Important Notice: MyPECB Platform and New Website — With the launch of our new MyPECB Platform and Website, some users may experience temporary issues or disruptions while using the system. At the same time, our support teams are receiving an unusually high number of requests, which may affect response times. We want to assure you that we are actively working to resolve these issues and improve the platform. Your patience and understanding during this important transition are greatly appreciated.
Important Notice: MyPECB Platform and New Website — With the launch of our new MyPECB Platform and Website, some users may experience temporary issues or disruptions while using the system. At the same time, our support teams are receiving an unusually high number of requests, which may affect response times. We want to assure you that we are actively working to resolve these issues and improve the platform. Your patience and understanding during this important transition are greatly appreciated.
Conférence Magazine
Devenir partenaires

myPECB

Auditer le SMSI ISO/IEC 27001

ISO/IEC 27001 Foundation ISO/IEC 27001 Lead Implementer ISO/IEC 27001 Lead Auditor ISO/IEC 27001 Transition Auditer le SMSI ISO/IEC 27001 Mettre en oeuvre le SMSI ISO/IEC 27001

Objectifs de la certification

La certification PECB « Auditer le système de management de la sécurité de l’information selon la norme ISO/IEC 27001 » atteste de la capacité des professionnels à mobiliser les compétences nécessaires à la conduite d’audits du Système de Management de la Sécurité de l’Information (SMSI), en conformité avec les exigences de la norme ISO/IEC 27001. Elle permet aux candidats de structurer, planifier et exécuter des audits adaptés aux contextes organisationnels, en intégrant les bonnes pratiques définies par la norme ISO 19011.

Cette certification s’adresse à des professionnels expérimentés (Responsables de la sécurité des systèmes d’information, Consultants spécialisés en cybersécurité ou en système de management, Responsables qualité, DPO ou Responsables conformité) qui souhaitent renforcer leur expertise dans la conduite d’audits du SMSI, en tant que compétence complémentaire à leur fonction principale. Elle permet d’acquérir une méthodologie structurée et des outils directement mobilisables dans le cadre de missions d’évaluation, d’audit interne ou d’accompagnement à la conformité.

Contexte et finalité professionnelle

Dans un environnement numérique exposé à des risques croissants, les organisations sont appelées à démontrer leur conformité aux référentiels internationaux en matière de sécurité de l’information. La norme ISO/IEC 27001 constitue aujourd’hui un socle largement reconnu pour la mise en œuvre et la gestion d’un SMSI. Cette certification répond aux besoins opérationnels des professionnels appelés à intervenir dans les processus d’audit du SMSI, à analyser les preuves d’audit, à formuler des constats structurés, à recommander des actions correctives et à contribuer à l’amélioration continue du dispositif.

Elle s’inscrit dans une logique d’approfondissement des compétences transversales liées à l’analyse des risques, à la documentation technique, à la communication professionnelle dans un cadre normatif, et à la formalisation de rapports à forte valeur ajoutée.

La certification – Auditer un SMSI selon la norme ISO/IEC 27001, répond à un besoin précis et croissant du marché : disposer de professionnels déjà en poste, capables de formaliser et de structurer un audit du système de management de la sécurité de l’information, dans un contexte normatif exigeant. Il ne s’agit pas de créer un nouveau métier, mais d’outiller des profils existants (RSSI, consultants, responsables conformité) avec une compétence immédiatement mobilisable et contextualisée.

Positionnement dans l’environnement professionnel

La certification s’inscrit dans une logique de spécialisation progressive. Elle constitue un levier d’évolution ou d’extension des responsabilités pour des professionnels déjà en poste.

Elle permet de répondre à des appels d’offres, d’assurer des missions d’audit interne dans le cadre d’un SMSI, ou de renforcer la capacité d’une organisation à anticiper les audits de certification tierce partie. Le périmètre ciblé est donc celui d’une compétence complémentaire opérationnelle et contextualisée, directement mobilisable sur le marché du travail.

