ISO/IEC 27001:2022 — la norme internationale de référence pour la sécurité de l'information, exigée par un nombre croissant d'appels d'offres et de donneurs d'ordre.
ISO/IEC 27001:2022 · Sécurité de l'information

Kit documentaire ISO 27001 — SMSI version 2022

Bâtissez votre système de management de la sécurité de l'information en quelques semaines, pas en plusieurs mois.

  • 90 documents construits clause par clause et contrôle par contrôle
  • Cartographie complète clauses 4 à 10 + 93 contrôles de l'Annexe A
  • Politiques, procédures, registres et formulaires éditables
  • Conçu pour la certification ISO 27001 et les audits clients
Découvrir le kit complet
Équivalent 15 000 — 35 000 € de prestation conseil
Téléchargement immédiat Garantie 30 jours Format Word éditable
Kit documentaire ISO 27001
90
Documents inclus
7 + 93
Clauses & contrôles couverts
100 %
Exigences cartographiées
V2022
Dernière révision intégrée
Pour qui est ce kit

Conçu pour les organisations qui traitent, hébergent ou protègent des données sensibles.

Le kit ISO 27001 s'adresse à toute entreprise qui doit structurer un Système de Management de la Sécurité de l'Information (SMSI), que ce soit pour se certifier, répondre à un appel d'offres, rassurer ses clients, ou se conformer à une exigence contractuelle.

1

RSSI & responsables sécurité

Responsables de la Sécurité des Systèmes d'Information qui doivent bâtir ou consolider le SMSI, préparer un audit de certification, ou aligner l'organisation sur les 93 contrôles de l'Annexe A.

2

Éditeurs SaaS & ESN

Éditeurs de logiciels, plateformes SaaS, ESN et hébergeurs qui doivent démontrer leur maîtrise de la sécurité pour répondre aux questionnaires fournisseurs, aux clauses contractuelles et aux exigences des grands comptes.

3

DSI & directions informatiques

Directions des Systèmes d'Information qui pilotent la gouvernance sécurité, la continuité d'activité et la conformité, et qui ont besoin d'un socle documentaire cohérent et prêt à être déployé.

4

Consultants & cabinets conseil

Consultants en cybersécurité, cabinets de conseil en conformité et intégrateurs qui accompagnent leurs clients sur la certification ISO 27001 et qui souhaitent disposer d'un socle validé (licence cabinet sur demande).

Pourquoi ce kit existe

Un SMSI ISO 27001 ne se rédige pas en partant d'une page blanche.

L'ISO/IEC 27001:2022 articule 7 clauses de management (4 à 10) et 93 contrôles de sécurité répartis en 4 thèmes dans l'Annexe A. Chaque exigence réclame une politique, une procédure ou un enregistrement traçable. Construire l'ensemble en interne mobilise 4 à 9 mois de travail, et laisse des écarts qui ressortent en audit de certification.

01

Les modèles génériques ne couvrent pas la version 2022

La plupart des templates disponibles en ligne sont des dérivés de l'ISO 27001:2013 avec les 114 anciens contrôles. Ils ignorent la nouvelle structure en 4 thèmes (Organisationnels, Personnes, Physiques, Technologiques), les 11 nouveaux contrôles introduits en 2022 (threat intelligence, cloud services, DLP, secure coding, data masking, etc.) et les attributs normalisés.

02

Un écart documentaire = un écart d'audit

L'auditeur de certification vérifie chaque exigence des clauses 4-10 et la pertinence des contrôles retenus dans la Déclaration d'Applicabilité. Un document manquant, imprécis ou incohérent génère une non-conformité mineure ou majeure, avec plan d'actions et éventuel re-audit à votre charge.

03

Les donneurs d'ordre exigent la certification avant contractualisation

Les grands comptes, administrations, opérateurs d'importance vitale et entreprises réglementées (banque, santé, secteur public) intègrent désormais ISO 27001 comme prérequis dans leurs appels d'offres et leurs questionnaires fournisseurs. Sans SMSI formalisé, le référencement ne se fait pas.

04

Une mission conseil représente 15 000 à 35 000 €

Une prestation complète de mise en place d'un SMSI ISO 27001 facturée par un cabinet spécialisé représente 20 à 50 jours d'intervention. Le kit documentaire vous livre le socle rédactionnel complet — vous gardez votre budget pour l'analyse des risques, la mise en œuvre terrain et la formation des équipes.

