Formation ISO 27001 Lead Implementer – Sécurité des Systèmes d’Information 2025

1ère Partie : Le Lead Implementer 2025 et la norme ISO27001

Chapitre 1 : ISO 27001 Définition et Contexte

• 1.1 Les principes d’un système de management
• 1.2 Les origines et l’histoire des normes ISO
• 1.3 Le modèle PDCA, approche par processus
• 1.4 La norme ISO 27001 et ses exigences
• 1.5 Les normes ISO dans l’entreprise
• 1.6 La notion de risque et la norme ISO 27005

Chapitre 2 : Initialisation de la mise en œuvre

• 2.1 Les principes de mise en œuvre – ISO 27003
• 2.2 Définir l’approche et la méthodologie
• 2.3 La gestion du Changement
• 2.4 Pour aller plus loin
• 2.5 Définir la vision et les objectifs

Chapitre 3 : Étape 1 – Obtenir l’approbation

• 3.1 Description de l’étape 1
• 3.2 Clarifier les priorités
• 3.3 Définir le périmètre préliminaire
• 3.4 Définir les rôles et responsabilités
• 3.5 Créer le Cas d’Affaire et le Plan de projet
• 3.6 Revue et Approbation du projet SMSI

Chapitre 4 : Les Rôles et Responsabilités

• 4.1 Définir les rôles et les responsabilités
• 4.2 Définir les rôles principaux du SMSI
• 4.3 Le rôle du Lead Implementer
• 4.4 L’équipe du projet de mise en œuvre du SMSI
• 4.5 Définir les autres rôles du SMSI
• 4.6 Les ressources externes à l’organisation
• 4.7 Plan de Communication

Chapitre 5 : Étape 2 – Le périmètre détaillé

• 5.1 Description de l’étape 2
• 5.2 Définir le périmètre de l’organisation
• 5.3 Définir le périmètre de l’ICT
• 5.4 Définir le périmètre physique
• 5.5 Intégrer et définir le périmètre
• 5.6 Développer la Politique de Sécurité de l’Information

Chapitre 6 : Étape 3 – Analyse des exigences

• 6.1 Description de l’étape 3
• 6.2 Identifier et définir les exigences
• 6.3 Identifier les actifs de l’organisme
• 6.4 Réaliser un audit de l’existant

Chapitre 7 : Étape 4 – Analyse des risques

• 7.1 Description de l’étape 4
• 7.2 Réaliser un audit des risques et vulnérabilités
• 7.3 L’approche pour l’appréciation des risques
• 7.4 Identification des risques
• 7.5 L’analyse et l’évaluation des risques
• 7.6 Le traitement des risques
• 7.7 L’acceptation des risques
• 7.8 Sélectionner les mesures applicables
• 7.9 Obtenir l’approbation de mettre en œuvre

Chapitre 8 : Étape 5 – Conceptualiser le SMSI

• 8.1 Description de l’étape 5
• 8.2 Définir la structure organisationnelle finale du SMSI
• 8.3 Définir le processus de gestion documentaire du SMSI
• 8.4 Définir les politiques de sécurité de l’information
• 8.5 Développer les standards et les procédures de sécurité de l’information
• 8.6 Formaliser les exigences physiques et technologiques
• 8.7 Définir les contrôles spécifiques et l’accompagnement
• 8.8 Produire un plan final de projet d’implémentation du SMSI dans l’organisation

Chapitre 9 : Les contrôles et les mesures

• 9.1 Les objectifs et les exigences
• 9.2 Le choix et le développement des indicateurs
• 9.3 La documentation des indicateurs
• 9.4 Les tableaux de bord et les résultats
• 9.5 suivi et communication

Chapitre 10 : Gestion opérationnelle du SMSI

• 10.1 Le transfert et l’accompagnement
• 10.2 La Gestion des Incidents
• 10.3 Le traitement des non-conformités
• 10.4 Les audits internes
• 10.5 La revue de Direction
• 10.6 L’amélioration continue

2ème Partie : ISO2700 Lead Implementer : mise en application

1. Étude d’opportunité

• Analyse des motivations internes et externes à la certification

• Évaluation des coûts, bénéfices, risques et obstacles

• Construction d’une démarche de décision (matrice SWOT, ROI, engagement direction)

2. Lancement du projet

• Définition des objectifs et parties prenantes

• Constitution de l’équipe projet (Chef de projet, RSSI, métiers, IT…)

• Planification, comités de pilotage, communication interne

3. État des lieux

• Diagnostic initial (auto-évaluation, audits, entretiens)

• Analyse des processus métiers et systèmes existants

• Évaluation de la maturité cybersécurité

4. Définition du périmètre et du niveau de sécurité

• Choix du domaine d’application (par site, BU, processus)