Public visé :

  • Responsables de la sécurité des systèmes d’information (RSSI) souhaitant structurer ou renforcer leur contribution aux audits internes ou externes ;
  • Consultants spécialisés en cybersécurité ou en systèmes de management désireux de faire un diagnostic avant de fournir des services de mise en œuvre d’un système de management basé sur ISO/IEC 27001 ;
  • Responsables qualité, DPO ou responsables conformité ayant pour mission d’encadrer ou de piloter les audits internes ou externes de sécurité de l’information dans leur organisation ;
  • Professionnels du domaine de la sécurité de l’information (spécialiste en cyber sécurité, administrateur sécurité, spécialiste en gestion des vulnérabilités, spécialiste en réponse aux incidents), ayant une expérience de 2 années, qui souhaitent acquérir les compétences et la méthodologie nécessaires pour participer à des audits ISO/IEC 27001, qu’ils soient internes ou externes, dans le cadre de projets clients, d’exigences contractuelles ou de responsabilités internes.

 

Prérequis d’entrée en formation : 

L’entrée en formation est conditionnée à l’analyse du dossier du candidat, sur la base de :

  • Un curriculum vitae détaillant son expérience professionnelle dans des fonctions liées à la sécurité de l’information, la conformité ou les systèmes de management ;
  • Un questionnaire de positionnement visant à évaluer ses acquis et sa capacité à suivre un parcours de certification sur l’audit du SMSI ;
  • Un projet professionnel cohérent avec les objectifs de la certification.

 

Le candidat doit justifier :

  • D’une expérience professionnelle générale d’au moins 5 années, dont au moins 2 dans un environnement lié à la sécurité de l’information ou aux systèmes de management ;
  • D’une connaissance préalable des fondamentaux de la norme ISO/IEC 27001 ;
  • D’une compréhension des enjeux liés à l’audit, à la gestion des risques et à la conformité réglementaire.

 

Prérequis d’accès à la certification :

Avoir suivi l’ensemble de la formation PECB ou d’un partenaire habilité.

REFERENTIEL DE COMPETENCES  

REFERENTIEL D’EVALUATION

 
Modalités d’évaluation  Critères d’évaluation
C1. Définir le périmètre et les objectifs de l’audit du système de management de la sécurité de l’information (SMSI) en tenant compte des enjeux de sécurité de l’organisation (confidentialité, intégrité et disponibilité), de la portée du système et des exigences normatives applicables afin d’établir un cadre d’évaluation structuré et conforme au référentiel ISO/IEC 27001.

 

  

ME1. Étude de cas écrite

Durée totale : 1 heure (sur place ou télésurveillé)

Compétences couvertes : C1-C2-C3

Le candidat reçoit un dossier décrivant une organisation fictive et son SMSI. Sur la base de ce dossier, le candidat doit analyser la situation et produire un plan d’audit structuré qui démontre :

1.    La définition et la justification de la portée et des objectifs de l’audit du SMSI, en identifiant clairement les inclusions et les exclusions.

2.    L’identification des menaces, vulnérabilités et risques pertinents, étayée par une méthodologie d’analyse des risques structurée et explicitement mise en correspondance avec les contrôles de l’annexe A de la norme ISO/IEC 27001.

3.    Élaboration d’une liste de contrôle d’audit conforme aux exigences de la norme ISO/IEC 27001 et adaptée au contexte de l’organisation.

4.    Préparation de la structure de l’équipe d’audit, en respectant les exigences d’indépendance et de compétence, et en tenant compte des considérations d’accessibilité

5.    Planification des ressources et du calendrier afin de garantir la cohérence et la faisabilité de l’audit proposé.

 

ME2. Mise en situation professionnelle filmée

Durée de la vidéo : 30 minutes maximum

Délai de réalisation : 2 semaines avant l’épreuve orale

Compétences couvertes : C4-C5

Le candidat doit enregistrer et soumettre une séquence vidéo simulant la réalisation d’un audit SMSI dans des conditions réelles. La séquence doit démontrer :

1.    La conduite d’un entretien avec un responsable SMSI, en utilisant des techniques efficaces de questionnement et d’observation adaptées à différents interlocuteurs.

