Pourquoi l’implémentation du SMSI échoue sans accompagnement expert
La norme ISO 27001:2022 exige un système de management documenté couvrant 93 contrôles répartis en quatre catégories : organisationnels, humains, physiques et technologiques. De nombreuses organisations commencent l’implémentation de leur SMSI en interne, pour découvrir lors de l’audit de certification de stade 1 que des documents obligatoires sont incomplets, que les décisions de traitement des risques ne sont pas formellement justifiées, ou que la Déclaration d’applicabilité (SoA) ne peut pas être étayée par des preuves.
Les points d’échec fréquents qu’un partenaire externe expérimenté permet d’éviter incluent : l’absence de documents obligatoires identifiée uniquement en phase de préparation d’audit, des évaluations des risques ne respectant pas les exigences d’ISO 27005, des programmes de sensibilisation sans preuve de participation, ainsi que des revues de direction non réalisées avant l’audit de stade 2.
Périmètre des services
Au-delà d’ISO 27001 : alignement réglementaire pour les organisations suisses
Pour les organisations opérant dans des secteurs réglementés en Suisse, notre service d’implémentation du SMSI prend également en compte les cadres réglementaires applicables en parallèle de la norme ISO 27001 :
nLPD
Alignement des contrôles de sécurité de l’information avec la Loi fédérale suisse sur la protection des données (nLPD).
DORA
Alignement pour les entités financières relevant du règlement européen sur la résilience opérationnelle numérique (DORA), couvrant les exigences en matière de gestion des risques ICT et de continuité des activités.
FINMA
Mise en correspondance des contrôles ISO 27001 avec les directives de la FINMA en matière de risques ICT pour les établissements financiers soumis à la FINMA, afin de soutenir la préparation aux exigences de surveillance.
Processus
Sept étapes de l’écart à un SMSI certifié
1 Analyse de maturité et des écarts
Évaluation structurée de votre posture actuelle par rapport aux exigences de l’ISO 27001:2022. Identification des écarts de documentation obligatoires, des contrôles manquants et des facteurs de préparation organisationnelle. Résultat : rapport d’écarts avec plan de mise en œuvre priorisé.
2 Planification et cadrage du projet
Définition du périmètre du SMSI, du périmètre organisationnel, du contexte réglementaire applicable ainsi que de la structure de gouvernance du projet, incluant les rôles, responsabilités, jalons et autorités de décision.
3 Évaluation des risques
Réalisation d’une évaluation des risques de sécurité de l’information conforme à l’ISO 27001, produisant le registre des actifs, l’analyse des menaces et vulnérabilités, le registre des risques et le plan formel de traitement des risques.
4 Élaboration de la documentation
Production de l’ensemble des documents obligatoires ISO 27001 : Déclaration d’applicabilité (SoA), analyse PESTEL, politiques et procédures de sécurité de l’information, documentation des contrôles techniques et physiques, ainsi que des directives opérationnelles couvrant les 93 contrôles.
5 Sensibilisation au SMSI
Réalisation de formations structurées de sensibilisation du personnel afin de garantir que les exigences du SMSI sont comprises et activement appliquées dans l’ensemble de l’organisation. La sensibilisation constitue un critère directement évalué lors des audits de certification ISO 27001.
6 Audit interne et revue de direction
Accompagnement du processus d’audit interne et du cycle de revue de direction afin de garantir que l’organisation a complété l’intégralité du cycle Plan-Do-Check-Act (PDCA) requis avant l’évaluation de certification de stade 2.
7 Accompagnement à l’audit de certification
Préparation de l’organisation aux audits de stade 1 (revue documentaire) et de stade 2 (évaluation sur site), incluant le support lors des réponses d’audit et la gestion formelle des actions correctives.
Résultats
Livrables de la mise en œuvre
- Rapport d’analyse de maturité et des écarts, avec constats priorisés et plan de mise en œuvre
- Ensemble complet des documents obligatoires ISO 27001 : SoA, PESTEL, politiques, procédures et directives opérationnelles
- Documentation de l’évaluation des risques : méthodologie, registre des actifs, registre des risques et plan de traitement des risques
- Supports de formation et de sensibilisation au SMSI, ainsi que les preuves de participation
- Rapport d’audit interne et procès-verbaux de revue de direction
- Dossier de preuves prêt pour l'audit, stade 1 et 2
Implémentateurs certifiés, méthodologie éprouvée
Nos projets d’implémentation du SMSI sont pilotés par une équipe de consultants experts, certifiés CISSP, CISA et PECB ISO/IEC 27001 Senior Lead Implementer, avec plus de 25 ans d’expérience en gouvernance. La méthodologie d’implémentation suit l’ensemble des exigences de la norme ISO/IEC 27001:2022 et s’inscrit dans un cadre de gestion de projet structuré, assurant une traçabilité de bout en bout depuis l’identification initiale des écarts jusqu’à la certification du système de management.
Prochaine étape
Commencez par une session de cadrage du SMSI
Le parcours vers la certification ISO 27001 commence par une vision claire de votre état actuel et un plan de projet réaliste. Nous proposons une session initiale de cadrage du SMSI afin d’évaluer votre point de départ, de définir le périmètre de certification et de fournir un plan de projet documenté avec des jalons.