Contenu du kit

90 documents organisés par clause normative et par thème de l'Annexe A.

Le kit couvre les 7 clauses de management de l'ISO/IEC 27001:2022 (clauses 4 à 10) ainsi que les 4 thèmes de l'Annexe A : contrôles organisationnels (A.5), sur les personnes (A.6), physiques (A.7) et technologiques (A.8) — soit les 93 contrôles de sécurité à évaluer dans la Déclaration d'Applicabilité (SoA).

Clause 4

Contexte de l'organisation

  • Procédure d'analyse du contexte interne et externe (4.1)
  • Matrice des parties intéressées et de leurs exigences (4.2)
  • Document de définition du périmètre du SMSI (4.3)
  • Cartographie des processus couverts (4.4)
  • Registre des enjeux stratégiques sécurité
Clause 5

Leadership

  • Politique de sécurité de l'information signée direction (5.2)
  • Charte d'engagement de la direction (5.1)
  • Organigramme SMSI et matrice RACI sécurité (5.3)
  • Fiches de fonction SSI (RSSI, DPO, correspondants)
  • Procédure de communication de la politique
  • Charte utilisateur type
Clause 6

Planification (incl. 6.3 Changements)

  • Méthodologie d'appréciation des risques avec grille de cotation (6.1.2)
  • Registre des actifs informationnels
  • Matrice d'analyse des risques et catalogue de menaces (compatible EBIOS RM / ISO 27005)
  • Plan de traitement des risques (6.1.3)
  • Déclaration d'Applicabilité (SoA) — modèle complet
  • Registre d'acceptation des risques résiduels
  • Objectifs de sécurité et plan de mise en œuvre (6.2)
  • Procédure de planification des changements (6.3 — nouveauté 2022)
  • Fiche de demande de changement SMSI
Clause 7

Support

  • Plan de ressources et matrice de compétences SSI (7.1, 7.2)
  • Plan de sensibilisation annuel et procédure de formation (7.3)
  • Procédure de communication interne et externe (7.4)
  • Procédure de maîtrise documentaire (7.5)
  • Liste maîtresse des documents du SMSI
  • Procédure de gestion des enregistrements
  • Registre de formation et sensibilisation
Clause 8

Fonctionnement opérationnel

  • Procédure de pilotage opérationnel du SMSI (8.1)
  • Procédure d'appréciation des risques en conditions réelles (8.2)
  • Procédure de traitement des risques opérationnels (8.3)
  • Rapport d'appréciation des risques et plan d'actions (modèle)
  • Procédure de maîtrise des processus et services externalisés (8.1)
Clause 9

Évaluation des performances

  • Procédure de surveillance, mesure, analyse et évaluation (9.1)
  • Tableau de bord des indicateurs sécurité (KPI / KRI)
  • Procédure et programme d'audit interne SMSI (9.2)
  • Grille d'audit interne ISO 27001:2022 (clauses & Annexe A)
  • Procédure de revue de direction (9.3)
  • Modèle de compte-rendu de revue de direction (9.3.2 — 7 inputs)
Clause 10

Amélioration

  • Procédure d'amélioration continue (10.1)
  • Procédure de gestion des non-conformités et actions correctives (10.2)
  • Fiche de non-conformité / action corrective
  • Registre des non-conformités SMSI
Annexe A.5

Contrôles organisationnels (37)

  • Politique de sécurité de l'information et politiques thématiques (A.5.1)
  • Matrice RACI des rôles SSI et procédure de séparation des tâches (A.5.2, A.5.3, A.5.4)
  • Procédure de contact avec les autorités et les groupes spécialisés (A.5.5, A.5.6)
  • Procédure de veille menaces — threat intelligence (A.5.7)
  • Procédure d'intégration de la SSI dans la gestion de projet (A.5.8)
  • Registre des actifs informationnels et charte d'usage acceptable (A.5.9, A.5.10, A.5.11)
  • Procédure de classification, étiquetage et transfert d'information (A.5.12, A.5.13, A.5.14)
  • Politique de contrôle d'accès et de gestion des identités (A.5.15, A.5.16, A.5.17, A.5.18)
  • Politique de relations fournisseurs et modèle de clauses contractuelles (A.5.19 à A.5.22)
  • Politique de sécurité des services cloud (A.5.23)
  • Plan de gestion des incidents de sécurité (A.5.24 à A.5.28)
  • Plan de continuité d'activité SSI et plan d'ICT readiness (A.5.29, A.5.30)
  • Registre des exigences légales, réglementaires et contractuelles (A.5.31)
  • Procédure de protection de la propriété intellectuelle (A.5.32)
  • Procédure de protection des enregistrements (A.5.33)
  • Procédure de protection des données à caractère personnel / RGPD (A.5.34)
  • Procédure de revue indépendante et de conformité aux politiques (A.5.35, A.5.36)
  • Procédures opérationnelles documentées (A.5.37)
Annexe A.6

