Liste de contrôle ISO 27001 : Feuille de route en 14 étapes pour 2026
Une liste de contrôle ISO 27001 pratique couvrant les 14 étapes d'implémentation — de l'analyse des écarts à l'audit de certification. Inclut les contrôles de l'Annexe A, les documents obligatoires et les points de défaillance courants.
Liste de contrôle ISO 27001 : Feuille de route en 14 étapes pour 2026
La certification ISO 27001 n'est pas un événement ponctuel. C'est un programme structuré qui s'étend sur des mois de planification, d'implémentation, de documentation et d'audit. Les organisations qui échouent — et elles sont nombreuses lors de leur première tentative — buttent presque toujours sur les mêmes problèmes évitables : documentation incomplète, politiques inadaptées, ou évaluation des risques qui n'a pas été mise à jour depuis sa création initiale.
Cette liste de contrôle vous guide à travers chaque étape dans le bon ordre. Suivez-la séquentiellement et vous arriverez à votre audit de certification sans surprise.
Ce dont vous avez besoin avant de commencer
Avant de commencer tout travail d'implémentation, confirmez trois choses :
- L'engagement de la direction est obtenu. La clause 5.1 d'ISO 27001 exige que la direction fasse preuve de leadership et d'engagement. Sans soutien actif de la hiérarchie — pas seulement une signature — la plupart des projets SMSI stagnent dans les 60 jours lorsque des priorités concurrentes émergent.
- Un budget est alloué. Les coûts totaux pour une entreprise mid-market se situent généralement entre 20 000 et 80 000 € sur le cycle de certification de trois ans, incluant les honoraires de consultants, l'audit de certification lui-même et les audits de surveillance annuels. Les coûts devraient augmenter d'environ 20 % en 2026 par rapport à 2025 [1].
- Un responsable SMSI est désigné. Quelqu'un doit être responsable de ce programme au quotidien. Il s'agit souvent d'un RSSI, d'un Responsable de la Sécurité de l'Information, ou d'un Responsable SI nommé.
En France, les organismes de certification accrédités par le COFRAC (Comité français d'accréditation) délivrent les certifications ISO 27001. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) publie également des guides de référence pour la mise en œuvre de la sécurité des systèmes d'information.
La liste de contrôle d'implémentation ISO 27001
Étape 1 : Définir le périmètre du SMSI
Ce que vous devez produire : Un document écrit définissant le périmètre du SMSI.
Le périmètre définit quelles parties de votre organisation, quels sites, quels actifs informationnels et quels processus relèvent du SMSI. Un périmètre trop étroit peut satisfaire l'auditeur mais laisse des risques matériels en dehors du programme. Un périmètre trop large rend l'implémentation ingérable.
Éléments de la liste de contrôle pour l'étape 1 :
- Identifier les unités organisationnelles incluses dans le SMSI
- Définir les produits, services ou processus dans le périmètre
- Documenter les interfaces et dépendances internes et externes
- Confirmer le périmètre avec la direction et enregistrer l'approbation
Erreur courante : Exclure l'infrastructure cloud ou les sous-traitants pour simplifier l'implémentation. Les auditeurs interrogent de plus en plus explicitement sur ces aspects, notamment après NIS2 et DORA où la responsabilité dans la chaîne d'approvisionnement est obligatoire.
Étape 2 : Réaliser l'analyse des écarts
Ce que vous devez produire : Un rapport d'analyse des écarts comparant votre état actuel aux exigences d'ISO 27001:2022.
Une analyse des écarts compare vos contrôles de sécurité, politiques et processus existants à chaque clause (clauses 4 à 10) et à chaque contrôle applicable de l'Annexe A. Elle vous indique l'ampleur du travail à venir et où prioriser vos efforts.
