Pourquoi se mettre en conformité ISO 27001 quand on est DSI d’une PME/ETI ?
La cybersécurité n’est plus une option. Pour les PME et ETI, les pressions se multiplient : demandes des clients, exigences des donneurs d’ordre publics ou privés, RGPD, cyberassurances, incidents réels ou évités de justesse… Et pourtant, de nombreuses entreprises moyennes avancent encore à vue en matière de sécurité de l’information.
Vous êtes DSI, sans RSSI dédié, et vous savez que certaines mesures sont déjà en place. Mais sans cadre structuré, sans documentation formalisée, sans gouvernance établie, difficile de progresser. C’est ici que la norme ISO/IEC 27001 entre en jeu.
- 👉 Une norme pour structurer, pas pour complexifier
- 👉 Certification ou simple alignement ?
- 👉 Un guide pour faire simple, utile et concret
- 🔹 2.1 – Lancer le projet ISO 27001
- 🎯 Objectif
- 📌 Actions à mener
- 📂 Modèle à télécharger
- 🔹 2.2 – Réaliser un diagnostic initial (Gap Analysis)
- 🔹 2.3 – Définir le périmètre et la gouvernance
- 🔹 2.4 – Cartographier les actifs et les risques
- 🔹 2.5 – Établir la politique de sécurité (PSSI)
- 🔹 2.6 – Élaborer la déclaration d’applicabilité (SoA)
- 🔹 2.7 – Déployer les mesures organisationnelles et techniques
- 🔹 2.8 – Formaliser le SMSI (Système de Management de la Sécurité de l’Information)
- 🎯 Objectif
- 📌 1. Durée type pour une PME/ETI
- 📌 2. Découpage en phases
- 📌 3. Rôles clés et gouvernance
- 📌 4. RACI projet (simplifié)
- 📂 Modèle à télécharger
- 🎯 Objectif
- 📌 1. Cartographie des actifs et analyse de risques
- 📌 2. Documentation, procédures, versioning
- 📌 3. Suivi de projet & pilotage
- 📌 4. Sécurité technique de base (must-have)
- 📌 5. Sensibilisation et formation
- 🛠 Astuce PME
- 📂 Bonus (au cas où)
- 🎯 Objectif
- ❌ 1. Croire que l’ISO 27001, c’est un projet IT
- ❌ 2. Se perdre dans la documentation sans méthode
- ❌ 3. Négliger la preuve
- ❌ 4. Trop charger la barque trop tôt
- ❌ 5. Prendre l’audit pour un sprint final
- ❌ 6. Sous-estimer la charge projet
- 🛠 Astuce PME/ETI
- 🎯 Objectif
- 📦 Contenu du pack de modèles ISO 27001
- 🔄 Ce que vous gagnez vraiment
- 📌 Rappels pratiques
- 🧰 Une dernière astuce terrain
- 📝 Pour aller plus loin…
👉 Une norme pour structurer, pas pour complexifier
Loin d’être une usine à gaz réservée aux grands groupes, l’ISO 27001 fournit un cadre clair, adaptable et progressif pour mettre en place un système de management de la sécurité de l’information (SMSI). Ce n’est pas une liste de mesures techniques, c’est une approche de pilotage global : risques, gouvernance, documentation, rôles, procédures, plans d’action.
👉 Certification ou simple alignement ?
Toutes les PME n’ont pas besoin d’une certification. Mais s’aligner sur les bonnes pratiques de la norme permet :
- De structurer sa cybersécurité
- De parler le même langage que les partenaires certifiés
- D’anticiper les exigences clients et appels d’offre
- De réduire le risque réel d’incident
Et surtout… de ne pas se retrouver seul au moment de rendre des comptes après une fuite, un ransomware ou un audit externe.
👉 Un guide pour faire simple, utile et concret
Ce guide s’adresse aux DSI de PME/ETI, sans équipe cyber dédiée, mais avec de l’envie et des obligations à honorer.
On vous y propose :
- Les étapes clés de la démarche,
- Des outils adaptés aux structures de taille moyenne,
- Un plan projet téléchargeable,
- Des modèles Word et Excel prêts à l’emploi,
- Et surtout : une vision pratico-pratique de ce que vous pouvez vraiment mettre en place, sans vous noyer dans la paperasse ou la complexité.
🎯 2. Étapes clés d’une mise en conformité ISO 27001
🔹 2.1 – Lancer le projet ISO 27001
🎯 Objectif
Initier la démarche de mise en conformité en obtenant l’engagement clair de la direction, en cadrant le projet, et en désignant les premiers acteurs (DSI, référent sécurité, appuis internes ou externes).