Contrôles sur les personnes (8)

  • Procédure de vérification des antécédents — pre-employment screening (A.6.1)
  • Modèle de clauses de sécurité dans le contrat de travail et NDA (A.6.2, A.6.6)
  • Plan de sensibilisation, éducation et formation SSI (A.6.3)
  • Procédure disciplinaire liée à la sécurité (A.6.4)
  • Procédure de fin de contrat et changement de poste (A.6.5)
  • Charte de télétravail et procédure de signalement d'événements (A.6.7, A.6.8)
Annexe A.7

Contrôles physiques (14)

  • Politique de sécurité physique et plan des périmètres d'entrée (A.7.1, A.7.2)
  • Procédure de sécurisation des bureaux, locaux et zones sécurisées (A.7.3, A.7.4, A.7.6)
  • Plan de protection contre les menaces physiques et environnementales (A.7.5)
  • Charte bureau propre et écran verrouillé (A.7.7)
  • Procédure de sécurité des équipements, câblage et utilities (A.7.8, A.7.11, A.7.12)
  • Procédure de sécurité des actifs hors site et des supports de stockage (A.7.9, A.7.10)
  • Procédure de maintenance et d'élimination sécurisée des équipements (A.7.13, A.7.14)
Annexe A.8

Contrôles technologiques (34)

  • Procédure de sécurité des postes de travail utilisateurs — endpoints (A.8.1)
  • Procédure de gestion des accès privilégiés et des restrictions (A.8.2, A.8.3, A.8.4)
  • Procédure d'authentification sécurisée (A.8.5)
  • Procédure de gestion de capacité (A.8.6)
  • Politique de protection anti-malware et procédure de gestion des vulnérabilités (A.8.7, A.8.8)
  • Procédure de gestion des configurations et des changements IT (A.8.9, A.8.32)
  • Procédure de suppression d'information, data masking et DLP (A.8.10, A.8.11, A.8.12)
  • Politique de sauvegarde, redondance, journalisation et monitoring (A.8.13 à A.8.16)
  • Procédure de synchronisation des horloges (A.8.17)
  • Procédure d'utilisation des programmes utilitaires privilégiés (A.8.18)
  • Procédure d'installation logicielle sur systèmes opérationnels (A.8.19)
  • Politique de sécurité réseau, segmentation et filtrage web (A.8.20 à A.8.23)
  • Politique de cryptographie et procédure de gestion des clés (A.8.24)
  • Procédure de cycle de développement sécurisé et secure coding (A.8.25, A.8.28, A.8.29)
  • Fiche d'exigences de sécurité applicative et politique d'architecture sécurisée (A.8.26, A.8.27)
  • Procédure de développement externalisé (A.8.30)
  • Procédure de séparation des environnements dev/test/prod et protection en audit (A.8.31, A.8.33, A.8.34)
Format de livraison : tous les documents sont fournis au format Microsoft Word (.docx) entièrement éditables, avec une charte graphique neutre prête à recevoir votre logo. La Déclaration d'Applicabilité et la matrice d'analyse des risques sont livrées au format Excel. Aucun PDF verrouillé, aucune dépendance à un logiciel propriétaire.
Cartographie normative

Chaque exigence ISO 27001:2022 → un document du kit.

L'ISO/IEC 27001:2022 est la norme internationale officielle publiée par l'ISO et la CEI pour les systèmes de management de la sécurité de l'information. Voici la cartographie clause par clause et thème par thème entre le texte normatif et les documents fournis — c'est ce qu'un auditeur de certification ou un donneur d'ordre exigent de voir en premier.

