Formation Audit de systèmes de management de la sécurité de l’information – 2026

CHAPITRE 1 : ISO/CEI 27001, définition et contexte

• Les principes d’un système de management
• Les origines et l’histoire des normes ISO
• Le modèle PDCA
• Les normes ISO dans les entreprises
• La norme ISO/CEI 27001 et ses exigences
• La notion de Risque et la norme ISO/CEI 27005, y compris les risques émergents liés à l’IA
• Les principes d’audit et la norme ISO/CEI 19011
• Les processus de certification et cycle de vie

CHAPITRE 2 : Préparation de l’audit et audit étape 1

• Les principes et fondamentaux de l’audit
• Les impacts des technologies et des innovations (dont l’IA) sur les audits
• L’approche fondée sur la preuve
• L’approche par risques, intégrant les critères humains, organisationnels, technologiques et environnementaux
• Le processus d’audit
• L’audit étape 1 : L’audit documentaire
• La création du programme d’audit, des plans d’audit et des plans de test
• La communication avant, pendant et après l’audit, adaptée aux profils variés y compris en situation de handicap

🧭 1ère Partie : Le Lead Implementer 2025 et la norme ISO 27001

Chapitre 1 : ISO 27001 Définition et Contexte

• Les principes d’un système de management de la sécurité de l’information

• Les origines et l’histoire des normes ISO

• Le modèle PDCA, approche par processus

• La norme ISO 27001:2022 et ses exigences

• Les normes ISO dans l’entreprise : articulation avec les pratiques métier, les contraintes réglementaires et les enjeux RSE

• La notion de risque, les enjeux liés à l’IA et la norme ISO 27005

Chapitre 2 : Initialisation de la mise en œuvre

• Les principes de mise en œuvre – ISO 27003

• Définir l’approche méthodologique projet (intégrant l’accessibilité et les considérations environnementales)

• La gestion du changement : acteurs clés, sensibilisation et appropriation

• Construire une vision alignée avec les priorités stratégiques

• Définir les objectifs, les enjeux internes/externes, et les ressources nécessaires

Chapitre 3 : Étape 1 – Obtenir l’approbation

• Formalisation du business case et des critères d’adhésion

• Clarification des priorités et des contraintes de l’organisation

• Définition du périmètre préliminaire

• Attribution des rôles et responsabilités clés

• Élaboration du plan de projet préliminaire

• Présentation du projet SMSI à la direction et obtention de l’approbation

Chapitre 4 : Les Rôles et Responsabilités

• Structuration de la gouvernance du projet

• Définition des rôles principaux du SMSI (y compris pilotage de la cybersécurité, référents accessibilité et durabilité)

• Le rôle stratégique du Lead Implementer

• Constitution et animation de l’équipe projet

• Mobilisation des ressources internes/externes

• Plan de communication interne pour favoriser l’engagement

Chapitre 5 : Étape 2 – Le périmètre détaillé

• Définir le périmètre d’application du SMSI (BU, SI, sites…)

• Périmètre ICT, physique et organisationnel

• Intégration de l’approche risques liés à l’IA dans la délimitation

• Développement et validation de la Politique de Sécurité de l’Information

Chapitre 6 : Étape 3 – Analyse des exigences

• Analyse des exigences internes, légales, contractuelles

• Identification des parties prenantes et de leurs besoins

• Recensement des actifs et cartographie du SI

• Réalisation d’un audit de l’existant et évaluation de la maturité

Chapitre 7 : Étape 4 – Analyse des risques

• Réalisation de l’appréciation des risques (ISO 27005)

• Audit des vulnérabilités techniques, organisationnelles et liées à l’IA

• Identification des risques sur les actifs critiques

• Traitement et acceptation des risques

• Sélection des mesures de sécurité (Annexe A – ISO 27001)

• Élaboration d’une Déclaration d’Applicabilité alignée avec les exigences spécifiques

Chapitre 8 : Étape 5 – Conceptualiser le SMSI

• Définition de l’organisation cible du SMSI

• Gouvernance documentaire : référentiel, versioning, validation

• Politique, procédures et processus de sécurité de l’information

• Intégration des exigences d’accessibilité et de sobriété numérique dans les processus

• Accompagnement au changement et dispositifs de support

• Plan final de déploiement du SMSI dans l’entreprise

Chapitre 9 : Les contrôles et les mesures

• Définir des objectifs opérationnels mesurables

• Élaborer les indicateurs clés (KPI) alignés aux risques et au niveau de maturité visé