📌 Actions à mener
- Faire valider la décision en comité de direction
- L’ISO 27001 n’est pas un projet purement technique : il engage toute l’organisation. Il est donc essentiel d’avoir un soutien visible de la direction dès le départ.
- Nommer un pilote / coordinateur
- Ce rôle revient souvent au DSI dans les PME/ETI. Il aura la responsabilité du pilotage global du projet (planning, livrables, coordination des acteurs).
- Définir les grandes lignes du périmètre projet
- Exemple : « l’ensemble des systèmes d’information de l’entreprise », ou « les SI du site principal + filiales X et Y ».
- Établir une première lettre de mission
- Document formel signé par la direction, précisant les objectifs, la portée, et la responsabilité du projet.
- Sert de point d’ancrage politique face aux résistances à venir.
- Créer une cellule projet
- Réunir un noyau dur (DSI, RH, responsable qualité, métiers, support technique…).
- Eventuellement intégrer un consultant externe ISO 27001 (pour l’animation ou l’audit initial).
📂 Modèle à télécharger
📝 Lettre de cadrage ISO 27001 (Word)
Contenu :
- Objectifs du projet
- Périmètre prévisionnel
- Nomination du pilote
- Enjeux internes et externes
- Validation direction générale
🔹 2.2 – Réaliser un diagnostic initial (Gap Analysis)
🎯 Objectif
Évaluer l’écart entre la situation actuelle de l’entreprise et les exigences de la norme ISO 27001. Cette Gap Analysis permet de mesurer l’effort à fournir, de prioriser les actions et de poser les bases du plan projet.
📌 Actions à mener
- Lister les exigences de la norme ISO 27001
- Les exigences sont réparties en deux blocs :
- Le cœur de la norme (clauses 4 à 10) : contexte, leadership, planification, support, opération, évaluation, amélioration continue.
- L’Annexe A : 93 mesures de sécurité organisées en 4 thèmes (Organisationnelles, Humaines, Physiques, Technologiques).
- Les exigences sont réparties en deux blocs :
- Évaluer la maturité existante face à chaque exigence
- Exemple d’échelle :
- 0 : Non appliqué
- 1 : En réflexion
- 2 : Partiellement en place
- 3 : Mis en œuvre
- 4 : Formellement documenté
- 5 : Conforme, audité, maintenu
- Impliquer les différents responsables métiers et techniques dans cette analyse.
- Exemple d’échelle :
- Identifier les écarts et les points de non-conformité
- Ce diagnostic servira de base au plan d’action et à la future Déclaration d’Applicabilité (SoA).
- Restituer les résultats à la direction
- Fournir une vision synthétique : domaines couverts, lacunes, priorités.
🛠 Astuce PME
Inutile d’utiliser un outil lourd ou un logiciel GRC à ce stade. Un bon vieux tableau Excel bien construit permet de :
- centraliser les exigences,
- noter la maturité,
- attribuer un responsable par thème,
- ajouter des commentaires/actions futures.
📂 Modèle à télécharger
📊 Checklist Gap Analysis ISO 27001 (Excel)
Contenu :
- Liste des clauses 4 à 10 + Annexe A (93 mesures)
- Échelle de maturité de 0 à 5
- Colonnes : état actuel, actions à mener, responsables, échéance
🔹 2.3 – Définir le périmètre et la gouvernance
🎯 Objectif
Préciser ce que couvre le SMSI (Système de Management de la Sécurité de l’Information) et mettre en place une gouvernance claire pour piloter efficacement la démarche.
📌 Actions à mener
- Définir le périmètre de certification (ou de conformité)
- Le périmètre peut couvrir :
- toute l’entreprise,
- un site ou plusieurs sites,
- certains processus ou métiers critiques.
- Il doit être cohérent et justifiable : on ne peut pas exclure arbitrairement des pans importants de l’organisation.
- Il sera formalisé dans la Déclaration de Périmètre et communiqué à tous les acteurs concernés.
- Le périmètre peut couvrir :
- Décrire les interactions et dépendances
- Quelles relations entre le périmètre et les entités non couvertes ?
- Y a-t-il des systèmes tiers ou prestataires critiques hors périmètre ?
- Mettre en place une gouvernance projet
- Création d’un comité de pilotage (COPIL) cybersécurité : DSI, direction, RH, qualité, éventuellement un représentant métier.
- Définir les rôles et responsabilités au sein du projet.
- Intégrer le projet dans les instances de gouvernance existantes si possible.
