risque : Les lacunes qui exposent l’organisation à un risque significatif en matière de sécurité de l’information doivent être priorisées indépendamment du calendrier d’audit.
• Effort de mise en œuvre : Les gains rapides (documenter une pratique existante) versus les efforts conséquents (mettre en œuvre un nouveau contrôle de zéro) doivent être séquencés pour maintenir l’élan.
• Dépendances : Certains contrôles dépendent d’autres — par exemple, vous ne pouvez pas compléter votre Déclaration d’Applicabilité tant que votre évaluation des risques n’est pas faite.

Phase 2 : Définition du périmètre de votre SMSI (ISMS)

Le périmètre de votre SMSI (ISMS) définit les limites de votre certification. Tout ce qui est dans le périmètre est audité. Tout ce qui est en dehors ne l’est pas. Bien définir ce périmètre détermine le coût, la complexité et la pertinence de votre certification.

Définir le périmètre organisationnel

Identifiez quelles parties de votre organisation sont incluses. Pour la plupart des entreprises SaaS, cela signifie les équipes qui développent, déploient, exploitent et supportent la plateforme de production — ingénierie, DevOps/SRE, sécurité, informatique et support client.

À considérer attentivement :

• Les employés en télétravail sont-ils dans le périmètre ? (Presque toujours oui, pour les entreprises SaaS)
• Les sous-traitants et les équipes externalisées sont-ils dans le périmètre ? (S’ils accèdent aux systèmes ou aux données, oui)
• Votre environnement informatique d’entreprise est-il dans le périmètre, ou seulement la plateforme de production ? (Généralement les deux, puisque l’informatique d’entreprise soutient les personnes qui exploitent la plateforme)
• Les environnements de développement et de pré-production sont-ils dans le périmètre ? (Seulement s’ils contiennent des données de production ou affectent directement la sécurité de la production)

Définir le périmètre des systèmes et technologies

Identifiez les systèmes, l’infrastructure et les actifs technologiques qui entrent dans le périmètre de votre SMSI (ISMS). Cela inclut l’infrastructure de production, les pipelines CI/CD, les systèmes de surveillance et d’alerte, les fournisseurs d’identité et les outils de communication qui traitent des informations sensibles.

Définir le périmètre des actifs informationnels

Identifiez les actifs informationnels que votre SMSI (ISMS) protège — données clients, code applicatif, configurations d’infrastructure, données des employés, documents d’entreprise, et toute autre information nécessitant des contrôles de sécurité.

Documenter la déclaration de périmètre

Votre déclaration de périmètre du SMSI (ISMS) est une définition formelle et documentée des limites. Elle doit être suffisamment spécifique pour qu’un auditeur puisse clairement déterminer ce qui est dans le périmètre et ce qui ne l’est pas. Les déclarations de périmètre vagues conduisent à la confusion lors de l’audit et à une dérive du périmètre.

Phase 3 : Construction des fondations du SMSI (ISMS)

Avec vos lacunes identifiées et votre périmètre défini, vous construisez l’infrastructure de base du SMSI (ISMS) — les politiques, processus et structures de gouvernance sur lesquels tout le reste repose.

Établir la politique de sécurité de l’information

Votre politique de sécurité de l’information de haut niveau est le document fondateur de votre SMSI (ISMS). Elle énonce l’engagement de votre organisation en matière de sécurité de l’information, fixe l’orientation du SMSI (ISMS) et doit être approuvée par la direction.

Ce n’est pas un document technique de 50 pages. C’est une déclaration concise et stratégique qui établit l’objectif et les finalités de votre SMSI (ISMS), s’engage à satisfaire les exigences applicables et s’engage dans l’amélioration continue. Les politiques détaillées et spécifiques à un sujet (contrôle d’accès, gestion des incidents, etc.) se situent en dessous.

Consultez notre guide des politiques ISO 27001 pour la liste complète des politiques dont vous aurez besoin et comment les structurer.