2.    La collecte de preuves d’audit appropriées, suffisantes et vérifiables, en utilisant diverses méthodes, y compris l’échantillonnage, afin de garantir que les preuves sont représentatives et fiables.

3.    L’analyse et la qualification des non-conformités par rapport aux exigences de la norme ISO/IEC 27001, étayées par des preuves d’audit objectives.

4.    La formulation de recommandations opérationnelles, proportionnées et liées de manière traçable aux non-conformités et aux preuves d’audit présentées.

5.    L’intégration des considérations de durabilité et d’accessibilité.

ME3. Soutenance orale

Durée totale : 30 minutes

Présentation : 15 minutes + 15 minutes échange avec le jury

Compétences couvertes : C5-C6-C7

Le candidat présente son rapport d’audit ISMS, préparé sur la base de la simulation filmée, et le défend devant un jury. La défense doit démontrer :

1.    Une présentation structurée du rapport d’audit, comprenant des conclusions étayées par des preuves factuelles et vérifiables.

2.    Des recommandations opérationnelles, proportionnées et explicitement liées aux preuves d’audit et aux écarts identifiées, tout en intégrant des considérations de durabilité.

3.    La présentation du contenu de la réunion de clôture de manière concise, structurée, objective et neutre, en veillant à la compréhension mutuelle avec les parties prenantes.

4.    L’analyse des actions correctives qui aborde à la fois leur mise en œuvre et leur efficacité, en tenant compte des contraintes organisationnelles et techniques.

5.    Évaluation du suivi et de l’amélioration continue, montrant comment une conformité durable à la norme ISO/IEC 27001 peut être atteinte.

6.    Capacité à défendre les conclusions face aux questions du jury, en démontrant ses compétences techniques, ses aptitudes à la communication et son jugement professionnel.
  • Le périmètre d’audit définit et justifie l’inclusion ou l’exclusion de l’audit des processus, produits, sites, départements/divisions de l’organisation pertinents pour le SMSI. Les objectifs de l’audit sont spécifiques, mesurables, réalisables, pertinents et limités dans le temps, et ils démontrent une conformité claire avec les clauses et les contrôles de l’annexe A de la norme ISO/IEC 27001.
  • L’analyse des exigences en matière de confidentialité, d’intégrité et de disponibilité est contextualisée en fonction du secteur d’activité, de la taille, des flux d’informations critiques et des contraintes réglementaires applicables à l’organisation. Le cadre d’évaluation intègre les exigences applicables de la norme ISO/IEC 27001 et les adapte au contexte spécifique de l’organisation, garantissant ainsi la pertinence et l’exhaustivité des critères d’audit.
C2. Identifier les menaces, vulnérabilités et risques pertinents en s’appuyant sur l’analyse de risques et les référentiels normatifs ISO/IEC 27001 (Annexe A) afin d’évaluer la pertinence des mesures de sécurité mises en place dans le cadre du SMSI.

 
  • Les menaces identifiées correspondent aux contextes métier et technologique de l’organisation auditée
  • Les vulnérabilités recensées sont documentées avec leur niveau de criticité et leur impact potentiel
  • L’analyse des risques s’appuie sur une méthodologie structurée et démontre sa cohérence avec l’annexe A de la norme ISO/IEC 27001 en établissant une correspondance entre les risques et les contrôles pertinents. L’évaluation des mesures de sécurité existantes est argumentée par des preuves d’audit tangibles
C3. Préparer l’audit du SMSI en constituant une équipe intégrant les critères d’indépendance et de compétence et en structurant un plan cohérent incluant les objectifs, la portée, les ressources et le calendrier, en tenant compte de l’accessibilité pour les personnes en situation de handicap pour garantir un déroulement conforme aux exigences de la norme ISO/CEI 27001.

