Aller au contenu
HackingByte
EN Demander un échange de cadrage

Prêts pour la certification — et un SMSI qui résiste au contact d’un attaquant.

Une préparation ISO 27001:2022 qui construit un système de management que votre équipe peut faire tourner, que votre auditeur acceptera, et que votre sécurité assumerait réellement.

Demander un échange de cadrage Voir notre méthode
  • Praticiens seniors uniquement.
  • Aucun outil vendu.
  • Reporting fondé sur des preuves.

La plupart des projets ISO 27001 calent au même endroit : un dossier de politiques soignées qui décrit une entreprise que personne ne reconnaît. La norme ne demande pas un jeu de documents — elle demande un système de management qui tourne réellement. Un périmètre qui reflète ce que vous faites vraiment, des risques dont quelqu’un a décidé le traitement, des contrôles dotés de responsables nommés, des preuves qui s’accumulent d’elles-mêmes, et une cadence de management qui passe le tout en revue. Un auditeur échantillonne exactement cela, et un classeur assemblé la semaine d’avant l’audit ne survit pas à l’échantillonnage.

La préparation ISO 27001 de HackingByte construit ce système d’exploitation autour de la manière dont votre équipe travaille déjà, puis vous prépare à le défendre devant un auditeur. Nous cartographions votre périmètre réel, rendons explicite la logique de traitement du risque, dotons chaque contrôle d’un responsable et d’une routine de preuve, et menons l’audit interne et la revue de direction qu’attend la norme avant que l’organisme de certification ne le fasse. Le certificat lui-même est délivré par un organisme certificateur accrédité, pas par nous — ce à quoi nous vous amenons, c’est l’état où il devient une formalité plutôt qu’un pari.

Ce que nous faisons.

Une préparation ISO 27001, construite autour de la façon dont votre équipe travaille réellement.

  • Évaluation des écarts au regard d’ISO 27001:2022

    Nous mesurons votre état actuel par rapport à la norme 2022 — les chapitres 4 à 10 et les contrôles de l’Annexe A — et renvoyons une image honnête et priorisée de la distance jusqu’à la certifiabilité. Vous obtenez une estimation réaliste de délai et d’effort avant de vous engager sur une date de certification.

  • Conception du SMSI et des contrôles

    Nous construisons le système de management de la sécurité de l’information (SMSI) — périmètre, appréciation des risques, déclaration d’applicabilité, politiques et procédures — conçu autour de vos opérations réelles pour que votre équipe puisse réellement le faire tourner. Les contrôles sont bâtis pour fonctionner, pas seulement pour satisfaire une clause.

  • Préparation des preuves

    Nous mettons en place les enregistrements, journaux et artefacts qu’un auditeur demandera, et montrons à votre équipe comment continuer à les produire pour que rien n’ait à être reconstitué dans la précipitation avant l’audit. Cette traçabilité fait la différence entre une certification propre et une liste de non-conformités.

  • Préparation pré-audit

    Nous menons un audit interne, une revue de direction et une évaluation à blanc qui font remonter les non-conformités tant qu’elles sont encore peu coûteuses à corriger. Vous entrez dans l’audit de certification en sachant ce qu’un auditeur trouvera — le certificat lui-même est délivré par un organisme certificateur accrédité, pas par nous.

Nous cadrons en fonction de votre situation réelle — une première certification, une transition vers ISO 27001:2022, ou un SMSI fatigué qui a dérivé après le dernier audit — et non une liste générique.

Bâti pour tenir.

Bien des cabinets vous remettront un SMSI sur modèle — une bibliothèque de politiques où votre nom a été inséré. Cela passe une lecture rapide et ne change presque rien, parce que cela décrit une entreprise qui n’est pas la vôtre. Nous travaillons dans l’autre sens : de la façon dont votre activité fonctionne réellement vers les contrôles qui s’appliquent vraiment, en étant honnêtes sur les écarts qui comptent et ceux qui sont cosmétiques. Parce que HackingByte est d’abord un cabinet de sécurité, nous lisons chaque contrôle au prisme de l’attaque — non pas seulement « une politique existe-t-elle ? », mais « ce contrôle tiendrait-il face à quelqu’un qui cherche activement à le contourner ? ». Un système de management aligné sur le risque réel est bien plus difficile à renverser qu’un système aligné sur une liste de cases, et c’est celui qu’un auditeur accepte et que votre sécurité assumerait.

Un système d’exploitation, pas un pack de documents.

ISO 27001 est un système de management qui doit tourner entre deux audits.

