Conformité

ISO 27001 audit : ce que les auditeurs vérifient vraiment

Au-delà de la documentation, ce que les auditeurs creusent en stage 1 et stage 2 d'une certification ISO 27001. Pour préparer sereinement et éviter les NC évitables.

Aroua Biri 9 min

Une certification ISO 27001 se gagne sur l'audit, mais aussi sur la capacité à montrer un système qui fonctionne réellement. Les auditeurs ne se contentent pas de lire des PDF — ils interviewent, demandent des preuves, croisent les sources. Voici ce qu'ils vérifient en pratique, par étape, pour préparer une certification sans NC évitables.

Stage 1 — Audit documentaire

L'auditeur passe 1-2 jours à examiner votre système de management de l'information sur dossier.

Ce qu'il regarde

Documentation de niveau 1 (politiques)

  • Politique sécurité maître signée par la direction.
  • Date récente (moins de 12 mois).
  • Cohérence avec votre activité réelle.

Documentation de niveau 2 (procédures)

  • Procédure d'analyse des risques.
  • Procédure de gestion des incidents.
  • Procédure de gestion des changements.
  • Procédure d'audit interne.
  • Procédure de revue de direction.

Statement of Applicability (SoA)

  • Justification de l'inclusion ou exclusion de chaque contrôle Annexe A.
  • Cohérence entre risques et contrôles choisis.
  • Pas de "tout inclus, on verra" — chaque contrôle inclus doit avoir un sens.

Analyse des risques

  • Méthodologie documentée.
  • Risques identifiés avec impact et probabilité.
  • Plan de traitement avec propriétaires et délais.
  • Mise à jour récente.

Plan de traitement des risques (RTP)

  • Quelles actions pour quels risques.
  • Qui en est responsable.
  • Quand sera-t-il vérifié.

Ce qu'il vérifie

  • Cohérence interne : la politique parle-t-elle de la même chose que la procédure ?
  • Réalisme : "nous testons mensuellement" est-il crédible vu votre taille ?
  • Couverture : tous les sujets ISO 27001 sont-ils traités ?
  • Mise à jour : la doc est-elle vivante ou un instantané figé ?

Output du stage 1

Soit "ready for stage 2", soit "non-conformités majeures à corriger avant stage 2".

Si NC majeures : retour en arrière, période de remédiation, nouveau stage 1 si nécessaire.

Stage 2 — Audit sur site

L'auditeur passe 3-5 jours (selon taille) à vérifier que ce qui est documenté est réellement appliqué.

Méthode auditeur

L'auditeur utilise la méthode interview + preuves. Il pose une question, demande de voir l'évidence.

Exemple :

  • "Comment gérez-vous les incidents ?" → vous expliquez votre procédure.
  • "Montrez-moi le dernier incident traité" → vous fournissez le ticket avec ses preuves.
  • "Qui a fait l'investigation ?" → vous montrez le RACI et les notes.
  • "Comment savez-vous que la remédiation a été effective ?" → vous montrez le retest.

À chaque question, l'évidence concrète. Pas de réponse théorique.

Ce qu'il interview

  • Direction : engagement, sponsoring, allocation de ressources.
  • Responsable ISMS : vue d'ensemble, gouvernance.
  • Responsables de domaines : politiques, procédures qu'ils opèrent.
  • Opérateurs : comment ils appliquent au quotidien.
  • Échantillon d'employés : sont-ils sensibilisés, savent-ils où trouver l'info ?

Les preuves typiques demandées

#### Sur les contrôles d'accès (A.5.15, A.8.2)

  • Liste des comptes admin.
  • Date de dernière revue d'accès.
  • Procédure de provisioning/deprovisioning.
  • Tickets correspondant à des départs récents.

#### Sur la gestion des incidents (A.5.24, A.5.25)

  • Le runbook d'incident.
  • Liste des incidents 12 derniers mois.
  • Au moins 1-2 incidents traités avec leur dossier complet (root cause, remédiation, vérification).

#### Sur les sauvegardes (A.8.13)

  • Politique de sauvegarde.
  • Dernier test de restauration documenté.
  • Logs des sauvegardes des 30 derniers jours.

#### Sur la gestion des changements (A.8.32)

  • Procédure de change management.
  • Sample de tickets de changement avec approbations.
  • Preuve de tests pré-déploiement.

#### Sur la formation et sensibilisation (A.6.3)

  • Plan de formation annuel.
  • Liste des personnes formées avec dates.
  • Matériel de formation.
  • Test de connaissances ou attestation.

#### Sur le secure coding (A.8.28)

  • Standards de code sécurisé.
  • Configuration SAST en CI/CD.
  • Sample de PR avec review sécurité.
  • Plan de formation des devs.

#### Sur la threat intelligence (A.5.7) — nouveau 2022

  • Sources de threat intel.
  • Process d'analyse.
  • Bulletins ou rapports produits.
  • Cas où la threat intel a déclenché une action.

Les NC typiques

#### NC majeures (qui bloquent la certification)

  • Politique signée par la direction inexistante ou ancienne (>1 an).
  • Analyse des risques inexistante ou non opérationnelle.
  • Procédure d'incident jamais utilisée et impossible à démontrer.
  • Aucune trace d'audit interne.
  • Personne identifié pour le rôle de responsable ISMS.

#### NC mineures (corrigibles)

  • Documentation incohérente entre niveaux.
  • Quelques accès non revus dans les délais.
  • Sauvegarde testée mais pas documentée correctement.
  • Formation faite mais pas tracée.

#### Observations (non bloquantes mais à noter)

  • Suggestions d'amélioration.
  • Pratiques qui pourraient être renforcées.

Le piège — l'écart entre dit et fait

L'audit révèle souvent un écart entre ce qui est écrit dans la procédure et ce qui se fait réellement.

Exemples vus en pratique :

  • Politique dit "MFA obligatoire" → l'auditeur vérifie 10 comptes au hasard, en trouve 2 sans MFA.
  • Procédure dit "review d'accès trimestrielle" → la dernière review date d'il y a 8 mois.
  • Politique dit "patches Critical sous 30 jours" → un audit serveur révèle plusieurs CVE Critical de 90+ jours.

Soit la procédure est trop stricte (à reformuler avec des objectifs réalistes), soit l'opérationnel est en retard (à corriger avant l'audit).

Préparation pré-audit

90 jours avant

  • Audit interne complet.
  • Identification des écarts.
  • Plan d'action de remédiation.
  • Préparation des dossiers de preuves.

30 jours avant

  • Pré-audit (interne ou par un cabinet externe).
  • Closure des NC majeures identifiées.
  • Mise à jour de la documentation.

7 jours avant

  • Briefing de toutes les personnes qui seront interviewées.
  • Préparation des dossiers physiques ou numériques.
  • Test des ouvertures d'accès pour l'auditeur (badge bureau, accès en visio).

Ce qu'on retient

L'audit ISO 27001 réussit sur trois choses :

  1. Une documentation cohérente qui décrit ce que vous faites réellement.
  2. Une mise en pratique opérationnelle que vous pouvez démontrer.
  3. Une culture sécurité que les auditeurs perçoivent en interview.

Sans le premier, l'audit échoue au stage 1. Sans le deuxième, l'audit révèle des NC majeures au stage 2. Sans le troisième, vous obtenez un certificat de papier qui ne reflète pas votre posture réelle.

L'investissement minimal est de viser les trois. Les bénéfices commerciaux et opérationnels suivent.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéISO 27001 SaaS B2B ConformitéAnnexe A 2022 ConformitéSOC 2 Type II

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt