Préparation à la certification ISO 27001 — par un Lead Auditor qui met les mains dans le cambouis
De l'audit gap à la certification. Politiques rédigées, contrôles techniques implémentés, mock audit. Open source, hébergement France.
Pour qui ?
Quatre profils qui représentent l'écrasante majorité de nos missions ISO 27001.
Éditeurs SaaS B2B
Vous avez un cycle de vente B2B où la sécurité bloque les deals — souvent à partir d'une Series A. ISO 27001 débloque les achats grands comptes.
ESN & cabinets de conseil
Vous répondez à des appels d'offres grands comptes et subissez des audits clients fréquents. La certification rationalise les questionnaires sécurité.
Scale-ups post-Series A
Vous industrialisez votre sécurité avant Series B ou cession. ISO 27001 valorise l’entreprise et rassure les acquéreurs en due diligence.
ETI sur marchés régulés
Vous répondez à des marchés publics santé, finance, défense, énergie. ISO 27001 est de plus en plus exigée en pré-requis.
Pourquoi maintenant ?
Trois dynamiques 2026 qui font d'ISO 27001 un sujet qui ne peut plus attendre.
Cascade des grands comptes
ISO 27001 est mentionnée dans presque toutes les contractualisations B2B 2026. Vos clients exigent un certificat — pas un PDF maison de bonnes intentions.
Marchés publics régulés
Pré-requis croissant sur les marchés publics santé, finance, défense, énergie — en plus de NIS2. Voir notre offre dédiée NIS2.
Voir l’offre NIS2NIS2 et DORA mutualisés
NIS2 et DORA introduisent des exigences qui chevauchent à 70-80 % l’Annexe A 2022. Autant tout faire ensemble plutôt que trois projets parallèles.
Notre approche en 5 phases
De l'audit gap à l'audit officiel — un déroulé éprouvé, sans surprise sur le budget ni sur le calendrier.
Audit gap
Cartographie de l'écart vs Annexe A 2022 (93 contrôles). Entretiens, revue documentaire, preuves. Livrable : rapport PDF chiffré, plan de remédiation, executive summary.
Détail de l'audit gapPlan de remédiation
Priorisation impact / effort / coût, planning à 6-9 mois, budget par chantier. Décision go / no-go avec la direction. Cadrage fin du périmètre de certification.
Implémentation
Le cœur de la mission — politiques rédigées et adoptées (PSSI, charte, classification, gestion d'incidents…), contrôles techniques implémentés (IAM Keycloak, MFA / FIDO2, durcissement systèmes, sauvegardes immutables, journalisation et SIEM Wazuh, gestion des vulnérabilités Trivy + scan continu, classification des données), sensibilisation collaborateurs.
Module sensibilisationMock audit + sensibilisation finale
Audit blanc complet stage 1 (revue documentaire) + stage 2 (revue terrain). Formation finale de l’équipe, revue des indicateurs et des preuves. Vous arrivez à l’audit officiel sans surprise.
Assistance audit officiel
L’audit officiel est mené par un organisme certificateur tiers indépendant (LSTI, BSI, AFNOR, Bureau Veritas, Apave). Hors périmètre M-KIS, mais on vous accompagne le jour J et on traite les non-conformités éventuelles.
Pourquoi M-KIS plutôt qu'un autre cabinet ?
Quatre raisons concrètes — vérifiables — qui font la différence à l'audit.
Lead Auditor ISO 27001 certifié
Un Lead Auditor certifié IRCA dans l'Équipe M-KIS. La même grille de lecture qu'un auditeur d'organisme certificateur — sans surprise au stage 2.
100 % open source
Keycloak, Wazuh, Vault, Restic, Trivy, OpenSearch. Vous restez maître de votre stack sécurité après notre départ — pas de dépendance Vanta / Drata.
Tarif transparent
Audit gap 5-12 K€, accompagnement 25-45 K€, surveillance 6-12 K€/an. Devis ferme remis après audit gap. Pas de jour-homme caché.
On met les mains dans le cambouis
On fait l'implémentation technique nous-mêmes. La plupart des concurrents la sous-traitent ou la laissent au client — pas nous.
