Faut-il un RSSI interne pour obtenir la certification ?

Non. L'ISO 27001 exige une gouvernance claire de la sécurité, pas forcément un RSSI salarié. Le rôle peut être structuré en interne ou externalisé selon la taille et la maturité de l'organisation.

Viva QSE · SMSI · RGPD · Perpignan, Occitanie

Certification
ISO 27001.
SMSI & sécurité
de l'information.

Q: ISO 27001 version 2022 : qu'est-ce qui a changé ?

La révision 2022 restructure l'Annexe A : 114 mesures deviennent 93 mesures réorganisées en 4 thèmes. Elle introduit aussi de nouveaux contrôles, notamment autour du cloud, de la threat intelligence et de la prévention des fuites de données.

Q: ISO 27001 et RGPD sont-elles complémentaires ?

Oui. L'ISO 27001 renforce la sécurité des traitements et soutient notamment les exigences de l'article 32 du RGPD. Elle ne remplace pas le RGPD mais constitue une base solide côté gouvernance et sécurité.

Q: Combien de temps faut-il pour mettre en place un SMSI ?

En pratique, il faut souvent entre 3 et 6 mois selon la maturité documentaire, la taille du périmètre et la disponibilité des équipes. Une approche par sprints permet d'avancer sans bloquer l'exploitation.

Structurer votre système de management de la sécurité de l'information, clarifier votre gouvernance sécurité et répondre aux exigences clients avec une approche pragmatique, compatible RGPD et pilotée en mode agile.

Bénéfices Exigences clés Méthode agile Synergie RGPD FAQ

7 ans

Expérience terrain
sécurité & conformité

Audits internes
ISO 27001 réalisés

3–6 mois

Déploiement SMSI
selon périmètre

ISO 27001:2022

Système SMSI

Gouvernance, risques, contrôles, audit interne

Approche Viva QSE

Pilotage pragmatique

Sans jargon inutile, orienté preuve et auditabilité

SMSI SOA Annexe A PSSI Risques RGPD

Full remote

France entière

Ce que vous y gagnez

Pourquoi engager
une démarche ISO 27001 ?

Sécurité structurée

Vous passez d'actions isolées à un SMSI cohérent, gouverné et auditable. Les responsabilités, règles et preuves deviennent lisibles pour la direction comme pour les clients.

Risques mieux pilotés

L'analyse de risques permet de prioriser les menaces réelles, de justifier les choix de sécurité et de concentrer les efforts sur les actifs critiques.

Crédibilité commerciale

L'ISO 27001 rassure prospects, donneurs d'ordre et partenaires. Elle devient un argument fort dans les appels d'offres SaaS, IT, hébergement et services numériques.

Alignement RGPD

La norme soutient les exigences de sécurité des traitements et renforce la cohérence entre gouvernance des données, article 32 du RGPD et pratiques de cybersécurité.

Contrôles formalisés

PSSI, SOA, gestion des accès, actifs, continuité, incidents, fournisseurs : les contrôles sont sélectionnés, justifiés et suivis dans une logique d'efficacité réelle.

Amélioration continue

Audit interne, revue de direction, traitement des écarts et indicateurs sécurité ancrent un cycle PDCA concret plutôt qu'un simple empilement documentaire.

La norme décryptée

Les exigences
clés en pratique.

Chapitres 4 & 5

Contexte, périmètre & gouvernance

Définition du périmètre du SMSI, parties intéressées, attentes clients et engagement de la direction. C'est la base de la crédibilité du dispositif de sécurité.

Chapitre 6

Analyse & traitement des risques

Méthodologie de risque, critères d'acceptation, plan de traitement et traçabilité des décisions. Structurée selon la HLS commune aux normes ISO, c'est le cœur vivant de l'ISO 27001.

Annexe A / SOA

Contrôles de sécurité applicables

La déclaration d'applicabilité relie les risques aux mesures retenues. Les 93 contrôles ne sont pas à appliquer aveuglément mais à justifier intelligemment.

