Spécialité — Sécurité de l’information

ISO/IEC 27001:2022

Système de Management de la Sécurité de l’Information (SMSI) — protégez la confidentialité, l’intégrité et la disponibilité de votre information.

L’ISO/IEC 27001:2022 est la norme internationale de référence pour le management de la sécurité de l’information. Elle fournit un cadre rigoureux pour identifier, traiter et surveiller les risques qui pèsent sur vos données — qu’elles soient numériques, papier, ou portées par vos collaborateurs.

Pourquoi se certifier ISO 27001:2022 ?

  • Confiance client et partenaires — Une preuve tangible que vous gérez la sécurité de leurs données avec sérieux. De plus en plus exigée en B2B et dans les appels d’offres publics.
  • Conformité réglementaire — Alignement avec les exigences RGPD, Loi 25 au Québec, PIPEDA au Canada, et autres réglementations sectorielles.
  • Réduction des risques cyber — Approche structurée d’identification et de traitement des vulnérabilités. Moins d’incidents, moins de coûts cachés.
  • Avantage commercial — Différenciation sur les marchés où la sécurité est un critère de sélection (finance, santé, défense, infrastructures critiques).

La révision 2022 — ce qui change

La version 2022 de l’ISO 27001 (publiée en octobre 2022) introduit des changements significatifs par rapport à la version 2013. Les organisations certifiées sous l’ancienne version devaient migrer avant le 31 octobre 2025 — ne pas avoir transitionné expose à un retrait de certification.

  • 93 mesures de sécurité (au lieu de 114), réorganisées en 4 thèmes : organisationnel, personnes, physique, technologique
  • 11 nouvelles mesures ajoutées, notamment : renseignement sur les menaces, sécurité du cloud, préparation et continuité TIC, surveillance physique, gestion de la configuration, suppression des informations, masquage des données, prévention des fuites, codage sécurisé, filtrage Web, etc.
  • Alignement Annex SL renforcé pour une meilleure intégration avec ISO 9001, 14001, 45001 et 22301
  • Approche par les risques modernisée — meilleur traitement des menaces actuelles (ransomware, supply chain, télétravail)

Notre équipe est formée et expérimentée sur la version 2022. Nous accompagnons aussi bien les nouvelles certifications que les transitions 2013 → 2022 pour les organisations déjà certifiées.

Notre approche en 6 étapes

  1. Diagnostic initial et cartographie des actifs informationnels — inventaire de vos données critiques, systèmes, prestataires, flux. Analyse d’écart vs la norme.
  2. Définition du périmètre du SMSI et de la politique de sécurité — quels processus, sites, technologies ? Quels objectifs de sécurité ?
  3. Analyse et traitement des risques — méthodologie EBIOS RM, ISO 27005 ou propriétaire, selon votre contexte. Production de la Déclaration d’Applicabilité (SoA).
  4. Mise en œuvre des 93 mesures applicables — politiques, procédures, contrôles techniques, formation des équipes.
  5. Audit interne et revue de direction — vérification de l’efficacité, ajustements, préparation à l’audit de certification.
  6. Accompagnement à l’audit de certification avec un organisme accrédité (BSI, PECB, MSECB) et suivi post-certification.

Pour qui ?

  • Sociétés de services numériques, SaaS, hébergeurs, MSP
  • Banques, assurances, FinTechs, organismes financiers
  • Établissements de santé et HealthTech (données sensibles)
  • Industriels avec propriété intellectuelle critique
  • Toute organisation soumise à des exigences contractuelles ou réglementaires sur la sécurité de l’information

Combien de temps ? Combien ça coûte ?

Durée typique : 6 à 12 mois pour une première certification, selon la taille et la maturité de l’organisation.
Tarification : au forfait pour la mission complète, à la journée pour les interventions ponctuelles (formation, audit). Devis personnalisé sous 48 h.

Discuter de mon projet ISO 27001:2022
Voir les formations 27001
Scroll to Top