Clause / Thème Exigence ISO 27001:2022 Documents fournis dans le kit
Clause 4 Contexte de l'organisation : enjeux (4.1), parties intéressées (4.2), périmètre du SMSI documenté (4.3), processus couverts (4.4) Analyse du contexte Parties intéressées Périmètre SMSI Cartographie processus Enjeux stratégiques
Clause 5 Leadership : engagement direction (5.1), politique SSI documentée (5.2), rôles et responsabilités (5.3) Politique SSI signée direction Charte d'engagement direction Organigramme + RACI SMSI Fiches de fonction SSI Communication politique Charte utilisateur
Clause 6 Planification : appréciation des risques (6.1.2), traitement (6.1.3) avec Déclaration d'Applicabilité, objectifs (6.2), planification des changements (6.3 — nouveauté 2022) Méthodologie risques + grille cotation Registre des actifs Analyse de risque + catalogue menaces Plan de traitement Déclaration d'Applicabilité Acceptation risques résiduels Objectifs SSI Planification changements (6.3) Fiche demande changement
Clause 7 Support : ressources (7.1), compétences (7.2), sensibilisation (7.3), communication (7.4), informations documentées (7.5) Plan ressources + matrice compétences Plan de sensibilisation + formation Communication SMSI Maîtrise documentaire Liste maîtresse documents Gestion des enregistrements Registre formation
Clause 8 Fonctionnement opérationnel : pilotage (8.1), appréciation des risques (8.2) et traitement (8.3) en conditions réelles, maîtrise des processus externalisés Pilotage opérationnel Appréciation risques opérationnels Traitement risques Rapport + plan d'actions Maîtrise processus externalisés
Clause 9 Évaluation : surveillance (9.1), programme d'audit interne (9.2), revue de direction avec 7 inputs obligatoires (9.3) Surveillance & mesure Tableau de bord KPI Procédure + programme d'audit Grille audit ISO 27001 Procédure revue direction Modèle CR revue direction
Clause 10 Amélioration : amélioration continue (10.1), non-conformités et actions correctives (10.2) Amélioration continue Gestion NC + actions correctives Fiche NC / AC Registre NC
Annexe A.5 37 contrôles organisationnels (A.5.1 à A.5.37) : politiques, rôles et séparation des tâches, responsabilités du management, contact autorités et groupes spécialisés, SSI en gestion de projet, gestion des actifs, usage acceptable, classification et étiquetage, contrôle d'accès et identités, relations fournisseurs et cloud, threat intelligence, gestion des incidents, continuité, propriété intellectuelle, protection des enregistrements, RGPD / DCP, revue indépendante, conformité, procédures opérationnelles Politique SSI + thématiques (A.5.1) RACI + séparation tâches (A.5.2-4) Contact autorités & groupes (A.5.5-6) Threat intelligence (A.5.7) SSI en gestion de projet (A.5.8) Registre actifs + usage acceptable (A.5.9-11) Classification + étiquetage + transfert (A.5.12-14) Contrôle d'accès + IAM (A.5.15-18) Relations fournisseurs (A.5.19-22) Sécurité cloud (A.5.23) Gestion des incidents (A.5.24-28) Continuité + ICT readiness (A.5.29-30) Exigences légales (A.5.31) Propriété intellectuelle (A.5.32) Protection enregistrements (A.5.33) Protection DCP / RGPD (A.5.34) Revue indépendante + conformité (A.5.35-36) Procédures opérationnelles (A.5.37)
Annexe A.6 8 contrôles sur les personnes (A.6.1 à A.6.8) : vérification des antécédents, clauses contractuelles, sensibilisation et formation, procédure disciplinaire, fin de contrat, NDA, télétravail, signalement Vérification antécédents (A.6.1) Contrat travail + NDA (A.6.2, A.6.6) Plan de sensibilisation (A.6.3) Procédure disciplinaire (A.6.4) Fin de contrat (A.6.5) Charte télétravail + signalement (A.6.7-8)
Annexe A.7 14 contrôles physiques (A.7.1 à A.7.14) : périmètre, entrée, locaux, monitoring, protection environnementale, zones sécurisées, équipements, utilities, câblage, maintenance, élimination Périmètre + entrée (A.7.1-2) Bureaux + surveillance + zones sécurisées (A.7.3-4, 6) Menaces environnementales (A.7.5) Charte bureau propre (A.7.7) Équipements + câblage + utilities (A.7.8, 11-12) Actifs off-site + supports (A.7.9-10) Maintenance + disposal (A.7.13-14)
Annexe A.8 34 contrôles technologiques (A.8.1 à A.8.34) : endpoints, accès privilégiés, authentification, anti-malware, vulnérabilités, configurations, DLP, data masking, sauvegardes, logs, monitoring, horloges, programmes utilitaires privilégiés, installation logicielle, réseau, cloud, crypto, développement sécurisé, exigences applicatives, architecture sécurisée, environnements dev/test/prod Endpoints utilisateurs (A.8.1) Accès privilégiés + restrictions (A.8.2-4) Authentification (A.8.5) Gestion capacité (A.8.6) Anti-malware + vulnérabilités (A.8.7-8) Configurations + change IT (A.8.9, 32) Suppression + data masking + DLP (A.8.10-12) Sauvegarde + redondance + logs + monitoring (A.8.13-16) Synchronisation horloges (A.8.17) Utilitaires privilégiés (A.8.18) Installation logicielle (A.8.19) Réseau + segmentation + web filter (A.8.20-23) Cryptographie (A.8.24) Développement sécurisé + secure coding (A.8.25, 28-29) Exigences applicatives + architecture (A.8.26-27) Développement externalisé (A.8.30) Environnements dev/test/prod (A.8.31, 33-34)
Non inclus Documents spécifiques au contexte opérationnel de votre organisation — qui doivent être rédigés ou paramétrés au cas par cas par vos équipes, votre RSSI ou votre DSI, car ils dépendent de votre système d'information réel Déclaration d'Applicabilité renseignée (par votre SoA) Analyse de risque instanciée (avec vos actifs réels) Plan de continuité d'activité détaillé (PCA technique) Configurations techniques (hardening, firewalls, IAM) Cartographie réseau et architecture réelle Inventaire exhaustif des actifs (instancié sur votre SI) Rapport de pentest / audit technique
Pourquoi ces documents ne peuvent pas être dans un kit documentaire — quel que soit le fournisseur.

