Évaluation indépendante et rigoureuse de votre Système de Management de la Sécurité de l'Information — identification des écarts, plan correctif et rapport prêt pour votre organisme certificateur.
L'audit interne est une exigence normative et votre meilleur outil pour anticiper les non-conformités avant l'audit de certification.
La clause 9.2 de la norme ISO 27001 impose la réalisation d'audits internes à intervalles planifiés. Un rapport structuré est indispensable pour votre organisme certificateur.
Identifier les non-conformités avant l'audit de certification évite les constats bloquants et réduit considérablement le risque d'échec ou de report.
Chaque cycle d'audit renforce votre SMSI. Les constats alimentent directement la revue de direction et la feuille de route sécurité.
L'audit couvre l'ensemble des clauses 4 à 10 ainsi que les mesures de l'Annexe A applicables à votre Déclaration d'Applicabilité (SoA).
Enjeux internes/externes, parties intéressées, domaine d'application du SMSI.
Engagement de la direction, politique SMSI, rôles et responsabilités.
Appréciation des risques, traitement des risques, objectifs de sécurité.
Ressources, compétences, sensibilisation, communication, documentation.
Mise en œuvre du plan de traitement des risques et contrôle des processus externalisés.
Surveillance, audit interne, revue de direction, non-conformités et actions correctives.
Chaque mesure applicable selon votre SoA est auditée individuellement. Les mesures exclues sont vérifiées avec leur justification documentaire.
Une méthodologie structurée conforme à la norme ISO 19011 pour garantir objectivité et traçabilité des constats.
Avant la mission — réunion de lancement
Définition du périmètre, des critères d'audit, du calendrier des interviews et des processus à couvrir.
J-7 à J-3 avant l'audit sur site
Analyse approfondie de l'ensemble de la documentation SMSI : politiques, procédures, registres, rapports d'incidents, preuves.
Mission sur site — 3 à 5 jours
Entretiens avec les responsables de processus, vérification des pratiques effectives et observation des mesures techniques en place.
Post-terrain — consolidation des écarts
Classification des écarts détectés selon leur criticité : non-conformités majeures/mineures, observations et points forts du SMSI.
Livraison finale + présentation direction
Rapport d'audit complet remis sous 5 jours ouvrés, suivi d'une restitution orale avec la direction pour valider le plan d'actions correctives.
Des livrables complets, prêts à être présentés à votre organisme de certification.
Document structuré couvrant périmètre, méthodologie, ensemble des constats et conclusion d'audit. Format compatible avec les attentes de tout organisme certifié ISO 17021.
Liste exhaustive et classifiée (majeures / mineures) des écarts identifiés avec référence de clause, description factuelle et preuve associée.
Feuille de route priorisée avec pour chaque non-conformité : action recommandée, responsable suggéré, délai cible et critère de clôture mesurable.
Présentation orale destinée à la direction et au CODIR : synthèse exécutive, niveaux de maturité par domaine et axes d'amélioration prioritaires.
10+ ans d'expérience en sécurité de l'information et mise en œuvre de SMSI, avec un regard d'auditeur exigeant et bienveillant.
Auditeur indépendant : aucun conflit d'intérêts, regard neuf sur votre organisation, constats factuels et vérifiables.
Chaque rapport est structuré selon la norme ISO 19011 et répond aux exigences des auditeurs de certification les plus rigoureux.
Mission complète en 5 phases, rapport certifiable garanti, plan d'actions correctives et restitution direction inclus.
WhatsApp