Définir les rôles et responsabilités

L’ISO 27001 exige une attribution claire des rôles et responsabilités en matière de sécurité de l’information. Au minimum, vous avez besoin de :

• Direction responsable du SMSI (ISMS) et engagée à fournir des ressources
• Responsable du SMSI (ISMS) ou responsable de la sécurité de l’information chargé d’établir, de maintenir et d’améliorer le SMSI (ISMS)
• Propriétaires de risques chargés de gérer les risques identifiés dans leurs domaines
• Propriétaires d’actifs responsables des actifs informationnels et de leur sécurité
• Tous les employés responsables de suivre les politiques de sécurité de l’information et de signaler les incidents

Exemple SaaS : Votre CTO est le sponsor exécutif. Votre responsable de la sécurité est le gestionnaire du SMSI (ISMS). Les responsables d’ingénierie sont les propriétaires de risques pour leurs services respectifs. Chaque employé ayant un accès au système complète la formation de sensibilisation à la sécurité et reconnaît ses responsabilités dans la politique d’utilisation acceptable.

Établir le processus de contrôle documentaire

L’ISO 27001 exige des informations documentées contrôlées — ce qui signifie que les documents doivent être créés, revus, approuvés, distribués et mis à jour selon un processus géré. Vous avez besoin du contrôle de version, de cycles de revue, de flux de travail d’approbation et d’un moyen de s’assurer que les personnes travaillent à partir des versions actuelles.

Conseil SaaS : Ne compliquez pas les choses. Si vous utilisez Confluence, Notion ou Google Docs avec un versionnage clair et un processus d’approbation, cela fonctionne. L’auditeur se soucie que les documents soient contrôlés, pas que vous utilisiez un outil spécifique.

Phase 4 : Évaluation des risques

L’évaluation des risques est le moteur analytique de votre SMSI (ISMS). Elle détermine quels risques votre organisation affronte, leur gravité et comment vous les traiterez. Chaque décision de contrôle dans votre SMSI (ISMS) devrait remonter à un risque identifié dans cette évaluation.

Pour la méthodologie complète, consultez notre guide d’évaluation des risques ISO 27001.

Définir votre méthodologie d’évaluation des risques

Avant d’évaluer les risques, documentez votre approche. L’ISO 27001 exige une méthodologie d’évaluation des risques reproductible et documentée qui comprend :

• Les critères d’identification des risques liés à la sécurité de l’information
• Les critères d’analyse des risques (échelles de probabilité et d’impact)
• Les critères d’évaluation des risques (seuil d’acceptation du risque)
• Un processus qui produit des résultats cohérents, valides et comparables

Exemple SaaS : Vous définissez une échelle de probabilité en 5 points (rare à quasi certain) et une échelle d’impact en 5 points (négligeable à critique), produisant une matrice de risques de 25 cellules. Les risques avec un score de 15 ou plus nécessitent un traitement. Les risques en dessous de 15 peuvent être acceptés avec une justification documentée.

Identifier les risques liés à la sécurité de l’information

Identifiez systématiquement les risques pour la confidentialité, l’intégrité et la disponibilité des actifs informationnels dans le périmètre de votre SMSI (ISMS). Considérez :

• Sources de menaces : Attaquants externes, initiés malveillants, employés négligents, catastrophes naturelles, pannes technologiques, compromissions de la chaîne d’approvisionnement
• Vulnérabilités : Erreurs de configuration, logiciels non corrigés, authentification faible, permissions excessives, manque de surveillance, formation insuffisante
• Scénarios d’impact : Violations de données, pannes de service, corruption de données, amendes réglementaires, dommages à la réputation, vol de propriété intellectuelle

Analyser et évaluer les risques

Pour chaque risque identifié, évaluez la probabilité d’occurrence et l’impact s’il se matérialise. Placez les risques sur votre matrice de risques et comparez-les à vos critères d’acceptation du risque. Cela produit une liste priorisée de risques nécessitant un traitement.

Créer le plan de traitement des risques

Pour chaque risque au-dessus de votre seuil d’acceptation, décidez d’une option de traitement :

• Atténuer : Mettre en œuvre des contrôles pour réduire la probabilité ou l’impact
• Transférer : Partager le risque par l’assurance ou des arrangements contractuels
• Éviter : Éliminer l’activité qui crée le risque
• Accepter : Accepter formellement le risque (avec justification documentée et approbation de la direction)

Votre plan de traitement des risques associe chaque risque à des contrôles spécifiques et attribue la propriété, les délais et les ressources pour la mise en œuvre.