- Établir un RACI simplifié
- Qui est Responsable ? Qui rend compte ? Qui est Consulté ? Qui est Informé ?
- Exemple :
| Activité | Responsable | Relecteur | Consulté | Informé |
|---|---|---|---|---|
| Rédaction PSSI | DSI | DG | Référent RH | Tous métiers |
| Cartographie des actifs | DSI | Métiers | Support IT | RSSI externe |
| Sensibilisation | RH | DSI | DG | Tous employés |
🛠 Astuce PME
Un périmètre clair et un circuit décisionnel simple valent mieux qu’un champ trop large et flou. Commencer par un périmètre pilote restreint est tout à fait acceptable, surtout pour une première démarche ISO 27001.
📂 Modèles à télécharger
📄 Déclaration de périmètre + gouvernance (Word)
🟢 Document formel à personnaliser précisant :
- le périmètre retenu,
- les entités incluses / exclues,
- les objectifs du SMSI,
- la gouvernance projet (COPIL, RACI, rôles).
🔹 2.4 – Cartographier les actifs et les risques
🎯 Objectif
Identifier et hiérarchiser les actifs critiques de l’entreprise (données, systèmes, personnes, processus), puis évaluer les risques associés afin de choisir les bonnes mesures de sécurité. Cette étape est le socle du SMSI.
📌 Actions à mener
- Recenser les actifs
- À minima : systèmes, serveurs, bases de données, applications métiers, fichiers critiques, prestataires, utilisateurs clés.
- Pour chaque actif :
- Propriétaire
- Type d’information traitée
- Localisation
- Niveau de criticité
- Outils : tableau Excel, inventaire IT existant, échanges avec les métiers.
- Évaluer les risques par actif
- Méthode simplifiée recommandée pour PME : impact × vraisemblance.
- Exemples de menaces : ransomware, erreur humaine, fuite, malveillance interne, perte de données.
- Exemples de scénarios : « Perte de l’ERP », « Vol de données RH », « Défaillance sauvegarde ».
- Mesurer et prioriser
- Affecter une note de risque brut (avant mesure) et un risque résiduel (après mesure existante).
- Déterminer un seuil de tolérance : qu’accepte-t-on de risquer sans mesure complémentaire ?
- Formaliser la cartographie
- Le tableau d’actifs + matrice des risques devient un livrable structurant pour la suite (déclaration d’applicabilité, PSSI, etc.)
🛠 Astuce PME
Il est inutile de faire un inventaire trop exhaustif (chaque poste ou câble). L’objectif est de se concentrer sur les actifs critiques, en collaboration avec les métiers et les administrateurs techniques.
📂 Modèle à télécharger
📊 Cartographie des actifs et analyse des risques (Excel)
Deux onglets :
- Actifs : nom, propriétaire, type, criticité, localisation, sécurité existante
- Risques : menace, scénario, impact, vraisemblance, risque brut, mesure existante, risque résiduel, décision (accepter, réduire, transférer, éviter)
🔹 2.5 – Établir la politique de sécurité (PSSI)
🎯 Objectif
Formaliser l’engagement de la direction en matière de sécurité de l’information et établir les principes structurants de la sécurité dans l’entreprise. La PSSI est un document public en interne, connu de tous les collaborateurs, et signé par la direction.
📌 Contenu essentiel d’une PSSI
Une bonne PSSI pour une PME/ETI doit contenir :
1. Préambule & champ d’application
- Objectif : poser le cadre de la politique (sécurité des SI, données, flux, usages).
- À qui s’applique-t-elle ? Tous les collaborateurs, prestataires, tiers ayant accès au SI.
2. Engagement de la direction
- Reconnaissance de la sécurité comme enjeu stratégique.
- Volonté de protéger les actifs critiques de l’entreprise.
- Soutien à la mise en œuvre du SMSI et aux actions de sécurité.
3. Principes généraux de sécurité
- Confidentialité, intégrité, disponibilité
- Gestion des accès
- Traçabilité / journalisation
- Protection contre les malwares
- Sauvegardes & restauration
- Sécurité des postes de travail et mobiles
- Sensibilisation des utilisateurs
- Sécurité physique des locaux
4. Règles de comportement attendues
- Confidentialité des mots de passe
- Interdiction de partager des accès
- Sauvegarde des données professionnelles uniquement sur des supports autorisés
- Usage des mails et d’Internet à des fins professionnelles
5. Responsabilités
- DSI / référent sécurité : pilote les mesures techniques et organisationnelles.
- Métiers : application des règles de sécurité.
- RH : intégration de la sécurité dans les processus de recrutement, départ, sanctions.
