Accompagnement à la certification ISO 27001

L'ISO 27001 s'adresse à toutes les organisations, quelle que soit leur taille ou leur secteur d'activité — TPE, PME, ETI, grandes entreprises, administrations publiques. Elle est particulièrement pertinente pour les entreprises technologiques, les prestataires de services, les acteurs de la santé et de la finance, ou tout fournisseur qui manipule des données sensibles pour ses clients.

Une certification ISO 27001 peut se décomposer en différentes phases (les estimations sont données pour une entreprise d'une vingtaine de collaborateurs ayant des produits ou une organisation peu complexes).

Le coût de la certification en elle-même (organisme certificateur) — Au cours de chaque période de 3 ans, le coût des différentes interventions du certificateur (audit initial, de surveillance, et de renouvellement) est de 10 à 15k€. Pour rappel, le cycle de toute certification ISO est de 3 ans.

Le coût lié au temps passé pour la mise en place — Il s'agit du coût horaire du personnel ponctuellement dédié à la mise en place du SMSI. Durant les phases importantes (au début du projet 2 mois et en fin de projet 2 mois) le travail de montée en compétences représente entre 1 et 2 jours hommes par semaine. Dans les phases de suivi de projet et de coordination, le travail du chef de projet est de 1 jour homme par semaine.

Coût de l'accompagnement ISO et de la formation — Le coût de la certification ISO 27001 varie en fonction de la taille de l'entreprise. Pour une PME de 20 personnes, ce coût peut aller de 25k à 45k€. En moyenne, il se situe autour de 30k€.

Le temps nécessaire pour se préparer à la certification ISO 27001 dépend de plusieurs facteurs clés.

Tout d'abord, cela varie en fonction de la maturité de l'organisme en matière de sécurité de l'information. Si l'organisation a déjà mis en place des processus de sécurité ou des pratiques similaires aux exigences de l'ISO 27001, la préparation sera plus rapide.

Ensuite, la complexité du SMSI joue un rôle important. Le périmètre du SMSI, la taille de l'entreprise, ainsi que le nombre de sites ou d'entités à inclure influenceront directement la durée de la préparation.

En règle générale, la préparation à la certification ISO 27001 peut prendre entre 6 mois et 1 an, mais cela dépendra de la situation spécifique de chaque organisation.

Le SMSI (Système de Management de la Sécurité de l'Information) est le dispositif central exigé par l'ISO 27001. Il regroupe les processus, politiques de sécurité, structures de pilotage, indicateurs et outils permettant de gérer les risques liés à l'information de façon continue. Il couvre à la fois les dimensions techniques, organisationnelles, humaines et physiques.

Non. La certification ISO 27001 est valable 3 ans, avec des audits de surveillance annuels obligatoires. À l'issue des 3 ans, un audit de renouvellement est réalisé. Ce cycle garantit l'amélioration continue et maintient la valeur de la certification dans le temps. FeelAgile propose un accompagnement au maintien pour vous préparer sereinement à chaque échéance.

Un outil de gestion du SMSI permet de centraliser la documentation, d'automatiser le suivi des risques et des actions, de faciliter les audits internes et de piloter les indicateurs de performance. Sans outil dédié, la conformité repose sur des fichiers épars difficiles à maintenir. Notre plateforme Oversecur est conçue précisément pour simplifier ce pilotage et réduire la charge administrative de votre équipe.

Oui, ils sont très complémentaires. L'ISO 27001 fournit le cadre opérationnel — gestion des risques, contrôle d'accès, chiffrement, incidents — qui répond à de nombreuses exigences techniques du RGPD. La certification ISO 27001 ne remplace pas la mise en conformité RGPD, mais elle en accélère significativement la démarche et démontre aux autorités une approche structurée et documentée de la sécurité des données personnelles.

L'audit blanc permet de se préparer à l'audit du certificateur. Cet audit est un entraînement qui se déroule dans des conditions similaires, et permet de vérifier par l'expérience le degré de préparation de l'entreprise en matière de sécurité de l'information.

Lors de l'audit blanc, le regard extérieur de l'intervenant se pose sans concession sur les enjeux incontournables. Les équipes sont préparées aux requêtes potentielles du certificateur. Cet examen, en situation réelle mais non sanctionné, permet de vérifier la mise en œuvre effective du SMSI, de relever les éventuelles défaillances et de garantir le bon déroulement de l'audit de certification.

Selon le périmètre de l'ISO et le type d'entreprise, il peut être réalisé en 2 à 5 jours.

L'important est de choisir un organisme certificateur accrédité par le COFRAC (comité français d'accréditation). Cette accréditation garantit la compétence du certificateur pour évaluer votre démarche ISO 27001.

D'autres critères ont leur importance : l'expérience du certificateur concernant la famille de norme ISO 27000, la réputation à l'échelle de votre marché (France / international), et la capacité à traiter plusieurs certifications si vous êtes dans une démarche ISO 9001 ou autre.

Enfin, il est essentiel de choisir un certificateur à l'écoute de votre besoin, prêt à tenir compte de vos choix (domaine d'application, mesures choisies, culture d'entreprise). L'organisme certificateur doit écouter, mais il ne peut pas être juge et partie.

Il est tout à fait possible de s'engager dans une mise en place ISO 27001 en suivant scrupuleusement la norme, sans pour autant effectuer un audit pour obtenir le certificat. Certaines organisations choisissent cette voie pour structurer leur sécurité de l'information sans l'objectif immédiat de certification formelle.