Éléments de la liste de contrôle pour l'étape 2 :
- Examiner les 11 clauses d'ISO 27001:2022 (les clauses 4 à 10 sont auditables)
- Cartographier les contrôles existants vers les catégories de l'Annexe A
- Identifier la documentation obligatoire manquante
- Prioriser les écarts par niveau de risque et effort d'implémentation
- Estimer les besoins en ressources et les délais
Une analyse des écarts professionnelle réalisée par un consultant externe coûte généralement 5 000 à 15 000 € [2]. Les plateformes d'automatisation comme Orbiq peuvent réaliser une analyse des écarts en continu dans le cadre de leur capacité de surveillance SMSI, transformant cette démarche d'un exercice ponctuel en un processus permanent.
Étape 3 : Établir le cadre SMSI
Ce que vous devez produire : Documents de politique SMSI et structure de gouvernance.
Avant de commencer à rédiger des contrôles, établissez la couche de gouvernance :
Éléments de la liste de contrôle pour l'étape 3 :
- Rédiger la politique de sécurité de l'information (exigence de la clause 5.2)
- Définir les rôles et responsabilités en matière de sécurité de l'information
- Établir le comité SMSI ou le groupe de pilotage
- Fixer les objectifs de sécurité de l'information (mesurables, clause 6.2)
- Créer le plan de projet SMSI avec les jalons
La politique de sécurité de l'information doit être approuvée par la direction générale, communiquée à tous les employés et mise à disposition des parties prenantes pertinentes. Une page est suffisante si elle couvre l'objectif, les buts, les principes et l'engagement d'amélioration continue.
Étape 4 : Réaliser l'évaluation des risques
Ce que vous devez produire : Document de méthodologie d'évaluation des risques + registre des risques complété.
C'est le moteur de votre SMSI. Tout ce qui suit — quels contrôles vous implémentez, ce que dit votre Déclaration d'Applicabilité, comment vous priorisez les ressources — découle de l'évaluation des risques.
La clause 6.1.2 d'ISO 27001:2022 vous demande de :
- Définir des critères d'acceptation des risques
- Établir une méthodologie reproductible d'identification et d'évaluation des risques
- Identifier les risques liés à la perte de confidentialité, d'intégrité ou de disponibilité des informations
- Évaluer la vraisemblance et les conséquences de chaque risque
- Prioriser les risques à traiter
Éléments de la liste de contrôle pour l'étape 4 :
- Documenter la méthodologie et les critères d'évaluation des risques
- Identifier les actifs informationnels dans le périmètre
- Identifier les menaces et vulnérabilités pour chaque actif
- Évaluer la vraisemblance et l'impact (utiliser une échelle cohérente)
- Calculer les niveaux de risque et les classer
- Identifier les propriétaires de risques pour chaque risque significatif
- Examiner et faire approuver le registre des risques par la direction
Ce que la plupart des guides ne disent pas : L'évaluation des risques n'est pas un document unique. Les auditeurs vérifieront que votre registre des risques a été mis à jour lorsque l'entreprise change — nouveaux produits, nouveaux services cloud, activité de fusion-acquisition ou changements réglementaires significatifs. Un registre des risques qui n'a pas été modifié depuis la certification initiale est un signal d'alarme qui déclenche un examen plus approfondi.
Étape 5 : Créer le plan de traitement des risques
Ce que vous devez produire : Plan de traitement des risques + Déclaration d'Applicabilité (DdA).
Pour chaque risque dépassant votre seuil d'acceptation, vous devez choisir une option de traitement : atténuer (implémenter un contrôle), transférer (assurance ou contrat), accepter (documenter la décision) ou éviter (supprimer l'activité).
Éléments de la liste de contrôle pour l'étape 5 :
- Sélectionner les options de traitement pour tous les risques inacceptables
- Associer les décisions de traitement aux contrôles spécifiques de l'Annexe A
- Documenter les justifications des contrôles inclus et exclus
- Créer la Déclaration d'Applicabilité (DdA) — les 93 contrôles de l'Annexe A doivent y figurer
- Faire approuver le plan de traitement des risques par la direction
La DdA en détail : La Déclaration d'Applicabilité est sans doute le document le plus important de votre SMSI. Elle doit lister les 93 contrôles de l'Annexe A d'ISO 27001:2022, indiquer si chaque contrôle est applicable ou exclu, justifier la décision dans les deux sens et — pour les contrôles applicables — indiquer leur statut d'implémentation. Votre auditeur de certification utilisera ce document comme feuille de route principale.
