Accueil Blog
Services
Audit informatique
Audit Budget TI
vCIOIntérim Direction TIContre-ExpertiseTest de sauvegardes et préparation à la relèveReprise après incidentPlanification StratégiqueGestion des relations avec les fournisseursTémoin ExpertConformité Loi 25Offre PMERessources humainesConformité RH et politiques TIConformité Loi 27Équité salariale et rémunérationPlacement-ressourceAccompagnement ISO 27001Accompagnement CAN/DGSI 104Accompagnement SOC 2Accompagnement PCCCAccompagnement certification TGVAccompagnement Edtech QuébecAccompagnement cyberassuranceExercice de crise (tabletop)Accompagnement ISO/IEC 42001
ContactPrendre rendez-vousNotre équipeÀ propos
English
AccueilBlogServicesContactPrendre rendez-vousNotre équipeÀ propos
English

Accompagnement à la certification ISO 27001

On vous mène à la certification. On ne la vend pas.

Un accompagnement complet jusqu'à la certification — sans jamais être juge et partie.

Un accompagnement à la certification ISO 27001 est un mandat structuré qui mène votre organisation du point de départ jusqu'à la recommandation de certification par un organisme accrédité tiers. Factero pilote la démarche : analyse d'écart, construction du Système de gestion de la sécurité de l'information (SGSI), rédaction des politiques, implémentation des 93 contrôles de l'Annexe A, audit interne, et revue de direction. Nous préparons — nous ne certifions pas. L'organisme certificateur (BSI, DNV, Bureau Veritas, SGS, Intertek, etc.) reste un tiers accrédité, comme il se doit. Démarche conduite par un associé principal certifié CISA, avec les référentiels ISO 27001:2022, ISO 27002:2022 et NIST-CSF en appui.
Parler à un expert

Pour qui ?

PME et entreprises de services technologiques qui doivent démontrer leur maturité en sécurité de l'information pour accéder à de nouveaux marchés.

Éditeurs SaaS, fournisseurs cloud et intégrateurs qui reçoivent de plus en plus de questionnaires de sécurité clients et qui veulent y répondre avec un cadre reconnu plutôt qu'au cas par cas.

Organisations qui viennent de perdre — ou risquent de perdre — un appel d'offres faute de certification, et qui veulent structurer la démarche une fois pour toutes.

Entreprises en croissance qui doivent démontrer leur maturité cyber à des investisseurs, à un acquéreur potentiel, ou à une maison-mère étrangère.

Organisations déjà conformes à d'autres cadres (SOC 2, Loi 25, NIST-CSF) qui veulent capitaliser sur le travail déjà fait pour obtenir ISO 27001 sans repartir à zéro.

Quand est-ce utile ?

Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
  • Un client stratégique, un appel d'offres ou un partenaire international exige ISO 27001 — avec une échéance ferme.
  • Vous avez lu la norme, téléchargé des gabarits, commencé à rédiger des politiques — et vous vous rendez compte que l'écart entre la théorie et la mise en œuvre est plus grand que prévu.
  • Vous avez déjà tenté une démarche à l'interne qui s'est essoufflée faute de temps, de méthode ou d'un propriétaire clair du projet.
  • Votre fournisseur TI ou MSP vous propose de « s'occuper de l'ISO 27001 » — et vous voulez garder la vérification indépendante de la mise en œuvre.
  • Vous êtes déjà conforme à la Loi 25 ou à un autre cadre, et vous voulez savoir ce qu'il reste réellement à faire pour ISO 27001 — sans reprendre tout le travail.
  • Vous voulez une estimation réaliste de l'effort, du coût et du délai avant de vous engager — pas une promesse de « 6 mois » reprise d'une brochure.
  • La norme ISO 27001:2022 a introduit des changements (nouveaux contrôles, restructuration de l'Annexe A) et vous voulez partir sur la bonne version.

Qu'est-ce que vous obtenez ?

Checkbox icon

Une analyse d'écart (gap analysis) complète entre votre posture actuelle et les exigences de la norme ISO 27001:2022, avec un plan priorisé par niveau de risque.

