La question comment obtenir la certification ISO 27001 recouvre deux processus distincts : la certification d'une organisation (le SMSI obtient un certificat délivré par un organisme accrédité) et la certification d'une personne (un individu obtient une certification PECB attestant de ses compétences).
Pour certifier une organisation, le parcours type comprend sept étapes : définir le périmètre du SMSI ; conduire une analyse de risques (méthode ISO 27005, EBIOS RM ou autre) ; construire le Statement of Applicability (SoA) listant les 93 contrôles d'ISO 27002:2022 retenus ; déployer le SMSI pendant minimum 3 à 6 mois ; commander un audit blanc interne ; faire auditer par un organisme accrédité (audit documentaire puis audit terrain) ; lever les non-conformités majeures et recevoir le certificat.
Le certificat organisationnel est valable 3 ans, avec des audits de surveillance annuels et un audit de renouvellement complet à l'échéance. Le coût et la durée totale dépendent de la taille du périmètre — comptez généralement 6 à 18 mois entre le démarrage du projet et le premier certificat.
Pour qu'un individu obtienne sa certification, la voie standard est : suivre une formation officielle (Foundation, Lead Implementer ou Lead Auditor selon le niveau) ; passer l'examen PECB ; constituer un dossier d'expérience professionnelle ; régler les frais d'application et de maintenance annuelle.
Les deux processus se nourrissent mutuellement. Avoir un Lead Implementer certifié en interne accélère significativement la certification organisationnelle. À l'inverse, un certificat organisationnel facilite la valorisation des compétences individuelles déjà certifiées.
La certification ISO/IEC 27001 Lead Implementer qualifie les professionnels pour planifier, mettre en œuvre, exploiter et améliorer un système de management de la sécurité de l’information conforme à l’ISO/IEC 27001:2022. Elle atteste de la capacité à piloter des projets SMSI et à préparer une organisation aux audits de certification.
byTania POSTIL
La certification ISO 27001 Foundation valide la compréhension de la structure, des principes et de la logique de gouvernance d’un Système de management de la sécurité de l’information (SMSI) conforme à ISO/IEC 27001:2022. Elle atteste la capacité à interpréter la norme et à expliquer comment gouvernance, gestion des risques, contrôles, audits et amélioration continue s’articulent.
byTania POSTIL
ISO 27001 Lead désigne les deux certifications PECB de niveau Lead alignées sur ISO/IEC 27001:2022 : Lead Implementer et Lead Auditor. Les deux sont des certifications individuelles de 5 jours qui valident des expertises opérationnelles distinctes — déployer un SMSI, ou auditer un SMSI.
byChristophe MAZZOLA
Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.