La Déclaration d'Applicabilité renseignée, l'analyse de risque instanciée, le plan de continuité technique et les configurations sont par nature spécifiques à votre système d'information. Ils dépendent de vos actifs réels, de votre architecture, de vos fournisseurs cloud, de vos contraintes métier et de votre appétence au risque.

Un kit qui prétendrait fournir ces livrables préremplis exposerait l'acheteur à une non-conformité majeure en audit de certification : un SoA copié-collé n'est pas un SoA, une analyse de risque générique n'engage pas la direction, et une configuration type ne protège rien. Ces livrables doivent être construits à partir de votre contexte réel, par les personnes compétentes de l'organisation (RSSI, DSI, propriétaires d'actifs, direction).

Le kit Management Qualité vous fournit en revanche toutes les politiques, procédures, matrices et modèles qui encadrent la production de ces livrables — soit tout le cadre documentaire dans lequel votre SoA, votre analyse de risque et votre PCA prennent forme.
Par ailleurs, cette cartographie est livrée sous forme de matrice Excel dans le kit. Elle peut être présentée telle quelle à un auditeur de certification, un donneur d'ordre, ou dans un questionnaire fournisseur comme preuve de couverture normative complète.
Pour les professionnels expérimentés

Conformité technique — les points que regarde un auditeur de certification chevronné.

Au-delà du mapping clause par clause, voici les points de rigueur technique que les RSSI, auditeurs ISO 27001 et experts SSI expérimentés vérifient en premier lors d'un audit de certification ou d'un audit tierce partie.