Checkbox icon

Un Système de gestion de la sécurité de l'information (SGSI) documenté, dimensionné à votre organisation — pas un SGSI de 500 pages qui finira dans un tiroir.

Checkbox icon

La Déclaration d'applicabilité (SoA) justifiant l'inclusion ou l'exclusion de chacun des 93 contrôles de l'Annexe A.

Checkbox icon

Les politiques et procédures obligatoires rédigées, revues avec vos équipes, et adaptées à votre réalité opérationnelle.

Checkbox icon

Un audit interne formel et une revue de direction documentés, comme l'exige la norme — conduits en amont de l'audit de certification pour maximiser vos chances au premier passage.

Checkbox icon

Un dossier de preuve organisé et prêt à présenter à l'auditeur de certification — sans chercher les documents le jour J.

Checkbox icon

Un accompagnement pendant les audits de l'organisme certificateur (Stage 1 et Stage 2), pour traduire les questions de l'auditeur et structurer les réponses de vos équipes.

Checkbox icon

Un plan de maintien post-certification : audit interne annuel, revue de direction, surveillance des changements de la norme — pour ne pas perdre la certification au cycle suivant.

Pas un bon fit ?

  • L'accompagnement ISO 27001 est un engagement exigeant — pour nous comme pour vous. Il requiert un propriétaire interne (souvent le DG, le CFO, ou un responsable désigné) qui a le mandat clair d'obtenir la certification et les moyens de mobiliser les équipes. Sans ce point d'ancrage, même le meilleur accompagnement externe ne tient pas la distance.
  • Si votre objectif réel est de démontrer votre sécurité à un client ponctuel, sans viser la certification formelle, un audit indépendant Factero ou une attestation ciblée peut suffire — à un coût et dans un délai nettement inférieurs. On en discute franchement à l'appel découverte.
  • Si la demande vient de votre fournisseur TI qui veut « se conformer » sans mandat clair de la direction, l'offre PME est souvent le bon point de départ pour clarifier l'enjeu avant d'engager l'organisation dans une démarche de certification complète.
  • Et si l'urgence est réelle mais la maturité trop faible pour viser une certification dans les 12 prochains mois, on le dira — et on vous proposera un plan d'étapes qui construit les fondations avant de viser la norme.

Comment fonctionne le processus ?

Une approche rigoureuse et transparente, étape par étape.
Analyse d'écart
On cartographie votre posture actuelle contre les exigences de la norme ISO 27001:2022 et les 93 contrôles de l'Annexe A. On identifie ce qui est déjà en place (et qu'on peut documenter), ce qui manque, et ce qui nécessite un réalignement. Livrable : rapport d'écart priorisé, estimation réaliste du chemin à parcourir, et recommandation claire sur le délai atteignable.
Périmètre et SGSI
On définit avec vous le périmètre de certification (quelles entités, quels services, quels sites) — un choix stratégique qui influence directement le coût, le délai, et la valeur de la certification auprès de vos clients. On structure le SGSI autour de votre réalité opérationnelle, pas d'un gabarit générique.
Contrôles et documentation
On implémente les contrôles manquants avec vos équipes TI, RH, juridiques et opérationnelles. On rédige les politiques, procédures et enregistrements requis — avec un principe directeur : chaque document doit être utilisable, pas juste conforme. Les cadres ISO 27002:2022 et NIST-CSF sont utilisés en appui pour traduire les exigences en pratiques concrètes.
Audit interne et revue
On conduit l'audit interne formel exigé par la norme, avec un regard externe indépendant — ce qui donne une crédibilité que l'auto-audit ne peut pas offrir. On prépare et documente la revue de direction. Ces deux jalons sont des prérequis à la certification — si l'un manque, l'auditeur de certification vous le signalera.
Accompagnement audit
On vous accompagne pendant les audits Stage 1 (revue documentaire) et Stage 2 (audit de mise en œuvre) conduits par l'organisme certificateur accrédité de votre choix. Notre rôle : traduire, structurer les réponses, gérer les non-conformités éventuelles et les plans d'action. Le choix de l'organisme certificateur reste le vôtre — nous pouvons vous présenter plusieurs options (BSI, DNV, Bureau Veritas, SGS, Intertek, autres), mais nous n'avons aucun lien commercial avec eux.
Maintien post-certification
Une certification ISO 27001 n'est pas un trophée figé — elle se maintient par un audit interne annuel, une revue de direction, et un suivi des changements de la norme. On reste disponible pour cette cadence de maintien, sans vous enfermer dans un contrat récurrent : si votre équipe peut prendre le relais après le premier cycle, c'est un bon résultat.