Phase 5 : Sélection et mise en œuvre des contrôles

Avec votre plan de traitement des risques en main, sélectionnez et mettez en œuvre les contrôles qui atténuent vos risques identifiés. L’Annexe A de l’ISO 27001 fournit un ensemble de référence de 93 contrôles, mais vous pouvez également mettre en œuvre des contrôles provenant d’autres sources.

Pour un parcours complet des 93 contrôles, consultez notre guide des contrôles de l’Annexe A.

Compléter la Déclaration d’Applicabilité

La Déclaration d’Applicabilité (DdA) est l’un des documents les plus importants de votre SMSI (ISMS). Elle liste les 93 contrôles de l’Annexe A, indique si chacun est applicable ou non, fournit une justification pour l’inclusion ou l’exclusion, et décrit l’état de mise en œuvre.

Pourquoi c’est important : Votre auditeur examinera la DdA attentivement. Exclure un contrôle nécessite une justification ancrée dans votre évaluation des risques. « Nous ne pensons pas que cela s’applique » n’est pas suffisant — vous devez démontrer que les risques que le contrôle traite ne sont pas présents dans votre environnement ou sont traités par des contrôles alternatifs.

Mettre en œuvre les contrôles organisationnels

Déployez les contrôles de gouvernance, de politique et de processus qui établissent votre cadre de sécurité :

• Politiques de sécurité de l’information et politiques thématiques
• Séparation des tâches dans les processus critiques
• Contact avec les autorités et les groupes d’intérêt spécialisés
• Surveillance de la veille sur les menaces
• Sécurité de l’information dans la gestion de projet
• Classification et étiquetage de l’information
• Gestion des identités et gouvernance du contrôle d’accès

Mettre en œuvre les contrôles relatifs aux personnes

Établissez les contrôles portant sur l’élément humain pour votre personnel :

• Vérification des antécédents et contrôles pré-emploi
• Conditions d’emploi incluant les responsabilités en matière de sécurité
• Programmes de sensibilisation, d’éducation et de formation à la sécurité
• Processus disciplinaire pour les violations de la sécurité de l’information
• Responsabilités après la fin ou le changement d’emploi
• Accords de confidentialité et de non-divulgation
• Exigences de sécurité pour le travail à distance

Mettre en œuvre les contrôles physiques

Traitez la sécurité physique de vos bureaux, équipements et installations :

• Périmètres de sécurité physique et contrôles d’entrée
• Sécurisation des bureaux, salles et équipements
• Surveillance de la sécurité physique (vidéosurveillance, badges d’accès)
• Protection contre les menaces environnementales
• Mise au rebut ou réutilisation sécurisée des équipements
• Politiques de bureau rangé et écran verrouillé

Mettre en œuvre les contrôles technologiques

Déployez les mécanismes de sécurité technique qui protègent vos systèmes et données :

• Sécurité des appareils terminaux et gestion des appareils mobiles
• Gestion des accès à privilèges et application du contrôle d’accès
• Restriction de l’accès aux informations et mécanismes d’authentification
• Gestion de la capacité et protection contre les logiciels malveillants
• Gestion des vulnérabilités et gestion des correctifs
• Journalisation, surveillance et alertes
• Sécurité réseau, segmentation et filtrage
• Chiffrement et gestion des clés
• Cycle de vie du développement sécurisé et pratiques de codage sécurisé
• Sauvegarde des données, redondance et continuité d’activité
• Outils de détection et de réponse de la gestion des incidents

Phase 6 : Documentation

L’ISO 27001 exige des informations documentées spécifiques, et votre auditeur les examinera minutieusement. La documentation n’est pas du travail administratif inutile — c’est la preuve que votre SMSI (ISMS) existe, fonctionne et est maintenu.