- Tous les utilisateurs : respect des règles.
6. Conformité & sanctions
- Lien avec le règlement intérieur, charte informatique.
- Possibilité de mesures disciplinaires en cas de violation.
7. Mise à jour, diffusion et application
- Document mis à jour chaque année.
- Diffusion à tous les salariés (intranet, onboarding, formation).
- Validation et signature par la direction.
🛠 Astuce PME
Une PSSI de 3 à 5 pages, claire, sans jargon technique, est bien plus efficace qu’un pavé de 20 pages. L’important, c’est qu’elle soit diffusée, connue, assumée par la direction, et liée à des actions concrètes.
📂 Modèle à télécharger
📄 Politique de sécurité des systèmes d’information (PSSI) – Word
Contenu :
- Préambule et objectifs
- Engagement de la direction
- Règles structurantes (accès, sauvegardes, etc.)
- Responsabilités
- Règles de comportement
- Processus de mise à jour et de diffusion
🔹 2.6 – Élaborer la déclaration d’applicabilité (SoA)
🎯 Objectif
La SoA (Statement of Applicability) est un document obligatoire dans la norme ISO 27001. Elle liste les 93 mesures de sécurité de l’annexe A, précise si elles sont applicables à l’organisation, et si oui, comment elles sont mises en œuvre. Si une mesure est non applicable, la justification doit être claire.
C’est un outil :
- de pilotage du projet,
- de communication avec l’auditeur,
- de traçabilité des choix.
📌 Actions à mener
- Lister les 93 mesures de l’annexe A de l’ISO/IEC 27001:2022
Elles sont réparties en 4 thèmes :- A.5 : Mesures organisationnelles
- A.6 : Mesures humaines
- A.7 : Mesures physiques
- A.8 : Mesures technologiques
- Déterminer leur applicabilité
- Pour chaque mesure, se poser deux questions :
- Cette mesure est-elle pertinente pour notre contexte ?
- Est-elle déjà mise en œuvre, partiellement ou totalement ?
- Si une mesure n’est pas applicable (ex : contrôle biométrique dans une entreprise sans site physique sensible), il faut documenter la justification.
- Pour chaque mesure, se poser deux questions :
- Indiquer le niveau de mise en œuvre
- Applicabilité : Oui / Non
- Mise en œuvre : Oui / Partiellement / Non
- Commentaire : description des contrôles existants ou planifiés
- Références documentaires : politique, procédure, outil, etc.
- Maintenir la SoA à jour
- Elle évolue avec le SMSI : nouvelle mesure, changement technique, décision stratégique…
- Elle est auditable et doit correspondre à la réalité du terrain.
🛠 Astuce PME
La SoA est souvent sous-estimée. Pourtant, c’est le fil rouge de l’audit de certification.
Le mieux : partir d’un tableau Excel clair, où chaque ligne correspond à une mesure ISO, avec des colonnes pour justifier chaque choix.
📂 Modèle à télécharger
📊 Déclaration d’applicabilité (SoA) – Excel
Contient :
- Liste complète des 93 mesures ISO 27001:2022
- Applicabilité : Oui/Non
- Mise en œuvre : Oui/Partiellement/Non
- Justification (si non applicable)
- Description des mesures
- Référence documentaire
🔹 2.7 – Déployer les mesures organisationnelles et techniques
🎯 Objectif
Mettre en œuvre, à un niveau adapté à l’entreprise, les mesures de sécurité issues de la norme ISO 27001 (et validées dans la SoA), qu’elles soient techniques ou organisationnelles.
📌 Actions à mener
🧩 1. Traduire les écarts de la SoA en plan d’action
- Pour chaque mesure jugée applicable mais non ou partiellement en place :
- Définir les actions à mener,
- Attribuer un responsable,
- Fixer une échéance réaliste,
- Préciser les livrables attendus (ex : procédure, outil, paramétrage).
➡️ Cela alimente directement le plan de traitement des risques, souvent couplé à un tableau de suivi des actions correctives.
🧑💼 2. Déployer les mesures organisationnelles
Ce sont les plus oubliées… et souvent les plus bloquantes à l’audit si non formalisées.
Mesures typiques à mettre en œuvre :
- Procédures documentées (gestion des accès, sauvegardes, mises à jour, incidents, etc.)
- Sensibilisation & formation : campagnes internes, modules e-learning, affiches, quiz
- Politique de gestion des mots de passe claire et respectée
- Processus RH sécurisés : arrivée, départ, mobilité, sanctions
- Plan de continuité d’activité et PRA simplifié
💻 3. Déployer les mesures techniques
Il ne s’agit pas forcément de déployer du lourd : il faut adapter les moyens aux besoins et au budget de l’entreprise.