Une norme est une liste de choses qui devraient être vraies. Elle ne les rend pas vraies. ISO 27001 certifie le système qui les maintient vraies — le système de management de la sécurité de l’information (SMSI) — et la distance entre « nous avons rédigé la politique » et « le contrôle fonctionne, quelqu’un en est responsable et nous pouvons le prouver n’importe quel jour » est l’endroit où vivent discrètement la plupart des projets de préparation. C’est aussi exactement la distance qu’exposent l’échantillonnage d’un auditeur, le questionnaire d’un client grand compte ou un incident réel.

Un SMSI qui tient repose sur cinq choses, et aucune n’est le document de politique. Un périmètre qui reflète ce que vous faites réellement et les actifs qui comptent. Un traitement du risque que quelqu’un a décidé, consigné et dont il est responsable. Des contrôles dotés de noms, et non de « l’équipe ». Des preuves produites comme sous-produit du travail normal plutôt que reconstituées sous l’échéance. Et une cadence de management — audit interne, revue de direction, action corrective — qui tourne, qu’un audit soit prévu ou non. Nous construisons ces éléments d’abord ; la déclaration d’applicabilité et le jeu de politiques en découlent, et non l’inverse.

Ce que nous aidons à construire.

Le SMSI sous le certificat.

La certification est un résultat. Ce qui la produit — et survit entre deux audits — est le système de management sous-jacent. Nous vous aidons à construire les éléments qui le rendent réel :

  • Périmètre du SMSI — la frontière de ce qui est certifié, tracée autour des produits, des équipes et des actifs qui portent réellement le risque, pour que le système ne soit ni trop large ni discrètement amputé de l’essentiel.
  • Appréciation des risques et logique de traitement — une méthode reproductible d’identification du risque et une décision consignée et assumée sur la manière de traiter chacun, pour que le registre reflète l’exposition réelle et qu’un auditeur puisse suivre le raisonnement.
  • Appui à la déclaration d’applicabilité — les contrôles de l’Annexe A justifiés, inclus ou exclus, au regard de votre risque réel, pour que la déclaration reflète des décisions défendables plutôt qu’un « tout applicable » de principe.
  • Propriété des contrôles — chaque contrôle rattaché à un responsable nommé et au processus dans lequel il vit, pour que rien ne soit « l’affaire de tous » et donc de personne.
  • Routines de preuve — des preuves générées par la manière dont l’équipe travaille déjà — tickets, revues, journaux d’accès, pipelines — plutôt qu’une course dans les semaines précédant l’évaluation.
  • Préparation à l’audit interne — le programme d’audit interne exigé par la norme, mené de façon à faire remonter les non-conformités tant qu’elles sont encore peu coûteuses à corriger.
  • Préparation de la revue de direction — la revue par la direction qu’impose la norme, organisée pour produire de vraies décisions et l’enregistrement qui prouve que le système est gouverné, et non un tampon de pure forme.

Comment nous travaillons.

Examiner, prioriser, construire les preuves, préparer la direction.

Chaque mission se déroule de la même manière, calibrée sur votre situation actuelle :

Examiner le SMSI et les preuves en place. Nous évaluons ce que vous avez réellement — périmètre, traitement du risque, contrôles, propriété et les preuves qui les étayent — au regard d’ISO 27001:2022, et renvoyons une image honnête de la distance jusqu’à la certifiabilité.

Identifier les écarts de préparation à l’audit. Nous repérons où un auditeur soulèverait une non-conformité, en séparant les écarts majeurs qui bloquent la certification des mineurs qui ne la bloquent pas.

Prioriser les écarts par le risque métier et de sécurité. Nous classons les écarts selon ce qu’ils exposent réellement, pour qu’un calendrier contraint referme d’abord les risques qui comptent — et ceux qui bloquent le certificat — avant les écarts cosmétiques.

Construire le modèle de preuve et la propriété. Nous mettons en place la manière dont la preuve est produite et tenue à jour, attribuons un responsable à chaque contrôle, et montrons à votre équipe comment faire tourner la routine pour que rien ne soit reconstruit avant chaque audit.

Préparer la direction aux échanges avec l’auditeur. Nous préparons vos dirigeants à ce que l’auditeur demandera, à ce que disent les preuves et aux réserves honnêtes — y compris la revue de direction et l’audit interne qu’ils doivent personnellement assumer.

Ceci s’inscrit dans notre pratique plus large de conseil GRC, pour que là où ISO 27001 recoupe vos travaux SOC 2 ou NIS 2, les preuves soient réutilisées plutôt que reconstruites. Vous pouvez lire le cycle complet sur notre page méthodologie.

Voir notre méthode

Ce que vous recevez.

Des livrables que votre équipe peut faire tourner et que votre auditeur acceptera.

