Pôle d'expertise
ISO 27001 : accompagnement à la certification de votre SMSI
ISO 27001 · 01
Qu'est-ce que la norme ISO 27001 ?
ISO/IEC 27001 ne décrit pas une technologie mais un système de management de la sécurité de l'information (SMSI) : un dispositif organisationnel qui pilote, dans la durée, l'identification des risques, le choix des mesures de sécurité et leur amélioration continue. Sa version en vigueur, publiée en 2022, aligne les exigences sur les enjeux actuels : cloud, télétravail, chaîne d'approvisionnement.
La norme se compose de deux parties indissociables : les clauses 4 à 10, qui fixent les exigences du système de management (contexte, leadership, planification, support, fonctionnement, évaluation, amélioration), et l'Annexe A, un catalogue de 93 mesures de sécurité parmi lesquelles l'organisation retient celles qui traitent ses risques. Se conformer à ISO 27001, ce n'est pas cocher une liste : c'est démontrer que la sécurité est gouvernée de façon rationnelle et vérifiable.
ISO 27001 · 02
Certification ISO 27001 : qui la délivre ?
Point essentiel : la certification ISO 27001 est délivrée exclusivement par un organisme certificateur accrédité, tiers et indépendant (accrédité par le COFRAC en France). AOCSI n'est pas cet organisme et ne délivre aucun certificat. Notre rôle est de vous accompagner jusqu'à l'audit de certification et de maximiser vos chances de le réussir. Cette séparation entre celui qui prépare et celui qui certifie est une garantie d'impartialité inscrite dans la norme.
L'audit de certification se déroule en deux temps : une revue documentaire du SMSI (étape 1), puis un audit sur site vérifiant que le système fonctionne réellement (étape 2). Le certificat obtenu est valable trois ans, sous réserve d'audits de surveillance annuels et d'un audit de recertification au terme du cycle. Nous préparons vos équipes et votre documentation pour chacune de ces échéances.
ISO 27001 · 03
Le SMSI, cœur de la démarche
Construire un SMSI, c'est d'abord définir le contexte et le périmètre : quelles activités, quels sites, quels actifs d'information sont couverts. Vient ensuite l'analyse de risque, menée selon une méthode structurée telle qu'ISO 27005 ou EBIOS Risk Manager : identifier les risques, les évaluer, décider de leur traitement. C'est cette analyse qui justifie chaque mesure retenue.
Le SMSI vit au rythme de la roue de Deming (PDCA) : planifier, déployer, contrôler, améliorer. La déclaration d'applicabilité (SoA) formalise, mesure par mesure de l'Annexe A, ce qui est retenu, écarté et pourquoi. Politiques, procédures, indicateurs, revues de direction et audits internes complètent l'édifice que l'organisme certificateur viendra vérifier.
ISO 27001 · 04
Notre accompagnement à la certification
AOCSI vous accompagne de bout en bout, à votre rythme et selon votre maturité. Nous commençons par un état des lieux (gap analysis) qui mesure l'écart entre votre existant et les exigences de la norme, puis nous bâtissons le corpus documentaire, cadrons l'analyse de risque, rédigeons la déclaration d'applicabilité et aidons à déployer les mesures de l'Annexe A. Un audit à blanc valide la maturité avant le passage devant l'organisme certificateur.
Chaque mission est portée par des experts seniors nominatifs, appuyés par le Collectif AOCSI - notre réseau de chercheurs de typologies complémentaires - et objectivée par l'Indice AOCSI, notre système de scoring interne. Nos tarifs sont publics : vous savez ce que vous payez, sans revente de licence ni marge cachée.
ISO 27001 · 05
ISO 27001 pour les PME
La certification n'est pas réservée aux grands groupes. Une PME gagne à cadrer son périmètre au plus juste - une activité, une équipe, un service - pour obtenir un SMSI proportionné et réellement tenu. La démarche devient alors un différenciateur commercial : un certificat ISO 27001 rassure les clients grands comptes et débloque des appels d'offres autrement inaccessibles.
ISO 27001 · 06
Combien coûte un accompagnement ISO 27001 ?
AOCSI est le premier cabinet français à publier ses tarifs. Le coût d'un accompagnement dépend du périmètre du SMSI, de votre maturité de départ et du niveau d'aide attendu : cadrage seul ou prise en charge du corpus documentaire. Le devis est transparent et détaillé, poste par poste. Un état des lieux initial permet de chiffrer la trajectoire avant tout engagement.
Notre méthode
Une intervention cadrée, du premier échange au suivi.
La même rigueur à chaque mission, quel que soit le périmètre.
Cadrage
Périmètre, objectifs et règles d'engagement définis avec vous.
Intervention
Nos experts exécutent la mission : outillage et analyse manuelle.
Restitution
Rapport priorisé par le risque, synthèse direction et plan d'action.
Accompagnement
Suivi de la remédiation et contre-vérification des correctifs.
Notre expertise en détail
Chaque facette de ce pôle fait l'objet d'une prestation dédiée, menée par des experts seniors.
Prêt à y voir clair sur votre exposition ?
Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.
Questions fréquentes
Qui délivre la certification ISO 27001 ?
Un organisme certificateur accrédité, tiers et indépendant (accrédité COFRAC en France). AOCSI ne certifie pas : nous vous accompagnons jusqu'à l'audit de certification et préparons vos équipes à le réussir. Cette séparation garantit l'impartialité exigée par la norme.
Combien de temps faut-il pour être certifié ISO 27001 ?
Selon la maturité de départ et le périmètre, comptez généralement de six à douze mois entre le lancement du projet et l'audit de certification. Le SMSI doit avoir fonctionné assez longtemps pour produire des preuves : revues de direction, audits internes, indicateurs.
Quelle différence entre ISO 27001 et ISO 27002 ?
ISO 27001 porte les exigences certifiables du SMSI et l'Annexe A des mesures. ISO 27002 est un guide de mise en œuvre qui détaille chacune de ces mesures. On se certifie sur 27001 ; on s'appuie sur 27002 pour savoir comment appliquer les mesures.
La certification ISO 27001 est-elle obligatoire ?
Non, elle est volontaire. Mais elle est de plus en plus exigée par les clients et les appels d'offres, et elle constitue une base solide pour répondre à d'autres obligations comme NIS2 ou DORA. Beaucoup d'organisations s'y engagent pour cette raison commerciale et réglementaire.
Faut-il repasser un audit chaque année ?
Le certificat est valable trois ans. Chaque année, un audit de surveillance vérifie que le SMSI reste opérant ; au terme des trois ans, un audit de recertification renouvelle le cycle. AOCSI vous accompagne à chacune de ces échéances.