  • Périmètre du SMSI — formellement défini et cohérent avec les processus métier, les sites, les systèmes et les dépendances (cloud, sous-traitants)
  • Méthodologie d'analyse de risque — compatible EBIOS RM / ISO 27005, avec critères de vraisemblance, d'impact et d'acceptation des risques explicites
  • Déclaration d'Applicabilité (SoA) — les 93 contrôles de l'Annexe A listés, chacun avec statut (applicable / non-applicable), justification et référence au document de mise en œuvre
  • Gestion des incidents — procédure distinguant événement, incident, incident majeur, avec chaîne d'escalade, délai de notification CNIL (72 h) et retour d'expérience
  • Continuité d'activité — BIA, RTO / RPO par processus, scénarios de sinistre, tests de PCA / PRA documentés et exercices annuels
  • Gestion des accès (IAM) — principe du moindre privilège, revue périodique des droits, gestion du cycle de vie (arrivée / mutation / départ), MFA pour les accès privilégiés
  • Gestion des vulnérabilités — processus de détection continu, SLA de remédiation par criticité, lien avec threat intelligence et gestion des patchs
  • Chiffrement et gestion des clés — politique de cryptographie, gestion du cycle de vie des clés, séparation des rôles, HSM ou équivalent pour les clés sensibles
  • Sécurité du cloud — modèle de responsabilité partagée documenté, clauses sécurité fournisseurs, évaluation des CSP (SOC 2, ISO 27017 / 27018 complémentaires)
  • Audit interne & revue de direction — programme pluriannuel couvrant l'ensemble des clauses et de l'Annexe A, avec indicateurs de performance et de risque remontés en revue

ISO 27001 : reconnaissance internationale

L'ISO/IEC 27001:2022 est la norme internationale de référence pour la sécurité de l'information, reconnue dans le monde entier et alignée avec de nombreux référentiels sectoriels et réglementaires.

Reconnaissance mondiale (ISO / CEI) NIS 2 (UE) DORA (secteur financier UE) ANSSI (France) RGPD (article 32) HDS / HIPAA (santé)
Comparatif

Pourquoi le kit Management Qualité plutôt qu'une autre option.

Critère Kit MQ ISO 27001
389 €		 Templates gratuits
0 €		 Cabinet conseil
15 000 — 35 000 €
Aligné sur la version 2022 (nouveaux contrôles, 4 thèmes)
Couverture des 7 clauses + 93 contrôles de l'Annexe A ✓ 100 % Partielle ✓ 100 %
Déclaration d'Applicabilité (SoA) modèle complet ✓ Inclus Selon mission
Cartographie clause par clause & contrôle par contrôle ✓ Matrice Excel Selon mission
Format Word éditable, charte neutre Variable
Délai de mise à disposition Immédiat Immédiat 4 à 9 mois
Garantie de remboursement ✓ 30 jours
Analyse de risque instanciée & mise en œuvre terrain À votre charge À votre charge Incluse
Le kit ne remplace pas l'analyse de risque instanciée sur vos actifs réels ni la mise en œuvre terrain — il vous donne le socle rédactionnel complet. C'est précisément la partie où un cabinet facture le plus cher. Pour l'accompagnement à la mise en œuvre du SMSI, nous proposons aussi des prestations sur mesure.
Audit flash SMSI

Où en êtes-vous aujourd'hui ?

Répondez aux 12 questions clause par clause et thème par thème pour obtenir votre score de maturité ISO 27001:2022. Résultat immédiat, gratuit, aucune information personnelle demandée.

Question 1 / 12
Clause 4 — Contexte
0
/ 100

Obtenir le kit ISO 27001 — 389 €
Processus de déploiement

De la commande à l'audit blanc, voici la route.

Le kit ne se contente pas d'être livré. Voici le chemin concret pour le mettre en production dans votre entreprise, étape par étape.

1
Jour 1

Téléchargement

Paiement sécurisé, accès immédiat au kit complet en ZIP. Vous disposez des 90 documents Word, de la matrice Excel (SoA + analyse de risque) et du manuel d'utilisation dans les minutes qui suivent.

2
Semaines 1 — 4

Personnalisation

Adaptation des documents à votre organisation : logo, périmètre, organigramme SMSI, rôles, actifs, fournisseurs cloud, contexte réglementaire applicable. Compter 3 à 4 semaines pour une personnalisation sérieuse.

3
Semaines 5 — 12

Mise en œuvre

Analyse de risque, Déclaration d'Applicabilité, déploiement des contrôles de l'Annexe A, formation et sensibilisation des équipes, mise en place des enregistrements et des preuves d'application.

4
Semaines 12 — 16

Audit blanc

Audit interne avec la grille fournie dans le kit. Identification des derniers écarts, plan d'actions correctives, revue de direction, préparation à l'audit de certification ou à un questionnaire fournisseur.

Délai typique : 12 à 16 semaines entre la commande et un état "prêt pour audit de certification". Les organisations les plus structurées atteignent cet état en 10 semaines ; celles qui partent de zéro peuvent prendre jusqu'à 24 semaines. Ce sont vos ressources internes (RSSI, DSI, propriétaires d'actifs) qui font la différence, pas le kit.
Ils utilisent le kit

Ce que disent les entreprises qui l'ont adopté.