Étape 6 : Implémenter les contrôles de l'Annexe A
Ce que vous devez produire : Preuves des contrôles implémentés (politiques, procédures, configurations, enregistrements).
L'Annexe A d'ISO 27001:2022 contient 93 contrôles organisés en quatre thèmes [3] :
| Thème | Contrôles | Exemples |
|---|---|---|
| Organisationnels | 37 | Politiques de sécurité de l'information, gestion des actifs, politique de contrôle d'accès, relations avec les fournisseurs |
| Personnels | 8 | Vérification, conditions d'emploi, sensibilisation à la sécurité, procédure disciplinaire |
| Physiques | 14 | Périmètres de sécurité physiques, politique de bureau propre, élimination sécurisée des supports |
| Technologiques | 34 | Appareils des utilisateurs, accès privilégié, protection contre les maliciels, sauvegarde, journalisation, chiffrement |
Les 93 contrôles ne s'appliqueront pas tous à votre organisation. La DdA documente lesquels sont applicables et pourquoi. Cependant, exclure un contrôle nécessite une justification documentée — "nous n'avons pas de bureaux physiques" est valable pour les contrôles de périmètre physique ; "cela prendrait trop longtemps à implémenter" ne l'est pas.
Éléments de la liste de contrôle pour l'étape 6 :
- Implémenter tous les contrôles marqués comme applicables dans la DdA
- Rédiger des procédures pour chaque contrôle implémenté
- Collecter et conserver les preuves d'implémentation (captures d'écran, configurations, enregistrements)
- Désigner des propriétaires de contrôles responsables du fonctionnement continu
- Examiner les nouveaux contrôles spécifiques à ISO 27001:2022 : renseignement sur les menaces (5.7), sécurité du cloud (5.23), continuité TIC (5.30), masquage des données (8.11), prévention des fuites de données (8.12), filtrage web (8.23), codage sécurisé (8.28)
Étape 7 : Rédiger la documentation obligatoire
Ce que vous devez produire : Un ensemble complet d'informations documentées requises.
ISO 27001:2022 spécifie les informations documentées obligatoires dans plusieurs clauses. L'absence de l'une d'entre elles constitue automatiquement une non-conformité.
Liste de contrôle des documents obligatoires :
- Périmètre du SMSI (clause 4.3)
- Politique de sécurité de l'information (clause 5.2)
- Processus d'évaluation des risques (clause 6.1.2)
- Processus de traitement des risques (clause 6.1.3)
- Objectifs de sécurité de l'information (clause 6.2)
- Preuves de compétence (clause 7.2)
- Informations documentées nécessaires à l'efficacité du SMSI (clause 7.5)
- Planification et maîtrise opérationnelles (clause 8.1)
- Résultats de l'évaluation des risques (clause 8.2)
- Résultats du traitement des risques (clause 8.3)
- Preuves de surveillance et de mesure (clause 9.1)
- Programme et résultats d'audit interne (clause 9.2)
- Résultats de la revue de direction (clause 9.3)
- Preuves des non-conformités et actions correctives (clause 10.1)
- Déclaration d'Applicabilité (clause 6.1.3d)
Conseil : La qualité de la documentation compte autant que la quantité. Les auditeurs sont expérimentés pour repérer les documents rédigés uniquement pour passer l'audit puis classés sans suite. Les politiques doivent faire référence à de vrais processus ; les procédures doivent correspondre à ce que les employés font réellement.
Étape 8 : Mettre en œuvre le programme de sensibilisation à la sécurité
Ce que vous devez produire : Enregistrements de formation et documentation du programme de sensibilisation.
La clause 7.3 d'ISO 27001:2022 exige que tout le personnel soit conscient de la politique de sécurité de l'information, de sa contribution à l'efficacité du SMSI et des implications d'une non-conformité.
