0invader

Actualités

ISO/IEC 27001 : préparer une recertification sans accroc

28 janvier 2026

La recertification n'échoue pas sur la technologie — elle échoue sur des artefacts jamais entretenus entre deux audits. Voici ce que les auditeurs ouvrent réellement, et où les organisations perdent discrètement des semaines de préparation.

Votre cycle de certification ISO/IEC 27001 de trois ans touche à sa fin, et la recertification approche. La bonne nouvelle : si vous avez véritablement exploité votre système de management de la sécurité de l'information (SMSI) au lieu de le mettre en scène une seule fois pour le certificat, la recertification est un exercice de confirmation et non une course contre la montre. La mauvaise nouvelle : la plupart des organisations laissent le SMSI dormant entre les visites de surveillance, et l'écart se voit.

Ce que les auditeurs vérifient réellement

Un auditeur teste si votre SMSI est vivant — exploité, surveillé et amélioré — et pas seulement si des documents existent. Les artefacts qu'ils ouvrent immanquablement sont :

  • La Déclaration d'applicabilité, recoupée avec vos contrôles réels. Les auditeurs scrutent attentivement tout contrôle de l'Annexe A marqué comme exclu et la justification associée.
  • Les enregistrements d'appréciation et de traitement des risques, avec la preuve qu'ils ont été revus récemment plutôt que recopiés à l'identique.
  • Les résultats d'audit interne et les revues de direction — preuve que l'organisation s'inspecte elle-même et que la direction s'implique.
  • Les actions correctives issues des constats antérieurs, avec la preuve qu'elles ont réellement été clôturées.
  • Les enregistrements montrant les contrôles à l'œuvre — revues d'accès, journaux d'incidents, suivi des formations, évaluations des fournisseurs.

Où les organisations perdent du temps

Le schéma est prévisible. Le SMSI se met en sommeil après la certification, puis l'activité s'emballe dans les semaines précédant l'audit. Les appréciations de risque sont dépoussiérées et antidatées dans l'esprit. Les audits internes qui auraient dû se dérouler tout au long de l'année sont entassés à la hâte. La revue de direction se tient la semaine précédant l'arrivée de l'auditeur. Les auditeurs reconnaissent ce rythme immédiatement — une rafale de dates récentes face à une année de silence est en soi un constat.

Une recertification sans accroc se joue dans les onze mois entre deux audits, pas dans le mois qui précède. Les documents sont faciles ; c'est la preuve d'une exploitation continue que vous ne pouvez pas fabriquer à la dernière minute.

Comment bien la planifier

Traitez le cycle comme continu. Planifiez les audits internes tout au long de l'année, et non en un seul bloc. Tenez des revues de direction à cadence régulière, avec une présence réelle et des décisions consignées. Maintenez le registre des risques comme un document vivant relié aux changements réels de l'activité. Clôturez promptement les actions correctives et conservez-en la preuve.

Si vous êtes déjà en retard, soyez honnête avec vous-même sur le périmètre. Mieux vaut présenter un SMSI plus restreint mais réellement exploité qu'un SMSI large à la preuve mince. Priorisez les artefacts ci-dessus, concentrez le temps restant sur la démonstration que les contrôles fonctionnent réellement, et résistez à l'envie de produire de la paperasse qu'un auditeur expérimenté lira à livre ouvert. Le certificat découle d'un système qui fonctionne — et non l'inverse.

Nos partenaires nous font confiance

Ayuntamiento de Alhama de Murcia
Ayuntamiento de Totana
Garrigues Abogados
Grupo Sureste