Produit d'appel · ISO 27001

    Audit gap ISO 27001

    Le pré-requis de toute certification réussie : savoir précisément où vous en êtes vs les 93 contrôles de l'Annexe A 2022.

    5 000 - 12 000 € HT·5 à 10 jours·Lead Auditor certifié
    Démarrer un audit gapLire les 93 contrôles

    Pourquoi commencer par un audit gap

    Avant de signer un budget de certification à 30-50 k€, il faut savoir exactement ce qu'il y a déjà — et ce qu'il manque.

    Sans audit gap, on devine

    Avec, on sait. Vous démarrez la mise en conformité avec une vision factuelle de votre niveau de maturité face aux 93 contrôles de l'Annexe A 2022.

    Évite de payer pour rien

    Beaucoup de TPE/PME font déjà 60 à 70 % de la norme sans le savoir. Pas la peine de reconfigurer ce qui marche déjà — on identifie les vrais écarts.

    Plan chiffré, contrôle par contrôle

    Chaque écart est estimé en jour-homme et priorisé impact / effort / coût. Vous pouvez arbitrer, étaler dans le temps, ou attaquer le critique en premier.

    Comment ça se passe — J1 à J5

    Frise pour une mission TPE de 5 jours. Pour PME / ETI, les jours d'entretiens et de cartographie sont étendus, le format reste le même.

    J1

    Kick-off & revue documentaire

    Cadrage du périmètre, revue des politiques existantes, ISMS, SoA si déjà rédigée, registre des actifs.

    J2

    Entretiens

    DSI, ops, dev, RH, legal selon le scope. Sessions courtes, ciblées par contrôle, sans formalisme inutile.

    J3

    Cartographie des contrôles

    A.5 / A.6 / A.7 / A.8 — les 93 contrôles statués un par un : applicable, partiel ou absent. Preuves collectées.

    J4

    Analyse & priorisation

    Calcul des écarts, estimation effort en JH, priorisation par couple impact / coût, recommandations sur le périmètre.

    J5

    Restitution & rapport

    Visio de restitution avec direction + équipe technique, remise du rapport PDF complet et de l'executive summary.

    Le livrable

    Un rapport PDF qui sert vraiment

    Pas un document de 80 pages illisible. Un rapport opérationnel, conçu pour arbitrer un budget, planifier des chantiers et défendre un périmètre devant un COMEX.

    Executive summary 1 page

    À mettre devant la direction : niveau de maturité, budget cible, durée estimée jusqu'à la certification. Sans jargon.

    Tableau des 93 contrôles (Annexe A 2022)

    Pour chaque contrôle : statut actuel (applicable / partiel / absent), écart, preuve nécessaire, effort en JH, priorité (P1 / P2 / P3).

    Plan de remédiation à 6-9 mois

    Roadmap par trimestre, dépendances entre chantiers, jalons clairs. Vous savez quoi faire, dans quel ordre, et pourquoi.

    Estimation de budget global

    Coût interne (JH équipes), coût externe (outils, accompagnement éventuel, certification, audit blanc). Pas de mauvaise surprise.

    Recommandations sur le périmètre

    Conseil de scope : ne pas surdimensionner. Mieux vaut une certification ciblée et solide qu'un périmètre fourre-tout impossible à tenir.

    Points de vigilance stage 1 & stage 2

    Les pièges récurrents qui font caler une certification : preuves manquantes, SoA mal calibrée, indicateurs absents. On les anticipe.

    Tarification par taille d'organisation

    Tarif public, fixe, sans abonnement caché. Le périmètre exact est cadré au kick-off et ne bouge plus.

    TPE

    Moins de 30 personnes

    5 000 - 7 000 € HT

    5 jours

    PME

    30 à 150 personnes

    7 000 - 10 000 € HT

    6 à 8 jours

    ETI

    150 personnes et plus

    10 000 - 12 000 € HT

    10 jours

    Et après l'audit gap ?

    Deux chemins possibles, selon votre maturité interne et vos ressources.

    Option 1

    Vous portez le plan d'action en interne

    Vous avez un RSSI, un DPO solide ou une équipe sécurité. On vous remet les livrables, et l'Équipe M-KIS reste disponible en consulting ponctuel pour débloquer un sujet ou relire la SoA.

    Discuter d'un cadrage
    Option 2

    On porte la mise en conformité jusqu'à la certification

    Accompagnement complet : politiques rédigées, contrôles techniques implémentés, mock audit, présence aux stages 1 & 2. À partir de 25 000 € HT, sur 6 à 9 mois.

    Voir l'offre certification ISO 27001
    Concerné aussi par NIS2 ? L'audit gap couvre une grande partie du recouvrement avec ISO 27001 — on peut l'intégrer au cadrage.

    Questions fréquentes

    Faut-il être 'prêt' pour démarrer un audit gap ?

    Non, c'est même tout l'intérêt. L'audit gap se fait précisément quand vous ne savez pas où vous en êtes. Pas besoin d'avoir rédigé quoi que ce soit avant.

    Sous combien de temps reçoit-on le livrable ?

    Le rapport PDF est remis en restitution visio le dernier jour de la mission (J5 pour une mission TPE, J10 pour une ETI). Pas de délai d'attente après la fin des entretiens.

    Combien de temps le rapport reste-t-il valable ?

    12 à 18 mois en général. Au-delà, votre SI a évolué, la norme aussi (mise à jour 2022 stable mais des évolutions interprétatives existent). Un point de mise à jour à mi-parcours est recommandé.

    Quelle différence avec un audit interne ISO 27001 ?

    L'audit interne suppose que l'ISMS est déjà en place et vérifie sa conformité. L'audit gap, lui, mesure l'écart entre votre situation actuelle et la norme — c'est l'étape d'avant.

    L'audit gap couvre-t-il aussi NIS2, DORA ou SOC 2 ?

    Oui en grande partie. Il y a 70 à 80 % de recouvrement entre ISO 27001 Annexe A 2022 et ces référentiels. Le rapport peut signaler les écarts spécifiques NIS2 / DORA si vous le demandez au cadrage.

    Le meilleur moment pour faire un audit gap, c'est avant de signer un budget certification.

    5 à 10 jours, un livrable factuel, un plan chiffré. Vous décidez ensuite, en connaissance de cause.

    Démarrer un audit gapVoir l'accompagnement complet ISO 27001