fr
en
ISO/CEI 27001 Lead Auditor : audit de systèmes de management de la sécurité de l'information
Un système de management de la sécurité de l’information (SMSI) vise à maîtriser les risques liés à l’information afin d’assurer la continuité d’activité et la protection des actifs informationnels. La norme ISO/CEI 27001:2022 définit les exigences permettant d’en évaluer la conformité.
Cette formation ISO/CEI 27001 Lead Auditor vous apporte l’expertise nécessaire pour planifier, conduire et conclure un audit de SMSI, seul ou en équipe, conformément aux normes ISO 27001 et ISO 19011.
À l’issue de la formation, vous passerez l’examen officiel de certification attestant de votre capacité à mener un audit de SMSI et à formuler des conclusions et recommandations conformes aux exigences normatives.
Skills4All est un organisme certificateur spécialisé dans le développement des compétences numériques et la transformation digitale, détenteur de la certification RS7478 inscrite au Répertoire Spécifique de France Compétence
Objectifs
Objectifs pédagogiques :
En résumé :
- Analyser les risques et définir le périmètre d’un audit SMSI (ISO/CEI 27001:2022).
- Planifier et organiser un audit conforme aux normes ISO 19011, ISO 27007 et ISO 27008.
- Conduire l’audit et évaluer la conformité du SMSI.
- Formaliser les conclusions, prioriser les actions et assurer le suivi des recommandations.
En détails :
- Analyser les menaces, vulnérabilités et risques du système d’information, y compris ceux liés à l’utilisation de l’IA, en tenant compte des aspects humains, organisationnels et technologiques afin de définir le périmètre et les points de contrôle de l’audit en lien avec les clauses et annexes ISO/CEI 27001:2022.
- Constituer une équipe d’audit pluridisciplinaire d’au moins deux profils complémentaires, en garantissant l’indépendance et l’absence de conflit d’intérêt.
- Élaborer un plan d’audit structuré conformément aux normes ISO 19011 et ISO 27007, en sélectionnant et justifiant les techniques et outils d’audit selon ISO 27008.
- Définir des modalités d’interaction et d’accessibilité adaptées aux personnes en situation de handicap dans le cadre de la conduite d’audit.
- Mettre en œuvre le plan d’audit en collectant et documentant les preuves, en identifiant et en classant les non-conformités (majeures et mineures).
- Proposer des actions correctives adaptées et justifiées pour chaque non-conformité, en lien avec les mesures de sécurité de la norme ISO/CEI 27001.
- Rédiger un rapport d’audit structuré selon ISO 19011, intégrant faits observés, preuves, non-conformités caractérisées, priorisation des actions et adaptations d’accessibilité.
- Élaborer un plan de suivi opérationnel des actions correctives incluant échéances, niveau d’avancement et intégration dans une démarche d’amélioration continue.
- Caractériser les menaces et vulnérabilités qui pèsent sur le système d’information de l’organisation,
- Déterminer les risques en analysant la documentation et les processus de l’organisation.
- Composer une équipe d’audit pluridisciplinaire.
- Concevoir un plan d’audit.
- Identifier et apprécier les non conformités en mettant en œuvre le plan d’audit.
- Formaliser ses recommandations dans un rapport final.
- Établir un plan de suivi des actions.
Programme
Tour de table :
- Introduction individuelle des participants.
- Exploration des attentes et des objectifs de chaque participant.
- Introduction au cadre de la formation.
- Alignement avec les objectifs et enjeux spécifiques de la formation ISO 27001.
- Identification des attentes et des perspectives individuelles des participants.
Partie 1 : introduction au SMSI tel que défini par l’ISO 27001
- Le cadre normatif, réglementaire et juridique relatif à la sécurité de l'information.
- Présentation des normes ISO/CEI 27001:2022, ISO 27002, ISO 19011, ISO 27007 et ISO 27008.