Ce qui est inclus dans l'accompagnement complet
Documentation et technique — les deux jambes de l'ISMS, gérées par la même équipe.
Documentation
- Manuel de management (ISMS)
- Statement of Applicability (SoA) commenté contrôle par contrôle
- 12-15 politiques (PSSI, charte info, gestion d’incidents, BCP, classification, contrôle d’accès, dev sécurisé…)
- Registre des risques + plan de traitement
- Registre des actifs
- Indicateurs et tableau de bord ISMS
Technique
- Configuration IAM / MFA / SSO (Keycloak)
- Durcissement systèmes (CIS benchmarks, runbooks Ansible)
- Déploiement SIEM (Wazuh + OpenSearch)
- Sauvegardes immutables (Restic + Borg + S3 object lock)
- Gestion des secrets (Vault)
- Scan vulnérabilités (Trivy + Lynis + Nuclei)
- Sensibilisation collaborateurs (modules dédiés)
- Mock audit complet stage 1 + stage 2
Tarification publique
Trois fourchettes claires. Pas de jour-homme caché, pas d'abonnement, pas de surcoût "imprévu" en cours de mission.
Audit gap seul
5 000 - 12 000 € HT
5 à 10 jours
Cartographie des 93 contrôles, plan de remédiation chiffré. Le vrai pré-requis avant d'engager un budget certification.
En savoir plusAccompagnement complet
25 000 - 45 000 € HT
6 à 9 mois
De l'audit gap au mock audit, en passant par l'implémentation technique et la documentation. Vous arrivez à l'audit officiel prêt.
En savoir plusAudit officiel par tiers
3 000 - 8 000 € HT
Stage 1 + stage 2
Réalisé par un organisme certificateur indépendant (LSTI / BSI / AFNOR / Bureau Veritas / Apave). Payé directement à l’organisme.
Et le SaaS GRC type Vanta / Drata ?
Question légitime — on l'entend systématiquement en découverte. Notre position est honnête, et argumentée.
Vanta / Drata ont leur place
Pour des startups US-first qui veulent SOC 2 vite, sans interlocuteur en face : oui, ces outils accélèrent la collecte de preuves et la documentation light.
Pour ISO 27001 audité par un organisme COFRAC français
Leur sortie est partielle. La Statement of Applicability générée n'est pas contextualisée à votre métier, le registre des risques est générique, et les contrôles techniques sont déclaratifs — pas implémentés. Un Lead Auditor le voit en 30 minutes au stage 2.
Surveillance annuelle (post-certification)
La certification ISO 27001 est valable 3 ans, avec un audit de surveillance chaque année et une recertification complète à 3 ans. L'ISMS doit vivre.
Suivi M-KIS — 6 à 12 K€/an
Maintien de l'ISMS, mise à jour des politiques, suivi des indicateurs, préparation de l'audit de surveillance. Format léger pour TPE, plus étoffé pour PME multi-sites.
RSSI à temps partagé
Alternative recommandée si vous voulez un sponsor sécurité interne sans recruter à temps plein. Le maintien ISO 27001 est inclus dans le forfait, ainsi que les revues de risques et la gestion des incidents.
Voir l'offre RSSI à temps partagéQuestions fréquentes ISO 27001
Les dix questions qu'on entend systématiquement en découverte. Sans langue de bois.
Ressources gratuites associées
Trois lectures pour avancer seul, ou pour préparer un échange découverte utile.
Checklist 93 contrôles Annexe A 2022
Le décryptage complet des 93 contrôles de l'Annexe A 2022, regroupés par thème.
Lire l’articleCoût ISO 27001 PME / SaaS en 2026
Combien ça coûte vraiment, où sont les pièges, comment optimiser sans casser la conformité.
Lire l’articleVanta ne suffit pas pour un audit ISO 27001
Pourquoi les SaaS GRC ont des limites face à un audit COFRAC français — et que faire à la place.
Lire l’articleLe meilleur moment pour démarrer ISO 27001, c'est avant que votre prochain client grand compte vous le demande.
Audit gap en 5 à 10 jours, devis ferme dans la foulée, certification visée à 6-9 mois. On commence par un échange découverte de 30 minutes, sans engagement.