Foire aux questions

Les réponses aux questions que nos clients posent avant de nous contacter.
Combien de temps ça prend vraiment ?
La réponse honnête : entre 9 et 18 mois pour la plupart des PME. Les démarches annoncées à « 6 mois » sont réalistes seulement pour des organisations qui ont déjà une maturité avancée en sécurité — typiquement celles qui sont déjà conformes à SOC 2 ou à un autre cadre comparable. Pour une PME qui part sans SGSI existant, viser la certification en moins de 9 mois crée plus de risques qu'autre chose : implémentation superficielle, politiques non vécues, non-conformités à l'audit. Factero donne une estimation réaliste dès l'analyse d'écart — pas une fourchette reprise d'une brochure. Si votre contrainte d'affaires est plus courte, on vous le dira, et on regardera ensemble s'il existe une alternative (attestation ciblée, périmètre réduit) qui répond à votre besoin réel.
Combien ça coûte — et qu'est-ce qui n'est pas inclus dans l'accompagnement ?
L'accompagnement Factero couvre toute la préparation jusqu'à la certification — analyse d'écart, SGSI, politiques, implémentation des contrôles, audit interne, revue de direction, accompagnement aux audits Stage 1 et Stage 2. Les coûts non inclus dans notre mandat et payés directement par vous : les frais de l'organisme certificateur (Stage 1, Stage 2, audits de surveillance annuels), les éventuels investissements techniques identifiés pendant la démarche (outils, licences, mises à niveau d'infrastructure), et le temps de vos équipes internes — qui est toujours l'investissement le plus important. On vous remet dès l'analyse d'écart une estimation complète des trois postes pour éviter les surprises budgétaires.
Est-ce que vous livrez la certification ?
Non — et c'est une règle absolue en ISO 27001. La certification est délivrée exclusivement par un organisme de certification accrédité par un organisme d'accréditation national (UKAS, ANAB, SCC, etc.). Aucun consultant ne peut « livrer » la certification — ce serait un conflit d'intérêts que la norme interdit explicitement. Factero vous prépare jusqu'au point où l'organisme certificateur confirme votre conformité. On vous aide à choisir l'organisme certificateur le plus approprié pour votre secteur et votre taille, mais le choix vous appartient, et nous n'avons aucun lien commercial ni commission avec aucun d'entre eux. Notre charte d'indépendance exclut explicitement ce type d'arrangement.
On est déjà conformes à la Loi 25. Est-ce que ça accélère l'ISO 27001 ?
Oui, la conformité à la Loi 25 couvre déjà une partie significative des contrôles ISO 27001 — notamment sur la protection des renseignements personnels, la gestion des incidents, et la désignation d'un responsable de la protection des renseignements personnels. Selon nos mandats récents, un bon départ Loi 25 peut couvrir entre 20 % et 35 % des exigences ISO 27001:2022. L'analyse d'écart identifie précisément ce qui est déjà transposable, ce qui nécessite une adaptation (un contrôle Loi 25 n'est pas toujours formulé comme l'exige ISO), et ce qui reste entièrement à construire. Vous ne repartez pas de zéro — c'est exactement pour ça que la gap analysis est la première étape du mandat.
Notre MSP gère déjà notre infrastructure. Peut-il aussi piloter notre certification ISO 27001 ?
Votre MSP est un acteur clé de la mise en œuvre technique — mais piloter la certification est un rôle distinct. ISO 27001 exige un audit interne — si votre MSP gère votre infrastructure et pilote votre certification, c'est lui qui auditera sa propre livraison. L'auditeur de certification peut soulever une non-conformité d'indépendance sur ce point, et certains organismes certificateurs refusent même de commencer l'audit dans ces conditions. Factero n'a aucun lien commercial avec votre MSP : nous auditons la réalité, pas la version officielle du fournisseur. Cela dit, la relation avec votre MSP reste essentielle — il est un acteur clé de l'implémentation technique. On travaille avec eux, pas à leur place, exactement comme pour un audit indépendant.