Informations documentées obligatoires

Au minimum, vous devez avoir :

• Déclaration de périmètre du SMSI (ISMS) (Article 4.3)
• Politique de sécurité de l’information (Article 5.2)
• Méthodologie d’évaluation des risques (Article 6.1.2)
• Résultats de l’évaluation des risques (Article 6.1.2)
• Plan de traitement des risques (Article 6.1.3)
• Déclaration d’Applicabilité (Article 6.1.3)
• Objectifs de sécurité de l’information (Article 6.2)
• Preuves de compétence (Article 7.2)
• Documentation de planification et de contrôle opérationnel (Article 8.1)
• Résultats des évaluations périodiques des risques (Article 8.2)
• Résultats du traitement des risques (Article 8.3)
• Résultats de surveillance et de mesure (Article 9.1)
• Programme et résultats d’audit interne (Article 9.2)
• Résultats de la revue de direction (Article 9.3)
• Non-conformités et actions correctives (Article 10.1)

Politiques et procédures thématiques

Au-delà des documents obligatoires, vous aurez besoin de politiques et procédures thématiques qui soutiennent vos contrôles de l’Annexe A. Consultez notre guide des politiques ISO 27001 pour la liste complète, incluant :

• Politique d’utilisation acceptable
• Politique de contrôle d’accès
• Procédure de gestion des changements
• Procédure de gestion des incidents
• Plan de continuité d’activité
• Politique de sauvegarde
• Politique de chiffrement
• Politique de sécurité des fournisseurs
• Politique de classification et de traitement des données
• Politique de développement sécurisé

Conseils de qualité documentaire pour les entreprises SaaS

• Gardez les politiques concises et exploitables. Les auditeurs ne sont pas impressionnés par des politiques de 80 pages que personne ne lit. Des politiques claires et applicables que les employés suivent réellement sont ce qui compte.
• Utilisez vos outils existants. Si votre équipe vit dans Confluence, rédigez vos politiques dans Confluence. Si les procédures sont dans des runbooks à côté de votre code d’infrastructure, c’est bien — tant qu’elles sont contrôlées et accessibles.
• Versionnez et approuvez tout. Chaque document a besoin d’une version, d’une date de revue et d’un approbateur. Fixez des cycles de revue (au moins annuels) et respectez-les.
• Reliez la documentation aux contrôles. Chaque contrôle de l’Annexe A dans votre DdA doit référencer les politiques, procédures et preuves qui le soutiennent.

Phase 7 : Sensibilisation et formation

L’ISO 27001 exige que toute personne travaillant sous votre SMSI (ISMS) soit consciente de la politique de sécurité de l’information, de sa contribution au SMSI (ISMS) et des conséquences du non-respect. Au-delà de la sensibilisation générale, les personnes occupant des rôles spécifiques doivent avoir les compétences pertinentes pour ces rôles.

Formation générale de sensibilisation à la sécurité

Tous les employés dans le périmètre de votre SMSI (ISMS) doivent recevoir une formation de sensibilisation à la sécurité de l’information. Celle-ci devrait couvrir :

• Votre politique de sécurité de l’information et ce qu’elle signifie au quotidien
• Les menaces courantes (hameçonnage, ingénierie sociale, vol d’identifiants)
• Les exigences de traitement et de classification des données
• Les procédures de signalement des incidents — quoi signaler et comment
• L’utilisation acceptable des systèmes et données de l’entreprise
• Les exigences de sécurité pour le travail à distance

Conseil SaaS : Organisez la formation de sensibilisation lors de l’intégration et au moins annuellement par la suite. Suivez les complétions et conservez les registres — votre auditeur les demandera.

Formation en compétences spécifiques au rôle

Les personnes occupant des rôles critiques en matière de sécurité ont besoin d’une formation ciblée au-delà de la sensibilisation générale :

• Développeurs : Pratiques de codage sécurisé, OWASP Top 10, attentes en matière de revue de code de sécurité
• Administrateurs systèmes / SRE : Standards de durcissement, procédures de gestion des accès, rôles dans la réponse aux incidents
• Responsable du SMSI (ISMS) : Exigences ISO 27001, gestion des audits, méthodologie d’évaluation des risques
• Auditeurs internes : Techniques d’audit, évaluation des preuves, classification des non-conformités
• Direction : Leur rôle dans le SMSI (ISMS), responsabilités de la revue de direction, décisions d’allocation des ressources

Mesurer l’efficacité de la formation

Ne vous contentez pas de suivre les complétions — mesurez si la formation change réellement le comportement. Envisagez des simulations d’hameçonnage, des évaluations de connaissances et le suivi des tendances des incidents de sécurité en corrélation avec les lacunes de sensibilisation.

