Komplyo
ISO/IEC 27001:2022

Préparez la certification ISO 27001 : évaluation, écarts, déclaration d'applicabilité

La certification ISO 27001 figure de plus en plus souvent dans les appels d'offres des grands comptes. Komplyo structure la préparation. Évaluation des 93 mesures de l'Annexe A, exigences du SMSI, déclaration d'applicabilité générée et readiness mesurée en continu. Vous arrivez devant l'auditeur en connaissant vos écarts.

Pourquoi (et quand) viser ISO 27001 ?

ISO 27001 est volontaire. Mais dans les faits, c'est souvent le marché qui décide :

Exigence commerciale

Appels d'offres publics, grands comptes et donneurs d'ordre internationaux demandent le certificat comme condition d'entrée. Surtout en B2B, où vos clients doivent eux-mêmes prouver la maîtrise de leurs fournisseurs.

Structuration interne

Le SMSI impose un cycle d'amélioration continue : analyse de risques, plan de traitement, audit interne, revue de direction. Un cadre utile même avant la certification.

Effet de levier réglementaire

Les mesures ISO 27001 recouvrent une grande partie des exigences NIS2 et de l'article 32 du RGPD : la préparation sert plusieurs conformités à la fois.

Ce que l'auditeur attendra

La certification porte sur deux ensembles distincts, souvent confondus :

Le SMSI (clauses 4 à 10)

Contexte, leadership, planification, support, fonctionnement, évaluation, amélioration : le système de management, avec ses preuves de fonctionnement (revues, audits, indicateurs).

Les 93 mesures de l'Annexe A

Organisationnelles, humaines, physiques et technologiques (ISO 27001:2022). Chaque mesure retenue doit être mise en œuvre et documentée.

La déclaration d'applicabilité (SoA)

Le document pivot de l'audit : pour chacune des 93 mesures, applicable ou non, justification et état de mise en œuvre.

L'analyse et le traitement des risques

Une méthodologie formalisée, un registre des risques vivant et un plan de traitement approuvé par la direction.

Audit interne et revue de direction

Au moins un cycle complet avant l'audit de certification. C'est le point qui fait le plus souvent reporter la date.

Readiness dérivée, puis exhaustive

Komplyo projette votre évaluation NIST CSF 2.0 vers l'Annexe A grâce à la correspondance officielle NIST↔ISO. Vous voyez immédiatement une readiness « dérivée » de vos réponses existantes, puis vous complétez les seuls éléments propres à ISO (SoA, méthodologie de traitement des risques, audit interne, revue de direction).

  • Espace de travail ISO 27001 dédié. Chaque clause et chaque mesure de l'Annexe A avec son état de couverture.
  • Déclaration d'applicabilité générée et exportable depuis vos réponses. Plus de tableur à maintenir à la main.
  • Deux barres de readiness (dérivée et exhaustive) historisées. Vous savez à tout moment ce qui reste avant l'audit.
Déclaration d'applicabilité (SoA) générée dans Komplyo

Les livrables de votre préparation

Générés à partir de la même évaluation, alignés sur ce que le certificateur demandera :

  • Déclaration d'applicabilité (SoA) exportable
  • Politique de sécurité et politiques thématiques associées
  • Registre des risques aligné sur la méthodologie de traitement exigée par la clause 6
  • Feuille de route priorisée jusqu'à l'audit
  • Historique de scores : la preuve d'amélioration continue pour la revue de direction

Questions fréquentes sur ISO 27001

Combien de temps prend une certification ISO 27001 ?

Pour une PME, comptez généralement 6 à 12 mois de préparation, puis l'audit de certification en deux étapes. Le facteur limitant est rarement la technique : c'est le cycle SMSI (audit interne, revue de direction) qu'il faut avoir fait tourner au moins une fois.

Komplyo délivre-t-il le certificat ?

Non. Aucun outil ne le peut. Le certificat est délivré par un organisme de certification accrédité après audit. Komplyo prépare tout ce que cet audit examine (SoA, politiques, registre des risques, preuves de fonctionnement du SMSI).

ISO 27001 ou SOC 2 : que choisir ?

ISO 27001 domine en Europe et dans les appels d'offres publics. SOC 2 est la norme de facto pour vendre aux États-Unis. Les deux reposent sur des contrôles très proches. Avec Komplyo, la même évaluation alimente les deux préparations.

Faut-il un consultant pour se préparer ?

Un référent sécurité interne, même à temps partiel, plus un outil structurant suffisent pour l'essentiel de la préparation. Un regard externe reste utile ponctuellement (audit à blanc), mais vous n'avez pas besoin d'un cabinet à demeure.

Que couvre la version 2022 de la norme ?

ISO/IEC 27001:2022 regroupe l'Annexe A en 93 mesures sur 4 thèmes (organisationnel, humain, physique, technologique) et introduit notamment le renseignement sur les menaces, la sécurité du cloud et le codage sécurisé. Komplyo est aligné sur cette version.

La préparation sert-elle aussi pour NIS2 ?

Oui. Les mesures de l'Annexe A recouvrent une grande partie des exigences de l'article 21 de NIS2 : dans Komplyo, les mêmes réponses alimentent les deux projections, sans double saisie.

Sachez exactement ce qui vous sépare du certificat

Créez votre espace, activez la lentille ISO 27001 et obtenez votre readiness dérivée dès les premières réponses.