Mesures prioritaires :
- 🔐 Authentification renforcée (MFA)
- 🧑🤝🧑 Gestion des comptes utilisateurs (processus de création / suppression)
- 💾 Sauvegardes hors ligne + tests de restauration
- 🔍 Journalisation des accès sensibles
- 📥 Filtrage des mails + proxy web
- 📱 Sécurisation des postes mobiles et télétravail
- 🧰 Outils de détection d’anomalies simples (syslog + Zabbix ou Wazuh)
📊 4. Mettre en place un suivi formalisé
- Tableaux de bord cyber simples (feuille Excel, tableau Kanban, Notion, etc.)
- Compte-rendus de réunion COPIL sécurité
- Versioning documentaire + calendrier des revues
🛠 Astuce PME
Inutile de tout refaire. Documente ce que tu fais déjà (sauvegardes, mises à jour, pratiques IT). L’essentiel est de formaliser, stabiliser et démontrer que c’est appliqué de manière cohérente et suivie.
📂 Modèle à télécharger
📊 Plan de traitement des risques / mesures – Excel
Contenu :
- Référence SoA
- Description du risque
- Mesure prévue
- Responsable
- Échéance
- État d’avancement
- Lien avec document ou procédure
🔹 2.8 – Formaliser le SMSI (Système de Management de la Sécurité de l’Information)
🎯 Objectif
Assembler tous les éléments de sécurité dans un cadre cohérent, documenté et gouverné selon la norme ISO 27001. Le SMSI, ce n’est pas qu’un dossier : c’est un système vivant, composé de politiques, procédures, preuves, indicateurs et revues régulières.
📌 Actions à mener
🗂️ 1. Centraliser la documentation
Le SMSI doit inclure :
- La PSSI
- La SoA
- Le plan de traitement des risques
- Les procédures opérationnelles (accès, incidents, sauvegardes…)
- La cartographie des actifs
- Le plan projet
- Le registre des incidents
- Les preuves de sensibilisation
🔎 Cette documentation peut être stockée sur un serveur partagé, une GED (Nextcloud, SharePoint…), ou un wiki interne.
📈 2. Mettre en place des indicateurs de pilotage
Pas besoin de 20 KPI ! Quelques indicateurs simples suffisent :
- % de mesures de la SoA mises en œuvre
- nombre d’incidents de sécurité déclarés
- taux de conformité aux sauvegardes / mises à jour
- nombre de personnes sensibilisées ou formées
➡️ Ces indicateurs doivent être revus régulièrement (ex : tous les trimestres en COPIL).
👥 3. Tenir une revue de direction
C’est un moment clé pour démontrer que le SMSI est piloté au plus haut niveau.
La revue doit aborder :
- les résultats des audits internes,
- les incidents et mesures prises,
- les écarts relevés,
- les nouvelles exigences réglementaires ou clients,
- les améliorations à apporter.
⚠️ À l’audit, l’absence de cette revue est un point bloquant.
🔍 4. Réaliser un audit interne
Avant d’aller vers la certification (ou pour simplement structurer), il faut :
- planifier un audit réalisé par un intervenant impartial (externe ou non impliqué dans le projet),
- vérifier la conformité du SMSI avec la norme,
- documenter les écarts constatés.
➡️ L’audit interne est une étape obligatoire avant la certification.
📅 5. Mettre en place un calendrier de surveillance
Le SMSI doit vivre, pas s’enfouir dans un dossier.
Exemples de tâches à planifier :
- revue annuelle de la PSSI
- actualisation de la cartographie
- test de restauration de sauvegarde tous les X mois
- simulation d’incident une fois par an
- campagne de sensibilisation semestrielle
🛠 Astuce PME
Tu peux utiliser un tableau de pilotage Excel ou Notion avec rappels périodiques. Ce n’est pas la forme qui compte, mais la régularité et la traçabilité. Même un Trello ou un agenda partagé peut suffire à condition de l’utiliser !
📂 Modèle à télécharger
📊 Calendrier de surveillance du SMSI – Excel
Contient :
- Activité de surveillance
- Fréquence
- Responsable
- Dernière réalisation
- Prochaine échéance
- Preuves associées
🟡 Chapitre 3 – Plan projet ISO 27001 (version PME/ETI pragmatique)
🎯 Objectif
Mettre en place un plan projet clair, phasé et pilotable, avec une durée réaliste, des rôles bien définis (même si concentrés sur peu de personnes), et une gouvernance légère mais efficace. Ce plan te permettra de :
- visualiser l’ensemble du projet,
- coordonner les actions des différentes parties prenantes,
- communiquer avec la direction et les métiers,
- tenir un rétroplanning réaliste face aux urgences du quotidien.