• Structuration des tableaux de bord de pilotage

• Méthodes de suivi, analyse et communication

Chapitre 10 : Gestion opérationnelle du SMSI

• Organisation de la montée en charge

• Gestion des incidents et des non-conformités

• Organisation des audits internes

• Revue de direction et boucle d’amélioration continue

🧭 2ème Partie : ISO 27001 Lead Implementer – Mise en application

1. Étude d’opportunité

   • Analyse SWOT, ROI, enjeux réglementaires et IA

   • Intégration des parties prenantes et validation stratégique

2. Lancement du projet

   • Constitution de l’équipe projet (dont référents accessibilité et SI)

   • Mise en place des comités de pilotage, jalons et canaux de communication

3. État des lieux

   • Auto-évaluation ISO, entretiens, analyse documentaire

   • Identification des risques émergents (ex : IA, dépendances Cloud)

4. Définition du périmètre et du niveau de sécurité

   • Prise en compte des parties prenantes, SI critiques, exigences métiers

5. Déclaration d’applicabilité (DdA)

   • Justification des mesures retenues (Annexe A)

   • Intégration des exigences sociales et environnementales

6. Constitution du corpus documentaire

   • Référentiel documentaire structuré, classification, accessibilité

7. Appréciation des risques (ISO 27005)

   • Application pratique de la grille d’analyse

   • Traitement selon criticité, impacts IA, leviers RSE

8. Allocation des ressources

   • Arbitrages budgétaires, définition des priorités

   • Rôle du RSSI, Lead Implementer et DSI

9. Déploiement des mesures de sécurité

   • Techniques, organisationnelles, physiques

   • Dispositifs spécifiques d’inclusion numérique et accessibilité

10. Mise en place des indicateurs

    • Tableaux de bord, automatisation, suivi multi-niveaux

11. Audit interne

    • Organisation, grille de contrôle, traitement des écarts

12. Revue de direction

    • Alignement stratégique, ajustement du SMSI, pilotage PDCA

13. Sélection d’un organisme de certification

    • Comparaison, contractualisation et préparation à l’audit

14. Audit de certification

    • Scénarios pratiques, posture d’audité, gestion des non-conformités

15. Suivi post-audit

    • Consolidation des résultats, maintien de la conformité et amélioration continue

• Maîtriser les connaissances de base des Systèmes de l’Information et de leurs systèmes de sécurité.

• Avoir au minimum 1 an d’expérience dans son poste ou métier (en lien avec les Systèmes de l’Information et systèmes de sécurité)

Vérifiez vos prérequis ici :

Cette formation vous permettra de valider notre certification Audit de systèmes de management de la sécurité de l’information (ISO/CEI 27001 Lead Auditor) : Dossier déposé auprès de France Compétences pour une demande de renouvellement du titre RS

Cette mise en situation se rapporte à un cas réel anonymisé d’une organisation qui prévoit un audit de sécurité de son système d’information en adéquation avec les normes ISO 27001 et les normes associées (1) et ISO 19011.Le cas d’entreprise décrit et présente le contexte spécifique, les particularités, les enjeux et le système d’information de l’entreprise.

L’examen de certification d’une durée de 3h30 se déroule en distanciel sur une plateforme d’examen sous surveilance. Il est constitué par :

– la production de livrables à partir d’une mise en situation d’un cas réel anonymisé

– une soutenance présentation orale de 20 min face à un jury

Mise en situation professionnelle reconstituée, sous la forme d’une étude de cas écrite, complétée par une séquence orale de questionnement du jury d’évaluation

Cette mise en situation se rapporte à un cas réel anonymisé d’une organisation qui prévoit un audit de sécurité de son système d’information en adéquation avec les normes ISO 27001 et les normes associées (1) et ISO 19011.

Le cas d’entreprise décrit et présente le contexte spécifique, les particularités, les enjeux et le système d’information de l’entreprise.

Dans l’étude de cas, à l’écrit, il est demandé au candidat de :

• Analyser les menaces, vulnérabilités et risques du système d’information, y compris ceux liés à l’utilisation de l’IA (en lien avec C1)

• Constituer une équipe d’audit et élaborer un plan d’audit structuré (en lien avec C2)

• Évaluer la conformité du Système de Management de la Sécurité de l’Information (en lien avec C3)

• Formaliser et suivre les recommandations issues de l’audit (en lien avec C4)

La production réalisée par le candidat durant l’étude de cas sera transmis au jury d’évaluation en amont de la session orale de questionnement.

• Questionnement du jury d’évaluation

  A l’oral, il est demandé au candidat de répondre aux questions du jury d’évaluation portant notamment sur les éléments de l’étude de cas réalisée pouvant nécessiter des approfondissements, des éclairages ou des justifications.