★★★★★

Un gain de temps considérable. Les politiques et procédures étaient claires, alignées sur la version 2022, directement exploitables. Notre audit de certification a été validé avec très peu de non-conformités.

L
Sophie
RSSI · Éditeur SaaS B2B, Paris
★★★★★

Rédigé par des professionnels qui connaissent vraiment la norme. La cartographie clauses + Annexe A et le modèle de SoA sont exactement ce que je cherchais pour structurer le SMSI.

M
Julien
DSI · ESN spécialisée, Nantes
★★★★☆

Le rapport qualité-prix est imbattable. Nous avons construit notre SMSI en 10 semaines au lieu des 6 mois prévus avec un cabinet. L'analyse de risque reste à notre charge, c'est cohérent.

F
Amélie
Fondatrice · Start-up cybersécurité, Bordeaux
★★★★★

Documents Word totalement personnalisables, charte neutre, vocabulaire normatif juste et à jour de la version 2022. Excellent point de départ pour mes missions clients.

D
Nicolas
Consultant sécurité · Cabinet conseil, Lyon
Sans risque

Garantie 30 jours, sans condition.

Garantie 30 jours satisfait ou remboursé

Vous testez le kit. Si vous changez d'avis, on vous rembourse.

Vous avez 30 jours pour télécharger le kit, examiner son contenu, ouvrir les documents, vérifier que la qualité rédactionnelle correspond à vos attentes. Si quelque chose ne va pas, vous nous écrivez un email — sans justification — et le remboursement est traité sous 5 jours ouvrés. C'est aussi simple que ça.

Le kit vit avec vous

Mises à jour incluses pendant 12 mois.

Le paysage de la sécurité et de la réglementation évolue vite (NIS 2, DORA, IA Act, nouvelles lignes directrices ANSSI). Le kit que vous achetez aujourd'hui ne doit pas devenir obsolète dans 6 mois. C'est pourquoi les mises à jour sont incluses.

12 mois de mises à jour normatives et réglementaires

En cas de révision de l'ISO/IEC 27001, de publication de nouvelles lignes directrices ANSSI / ENISA, ou d'évolution significative du cadre réglementaire européen (NIS 2, DORA, RGPD, IA Act) impactant les exigences documentaires, vous recevez gratuitement les mises à jour pertinentes du kit pendant 12 mois après votre achat.

  • Révisions normatives ISO 27001 / 27002
  • Évolutions NIS 2, DORA, RGPD
  • Nouvelles lignes directrices ANSSI / ENISA
  • Notifications par e-mail dès publication
Questions fréquentes

Les réponses à vos interrogations.

Le kit suffit-il pour obtenir la certification ISO 27001 ?

Le kit vous donne le socle documentaire complet exigé par les 7 clauses de management de l'ISO/IEC 27001:2022 et les 93 contrôles de l'Annexe A. Pour obtenir la certification, il faut aussi mettre en œuvre les politiques et procédures sur le terrain : conduire une analyse de risque réelle, instancier la Déclaration d'Applicabilité, déployer les contrôles, former les équipes, collecter les preuves d'application. Le kit fait gagner les 4 à 9 mois de rédaction. La mise en œuvre opérationnelle reste votre travail (généralement 8 à 16 semaines selon la taille de l'organisation).

Quelle est la différence avec un template gratuit téléchargé en ligne ?

La plupart des templates gratuits sont des versions dérivées de l'ISO 27001:2013 avec les 114 anciens contrôles, ou des packs génériques qui confondent ISO 27001 (SMSI) et ISO 27002 (guide de mise en œuvre). Le kit MQ est rédigé spécifiquement pour la version 2022, avec la nouvelle structure en 4 thèmes (Organisationnels, Personnes, Physiques, Technologiques), les 11 nouveaux contrôles (threat intelligence, cloud services, DLP, secure coding, data masking, etc.) et une cartographie clauses + Annexe A vérifiable.

Qui audite et certifie réellement un SMSI ISO 27001 ?