📌 1. Durée type pour une PME/ETI
- Sans certification : 9 à 12 mois
- Avec certification : 12 à 18 mois
Le rythme dépend des moyens humains disponibles, de la complexité du SI, et de la réactivité de la direction.
📌 2. Découpage en phases
| Phase | Durée estimée | Objectifs principaux |
|---|---|---|
| Cadrage & engagement | 1 mois | Lettre de mission, comité, périmètre |
| Diagnostic & Gap analysis | 1–2 mois | État des lieux, maturité, écart norme |
| Cartographie & risques | 1–2 mois | Identification des actifs et des risques |
| PSSI & politiques | 1 mois | Rédaction et validation des politiques clés |
| SoA & plan d’action | 1 mois | Applicabilité + mesures + plan de traitement |
| Déploiement des mesures | 3–6 mois | Organisationnelles et techniques |
| Formalisation du SMSI | 1 mois | Revue de direction, indicateurs, audit interne |
| Préparation à l’audit | 1 mois | Corrections, preuve, revue complète |
📌 3. Rôles clés et gouvernance
Même dans une petite structure, une gouvernance claire évite les blocages :
| Rôle | Personne ressource | Tâches principales |
|---|---|---|
| Sponsor Direction | DG / DAF | Arbitrage, budget, validation |
| Chef de projet ISO | DSI / PMO / Responsable IT | Pilotage, planning, livrables, animation |
| Référents métiers | RH / prod / qualité | Application des mesures dans leur périmètre |
| Appui externe (si besoin) | Consultant sécurité | Accompagnement, vérification, relecture |
📌 4. RACI projet (simplifié)
| Activité | R (Responsable) | A (Autorité) | C (Consulté) | I (Informé) |
|---|---|---|---|---|
| Définition du périmètre | DSI | DG | Référents métiers | Tous salariés |
| Rédaction de la PSSI | DSI | DG | RH, consultant | Métiers |
| Cartographie des actifs | DSI | DG | Métiers, IT | Consultant |
| Sensibilisation cybersécurité | RH | DG | DSI | Collaborateurs |
| Audit interne | Consultant | DSI | Aucun | DG |
📂 Modèle à télécharger
📊 Planning projet + RACI ISO 27001 – Excel
Onglets :
- Rétroplanning avec phases, jalons, durées, responsables
- Tableau RACI détaillé
- Synthèse des livrables par étape
🔵 Chapitre 4 – Les outils utiles pour une mise en conformité ISO 27001
🎯 Objectif
Mettre à disposition des outils adaptés pour chaque grande étape du projet ISO 27001, avec une préférence pour les solutions simples, accessibles, open source quand c’est possible, mais aussi une sélection de solutions commercialespour ceux qui souhaitent aller plus loin (auditabilité, traçabilité, industrialisation).
📌 1. Cartographie des actifs et analyse de risques
| Besoin | Open source / Gratuit | Solutions commerciales |
|---|---|---|
| Cartographie simple | Draw.io, XMind, Mindomo | Lucidchart, Visio, OctoRisk |
| Analyse de risques simplifiée | EBIOS (voir notre fiche) RM Light, Excel perso | Octave, Isilog, Risk’nTic, OXIAL |
| Gestion documentaire des risques | Nextcloud + OnlyOffice | ConformiT, GRC Toolbox |
🧠 Conseil : pour les PME, Excel + une bonne méthodo = suffisant au début. Inutile de se suréquiper.
📌 2. Documentation, procédures, versioning
| Besoin | Open source / Gratuit | Solutions commerciales |
|---|---|---|
| Rédaction collaborative | OnlyOffice, LibreOffice | MS Word, Google Docs |
| Gestion documentaire | Nextcloud, Pydio, Git | SharePoint, Alfresco, Docuware |
| Suivi de version / versioning | Git, Wiki.js | ConformiT, Atlassian Confluence |
🎯 But : avoir une source unique de vérité pour les documents PSSI, procédures, SoA, etc.
📌 3. Suivi de projet & pilotage
| Besoin | Outils pratiques |
|---|---|
| Planning simple | Excel + GanttProject, Notion |
| Suivi des tâches/actions | Trello, Redmine, Kanboard |
| Outils tout-en-un | Notion, Obsidian, Airtable |
| Version pro / DSI | MS Project, Jira, Monday, Wrike |
💡 Conseil PMO : utiliser un tableau des actions ISO partagé, même basique, fait souvent toute la différence.