 
  • L’équipe d’audit constituée respecte les critères d’indépendance et de compétence requis
  • Le plan d’audit structure de manière cohérente les objectifs, la portée, les ressources et le calendrier
  • Les dispositions d’accessibilité pour les personnes en situation de handicap sont intégrées dans la planification

La préparation logistique et documentaire garantit la conformité aux exigences de la norme ISO/IEC 27001 et comprend l’élaboration de listes de contrôle d’audit adaptées au contexte organisationnel.
C4. Réaliser l’audit du SMSI en collectant les preuves appropriées, en créant des plans de test d’audit, en utilisant des techniques d’entretien et d’observation, adaptées à tous les collaborateurs, y compris les personnes en situation de handicap pour évaluer la conformité du système aux exigences de la norme ISO/CEI 27001.

 
  • Les preuves d’audit collectées sont appropriées, suffisantes et vérifiables, et diverses méthodes, telles que l’échantillonnage, sont utilisées pour garantir leur représentativité et leur fiabilité.
  • Les techniques d’entretien et d’observation sont adaptées aux différents profils d’interlocuteurs
  • Les plans de test d’audit permettent d’évaluer efficacement la conformité du système
  • Les adaptations mises en œuvre facilitent la participation de tous les collaborateurs, y compris les personnes en situation de handicap
C5. Rédiger un rapport d’audit SMSI structuré en documentant les constats, les écarts observés et les recommandations intégrant les enjeux environnementaux et de durabilité des systèmes d’information pour permettre à l’organisation d’engager les actions correctives nécessaires en respectant les exigences de reporting définies par la norme ISO/CEI 27001.

 
  • Le rapport d’audit respecte la structure et les exigences de reporting ISO/IEC 27001
  • Les constats sont documentés avec des preuves d’audit factuelles et traçables
  • Les écarts identifiés sont qualifiés selon leur niveau de gravité et leur impact sur le SMSI
  • Les recommandations formulées sont opérationnelles et proportionnées aux écarts constatés et liées de manière traçable aux preuves d’audit.
  • Les recommandations intègrent l’évaluation de l’impact environnemental des mesures de sécurité proposées (consommation énergétique, optimisation des ressources, durabilité des équipements)
  • Le rapport identifie les opportunités d’amélioration de la performance environnementale du SMSI sans compromettre le niveau de sécurité requis
C6. Conclure l’audit du SMSI en animant une réunion de clôture présentant les constats et en analysant avec les parties concernées la pertinence, la faisabilité et les délais des actions correctives proposées pour finaliser le processus d’audit selon les exigences de la norme ISO/CEI 27001 et garantir le traitement efficace des écarts identifiés.

 
  • La réunion de clôture présente toutes les conclusions principales de manière concise et structurée, communiquées de manière objective et neutre aux parties prenantes.
  • L’analyse de faisabilité des actions correctives tient compte des contraintes organisationnelles et techniques
  • Les délais proposés pour les actions correctives sont réalistes et priorisés selon la criticité
  • Le processus de clôture garantit la compréhension et l’appropriation des résultats par les parties concernées
C7. Réaliser des audits de suivi en s’appuyant sur le rapport d’audit précédent et les actions correctives engagées, pour s’assurer de l’amélioration continue et de la conformité durable du SMSI selon les exigences de la norme ISO/CEI 27001.
  • L’audit de suivi s’appuie sur une analyse comparative entre le rapport précédent et la situation actuelle, et évalue non seulement la mise en œuvre, mais aussi l’efficacité des mesures correctives.
  • L’évaluation des actions correctives engagées est documentée avec des preuves de mise en œuvre
  • L’analyse de l’amélioration continue du SMSI intègre les évolutions du contexte organisationnel
  • La conformité durable est évaluée selon une approche prospective et préventive

Related Courses

juillet 16, 2025

Formations – ISO 28000 Supply Chain Security Management System

Learn more

juillet 16, 2025

Formations – ISO 55001 Asset Management System

Learn more

juillet 16, 2025

Formations – ISO 21001 Educational Organizations Management System

Learn more