- Cadre et objectifs de l'ISO 27001 : introduction aux objectifs et à la structure de la norme ISO 27001, en expliquant comment elle s'intègre dans une approche globale de la sécurité de l'information.
- Éléments clés du SMSI : détail des composants essentiels d'un SMSI efficace, y compris la politique de sécurité, les objectifs, les processus de mesure de performance et les exigences des clauses et annexes de la norme.
- Analyse des menaces, vulnérabilités et risques du système d’information, en prenant en compte les aspects humains, organisationnels et technologiques.
- Prise en compte des risques liés à l’utilisation de l’Intelligence Artificielle le cas échéant.
- Définition du périmètre d’audit et identification des points de contrôle en lien avec les clauses et annexes ISO 27001.
Partie 2 : principes d’audit et préparation de l’audit
- Fondamentaux de l'audit selon ISO 19011 : objectivité, indépendance, confidentialité, approche systématique et compétence professionnelle.
- L’approche de l’audit fondée sur des preuves.
- L'impact des tendances et de la technologie sur l'audit.
- Planification de l'audit : techniques pour la création d'un plan d'audit structuré selon ISO 19011 et ISO 27007, définition des objectifs d’audit et des points de contrôle.
- Constitution d’une équipe d’audit pluridisciplinaire d’au moins deux profils complémentaires, en veillant à l’absence de conflit d’intérêt.
- Sélection et justification des techniques et outils d’audit conformément aux recommandations ISO 27008.
- Définition des modalités d’interaction et d’accessibilité adaptées aux personnes en situation de handicap lors de la conduite de l’audit.
Partie 3 : conduite de l’audit
- L’audit documentaire du SMSI.
- La mise en œuvre des procédures d’audit : observation, examen des documents, interviews, techniques d’échantillonnage, vérification technique, collaboration et évaluation.
- La communication lors de l’audit.
- Collecte et documentation des preuves d’audit.
- Identification, caractérisation et classification des non-conformités (majeures et mineures) en lien avec les clauses et les 114 mesures de sécurité de la norme ISO/CEI 27001.
- Formulation des conclusions de l’audit.
- Proposition d’actions correctives adaptées pour chaque non-conformité identifiée et justification de leur applicabilité.
Partie 4 : clôture de l’audit
- Synthèse des résultats et réunion de clôture.
- Rédaction d’un rapport d’audit structuré conformément aux lignes directrices ISO 19011 incluant : faits observés, preuves recueillies, conformités, non-conformités caractérisées, points forts et priorisation des actions.
- Intégration d’au moins deux éléments ou adaptations favorisant l’accessibilité du rapport aux personnes en situation de handicap (structure adaptée, format accessible, lisibilité…).
- Élaboration d’un plan de suivi opérationnel des actions correctives incluant :
- formalisation des actions à mettre en œuvre,
- définition des échéances,
- échelle de niveau d’avancement,
- modalités de contrôle et de rappels,
- intégration dans une démarche d’amélioration continue.
- Audit de surveillance et programme de gestion de l’audit interne.
Partie 5 : compétences de l’auditeur
- Développement professionnel continu : amélioration des compétences techniques et interpersonnelles.
- Éthique, indépendance et responsabilité professionnelle de l’auditeur.
Partie 6 : Révisions et préparation à la certification (Dernier jour – Matinée)
- Révision des principaux concepts et exigences liés à l’audit d’un SMSI selon ISO 27001.
- Entraînement à l’étude de cas et structuration des réponses écrites.
- Préparation au questionnement oral devant jury.
Conseils et stratégies pour réussir la certification.
Prérequis
Suivre cette formation ISO 27001 Lead Auditor nécessite les prérequis suivants :
- Maîtriser les connaissances de base des Systèmes de l’Information et de leurs systèmes de sécurité.