Qu'est-ce qui change entre ISO 27001:2013 et ISO 27001:2022 ?
La version 2022 est celle en vigueur — 2013 est retirée depuis octobre 2025. Les principaux changements : l'Annexe A est passée de 114 contrôles répartis en 14 domaines à 93 contrôles regroupés en 4 thèmes (organisationnels, humains, physiques, technologiques), 11 nouveaux contrôles ont été ajoutés (notamment sur le renseignement sur les menaces, la sécurité du cloud, la gestion des configurations, la protection contre les fuites de données), et la structure du SGSI a été alignée avec la structure commune des autres normes ISO (Annexe SL). Les organisations certifiées 2013 ont dû migrer vers 2022. Factero travaille exclusivement sur la version 2022 — aucune raison de construire un SGSI sur une version retirée.
Peut-on réduire le périmètre pour certifier plus vite — par exemple un seul produit SaaS ?
Oui, et c'est souvent la bonne stratégie — mais il y a un piège à éviter. Un périmètre restreint (un seul produit, une seule entité, un seul site) réduit le coût, le délai et l'effort interne. C'est parfaitement aligné avec la norme, qui exige que le périmètre soit défini de façon claire et défendable. Le piège : un périmètre trop étroit peut ne pas répondre à la question que votre client se pose réellement. Un certificat qui couvre « l'équipe développement du produit X au siège de Montréal » ne rassure pas un client qui se demande si ses données sont protégées lorsqu'elles transitent par votre centre de support à l'étranger. On définit le périmètre avec vous en tenant compte de votre réalité technique et de la promesse commerciale que la certification doit tenir.
Quelle méthodologie utilisez-vous ?
Factero s'appuie sur trois référentiels principaux : ISO 27001:2022 comme norme cible, ISO 27002:2022 pour les orientations d'implémentation des contrôles, et le NIST Cybersecurity Framework (NIST-CSF) pour structurer l'évaluation des risques et la priorisation des recommandations. Le principal associé détient la certification CISA (Certified Information Systems Auditor) délivrée par l'ISACA — la référence internationale en audit des systèmes d'information. En pratique, la démarche est adaptée à la taille et à la complexité de chaque organisation : on ne construit pas le même SGSI pour un éditeur SaaS de 25 employés et pour une entreprise de services financiers de 300 employés. Chaque contrôle est évalué selon son applicabilité réelle — c'est tout le sens de la Déclaration d'applicabilité (SoA).
Et si on échoue à l'audit de certification ?
Un échec complet au premier audit est rare quand la préparation a été sérieuse. Ce qui arrive plus fréquemment, et qui n'est pas un échec : des non-conformités mineures identifiées par l'auditeur, qui doivent être corrigées dans un délai convenu (typiquement 90 jours) avant la délivrance du certificat. C'est une partie normale du processus. Les non-conformités majeures — rares quand la préparation est solide — exigent un plan d'action formel et un audit de suivi. Factero vous accompagne pendant les audits Stage 1 et Stage 2, et reste à vos côtés pour la résolution de toute non-conformité. Notre objectif dès le départ : vous présenter à l'audit quand vous êtes réellement prêts, pas quand le calendrier l'impose. Si pendant l'accompagnement nous jugeons que vous n'êtes pas prêts, nous vous le dirons clairement — même si ça signifie reporter la date d'audit.
Est-ce que c'est confidentiel ?