Phase 8 : Audit interne

L’audit interne est votre vérification de la réalité avant la certification. Il vérifie que votre SMSI (ISMS) est conforme aux exigences de l’ISO 27001 et à vos propres politiques, et qu’il est effectivement mis en œuvre et maintenu. Les auditeurs s’attendent à voir au moins un cycle complet d’audit interne avant l’audit de certification.

Pour la méthodologie complète, consultez notre guide d’audit interne ISO 27001.

Planifier le programme d’audit interne

Élaborez un programme d’audit qui couvre toutes les exigences du SMSI (ISMS) et les contrôles de l’Annexe A sur un cycle défini. Vous n’avez pas à tout auditer en une fois — vous pouvez répartir les audits sur l’année — mais chaque élément doit être couvert avant l’audit de certification.

Décisions clés :

• Périmètre d’audit : Quels articles, contrôles et processus auditer dans chaque cycle
• Fréquence d’audit : Au moins annuellement pour l’ensemble du SMSI (ISMS), avec les domaines à haut risque audités plus fréquemment
• Sélection des auditeurs : Les auditeurs internes doivent être objectifs et impartiaux — ils ne peuvent pas auditer leur propre travail. Envisagez un audit croisé entre fonctions (l’ingénierie audite les opérations, les opérations auditent l’ingénierie) ou engagez une partie externe pour l’audit interne.

Mener l’audit

Les auditeurs internes examinent la documentation, interrogent les propriétaires de processus, examinent les preuves et testent les contrôles. Ils recherchent :

• Conformité : Vos pratiques correspondent-elles à ce que vos politiques et procédures disent ?
• Efficacité : Les contrôles réduisent-ils réellement les risques qu’ils sont censés traiter ?
• Exhaustivité : Toutes les exigences de l’ISO 27001 sont-elles traitées ?
• Documentation : Les informations documentées sont-elles à jour, contrôlées et accessibles ?

Rapporter les résultats et suivre les actions correctives

Documentez les résultats d’audit comme des conformités, des opportunités d’amélioration, des non-conformités mineures ou des non-conformités majeures. Pour chaque non-conformité, initiez une action corrective :

1. Identifier la cause racine (pas seulement le symptôme)
2. Définir l’action corrective pour éliminer la cause racine
3. Mettre en œuvre l’action corrective
4. Vérifier l’efficacité après la mise en œuvre

Suivez les actions correctives jusqu’à leur clôture. Les non-conformités ouvertes de votre audit interne seront examinées lors de l’audit de certification — les avoir documentées et résolues démontre un processus d’amélioration fonctionnel.

Phase 9 : Revue de direction

La revue de direction est une activité obligatoire du SMSI (ISMS) au cours de laquelle la direction évalue la performance, la pertinence et l’efficacité du SMSI (ISMS). Elle garantit que la direction reste engagée et prend des décisions éclairées sur l’orientation du SMSI (ISMS).

Préparer les éléments d’entrée de la revue de direction

L’ISO 27001 spécifie ce qui doit être considéré lors de la revue de direction :

• État des actions des revues de direction précédentes
• Changements dans les enjeux externes et internes pertinents pour le SMSI (ISMS)
• Retours sur la performance de la sécurité de l’information (non-conformités, résultats de surveillance, résultats d’audit, atteinte des objectifs)
• Retours des parties intéressées
• Résultats de l’évaluation des risques et état du plan de traitement des risques
• Opportunités d’amélioration continue

Mener la revue

Présentez les éléments d’entrée à la direction et discutez :

• Le SMSI (ISMS) est-il toujours aligné avec les objectifs de l’entreprise ?
• Des ressources adéquates sont-elles allouées ?
• Y a-t-il des changements dans le contexte interne ou externe qui nécessitent des modifications du SMSI (ISMS) ?
• Quelles améliorations devraient être priorisées ?