- Avoir au minimum 1 an d’expérience dans son poste ou métier (en lien avec les Systèmes de l’Information et systèmes de sécurité)
- Produire une attestation de 10 jours d’audit d’un système de management (en une ou plusieurs fois) dans les 2 dernières années
Public
Cette formation s'adresse aux publics suivants :
- les auditeurs internes ;
- les auditeurs souhaitant réaliser et diriger des audits de certification d'un SMSI ;
- les responsables ou consultants souhaitant maîtriser le processus d’audit de Système de Management de la Sécurité de l’Information ;
- les responsables et cadres supérieurs en charge de la gouvernance des TI d’une organisation et de la gestion de ses risques ;
- les membres d’une équipe d'un SMSI ;
- les professionnel des systèmes d'information qui souhaitent acquérir une certification dans ce domaine.
Points forts
Travaux pratiques basés sur des cas réels avec une documentation de 450 pages ; Formateur expert certifié et habilité; Examens de certification compris dans le prix de la formation.
Certification
Passage de la certification « Audit de systèmes de management de la sécurité de l'information (ISO/CEI 27001 Lead Auditor) » inscrite au Répertoire Spécifique n° 7478 (SKILLS4ALL). Examen officiel passé après la formation et vos révisions personnelles.
L’évaluation dure 3h30 (écrit + oral) et se fait à travers une mise en situation professionnelle reconstituée sous forme d’une étude de cas écrite, depuis la plateforme d'examen du certificateur. Le candidat devra préparer une analyse complète d’un audit de SMSI selon ISO/CEI 27001:2022 pour une organisation fictive dont le contexte spécifique, les particularités, les enjeux et le système d’information seront décrits dans la notice d’examen
Le candidat devra pour cela :
- Analyser les menaces, vulnérabilités et risques du système d’information, y compris ceux liés à l’utilisation de l’IA
- Constituer une équipe d’audit et élaborer un plan d’audit structuré
- Evaluer la conformité du Système de Management de la Sécurité de l’Information
- Formaliser et suivre les recommandations issues de l’audit.
La production écrite est transmise au jury d’évaluation en amont de la session orale.
---------------------------
La certification comprend également une soutenance orale devant un jury d’évaluation, au cours de laquelle le candidat répond aux questions portant sur son étude de cas, justifie ses choix méthodologiques (périmètre, techniques d’audit, preuves collectées, classification des non-conformités) et apporte des éclairages complémentaires sur la structuration du plan d'audit, la priorisation des actions correctives et le dispositif de suivi.
---------------------------
Pour rappel, en suivant cette formation éligible au CPF, vous vous engagez à passer l’examen de certification.
Objectifs
Objectifs pédagogiques :
En résumé :
- Analyser les risques et définir le périmètre d’un audit SMSI (ISO/CEI 27001:2022).
- Planifier et organiser un audit conforme aux normes ISO 19011, ISO 27007 et ISO 27008.
- Conduire l’audit et évaluer la conformité du SMSI.
- Formaliser les conclusions, prioriser les actions et assurer le suivi des recommandations.
En détails :
- Analyser les menaces, vulnérabilités et risques du système d’information, y compris ceux liés à l’utilisation de l’IA, en tenant compte des aspects humains, organisationnels et technologiques afin de définir le périmètre et les points de contrôle de l’audit en lien avec les clauses et annexes ISO/CEI 27001:2022.
- Constituer une équipe d’audit pluridisciplinaire d’au moins deux profils complémentaires, en garantissant l’indépendance et l’absence de conflit d’intérêt.
- Élaborer un plan d’audit structuré conformément aux normes ISO 19011 et ISO 27007, en sélectionnant et justifiant les techniques et outils d’audit selon ISO 27008.
- Définir des modalités d’interaction et d’accessibilité adaptées aux personnes en situation de handicap dans le cadre de la conduite d’audit.
- Mettre en œuvre le plan d’audit en collectant et documentant les preuves, en identifiant et en classant les non-conformités (majeures et mineures).