Oui, chaque mandat d'accompagnement mené par Factero est encadré par un engagement de confidentialité formel en faveur du client, signé avant le début des travaux. Aucune information — constats, documents analysés, politiques rédigées, résultats d'audit interne — n'est partagée avec un tiers, un fournisseur ou un partenaire sans votre autorisation écrite explicite, conformément à notre politique de protection des renseignements personnels et aux exigences de la Loi 25. Les éléments remis à l'organisme certificateur le sont sous votre contrôle et avec votre validation. Cette rigueur s'applique à l'ensemble de nos mandats, sans exception.
Est-ce qu'on s'engage dans un suivi récurrent ?
Non. L'accompagnement ISO 27001 se termine naturellement à l'obtention de la certification. Pour le maintien (audit interne annuel, revue de direction, préparation des audits de surveillance), certaines organisations préfèrent internaliser — et c'est souvent le bon choix quand une équipe est en place. D'autres préfèrent nous garder sur une cadence légère pour garantir la rigueur du cycle annuel. Notre charte d'indépendance interdit la création de dépendance artificielle — on ne recommande jamais un suivi dont vous n'avez pas besoin. Si votre équipe peut prendre le relais, c'est un bon résultat.
Pourquoi Factero pour ce mandat — qu'est-ce qui vous différencie ?
Avant de signer avec un cabinet d'accompagnement, vérifiez quelques éléments fondamentaux. Un cabinet sérieux les démontre sans hésitation et par écrit. Cabinet lui-même certifiéFactero détient la certification CyberSécuritaire Canada (CAN/DGSI 104:2021 / Rev 1:2024), vérifiable publiquement au registre IAF CertSearch et via notre Trust Center. Nous appliquons à notre propre organisation les standards que nous accompagnons chez nos clients. Un cabinet qui vous accompagne vers une certification reconnue devrait, par cohérence, en détenir une lui-même. Entreprise incorporée et établie depuis 2022Factero Service Conseil est dûment incorporée au Registre des entreprises du Québec (REQ) depuis 2022, sans procédure d'insolvabilité ni de faillite. Le statut juridique de tout cabinet candidat se vérifie gratuitement au REQ ; les procédures d'insolvabilité et de faillite figurent au registre du Bureau du surintendant des faillites Canada (osb-bsf.ic.gc.ca). Équipe complète et continuité opérationnelleFactero s'appuie sur une équipe interdisciplinaire couvrant les technologies de l'information, les ressources humaines et la comptabilité — les trois dimensions qui se croisent dans la plupart des mandats de gouvernance. Un mandat de certification s'étend sur 6 à 18 mois ; le cabinet qui vous accompagne doit avoir la profondeur d'équipe pour tenir la distance, pas seulement la disponibilité d'une seule personne. Assurance responsabilité professionnelle et cyberassuranceFactero détient une couverture responsabilité professionnelle (E&O) et une cyberassurance actives, adaptées à ses activités de conseil en gouvernance TI et en cybersécurité. Un cabinet qui vous recommande une cyberassurance devrait, par cohérence, en détenir une lui-même. Demandez l'attestation avant de signer. Indépendance écrite et publique — Nos engagements sont encadrés par une Charte d'Indépendance publique qui interdit commissions, rétrocessions et arrangements commerciaux avec les fournisseurs, courtiers et marchés. Inscription aux marchés publicsFactero est inscrit au SEAO (Québec) et au Ontario Tenders Portal — démarche qui implique vérifications réglementaires et attestations fiscales à jour. Ces critères ne sont pas des arguments commerciaux. Ce sont les conditions minimales à demander à tout cabinet candidat. L'absence de réponse claire à l'une de ces questions est, en soi, une réponse.
Nos conseils restent indépendants. Consultez notre Charte d'indépendance.

Services complémentaires

Audit informatique Planification Stratégique Conformité Loi 25 Voir plus

Besoin d'avancer sur ce sujet ?

Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.
Parler à un expert