Documenter les éléments de sortie et les décisions

Les éléments de sortie de la revue de direction doivent inclure les décisions relatives aux opportunités d’amélioration continue et tout changement nécessaire au SMSI (ISMS). Documentez le compte-rendu de réunion, les décisions prises et les actions attribuées. Ces enregistrements sont des informations documentées obligatoires que votre auditeur examinera.

Conseil SaaS : Intégrez la revue de direction dans une cadence de réunions de direction existante — une fréquence trimestrielle fonctionne bien. Il n’est pas nécessaire qu’il s’agisse d’un événement séparé et formel tant que les éléments d’entrée requis sont couverts et que les éléments de sortie sont documentés.

Phase 10 : Audit de certification

L’audit de certification est mené par un organisme de certification accrédité (une organisation indépendante et externe — différente d’un cabinet de conseil qui vous a aidé à mettre en œuvre votre SMSI). L’audit se déroule en deux étapes.

Audit Étape 1 : Revue documentaire

L’audit Étape 1 est principalement une revue documentaire. L’auditeur évalue si la documentation de votre SMSI (ISMS) est complète et adéquate. Il examine :

• Le périmètre, les politiques et les objectifs du SMSI (ISMS)
• La méthodologie et les résultats de l’évaluation des risques
• La Déclaration d’Applicabilité
• Les résultats de l’audit interne
• Les enregistrements de la revue de direction
• Les procédures clés et la documentation opérationnelle

À quoi s’attendre : L’Étape 1 prend généralement 1 à 2 jours (selon la taille de l’organisation) et peut être menée à distance. L’auditeur identifie les domaines nécessitant une attention avant l’Étape 2 et confirme que l’organisation est prête à poursuivre.

Problèmes courants à l’Étape 1 :

• Documentation obligatoire manquante
• Méthodologie d’évaluation des risques pas clairement définie
• Déclaration d’Applicabilité incomplète ou manquant de justification pour les exclusions
• Audit interne pas encore complété
• Revue de direction non menée ou non documentée

Si des problèmes significatifs sont trouvés, l’organisme de certification peut retarder l’Étape 2 jusqu’à leur résolution.

Audit Étape 2 : Évaluation de la mise en œuvre

L’Étape 2 est l’audit principal. L’auditeur vérifie que votre SMSI (ISMS) est effectivement mis en œuvre et opérationnel. Il va :

• Interroger les propriétaires de processus, les administrateurs systèmes, les développeurs et la direction
• Examiner les preuves de fonctionnement des contrôles (journaux, enregistrements, configurations, captures d’écran)
• Tester les contrôles pour vérifier qu’ils fonctionnent comme décrit
• Évaluer l’efficacité de votre traitement des risques
• Évaluer la compétence et la sensibilisation de votre équipe
• Examiner les enregistrements d’incidents et les actions correctives
• Vérifier que le SMSI (ISMS) conduit à l’amélioration continue

À quoi s’attendre : L’Étape 2 est menée sur site (ou par vidéo pour les organisations à distance) et prend généralement 3 à 5 jours pour une entreprise SaaS de taille moyenne. Plusieurs auditeurs peuvent être impliqués.

Conseil SaaS : Préparez votre équipe. Les ingénieurs, les SRE et le personnel de sécurité seront interrogés. Ils doivent comprendre le contexte du SMSI (ISMS) — pas seulement leur travail technique, mais comment il se connecte aux politiques et contrôles qu’ils mettent en œuvre. Un briefing de 30 minutes avant l’audit expliquant ce que les auditeurs demanderont fait une grande différence.

Traiter les non-conformités

Si l’auditeur identifie des non-conformités :

• Les non-conformités mineures doivent être traitées avec un plan d’action corrective. Vous avez généralement 90 jours pour les résoudre avant que le certificat ne soit délivré.
• Les non-conformités majeures doivent être résolues avant que le certificat puisse être accordé. Cela peut nécessiter un audit de suivi pour vérifier la résolution.
• Les observations / opportunités d’amélioration sont notées mais n’empêchent pas la certification. Traitez-les de manière proactive pour démontrer votre engagement envers l’amélioration.

Recevoir votre certificat

Une fois toutes les non-conformités résolues, l’organisme de certification délivre votre certificat ISO 27001. Le certificat est généralement valable trois ans, sous réserve d’audits de surveillance annuels.