- Proposer des actions correctives adaptées et justifiées pour chaque non-conformité, en lien avec les mesures de sécurité de la norme ISO/CEI 27001.
- Rédiger un rapport d’audit structuré selon ISO 19011, intégrant faits observés, preuves, non-conformités caractérisées, priorisation des actions et adaptations d’accessibilité.
- Élaborer un plan de suivi opérationnel des actions correctives incluant échéances, niveau d’avancement et intégration dans une démarche d’amélioration continue.
- Caractériser les menaces et vulnérabilités qui pèsent sur le système d’information de l’organisation,
- Déterminer les risques en analysant la documentation et les processus de l’organisation.
- Composer une équipe d’audit pluridisciplinaire.
- Concevoir un plan d’audit.
- Identifier et apprécier les non conformités en mettant en œuvre le plan d’audit.
- Formaliser ses recommandations dans un rapport final.
- Établir un plan de suivi des actions.
Programme
Tour de table :
- Introduction individuelle des participants.
- Exploration des attentes et des objectifs de chaque participant.
- Introduction au cadre de la formation.
- Alignement avec les objectifs et enjeux spécifiques de la formation ISO 27001.
- Identification des attentes et des perspectives individuelles des participants.
Partie 1 : introduction au SMSI tel que défini par l’ISO 27001
- Le cadre normatif, réglementaire et juridique relatif à la sécurité de l'information.
- Présentation des normes ISO/CEI 27001:2022, ISO 27002, ISO 19011, ISO 27007 et ISO 27008.
- Cadre et objectifs de l'ISO 27001 : introduction aux objectifs et à la structure de la norme ISO 27001, en expliquant comment elle s'intègre dans une approche globale de la sécurité de l'information.
- Éléments clés du SMSI : détail des composants essentiels d'un SMSI efficace, y compris la politique de sécurité, les objectifs, les processus de mesure de performance et les exigences des clauses et annexes de la norme.
- Analyse des menaces, vulnérabilités et risques du système d’information, en prenant en compte les aspects humains, organisationnels et technologiques.
- Prise en compte des risques liés à l’utilisation de l’Intelligence Artificielle le cas échéant.
- Définition du périmètre d’audit et identification des points de contrôle en lien avec les clauses et annexes ISO 27001.
Partie 2 : principes d’audit et préparation de l’audit
- Fondamentaux de l'audit selon ISO 19011 : objectivité, indépendance, confidentialité, approche systématique et compétence professionnelle.
- L’approche de l’audit fondée sur des preuves.
- L'impact des tendances et de la technologie sur l'audit.
- Planification de l'audit : techniques pour la création d'un plan d'audit structuré selon ISO 19011 et ISO 27007, définition des objectifs d’audit et des points de contrôle.
- Constitution d’une équipe d’audit pluridisciplinaire d’au moins deux profils complémentaires, en veillant à l’absence de conflit d’intérêt.
- Sélection et justification des techniques et outils d’audit conformément aux recommandations ISO 27008.
- Définition des modalités d’interaction et d’accessibilité adaptées aux personnes en situation de handicap lors de la conduite de l’audit.
Partie 3 : conduite de l’audit
- L’audit documentaire du SMSI.
- La mise en œuvre des procédures d’audit : observation, examen des documents, interviews, techniques d’échantillonnage, vérification technique, collaboration et évaluation.
- La communication lors de l’audit.
- Collecte et documentation des preuves d’audit.
- Identification, caractérisation et classification des non-conformités (majeures et mineures) en lien avec les clauses et les 114 mesures de sécurité de la norme ISO/CEI 27001.
- Formulation des conclusions de l’audit.
- Proposition d’actions correctives adaptées pour chaque non-conformité identifiée et justification de leur applicabilité.
Partie 4 : clôture de l’audit
- Synthèse des résultats et réunion de clôture.
- Rédaction d’un rapport d’audit structuré conformément aux lignes directrices ISO 19011 incluant : faits observés, preuves recueillies, conformités, non-conformités caractérisées, points forts et priorisation des actions.
