La question comment obtenir la certification ISO 27001 recouvre deux processus distincts : la certification d'une organisation (le SMSI obtient un certificat délivré par un organisme accrédité) et la certification d'une personne (un individu obtient une certification PECB attestant de ses compétences).
Pour certifier une organisation, le parcours type comprend sept étapes : définir le périmètre du SMSI ; conduire une analyse de risques (méthode ISO 27005, EBIOS RM ou autre) ; construire le Statement of Applicability (SoA) listant les 93 contrôles d'ISO 27002:2022 retenus ; déployer le SMSI pendant minimum 3 à 6 mois ; commander un audit blanc interne ; faire auditer par un organisme accrédité (audit documentaire puis audit terrain) ; lever les non-conformités majeures et recevoir le certificat.
Le certificat organisationnel est valable 3 ans, avec des audits de surveillance annuels et un audit de renouvellement complet à l'échéance. Le coût et la durée totale dépendent de la taille du périmètre — comptez généralement 6 à 18 mois entre le démarrage du projet et le premier certificat.
Pour qu'un individu obtienne sa certification, la voie standard est : suivre une formation officielle (Foundation, Lead Implementer ou Lead Auditor selon le niveau) ; passer l'examen PECB ; constituer un dossier d'expérience professionnelle ; régler les frais d'application et de maintenance annuelle.
Les deux processus se nourrissent mutuellement. Avoir un Lead Implementer certifié en interne accélère significativement la certification organisationnelle. À l'inverse, un certificat organisationnel facilite la valorisation des compétences individuelles déjà certifiées.
La formation ISO/IEC 27001 Lead Auditor prépare les professionnels à conduire et diriger des audits de SMSI selon ISO 27001:2022, en contexte interne, fournisseur ou certification. L’objectif n’est pas de réciter la norme, mais de produire des conclusions d’audit défendables : périmètre, collecte.
Voir la formationCette formation ISO/IEC 27001 Foundation constitue un point d’entrée structuré vers les Systèmes de management de la sécurité de l’information (SMSI) pour les professionnels qui doivent comprendre le fonctionnement concret d’ISO 27001.
Voir la formationCette formation ISO/IEC 27002 Lead Manager s’adresse aux professionnels chargés de sélectionner, déployer et piloter des mesures de sécurité de l’information dans un contexte ISO/IEC 27001.
Voir la formationLa certification ISO/IEC 27001 Lead Implementer qualifie les professionnels pour planifier, mettre en œuvre, exploiter et améliorer un système de management de la sécurité de l’information conforme à l’ISO/IEC 27001:2022. Elle atteste de la capacité à piloter des projets SMSI et à préparer une organisation aux audits de certification.
byTania POSTIL
ISO 27001 Lead désigne les deux certifications PECB de niveau Lead alignées sur ISO/IEC 27001:2022 : Lead Implementer et Lead Auditor. Les deux sont des certifications individuelles de 5 jours qui valident des expertises opérationnelles distinctes — déployer un SMSI, ou auditer un SMSI.
byChristophe MAZZOLA
La certification ISO 27001 Foundation valide la compréhension de la structure, des principes et de la logique de gouvernance d’un Système de management de la sécurité de l’information (SMSI) conforme à ISO/IEC 27001:2022. Elle atteste la capacité à interpréter la norme et à expliquer comment gouvernance, gestion des risques, contrôles, audits et amélioration continue s’articulent.
byTania POSTIL
La certification ISO/IEC 27001 Lead Implementer qualifie les professionnels pour planifier, mettre en œuvre, exploiter et améliorer un système de management de la sécurité de l’information conforme à l’ISO/IEC 27001:2022. Elle atteste de la capacité à piloter des projets SMSI et à préparer une organisation aux audits de certification.
Aucun prérequis formel n’est exigé pour la certification ISO/IEC 27001 Lead Implementer, mais une expérience en sécurité de l’information, gestion des risques ou systèmes de management ISO est fortement recommandée.
ISO 27001 Lead désigne les deux certifications PECB de niveau Lead alignées sur ISO/IEC 27001:2022 : Lead Implementer et Lead Auditor. Les deux sont des certifications individuelles de 5 jours qui valident des expertises opérationnelles distinctes — déployer un SMSI, ou auditer un SMSI.
L’ISO 27001 Lead Implementer conçoit et exploite un SMSI, tandis que l’ISO 27001 Lead Auditor évalue sa conformité. L’implementer construit et maintient le système ; l’auditeur l’évalue de manière indépendante.
Tout ce qu'il faut savoir sur ISO/IEC 27005:2022 : positionnement par rapport à ISO 27001, ISO 31000 et EBIOS Risk Manager, processus, certification PECB Risk Manager. Le guide expert.
Le Règlement (UE) 2024/1689 est la première loi européenne horizontale et fondée sur les risques régissant l'IA, applicable par étapes de 2025 à 2027 (article 6(1) reporté à 2027). Le guide expert.
Toutes les questions fréquentes →
Base de connaissances complète
Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.