Combien de temps prend une préparation à la certification ?

Cela dépend de votre maturité de départ et de la taille du périmètre couvert. La préparation s'étale le plus souvent sur plusieurs mois. Le diagnostic initial sert à poser un calendrier que vous pouvez tenir.

Quelle différence entre votre accompagnement et l'audit de certification ?

Notre accompagnement construit le système de management, le documente et le teste en pré-audit. L'audit de certification est l'évaluation officielle réalisée ensuite par l'organisme accrédité, qui décide de la délivrance du certificat.

Le pentest est-il obligatoire pour ISO 27001 ?

Non, la norme n'impose pas de pentest. Les contrôles applicables dépendent de votre analyse de risque et de votre déclaration d'applicabilité. Lorsqu'un contrôle technique appelle une preuve, le pentest est un moyen efficace de l'apporter, en articulation avec le plan de traitement.

Quelle est la différence entre la version 2013 et la version 2022 ?

La version 2022 réorganise l'Annexe A en 4 thèmes et 93 contrôles, contre 114 auparavant, et introduit 11 nouveaux contrôles, notamment sur la sécurité du cloud, la veille sur les menaces et la suppression des données. Les certifications doivent migrer vers cette version.

Norme ISO/IEC 27001:2022

Accompagnement ISO 27001 pour PME et ETI

Obtenir l'ISO 27001 demande un système de management qui tient, des preuves pour 93 contrôles et un audit officiel à passer. Nous vous accompagnons sur tout le chemin qui précède cet audit, du premier diagnostic jusqu'au pré-audit qui valide que vous êtes prêt.

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

29 juin 2026·10 min de lecture·Fondateurs·LinkedIn

Demander un diagnostic gratuit

Voir les prestations

Norme

ISO/IEC 27001:2022

Annexe A

93 contrôles

Thèmes

4 domaines

Cycle

3 ans, surveillance annuelle

Certificat

Organisme accrédité

Réponse directe

Qu'est-ce que l'accompagnement ISO 27001 ?

L'accompagnement ISO 27001 prépare une PME ou une ETI à l'audit de certification de la norme ISO/IEC 27001:2022. Il couvre le diagnostic d'écart face aux 93 contrôles de l'Annexe A, la construction du système de management (politiques, déclaration d'applicabilité, plan de traitement du risque), le pré-audit qui rejoue l'audit officiel, et la preuve technique apportée par le pentest. Laucked prépare la démarche ; le certificat est délivré par un organisme certificateur accrédité indépendant.

Annexe A 2022

Là où une PME a réellement des écarts à combler

La version 2022 regroupe ses 93 contrôles en quatre thèmes. Le diagnostic situe votre point de départ thème par thème. Voici le constat le plus fréquent que nous faisons en arrivant chez une PME logicielle.

/organisationnel

Contrôles organisationnels

37 contrôles

écart

Politique de sécurité, gestion des fournisseurs et inventaire des actifs sont souvent partiels ou n'ont pas été revus depuis la dernière refonte du SI.

/humain

Contrôles liés aux personnes

8 contrôles

en cours

La sensibilisation et les clauses de confidentialité existent en général, mais sans traçabilité exploitable lors d'un audit.

/physique

Contrôles physiques

14 contrôles

maîtrisé

Quand l'hébergement est externalisé chez un prestataire certifié, l'essentiel de ce thème est couvert par les attestations du prestataire.

/technologique

Contrôles technologiques

34 contrôles

écarttestable au pentest

Durcissement, gestion des vulnérabilités, contrôle d'accès et journalisation. Selon votre déclaration d'applicabilité, le pentest peut apporter une partie des preuves techniques attendues sur ce thème.

Zone Laucked

Accompagnement

Diagnostic et analyse d’écart
Construction du SMSI et analyse de risque
Pré-audit et preuve technique

Zone organisme certificateur

Audit officiel

Audit de certification, étapes 1 et 2
Décision et délivrance du certificat

La frontière est nette : nous préparons et testons, l'organisme certificateur évalue et décide. Cette séparation protège l'indépendance de l'audit, et elle est exigée par le schéma de certification.

Le contenu de la mission

Quatre prestations qui mènent à l'audit

Chaque brique répond à un besoin concret de la démarche, et s'enchaîne avec la suivante.

Diagnostic et analyse d'écart

On confronte votre fonctionnement réel aux exigences de la norme et aux 93 contrôles de l'Annexe A 2022. À la sortie, vous avez la liste des écarts à combler, classés par effort, et un calendrier réaliste vers l'audit.

Construction du SMSI et analyse de risque

Périmètre, politiques, déclaration d'applicabilité et plan de traitement du risque. L'objectif est un système de management qui tient debout au quotidien et résiste à l'audit.

Pré-audit et audit à blanc

On rejoue l'audit de certification dans vos conditions. Les non-conformités remontent pendant qu'il reste du temps pour les corriger, avant le passage de l'organisme certificateur.

Preuve technique par pentest

La norme n'impose pas de pentest. Selon votre analyse de risque et votre déclaration d'applicabilité, certains contrôles techniques se prouvent mieux par un test. Le pentest peut alors apporter cette preuve et alimenter le plan de traitement.

Budget

Combien coûte un accompagnement ISO 27001 ?

Il n'existe pas de prix unique. Le budget dépend de votre point de départ et de l'ampleur du système à mettre en place. Voici les facteurs que nous chiffrons après le diagnostic.

Le périmètre certifié : un produit, un service ou toute l'organisation.

L'effectif concerné et le nombre de sites inclus dans le périmètre.

La maturité de départ, constatée au diagnostic, et le volume d'écarts à combler.

L'étendue du système de management à construire ou à reprendre.

Le besoin de preuve technique par pentest sur les contrôles technologiques.

L'articulation avec des référentiels déjà en place, comme NIS2 ou le RGPD.

Le diagnostic de surface est gratuit et sert à cadrer ces facteurs. L'accompagnement est ensuite chiffré sur devis, sans grille publique, pour coller au périmètre réel plutôt qu'à un forfait standard.

FAQ

Questions fréquentes

Aller plus loin

L'ISO 27001 se relie au reste de votre dossier de sécurité

La certification arrive rarement seule. Elle croise souvent NIS2, la preuve technique et les exigences de votre assureur.

Conformité NIS2

Quand l'exigence vient de la directive ou d'un donneur d'ordre soumis à NIS2.

Pentest expert

Pour produire la preuve technique attendue par les contrôles technologiques de l'Annexe A.

Assurance cyber

Quand votre assureur demande une démarche structurée avant de couvrir ou de renouveler.

Accompagnement ISO 27001

Cadrons votre chemin vers l'ISO 27001

Le diagnostic situe votre point de départ et pose un calendrier réaliste vers l'audit de certification. Il est gratuit, et la suite est chiffrée sur devis selon votre périmètre.