- Intégration d’au moins deux éléments ou adaptations favorisant l’accessibilité du rapport aux personnes en situation de handicap (structure adaptée, format accessible, lisibilité…).
- Élaboration d’un plan de suivi opérationnel des actions correctives incluant :
- formalisation des actions à mettre en œuvre,
- définition des échéances,
- échelle de niveau d’avancement,
- modalités de contrôle et de rappels,
- intégration dans une démarche d’amélioration continue.
- Audit de surveillance et programme de gestion de l’audit interne.
Partie 5 : compétences de l’auditeur
- Développement professionnel continu : amélioration des compétences techniques et interpersonnelles.
- Éthique, indépendance et responsabilité professionnelle de l’auditeur.
Partie 6 : Révisions et préparation à la certification (Dernier jour – Matinée)
- Révision des principaux concepts et exigences liés à l’audit d’un SMSI selon ISO 27001.
- Entraînement à l’étude de cas et structuration des réponses écrites.
- Préparation au questionnement oral devant jury.
Conseils et stratégies pour réussir la certification.
Prérequis
Suivre cette formation ISO 27001 Lead Auditor nécessite les prérequis suivants :
- Maîtriser les connaissances de base des Systèmes de l’Information et de leurs systèmes de sécurité.
- Avoir au minimum 1 an d’expérience dans son poste ou métier (en lien avec les Systèmes de l’Information et systèmes de sécurité)
- Produire une attestation de 10 jours d’audit d’un système de management (en une ou plusieurs fois) dans les 2 dernières années
Public
Cette formation s'adresse aux publics suivants :
- les auditeurs internes ;
- les auditeurs souhaitant réaliser et diriger des audits de certification d'un SMSI ;
- les responsables ou consultants souhaitant maîtriser le processus d’audit de Système de Management de la Sécurité de l’Information ;
- les responsables et cadres supérieurs en charge de la gouvernance des TI d’une organisation et de la gestion de ses risques ;
- les membres d’une équipe d'un SMSI ;
- les professionnel des systèmes d'information qui souhaitent acquérir une certification dans ce domaine.
Points forts
Travaux pratiques basés sur des cas réels avec une documentation de 450 pages ; Formateur expert certifié et habilité; Examens de certification compris dans le prix de la formation.
Certification
Passage de la certification « Audit de systèmes de management de la sécurité de l'information (ISO/CEI 27001 Lead Auditor) » inscrite au Répertoire Spécifique n° 7478 (SKILLS4ALL). Examen officiel passé après la formation et vos révisions personnelles.
L’évaluation dure 3h30 (écrit + oral) et se fait à travers une mise en situation professionnelle reconstituée sous forme d’une étude de cas écrite, depuis la plateforme d'examen du certificateur. Le candidat devra préparer une analyse complète d’un audit de SMSI selon ISO/CEI 27001:2022 pour une organisation fictive dont le contexte spécifique, les particularités, les enjeux et le système d’information seront décrits dans la notice d’examen
Le candidat devra pour cela :
- Analyser les menaces, vulnérabilités et risques du système d’information, y compris ceux liés à l’utilisation de l’IA
- Constituer une équipe d’audit et élaborer un plan d’audit structuré
- Evaluer la conformité du Système de Management de la Sécurité de l’Information
- Formaliser et suivre les recommandations issues de l’audit.
La production écrite est transmise au jury d’évaluation en amont de la session orale.
---------------------------
La certification comprend également une soutenance orale devant un jury d’évaluation, au cours de laquelle le candidat répond aux questions portant sur son étude de cas, justifie ses choix méthodologiques (périmètre, techniques d’audit, preuves collectées, classification des non-conformités) et apporte des éclairages complémentaires sur la structuration du plan d'audit, la priorisation des actions correctives et le dispositif de suivi.
---------------------------