  (1) les normes associées sont les normes de la famille des ISO 27000 (27001, 27002, 27003, 27004, 27005, 27006, 27007, 27008)

L’objectif de cette formation est de préparer notre certification Audit de systèmes de management de la sécurité de l’information (ISO/CEI 27001 Lead Auditor)

L’objectif de cette formation est de permettre aux apprenants de valider les compétences attendues d’un professionnel capable de préparer, conduire et conclure des audits de systèmes de management de la sécurité de l’information conformes à la norme ISO/IEC 27001: 2022, en appliquant les lignes directrices de la norme ISO 19011 et les guides associés, afin d’évaluer la conformité, d’identifier les écarts et de formuler des recommandations pertinentes contribuant à l’amélioration continue du SMSI.

Ce dispositif de certification permet de la reconnaissance des compétences suivantes :

• C1. Analyser les menaces, vulnérabilités et risques du système d’information, y compris ceux liés à l’utilisation de l’IA, en prenant en considération les aspects humains, organisationnels et technologiques de l’organisation, et en s’appuyant sur la documentation et les processus liés, afin de définir le périmètre et les points de contrôle de l’audit selon ISO 27001.
• C2. Organiser l’audit du Système de Management de la Sécurité de l’Information (SMSI), en constituant une équipe d’audit pluridisciplinaire adaptée aux points de contrôle identifiés et en élaborant un plan d’audit structuré à partir des normes ISO 19011, ISO 27007 et ISO 27008 et intégrant des modalités d’interaction adaptés pour les personnes en situation de handicap, afin d’en assurer une conduite conforme, inclusive et couvrant l’ensemble des activités du périmètre défini.
• C3. Évaluer la conformité du Système de Management de la Sécurité de l’Information, en mettant en œuvre le plan d’audit, en identifiant et en caractérisant les non-conformités, tout en s’appuyant sur les preuves disponibles et les outils et méthodes spécifiques, afin de proposer des actions correctives conformes à la norme ISO/CEI 27001.
• C4. Formaliser et suivre les recommandations issues de l’audit, en rédigeant un rapport final structuré selon la norme 19011, accessible aux utilisateurs en situation de handicap, intégrant une priorisation des mesures à appliquer, et en établissant un plan de suivi des actions opérationnel, afin de faciliter et de contrôler la mise en œuvre et le niveau de réalisation des actions de mise en conformité du SMSI selon la norme ISO 27001.

Formation en digital-learning, 100% en ligne, formée de vidéos, de quiz, de lectures et contenus complémentaires, d’un forum et selon les cas, de webinaires.

– conformément aux CGU du CPF (https://www.moncompteformation.gouv.fr/espace-public/conditions-generales-dutilisation) votre formation a une date de début et une date de fin contractuelle et convenues au moment de votre demande auprès du CPF. La formation doit avoir été réalisée entièrement à la date de fin de la formation.

– conformément aux CGU du CPF, vous serez présenté automatiquement à la fin de la période de formation au certificateur français inscrit au CPF. La planification de l’examen sera réalisée avec le certificateur français directement.

– si votre formation comprend une ou plusieurs certifications internationales, vous devrez nous en passer commande au maximum 1 mois après la date de fin de votre formation. Cette demande se fait par mail à l’adresse contact@skills4all.com. Si cette date est dépassée, il ne sera plus possible de passer commande de(s) la certification(s) internationale(s).

– nous vous encourageons à lire attentivement nos conditions d’usage de notre plateforme disponibles ici (https://lms.skills4all.com/admin/tool/policy/viewall.php). Ces conditions rappellent également les cas de force majeure acceptables en cas d’impossibilité de suivre la formation ou de passer sa certification.

Skills4All est le spécialiste des formations certifiantes sur les métiers du digital :

• Cybersécurité
• Intelligence artificielle
• Agilité
• Gestion de projet
• Automatisation
• Marketing digital
• Développement Web
• etc…

Notre spécificité : vous apprenez où vous voulez, quand vous voulez, grâce à une plateforme accessible 24/7/365 et un accompagnement spécifique. Nos formations ciblent les besoins du marché d’aujourd’hui et vous permettent d’acquérir les compétences clés des secteurs en pleine expansion.

Skills4All est accrédité par le COFRAC (Comité Français d’Accréditation) dans le domaine de la sécurité de l’information, selon la norme ISO 17024, la plus exigeante aujourd’hui. Cette reconnaissance garantit la qualité et la fiabilité de nos offres.

Le monde actuel n’a jamais eu autant besoin de compétences certifiées ; nous avons les cursus adaptés à vos ambitions.