ISO 27001 · Partout au Canada

Préparation à la certification ISO 27001 — portée, SMSI, étapes 1 et 2

ISO 27001 est une certification avec un cycle de vie — un SMSI à bâtir, un audit en deux étapes, puis des audits de surveillance chaque année. Nous y préparons les PME canadiennes : portée, traitement des risques, déclaration d’applicabilité et accompagnement jusqu’à l’étape 2. Le certificat, lui, vient d’un organisme de certification accrédité — nous vous rendons prêts à le recevoir.

Une certification, avec un cycle de vie

ISO/IEC 27001 est la norme internationale du système de management de la sécurité de l’information (SMSI — on dit aussi SGSI) : la mécanique de gouvernance qui décide de ce que vous protégez, comment, et qui le vérifie. Contrairement à SOC 2, elle aboutit à un certificat — délivré par un organisme de certification accrédité, jamais par un consultant. Notre rôle est de vous rendre prêts pour cet organisme, et de rester à vos côtés pendant qu’il fait son travail.

La certification est un cycle, pas un événement. Le certificat est généralement valide trois ans, avec un chemin d’entrée défini et des audits planifiés en cours de route :

  • Préparation. Cadrer le SMSI, traiter les risques, bâtir la documentation — la partie que nous livrons avec vous.
  • Étape 1. L’organisme de certification examine votre documentation et confirme que vous êtes prêts pour l’audit véritable.
  • Étape 2. L’audit de mise en œuvre — les auditeurs vérifient que le SMSI fonctionne réellement, pas seulement qu’il est écrit.
  • Audits de surveillance. Des visites annuelles plus courtes, les première et deuxième années, confirment que le système continue de tourner.
  • Recertification. Un audit plus complet vers la troisième année renouvelle le certificat pour un nouveau cycle.
Le SMSI

Portée, traitement des risques et déclaration d’applicabilité

C’est au cadrage que la certification se gagne ou se perd. Le certificat ne parle que de ce qui est à l’intérieur de la portée du SMSI; nous traçons donc la frontière à dessein — les systèmes, les sites et les équipes qui comptent pour vos acheteurs, et rien qui ajoute de la surface d’audit sans ajouter de la confiance.

Ensuite, le risque mène tout : nous menons l’appréciation, décidons avec vous de ce qui sera traité, accepté ou transféré, puis transformons ces décisions en un plan de traitement que les auditeurs peuvent suivre.

La déclaration d’applicabilité est le document que les auditeurs consultent en premier. Elle passe en revue chaque contrôle de l’annexe A et précise s’il s’applique à vous, et pourquoi — ou pourquoi pas. Nous la rédigeons à partir de votre environnement réel, pour que chaque justification résiste aux questions.

  • Définition de la portée. Le périmètre que couvrira votre certificat.
  • Appréciation et plan de traitement des risques. Des décisions documentées, pas des tableurs pour la forme.
  • Déclaration d’applicabilité. Chaque contrôle de l’annexe A, justifié.
  • Audit interne et revue de direction. Exigés avant l’étape 2 — nous les menons avec vous.

Vous avez déjà SOC 2? Vous êtes plus près que vous le pensez

Si vous détenez déjà un rapport SOC 2, la plupart de vos contrôles ont un équivalent dans l’annexe A — gestion des accès, contrôle des changements, journalisation, risque fournisseurs et réponse aux incidents s’y transposent. Ce qu’ISO 27001 ajoute, c’est le système de management autour d’eux : la portée, la méthodologie de risque, l’audit interne, la revue de direction et la déclaration d’applicabilité. Nous cartographions ce que vous avez avant de proposer quoi que ce soit, pour que le forfait de préparation couvre le véritable restant.

Vous partez plutôt du côté attestation? Voyez notre service de préparation SOC 2. Vous hésitez entre les deux? Lisez SOC 2 ou ISO 27001 pour une PME.