Éléments de la liste de contrôle pour l'étape 8 :
- Concevoir et dispenser une formation de sensibilisation à la sécurité pour tous les employés
- Organiser des formations spécifiques aux rôles à risque élevé (informatique, finance, RH)
- Enregistrer l'achèvement des formations et les résultats des évaluations
- Planifier des formations de recyclage (au minimum annuellement)
- Intégrer la sensibilisation à la sécurité dans l'intégration des nouveaux employés
Étape 9 : Implémenter la surveillance et la mesure
Ce que vous devez produire : Métriques de surveillance, procédures de mesure et preuves de révisions régulières.
La clause 9.1 vous demande de déterminer ce qui doit être surveillé, comment le faire, quand et qui est responsable. Vous devez être en mesure de démontrer une efficacité continue des contrôles — pas seulement leur implémentation initiale.
Éléments de la liste de contrôle pour l'étape 9 :
- Définir les KPI et métriques pour les contrôles clés (par ex. couverture des correctifs %, taux de completion des revues d'accès %, temps de réponse aux incidents)
- Implémenter la surveillance technique (SIEM, analyse des vulnérabilités, journaux d'accès)
- Documenter la méthodologie de mesure
- Définir un rythme de révision des métriques (mensuel recommandé, trimestriel minimum)
- Créer des tableaux de bord ou des rapports pour la direction
Étape 10 : Réaliser l'audit interne
Ce que vous devez produire : Programme d'audit interne, rapports d'audit individuels et enregistrements d'actions correctives.
La clause 9.2 d'ISO 27001:2022 exige des audits internes à des intervalles planifiés. La plupart des organismes de certification s'attendent à au moins un cycle complet d'audit interne avant l'audit de certification de phase 2.
Éléments de la liste de contrôle pour l'étape 10 :
- Créer un programme formel d'audit interne couvrant toutes les clauses du SMSI
- Planifier la fréquence des audits — les zones à risque élevé auditées plus fréquemment
- Désigner des auditeurs internes indépendants des zones auditées
- Conduire les audits conformément à la norme et à vos propres procédures documentées
- Documenter tous les constats, y compris les conformités et non-conformités
- Déclencher des actions correctives pour chaque non-conformité
- Vérifier que les actions correctives ont été mises en œuvre avant l'audit de certification
Calendrier : Commencez les audits internes au moins six mois avant votre audit de certification de phase 2. Cela vous donne le temps d'identifier et de résoudre les non-conformités avant l'arrivée de l'auditeur externe.
Étape 11 : Réaliser la revue de direction
Ce que vous devez produire : Comptes rendus de revue de direction et enregistrements d'actions.
La clause 9.3 exige que la direction générale examine le SMSI à des intervalles planifiés. Ce n'est pas un exercice de pure forme — les auditeurs liront attentivement vos comptes rendus de revue de direction pour vérifier un engagement réel de la hiérarchie.
Les entrées obligatoires de la revue de direction comprennent :
- Statut des actions des revues précédentes
- Changements dans les problèmes internes/externes pertinents pour le SMSI
- Retour d'information sur la performance en matière de sécurité (résultats d'audit, non-conformités, métriques de surveillance)
- Résultats de l'évaluation des risques et statut du plan de traitement
- Opportunités d'amélioration continue
Éléments de la liste de contrôle pour l'étape 11 :
- Planifier la revue de direction au moins 8 semaines avant l'audit de phase 2
- Préparer un ordre du jour couvrant toutes les entrées obligatoires (clause 9.3.2)
- Enregistrer la réunion avec suffisamment de détails pour attester d'une vraie revue
- Documenter les sorties : décisions sur les opportunités d'amélioration, besoins en ressources, modifications du SMSI
- Assigner des responsables d'actions et des dates de clôture
Étape 12 : Résoudre toutes les non-conformités
Ce que vous devez produire : Enregistrements d'actions correctives démontrant une analyse des causes racines et une clôture vérifiée.