Phase 11 : Surveillance et amélioration continue

La certification est le début, pas la fin. Votre SMSI (ISMS) doit être maintenu et amélioré en permanence tout au long du cycle de certification de trois ans.

Audits de surveillance annuels

L’organisme de certification mène des audits de surveillance — généralement annuels — pour vérifier que votre SMSI (ISMS) continue de fonctionner efficacement. Les audits de surveillance sont de portée plus réduite que l’audit de certification initial mais couvrent les domaines clés et tout problème des audits précédents.

Ce que les auditeurs de surveillance recherchent :

• Des preuves que le SMSI (ISMS) est activement maintenu (pas un classeur poussiéreux)
• Les actions correctives des audits précédents sont mises en œuvre et efficaces
• Les audits internes et les revues de direction continuent selon le calendrier
• Les changements dans l’organisation, le périmètre ou le paysage des risques sont reflétés dans le SMSI (ISMS)
• L’amélioration continue est démontrable

Audit de renouvellement de certification

Avant l’expiration de votre certificat triennal, vous passez un audit de renouvellement — de portée similaire à l’audit initial Étape 2. Planifiez-le bien à l’avance. Commencer la préparation du renouvellement 6 mois avant l’expiration vous donne un temps adéquat pour traiter les écarts.

Piloter l’amélioration continue

L’amélioration continue n’est pas une phase — c’est le moteur permanent de votre SMSI (ISMS). Alimentez les améliorations à partir de :

• Résultats d’audits internes
• Observations des audits de surveillance
• Post-mortems d’incidents et leçons apprises
• Mises à jour de l’évaluation des risques déclenchées par des changements dans l’entreprise ou le paysage des menaces
• Retours des employés et mesures de l’efficacité de la formation
• Évolutions de l’industrie, nouvelles menaces et bonnes pratiques émergentes

Suivez les améliorations dans un registre structuré, attribuez la propriété et examinez les progrès lors des revues de direction.

Comment GRCTrail vous aide

GRCTrail offre aux équipes SaaS une plateforme unique pour gérer chaque phase de la certification ISO 27001 — de l’analyse initiale des écarts à la surveillance continue et l’amélioration permanente.

• Analyse des écarts et évaluation de la préparation qui cartographie votre état actuel par rapport à chaque exigence ISO 27001 et génère un plan de remédiation priorisé
• Flux de travail d’évaluation des risques avec identification structurée des menaces, matrices de notation et suivi des traitements qui produisent une documentation prête pour l’audit
• Générateur de Déclaration d’Applicabilité qui associe vos décisions de traitement des risques aux contrôles de l’Annexe A et produit une DdA formatée que votre auditeur acceptera
• Modèles de politiques et de procédures conçus pour les entreprises SaaS, couvrant chaque document requis avec un langage clair et exploitable
• Gestion des audits internes pour planifier les cycles d’audit, documenter les résultats et suivre les actions correctives jusqu’à leur clôture
• Tableaux de bord de surveillance continue qui suivent l’efficacité des contrôles, signalent les dérives et maintiennent votre SMSI (ISMS) prêt pour l’audit tout au long de l’année

Commencez avec GRCTrail →

Guides connexes

• Qu’est-ce que l’ISO 27001 ? Un guide pratique pour les entreprises SaaS
• ISO 27001 vs SOC 2 : Quel référentiel votre entreprise SaaS a-t-elle besoin ?
• Exigences ISO 27001 : Articles 4-10 expliqués
• Guide d’évaluation des risques ISO 27001
• Les contrôles de l’Annexe A de l’ISO 27001 expliqués
• Guide de la Déclaration d’Applicabilité ISO 27001
• Guide des politiques de sécurité de l’information ISO 27001
• Guide du contrôle d’accès ISO 27001
• Guide de la gestion des incidents ISO 27001
• Guide de la gestion des fournisseurs ISO 27001
• Guide de l’audit interne ISO 27001
• Guide de l’amélioration continue ISO 27001
• Coûts et délais ISO 27001 pour les entreprises SaaS
• Qu’est-ce que le SOC 2 ? Un guide pratique pour les entreprises SaaS
• Liste de contrôle de conformité SOC 2 pour les entreprises SaaS