• Détermination du niveau de sécurité attendu

• Impacts sur la politique et les objectifs du SMSI

5. Déclaration d’applicabilité (DdA)

• Sélection et justification des mesures de l’annexe A

• Définition du niveau de maturité et lien avec les risques

• Cohérence avec les exigences légales, contractuelles et internes

6. Constitution du corpus documentaire

• Élaboration des politiques, procédures et processus obligatoires

• Structuration documentaire (référentiel, classification, validation)

• Diffusion, sensibilisation et audit documentaire

7. Appréciation des risques (ISO 27005)

• Identification des actifs, menaces, vulnérabilités

• Construction des scénarios de risque

• Évaluation, traitement, acceptation des risques

• Cas pratique complet avec grille et indicateurs

8. Allocation des ressources (phase “Do”)

• Arbitrages budgétaires et priorisation

• Présentation des coûts et ROI

• Rôle du responsable SMSI et de la direction

9. Déploiement des mesures de sécurité

• Techniques : accès, chiffrement, réseau, sauvegarde

• Organisationnelles : politiques, sensibilisation, gestion des incidents

• Physiques : contrôle d’accès, vidéosurveillance, sécurité des locaux

10. Mise en place des indicateurs

• Définition et suivi d’indicateurs clés (incidents, mises à jour, sensibilisation…)

• Automatisation, reporting, visualisation (tableaux, graphiques)

11. Audit interne

• Préparation, réalisation, traitement des écarts

• Rédaction du rapport d’audit

12. Revue de direction

• Pilotage stratégique du SMSI

• Alignement avec les objectifs métier

• Plan d’actions et décisions

13. Sélection d’un organisme de certification

• Critères de choix (accréditation, expérience, tarifs, réputation)

• Préparation du dossier et contractualisation

14. Audit de certification

• Organisation pratique, gestion des auditeurs

• Recommandations et bonnes pratiques pour les audités

• Gestion des non-conformités

15. Suivi post-audit

• Traitement des écarts, plans de remédiation

• Capitalisation sur la certification obtenue

• Maintien de la conformité et amélioration continue

Une bonne connaissance des systèmes d’information des organisations est nécessaire.

Le candidat devra produire un CV justifiant d’une expérience d’au moins trois ans dans la gestion des systèmes d’information dont au moins 1 an en tant que participant à un projet de mise en place ou de maintien d’un système de management de la sécurité de l’information et cela dans les 5 dernières années.

Vérifiez vos prérequis ici

Cette formation vous permettra de valider notre certification Piloter la mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001 Lead Implementer) inscrite au Répertoire Spécifique n° 6244 (SKILLS4ALL).

En suivant cette formation, vous vous engagez à passer l’examen de cette certification. Il devra être passé après la formation et après vos révisions personnelles.

Dans le cadre de cette certification professionnelle inscrite au RNCP il vous sera demandé de fournir les données suivantes :

Nom et prénom, date de naissance, lieu de naissance, coordonnées, expérience professionnelle avant et après la certification, fonction/statut, type de contrat nom de l’entreprise, rémunération brute annuelle à 6 mois et à 1 an/2 ans.

Ces informations sont collectées afin d’éditer le parchemin de certification, d’alimenter le passeport de compétences, et pour répondre à l’obligation de l’évaluation de l’impact économique et social de la certification professionnelle.

Le démarrage de la formation sera conditionné au remplissage d’un questionnaire visant la collecte des informations sus mentionnées.

Passage de la certification Piloter la mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001 Lead Implementer) inscrite au Répertoire Spécifique n° 6244 (SKILLS4ALL).

L’évaluation se fait à travers une mise en situation professionnelle reconstituée.

Cette mise en situation se rapporte à un cas réel anonymisé d’une organisation souhaitant élaborer et mettre en œuvre un projet d’implementation d’un système de management de la sécurité de l’information en conformité avec la norme ISO 27001 et les autres normes ISO associées (1). Le cas d’entreprise décrit et présente le contexte spécifique, les particularités, les enjeux et le système d’information de l’entreprise.

L’examen de certification d’une durée de 2h00 se déroule en distanciel sur une plateforme d’apprentissage. Il est constitué par :

• le passage d’un questionnaire à choix multiple constitué de questions fermées et ouvertes
• la production de livrables
• une présentation orale au format vidéo

Précisions sur les livrables et la présentation orale au format vidéo

Le candidat prépare une présentation sous forme de livrables (rédigés) de son projet d’implémentation d’un système de management selon ISO 27001 en distinguant 3 parties :

• Partie 1 : justification du choix du périmètre (compétence C1 à C3)
• Partie 2 : description du projet d’implémentation qu’il a conçu (politique et principales mesures) (compétence C4 à C6)
• Partie 3 : formalisation de sa démarche d’accompagnement à la mise en place (principaux enjeux humains et actions/positionnement envisagées) (C7 à C9)

Le candidat présente son travail à oral au format vidéo à l’attention du jury de certification comme s’il défendait son projet d’implémentation devant un comité de direction d’une organisation. Durant cette présentation enregistrée un accent particulier devra être mis sur les compétences de savoir agir en situation.