Avant la phase 2, chaque non-conformité identifiée lors des audits internes doit être traitée. Cela signifie :
- Identifier la cause racine (pas seulement le symptôme)
- Mettre en œuvre une action corrective qui traite la cause racine
- Vérifier l'efficacité de l'action
- Documenter l'ensemble du processus
Éléments de la liste de contrôle pour l'étape 12 :
- Passer en revue tous les constats ouverts des audits internes
- Réaliser une analyse des causes racines pour chaque non-conformité
- Implémenter et documenter les actions correctives
- Retester les contrôles affectés par les non-conformités
- Faire valider la clôture des actions correctives par le propriétaire du contrôle concerné
Étape 13 : Audit de phase 1 — Revue documentaire
Ce qui se passe : L'organisme de certification examine votre documentation et confirme la préparation pour la phase 2.
La phase 1 est principalement une revue sur pièces. L'auditeur vérifie :
- Que tous les documents obligatoires existent et sont à jour
- Que le périmètre de votre SMSI est approprié
- Que la Déclaration d'Applicabilité est complète
- Que les audits internes et les revues de direction ont été réalisés
La phase 1 dure généralement 1 à 2 jours et aboutit à l'un de trois résultats : prêt à poursuivre, clarifications mineures nécessaires ou lacunes majeures nécessitant une remédiation avant la phase 2.
Éléments de la liste de contrôle pour l'étape 13 :
- Confirmer que tous les documents obligatoires sont complets et approuvés
- S'assurer que la DdA est à jour et reflète le plan de traitement des risques
- Rendre disponibles les preuves d'audit interne et de revue de direction
- Préparer l'équipe aux entretiens avec l'auditeur
- Traiter les constats de la phase 1 avant la phase 2
Étape 14 : Audit de phase 2 — Audit de certification
Ce qui se passe : L'auditeur teste l'efficacité de la mise en œuvre par des entretiens, des tests et des sondages.
La phase 2 est l'audit de certification complet. L'auditeur va :
- Mener des entretiens avec des employés à plusieurs niveaux
- Tester les contrôles techniques (demander des captures d'écran, configurations, journaux)
- Sonder les preuves des processus opérationnels
- Examiner les enregistrements pour confirmer le fonctionnement continu, pas seulement la mise en place initiale
Les constats de la phase 2 se répartissent en trois catégories :
- Non-conformité majeure : La certification ne peut pas être délivrée avant résolution. Implique souvent un audit de suivi.
- Non-conformité mineure : La certification peut être délivrée avec un plan d'actions correctives dû dans les 90 jours.
- Observation : Point consultatif sans action obligatoire requise.
Éléments de la liste de contrôle pour l'étape 14 :
- Préparer des dossiers de preuves pour tous les contrôles applicables de l'Annexe A
- Préparer les employés susceptibles d'être interrogés (notamment informatique, RH, direction)
- Maintenir toute la documentation facilement accessible — papier et numérique
- Désigner un interlocuteur unique pour gérer la logistique de l'audit
- Planifier des actions correctives post-audit dans le calendrier du projet
Après la certification : maintenir ISO 27001
La certification n'est pas la ligne d'arrivée. ISO 27001 fonctionne sur un cycle de certification de trois ans avec des audits de surveillance annuels en années 1 et 2, et un audit de recertification complet en année 3.
Obligations continues :
- Audits de surveillance annuels (généralement 1 à 2 jours, coûts de 3 000 à 7 500 € chacun)
- Révision annuelle de l'évaluation des risques et mise à jour du registre des risques
- Cycle d'audit interne annuel
- Revue de direction annuelle
- Notification immédiate à l'organisme de certification de tout changement significatif du périmètre ou de la posture de sécurité
- Surveillance continue des contrôles
La raison la plus courante pour laquelle les organisations perdent leur certification entre les audits de surveillance est qu'elles traitent le SMSI comme un projet plutôt que comme un programme continu. Les contrôles cessent d'être opérés, le registre des risques cesse d'être mis à jour, et l'écart qui s'ouvre en 12 mois prend encore 6 mois à combler.