Chaque mission se conclut par des livrables concrets, utilisables et présentables, et non par un résumé verbal :

  • Vue des écarts de préparation ISO 27001 — votre situation face à la norme 2022, chapitres 4 à 10 et Annexe A, avec la distance à la certifiabilité énoncée clairement et les majeurs signalés.
  • Cartographie des contrôles et des preuves — chaque contrôle rattaché à son responsable, à son processus et à la preuve qui atteste son fonctionnement.
  • Plan d’action priorisé — avec un responsable désigné et classé selon ce qui bloque le certificat et ce qui porte le plus de risque, calibré sur ce que votre équipe peut réellement réaliser.
  • Synthèse exécutive des risques — l’image de préparation en termes de risque métier pour la direction et le conseil.
  • Feuille de route de préparation à l’audit — la séquence qui mène de votre situation actuelle à l’audit de certification, avec l’audit interne et la revue de direction intégrés.

Où se situe la limite.

Nous vous rendons prêts. Un organisme accrédité certifie.

Nous vous rendons prêts et, si vous le souhaitez, nous vous maintenons prêts à travers les audits de surveillance et la recertification. Nous ne sommes pas un organisme de certification et nous ne délivrons pas de certificats — pour ISO 27001, cela relève d’un organisme certificateur accrédité, indépendant des personnes qui vous ont aidés à vous préparer. Rester en dehors de l’audit est précisément l’intérêt : c’est ce qui nous permet d’être francs avec vous sur votre situation réelle.

Si vous le souhaitez, nous pouvons vous orienter vers des organismes accrédités, mais le choix et l’évaluation leur appartiennent. Ce que nous apportons, c’est la préparation, les preuves et la mise en œuvre concrète — transformer les exigences de la norme en contrôles, les contrôles en preuves, et les preuves en un système que votre équipe peut faire tourner longtemps après que le certificat est au mur.

Quand les équipes nous appellent.

Les moments les plus fréquents où les organisations nous sollicitent pour une préparation ISO 27001 :

  • Un client grand compte qui exige une certification ISO 27001 avant de signer.

  • Une première certification sur la feuille de route, sans SMSI interne pour la bâtir.

  • La transition vers ISO 27001:2022 qui impose de revoir un certificat existant.

  • Un SMSI mis en place une fois pour un audit et qui a depuis dérivé.

  • Un audit de surveillance ou de recertification qui approche, avec des écarts connus non traités.

  • Un conseil ou un investisseur qui demande une assurance indépendante que la sécurité est réellement gouvernée.

Questions fréquentes

Délivrez-vous le certificat ?
Non — c’est un organisme certificateur accrédité qui le délivre, indépendamment de nous. Nous vous rendons prêts, pouvons vous orienter vers des organismes accrédités, et restons en dehors de l’audit pour pouvoir être francs sur votre situation.
Combien de temps prend la préparation ?
Cela dépend de votre maturité de départ et du périmètre du SMSI ; l’évaluation des écarts vous donne un calendrier réaliste et priorisé avant que vous ne vous engagiez sur une date de certification. Un premier SMSI prend plus de temps que le resserrement d’un SMSI qui a dérivé.
Nous passons de la norme 2013 à la norme 2022 — pouvez-vous aider ?
Oui. Nous évaluons votre SMSI existant au regard d’ISO 27001:2022, cartographions les changements de contrôles de l’Annexe A, et priorisons le travail de transition pour que le prochain audit de surveillance ou de recertification se passe proprement.
Cela va-t-il ralentir notre équipe d’ingénierie ?
Nous concevons les contrôles et les preuves autour de votre manière de livrer actuelle — tickets, revues, pipelines — plutôt qu’un processus parallèle qui bloque la feuille de route. Des preuves qui sont un sous-produit du travail normal sont ce qui maintient le SMSI en vie entre deux audits.
Que se passe-t-il une fois certifiés ?
Nous pouvons maintenir le SMSI à travers les audits de surveillance et la recertification, ou le confier à votre équipe avec les routines en place pour le faire tourner elle-même.
Comment la mission est-elle cadrée et tarifée ?
Au forfait, par fourchette selon le périmètre du SMSI et votre maturité de départ, avec la fourchette communiquée lors du cadrage avant tout engagement. Nous ne proposons pas de taux journaliers.

Services associés

La plupart des missions se combinent avec l'un des parcours ci-dessous — chacun mené par des seniors, à périmètre fixe et fondé sur les preuves, selon le même modèle de reporting.

Si un client ou un conseil a demandé ISO 27001, commencez par un échange de cadrage et nous évaluerons l’écart honnêtement.

Demander un échange de cadrage