La certification est délivrée par un organisme de certification accrédité (LNE, AFNOR, BSI, Bureau Veritas, SGS, DNV, etc.) — lui-même accrédité par un organisme national (Cofrac en France, UKAS au Royaume-Uni, etc.). L'audit se déroule en deux étapes (Stage 1 documentaire puis Stage 2 de mise en œuvre), suivi d'audits de surveillance annuels et d'un renouvellement complet tous les 3 ans. Les donneurs d'ordre mènent par ailleurs leurs propres audits et questionnaires fournisseurs, souvent plus exigeants sur certains périmètres (cloud, DevSecOps, données personnelles).

Combien de temps faut-il pour adapter le kit à mon organisation ?

Comptez 3 à 4 semaines pour personnaliser les documents : logo, périmètre du SMSI, organigramme, rôles, contexte métier, fournisseurs cloud, référentiels applicables (RGPD, NIS 2, DORA selon votre secteur). Ensuite il faut compter le temps de mise en œuvre : analyse de risque instanciée, Déclaration d'Applicabilité, déploiement des contrôles, formation et collecte des preuves — soit 8 à 16 semaines supplémentaires selon la taille de l'organisation et la maturité initiale.

Le kit est-il livré au format Word ou PDF ?

Toutes les politiques, procédures et modèles sont fournis au format Microsoft Word (.docx) entièrement éditables. La Déclaration d'Applicabilité, la matrice d'analyse de risque et la cartographie clauses ↔ Annexe A sont livrées au format Excel. Aucun PDF verrouillé, aucune dépendance à un logiciel propriétaire. La charte graphique est neutre, prête à recevoir votre logo et vos couleurs.

L'ISO 27001 est-elle obligatoire en Europe ?

L'ISO/IEC 27001 n'est pas légalement obligatoire au sens strict, mais elle est devenue un prérequis de facto dans de nombreux contextes : appels d'offres publics et privés, questionnaires fournisseurs, conformité à NIS 2 (directive européenne qui impose des mesures de sécurité aux entités essentielles et importantes), à DORA (secteur financier), ou pour appuyer l'article 32 du RGPD (mesures techniques et organisationnelles appropriées). L'ANSSI et l'ENISA la citent régulièrement comme référentiel pertinent.

Le kit couvre-t-il la conformité NIS 2, DORA et le RGPD ?

Le kit est construit sur l'ISO/IEC 27001:2022 et ses contrôles. Il vous permet de couvrir une grande partie des exigences techniques et organisationnelles de NIS 2 (gestion des risques, gestion des incidents, continuité d'activité, chaîne d'approvisionnement), de DORA (résilience opérationnelle numérique, tests de sécurité, gestion tiers TIC), et de l'article 32 du RGPD (mesures de sécurité). Le kit ne remplace pas une analyse réglementaire dédiée — il fournit le socle documentaire commun sur lequel vos spécificités sectorielles viennent s'articuler.

Combien d'utilisateurs / sites sont couverts par la licence ?

La licence à 389 € couvre une organisation unique (entité juridique), avec usage interne illimité (tous vos collaborateurs peuvent utiliser le kit). Pour un déploiement multi-entités, un groupe avec plusieurs filiales, ou une utilisation en cabinet conseil sur plusieurs clients, contactez-nous pour une licence adaptée.

Recevez-vous les mises à jour si la norme évolue ?

Oui. En cas de révision de l'ISO/IEC 27001 ou 27002, ou d'évolution significative du cadre réglementaire européen (NIS 2, DORA, RGPD, IA Act, lignes directrices ANSSI / ENISA) impactant les exigences documentaires, vous recevez gratuitement les mises à jour pertinentes pendant 12 mois après votre achat.

Que se passe-t-il si je ne suis pas satisfait ?

Vous bénéficiez d'une garantie de remboursement de 30 jours, sans condition. Vous nous écrivez un simple email — sans justification à fournir — et le remboursement est traité sous 5 jours ouvrés.

Passez à l'action

Votre SMSI ISO 27001. Prêt aujourd'hui.

90 documents, 7 clauses ISO 27001:2022, 93 contrôles de l'Annexe A, Déclaration d'Applicabilité modèle, cartographie complète. Téléchargement immédiat après paiement.

Équivalent 15 000 — 35 000 € de prestation conseil
389 € Licence organisation unique · TTC · Paiement sécurisé · Téléchargement immédiat
Obtenir le kit ISO 27001
Garantie 30 jours sans condition Téléchargement immédiat Mises à jour 12 mois Format Word éditable