La livraison

Automatisation, langue et proximité

Drata, arrimée à l’annexe A

La même automatisation des preuves que pour SOC 2 s’arrime aux contrôles d’ISO 27001 : collecte continue, alertes en cas de dérive et un tableau de bord qui vous garde prêts pour la surveillance entre les visites annuelles.

Livraison bilingue

Documentation du SMSI, formation et liaison avec l’organisme de certification en français, en anglais ou les deux — selon la langue de votre équipe et celle de votre auditeur.

Partout au Canada

À distance partout au Canada, en personne à Gatineau et à Ottawa. Fondée en 2023, portée par plus de 20 ans d’expérience en sécurité et des certifications Microsoft de niveau expert (SC-100).

FAQ

Questions fréquentes

Qui délivre concrètement le certificat ISO 27001?

Un organisme de certification accrédité — un auditeur indépendant habilité à certifier selon la norme. Nous ne pouvons pas vous certifier, et aucun consultant ne le peut; quiconque laisse entendre le contraire en promet trop. Notre rôle s’arrête là où commence celui de l’organisme : nous bâtissons le SMSI avec vous, préparons la documentation et les preuves, vous aidons à choisir un organisme, puis épaulons votre équipe pendant les audits d’étape 1 et 2 et les audits de surveillance qui suivent.

Nous avons déjà SOC 2 — la certification ISO 27001 vaut-elle la peine?

Seulement si un acheteur l’exige. SOC 2 satisfait la plupart des clients nord-américains, et ajouter un certificat que personne ne demande est une façon coûteuse de se rassurer. ISO 27001 devient pertinente quand un contrat la nomme, qu’un client européen ou un grand compte la considère comme un préalable, ou que vous entrez sur des marchés où le certificat est la monnaie reconnue. Le cas échéant, vos contrôles SOC 2 couvrent déjà une bonne partie de l’annexe A : la préparation est un complément, pas un recommencement.

Combien de temps prend la certification ISO 27001?

Plus longtemps que la plupart des premières estimations, parce que le SMSI doit fonctionner avant d’être certifié — les auditeurs veulent voir un cycle de risque complété, un audit interne et une revue de direction, pas seulement des documents. Le vrai facteur, c’est votre point de départ : une organisation qui a déjà des politiques et des habitudes de preuve avance beaucoup plus vite qu’une autre qui part de rien. Nous cadrons la préparation après une courte analyse d’écarts et bâtissons l’échéancier en fonction des disponibilités réelles d’un organisme de certification.

La certification ISO 27001 est-elle obligatoire au Canada?

Aucune loi ne l’exige. La pression vient des contrats : les équipes d’approvisionnement des grands comptes, les acheteurs internationaux — surtout en Europe — et certaines clauses de sécurité de chaîne d’approvisionnement en font une condition d’affaires. Si aucun de vos acheteurs ne la demande, un rapport SOC 2, ou simplement des contrôles renforcés selon un référentiel de base, vous servira peut-être mieux. Nous vous dirons ce qui s’applique avant que vous dépensiez quoi que ce soit.

Combien coûte la préparation à ISO 27001?

Nous remettons un prix forfaitaire une fois le cadrage terminé — l’étendue de la portée du SMSI, l’état de vos contrôles actuels et la part de la documentation que vous nous confiez font tous bouger le chiffre, si bien qu’avancer un prix avant le cadrage reviendrait à deviner. Deux postes à budgéter séparément : les honoraires d’audit de l’organisme de certification (étapes 1 et 2, puis les audits de surveillance annuels), qu’il fixe et facture lui-même, et l’abonnement à une plateforme comme Drata si vous choisissez d’automatiser les preuves.

Une exigence ISO 27001 vient d’apparaître dans un contrat?

Cadrons votre SMSI et traçons le chemin jusqu’à l’étape 2 — avec un forfait de préparation fixé une fois le cadrage terminé.

Nous joindre