L’objectif de cette formation est de préparer notre certification Piloter la mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001 Lead Implementer) inscrite au Répertoire Spécifique n° 6244 (SKILLS4ALL).

L’objectif d’apprentissage de cette formation est de permettre aux apprenants de valider les compétences des professionnels capables d’élaborer et mettre en œuvre un système de management de la sécurité de l’information d’une organisation (SMSSI) selon la norme NF EN ISO/IEC 27001 : 2022.

Le SMSSI visé devra tenir compte des besoins et des objectifs de l’organisation, des exigences de sécurité, des processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de l’organisation.

Ce dispositif de certification permet de la reconnaissance des compétences suivantes :

C1. Collecter et analyser les données existantes en s’appuyant sur la documentation obligatoire et non obligatoire de l’entreprise et des entretiens de personnes ressources telles que définis dans la norme ISO 27001 afin d’établir un état des lieux concernant la sécurité de l’information

C2. Définir les objectifs du système de management de la sécurité de l’information (SMSI) en s’appuyant sur l’état des lieux réalisés et la norme ISO 27001 afin de préciser le périmètre du projet de mise en œuvre

C3. Formaliser le domaine d’application et le business case en utilisant une approche projet établie en vue de permettre la décision de lancement du projet de mise en œuvre

C4. Constituer une équipe projet en définissant les rôles et responsabilités en lien avec la norme afin d’optimiser la mise en œuvre du SMSI

C5. Concevoir un plan de projet d’implémentation du SMSI en s’appuyant sur les parties prenantes du projet afin de garantir le succès de sa mise en œuvre

C6. Élaborer la Politique de sécurité de l’information et la Déclaration d’applicabilité en prenant en compte les contraintes de l’organisation afin d’obtenir l’approbation de la direction

C7. Exécuter le plan de projet en créant, documentant les dispositifs, l’organisation et les mesures de sécurité spécifiques pour augmenter la maturité de l’entreprise concernant la sécurité de l’information

C8. Faciliter l’appropriation du SMSI en s’appuyant sur une démarche d’accompagnement au changement afin d’obtenir l’engagement des parties prenantes

C9. Mettre en œuvre une démarche de contrôle et d’amélioration continu du SMSI afin de garantir le niveau de performance du SMSI souhaité

Formation en digital-learning, 100% en ligne, formée de vidéos, de quiz, de lectures et contenus complémentaires, d’un forum et selon les cas, de webinaires.

– conformément aux CGU du CPF (https://www.moncompteformation.gouv.fr/espace-public/conditions-generales-dutilisation) votre formation a une date de début et une date de fin contractuelle et convenues au moment de votre demande auprès du CPF. La formation doit avoir été réalisée entièrement à la date de fin de la formation.

– conformément aux CGU du CPF, vous serez présenté automatiquement à la fin de la période de formation au certificateur français inscrit au CPF. La planification de l’examen sera réalisée avec le certificateur français directement.

– si votre formation comprend une ou plusieurs certifications internationales, vous devrez nous en passer commande au maximum 1 mois après la date de fin de votre formation. Cette demande se fait par mail à l’adresse contact@skills4all.com. Si cette date est dépassée, il ne sera plus possible de passer commande de(s) la certification(s) internationale(s).

– nous vous encourageons à lire attentivement nos conditions d’usage de notre plateforme disponibles ici (https://lms.skills4all.com/admin/tool/policy/viewall.php). Ces conditions rappellent également les cas de force majeure acceptables en cas d’impossibilité de suivre la formation ou de passer sa certification.

Skills4All est le spécialiste des formations certifiantes sur les métiers du digital :

• Cybersécurité
• Intelligence artificielle
• Agilité
• Gestion de projet
• Automatisation
• Marketing digital
• Développement Web
• etc…

Notre spécificité : vous apprenez où vous voulez, quand vous voulez, grâce à une plateforme accessible 24/7/365 et un accompagnement spécifique. Nos formations ciblent les besoins du marché d’aujourd’hui et vous permettent d’acquérir les compétences clés des secteurs en pleine expansion.

Skills4All est accrédité par le COFRAC (Comité Français d’Accréditation) dans le domaine de la sécurité de l’information, selon la norme ISO 17024, la plus exigeante aujourd’hui. Cette reconnaissance garantit la qualité et la fiabilité de nos offres.

Le monde actuel n’a jamais eu autant besoin de compétences certifiées ; nous avons les cursus adaptés à vos ambitions.