📌 4. Sécurité technique de base (must-have)
| Besoin | Outils open source / gratuits | Solutions commerciales |
|---|---|---|
| Sauvegardes | Duplicati, Restic, Veeam CE | Veeam Pro, Acronis |
| Supervision | Zabbix, Wazuh, Nagios | Centreon, LogPoint, Rapid7 |
| Journalisation / SIEM | Graylog, Wazuh, Syslog-ng | Splunk, LogPoint, QRadar |
| MFA / IAM | PrivacyIDEA, Authelia, Keycloak | Azure AD, Okta, OneLogin |
| Antivirus | Windows Defender (souvent suffisant) | Bitdefender GravityZone, ESET |
📌 5. Sensibilisation et formation
| Besoin | Solutions pratiques |
|---|---|
| Quiz internes | Google Forms, GLPI quiz, LimeSurvey |
| Campagnes de phishing | GoPhish, LUCY (community) |
| E-learning cybersécurité | Cybermalveillance.gouv.fr (kit gratuit), SecNumAcadémie |
| Solutions pro | CyberVigilance, PhishingBox, KnowBe4 |
🛠 Astuce PME
Vous pouvez tout faire avec Excel, Nextcloud, et Trello au début, tant que vous formalisez correctement et que les preuves sont conservées. Les outils ne font pas la conformité, mais ils permettent de la maintenir.
📂 Bonus (au cas où)
Voici un tableau récapitulatif .xlsx regroupant tous ces outils avec :
- Catégorie,
- Nom,
- Type (open source, gratuit, commercial),
- Lien officiel ou source,
- Commentaire / usage conseillé ?
🔴 Chapitre 5 – Les pièges classiques à éviter (et comment les contourner)
🎯 Objectif
Faire gagner des mois à ceux qui démarrent. Identifier les erreurs fréquentes commises par les DSI, chefs de projet ou consultants mal préparés, et donner les bons réflexes pour éviter l’impasse.
❌ 1. Croire que l’ISO 27001, c’est un projet IT
Erreur fréquente : tout centrer sur les outils, les firewalls, les antivirus, la sauvegarde…
Pourquoi c’est un piège :
L’ISO 27001 est avant tout un système de management, pas un projet technique.
C’est de la gouvernance, de la documentation, des processus, de la sensibilisation, de la communication et du suivi.
À faire à la place :
👉 Intègre RH, juridique, qualité, métiers dès le début du projet. Ce n’est pas une affaire de geeks, c’est un sujet de pilotage d’entreprise.
❌ 2. Se perdre dans la documentation sans méthode
Erreur fréquente : rédiger à la chaîne des documents sans logique ni structure.
Pourquoi c’est un piège :
Tu obtiens un paquet de docs, sans cohérence, ni lien avec les risques, ni validation formelle. À l’audit ? Ça tombe.
À faire à la place :
👉 Part toujours de la Gap Analysis → SoA → plan d’action → docs ciblées.
👉 Structure ton référentiel documentaire (même un simple dossier partagé bien nommé suffit).
❌ 3. Négliger la preuve
Erreur fréquente : penser qu’un document suffit.
Pourquoi c’est un piège :
Tu dis que la sauvegarde est testée chaque trimestre. Super. Mais tu ne peux pas le prouver.
À faire à la place :
👉 Archive les captures d’écran, logs, exports, comptes-rendus.
👉 Stocke-les dans ton référentiel SMSI (GED, drive, cloud, Notion… peu importe, mais structure).
❌ 4. Trop charger la barque trop tôt
Erreur fréquente : vouloir tout sécuriser, tout documenter, tout auditer dès le départ.
Pourquoi c’est un piège :
Tu épuises les équipes, tu surdimensionnes la démarche, et tu bloques tout.
À faire à la place :
👉 Applique la règle des petites victoires visibles : démarre par ce que tu maîtrises, documente ce qui existe, priorise les mesures en fonction des risques.
❌ 5. Prendre l’audit pour un sprint final
Erreur fréquente : bosser à fond juste avant l’audit, en mode “on va maquiller ce qu’on n’a pas fait”.
Pourquoi c’est un piège :
Les auditeurs ne sont pas dupes. La norme exige de démontrer une traçabilité dans le temps.
À faire à la place :
👉 Mets en place un calendrier de surveillance dès les premiers mois.