Récapitulatif des coûts ISO 27001 (2026)
| Composant | Petite entreprise (<50 personnes) | Entreprise moyenne (50–500 personnes) | Grande entreprise (500+ personnes) |
|---|---|---|---|
| Analyse des écarts | 3 000–8 000 € | 8 000–20 000 € | 20 000–50 000 € |
| Implémentation (conseil) | 5 000–15 000 € | 15 000–40 000 € | 40 000–100 000 € |
| Audit de certification (phases 1+2) | 5 000–10 000 € | 10 000–25 000 € | 25 000–60 000 € |
| Audit de surveillance annuel | 3 000–5 000 € | 5 000–7 500 € | 7 500–20 000 € |
| Total 3 ans (plateforme) | 15 000–30 000 € | 30 000–80 000 € | 80 000–200 000 € |
Les coûts devraient augmenter d'environ 20 % en 2026 par rapport à 2025, en raison d'une demande accrue et d'une disponibilité limitée des auditeurs accrédités [1].
Les 7 causes d'échec les plus fréquentes à l'audit ISO 27001
Connaître les raisons pour lesquelles les organisations échouent vous aide à éviter les mêmes erreurs :
-
Documentation incomplète. Si un document n'existe pas au moment de l'audit, le contrôle n'existe pas. Les documents obligatoires manquants — notamment la DdA, le registre des risques ou le rapport d'audit interne — peuvent mettre fin à l'audit avant qu'il ne commence vraiment [4].
-
Inadéquation entre politique et pratique. La politique de contrôle d'accès indique que les comptes sont examinés trimestriellement. L'auditeur consulte le journal des revues d'accès et ne trouve aucune révision depuis 18 mois. C'est une non-conformité majeure.
-
Évaluation des risques périmée. L'entreprise a lancé trois nouveaux produits, migré vers un nouveau fournisseur cloud et recruté 40 personnes depuis la dernière mise à jour de l'évaluation des risques. Le registre des risques devrait refléter l'entreprise que vous exploitez aujourd'hui.
-
Revue de direction insuffisante. Un fil d'e-mails de deux paragraphes ne constitue pas une revue de direction. Les auditeurs s'attendent à des comptes rendus documentés avec une discussion substantielle sur les métriques de performance et les actions d'amélioration.
-
Absence de suivi des actions correctives. Les audits internes ont identifié des non-conformités mais elles ont été enregistrées et jamais clôturées. Des actions correctives ouvertes lors de la phase 2 sont un signal d'alarme.
-
Plans de continuité non testés. ISO 27001 exige que les plans de continuité d'activité soient testés. Un plan qui n'a jamais été exercé ne peut pas être présenté comme efficace [5].
-
Contrôles implémentés mais non opérés. Une politique de journalisation existe. Un SIEM est configuré. Mais personne n'a examiné les alertes SIEM depuis quatre mois. L'implémentation sans fonctionnement continu échoue au test d'efficacité.
Ressources complémentaires
Pour une analyse détaillée des coûts, consultez notre guide des coûts de certification ISO 27001. Pour la plongée technique complète dans la norme, consultez ISO 27001 Certification : Le guide complet.
Si vous souhaitez réduire votre délai d'implémentation et automatiser la collecte continue de preuves, la plateforme SMSI d'Orbiq automatise 70 % du travail de conformité continu — de la gestion du registre des risques à la surveillance des contrôles de l'Annexe A.
Sources & Références
- ISO 27001 Certification Cost Breakdown in 2026 — StrongDM
- ISO 27001 Certification Cost: Full Breakdown (2026) — Sprinto
- ISO 27001 Controls: Overview of all measures from Annex A — DataGuard
- Common ISO 27001 Audit Findings: Top Nonconformities & How to Avoid Them — GLO Cert International
- 5 Common Pitfalls That Stall ISO 27001 Certification — Auditwerx
- ISO 27001 Checklist: Your 14-Step Roadmap to ISO Certification — Secureframe
- The Modern ISO 27001 Compliance Checklist (2026) — ComplyJet