Chapitres 9 & 10

Audit interne & amélioration

Mesure de performance, audits internes, revue de direction, incidents et actions correctives. Sans cette boucle, le SMSI reste théorique et peu crédible.

Méthode Viva QSE

4 sprints.
Un SMSI lisible, pilotable, auditable.

L'approche reste volontairement pragmatique : on cadre le périmètre, on priorise les risques, on formalise les preuves utiles et on prépare les équipes à répondre proprement à un auditeur.

Cadrer

Définition du périmètre, des actifs, des parties intéressées, des exigences et de la gouvernance sécurité. On clarifie le terrain avant de documenter.

Construire

Méthode de risque, PSSI, objectifs sécurité, SOA et plan de traitement. Chaque document doit répondre à un besoin d'exploitation ou d'audit.

Déployer

Mise en œuvre des contrôles retenus, collecte des preuves, sensibilisation des équipes et consolidation des pratiques de sécurité utiles au quotidien.

Préparer l'audit

Audit interne, revue de direction, levée des écarts et coaching des interlocuteurs clés. Objectif : arriver en audit avec un SMSI compréhensible et défendable.

ISO 27001 & RGPD

La synergie
sécurité & conformité.

L'ISO 27001 ne remplace pas le RGPD, mais elle renforce très fortement le volet sécurité des traitements. Pour une organisation qui manipule des données sensibles, cette articulation réduit les angles morts entre gouvernance, mesures techniques et preuves documentaires.

DPO & RGPD ISO 9001

Article 32 RGPD ↔ Mesures de sécurité techniques et organisationnelles

PSSI ↔ Gouvernance sécurité des traitements et responsabilités

Gestion des incidents ↔ Notification, preuves et maîtrise opérationnelle

Maîtrise des fournisseurs ↔ Sous-traitants, clauses et sécurité contractuelle

Pourquoi Viva QSE

Une méthode éprouvée.
Un seul interlocuteur.

Pilotage de A à Z

Du diagnostic à l'audit de certification

Cadrage du périmètre, animation de la gouvernance, formalisation du SMSI, analyse de risques, structuration documentaire, audit interne et préparation à l'audit. L'accompagnement est orienté méthode, preuves et lisibilité managériale.

Un seul interlocuteur

SMSI + RGPD : deux conformités pilotées ensemble

L'ISO 27001 et le RGPD partagent les mêmes fondements : gouvernance des données, analyse de risques, mesures techniques et organisationnelles. Viva QSE pilote les deux en cohérence — sans doublons documentaires, sans réunions inutiles.

Questions fréquentes

Ce qu'on nous
demande souvent.

ISO 27001 version 2022 : qu'est-ce qui a changé ?

La version 2022 restructure l'Annexe A : 114 mesures deviennent 93 contrôles regroupés en 4 familles. Elle met davantage l'accent sur le cloud, la threat intelligence, la surveillance et la prévention des fuites de données.

ISO 27001 et RGPD sont-elles complémentaires ?

Oui. L'ISO 27001 soutient fortement la sécurité des traitements prévue par le RGPD, notamment sur la gouvernance, les accès, la gestion des incidents, les sauvegardes et la maîtrise des sous-traitants.

Faut-il un RSSI interne pour être certifiable ?

Non. Ce qui compte est la clarté des rôles, de la gouvernance et des responsabilités. Selon la taille de l'organisation, la fonction peut être mutualisée, partagée ou externalisée.

Combien de temps faut-il pour mettre en place un SMSI ?

En pratique, comptez souvent entre 3 et 6 mois selon le périmètre, la maturité de départ et la disponibilité des équipes. Un périmètre réduit et bien piloté permet d'aller plus vite.

Faut-il appliquer les 93 mesures de l'Annexe A ?

Non. L'enjeu est de justifier les mesures retenues ou écartées dans la SOA en cohérence avec l'analyse de risques et le périmètre du SMSI. Ce n'est pas une checklist à cocher aveuglément.

CertificationISO 27001.SMSI & sécuritéde l'information.

Pourquoi engagerune démarche ISO 27001 ?