👉 Mieux vaut une PSSI relue 2 fois en 6 mois qu’un pack de 30 documents sortis la veille.
❌ 6. Sous-estimer la charge projet
Erreur fréquente : penser qu’on va gérer ISO 27001 en 3h par semaine “quand on aura le temps”.
Pourquoi c’est un piège :
La réalité va t’absorber (tickets IT, incidents, production…). Le projet va dormir.
À faire à la place :
👉 Planifie du temps dédié dans l’agenda (toi + autres acteurs).
👉 Documente les avancées même partielles. Rappelle que “fait à 80 %” vaut mieux qu’un projet parfait jamais terminé.
🛠 Astuce PME/ETI
Vous n’avez pas besoin d’être parfait. Mais vous devez :
- montrer une dynamique,
- garder la cohérence des preuves,
- intégrer les bonnes personnes,
- et garder la main sur le projet.
Une PME qui progresse, documente et prouve ses efforts, impressionne souvent plus qu’une grande entreprise qui fait du “compliance washing”.
🟣 Chapitre 6 – Modèles pratiques à télécharger (bundle ISO 27001 pour PME)
🎯 Objectif
Fournir une boîte à outils prête à l’emploi pour structurer votre projet ISO 27001 sans partir de zéro, avec :
- des modèles Word à adapter à votre contexte,
- des fichiers Excel pour piloter les étapes clés,
- un bundle complet pour faciliter la diffusion dans votre organisation.
📦 Contenu du pack de modèles ISO 27001
| Fichier | Format | Description |
|---|---|---|
| 📄 Lettre de cadrage ISO 27001 | Word | Formalise le lancement du projet, le périmètre et le pilote |
| 📄 Déclaration de périmètre & gouvernance | Word | Définit les entités concernées, les responsabilités et la structure de gouvernance |
| 📄 PSSI ISO 27001 | Word | Politique de sécurité formelle, signée par la direction |
| 📊 Gap Analysis – État des lieux | Excel | Checklist de conformité et niveau de maturité par exigence |
| 📊 Cartographie des actifs & risques | Excel | Identification des actifs critiques + matrice de risques |
| 📊 Déclaration d’applicabilité (SoA) | Excel | Applicabilité des 93 mesures ISO, avec justifications |
| 📊 Plan de traitement des risques | Excel | Suivi des mesures, responsables, avancement, preuves |
| 📊 Calendrier de surveillance SMSI | Excel | Suivi périodique des actions clés (revue, sauvegarde, audit…) |
| 📊 Planning projet & RACI ISO 27001 | Excel | Rétroplanning avec jalons + gouvernance projet |
| 📊 Tableau des outils utiles ISO | Excel | Liste des logiciels open source ou commerciaux recommandés |
✅ Chapitre 7 – Conclusion : transformer la conformité en levier stratégique
Se lancer dans une démarche ISO 27001, ce n’est pas simplement pour “cocher une case”. Pour une PME ou une ETI, c’est professionnaliser sa gestion des risques, rendre sa cybersécurité pilotable, et gagner en crédibilité auprès de ses clients, partenaires, voire assureurs.
🔄 Ce que vous gagnez vraiment
- ✅ Une vision claire de vos risques et de vos priorités
- ✅ Une documentation structurée qui pérennise la mémoire organisationnelle
- ✅ Des processus cohérents, connus, suivis
- ✅ Une meilleure résilience en cas d’incident
- ✅ Un positionnement fort dans les appels d’offres et audits clients
- ✅ Et surtout… un levier d’alignement entre IT, direction et métiers
📌 Rappels pratiques
Vous n’avez pas besoin de tout faire d’un coup. Ni d’être parfait.
Mais vous devez démontrer que vous avancez :
- Que vous maîtrisez votre périmètre.
- Que vous avez identifié vos points faibles.
- Que vous avez commencé à agir, documenter, sensibiliser, prioriser.
⚠️ Le vrai défaut dans un audit ISO ? Ce n’est pas d’avoir des failles.
C’est de ne pas savoir qu’on en a, ou pire : de ne pas avoir de plan pour les traiter.
🧰 Une dernière astuce terrain
Faites vivre la conformité.
Ajoutez-la dans vos réunions de direction.
Partagez une actu cyber par mois.
Planifiez une action de sensibilisation tous les trimestres.
L’ISO 27001 est une démarche vivante, pas un projet “à ranger dans un classeur après l’audit”.
📝 Pour aller plus loin…
Voir aussi notre article sur l’AUDIT de sécurité : Audit de sécurité : ce moment gênant où l’on découvre l’envers du décor
