Guide de Réussite - Examen ISO 27001:2022 Lead Implementer

1. Introduction

À qui s'adresse ce guide ?

Ce guide s'adresse à toute personne souhaitant obtenir la certification ISO/IEC 27001:2022 Lead Implementer, que ce soit pour :

Monter en compétences en sécurité de l'information
Valoriser son profil professionnel
Piloter un SMSI dans son organisation

Objectif de ce guide

Ce guide a été conçu pour vous permettre de :

Maîtriser les exigences clés de la norme ISO/IEC 27001:2022
Comprendre les attentes de l'examen
Réviser efficacement

Qu'est-ce que l'ISO/IEC 27001:2022 ?

L'ISO/IEC 27001 est la norme internationale qui définit les exigences pour mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI).

Elle permet aux organisations de gérer efficacement les risques liés à l'information et d'assurer :

La confidentialité (accès autorisé uniquement)
L'intégrité (information fiable et non altérée)
La disponibilité (accès en temps voulu aux bonnes personnes)

La version 2022 introduit des changements majeurs, notamment dans la structure de l'annexe A (mesures de sécurité).

Le rôle du Lead Implementer

Le Lead Implementer est responsable de :

Piloter la mise en œuvre d'un SMSI conforme
Structurer la gouvernance de la sécurité
Coordonner les parties prenantes
Préparer l'organisation à la certification

2. Comprendre les exigences

Articles 4 à 10

Article 4 - Contexte de l'organisation

Identifier les enjeux et définir le périmètre

Article 5 - Leadership

Engagement de la direction et politique

Article 6 - Planification

Risques et objectifs

Article 7 - Support

Ressources et compétences

Article 8 - Fonctionnement

Mise en œuvre et contrôle

Article 9 - Évaluation de la performance

Surveillance et mesure

Article 10 - Amélioration

Actions correctives et amélioration continue

Article 4 — Contexte de l'organisation

✅ Ce qu'il faut faire :

Identifier les enjeux internes et externes qui influencent la sécurité de l'information (analyse PESTEL, SWOT)
Déterminer les parties intéressées (clients, fournisseurs, DPO, etc.) et leurs attentes
Définir le périmètre du SMSI (limites, sites couverts, types d'activités)
Établir un système de management de la sécurité de l'information documenté

🧠 À retenir : Sans un bon cadrage, impossible d'avoir un SMSI pertinent.

Article 5 — Leadership

✅ Ce qu'il faut faire :

Obtenir l'engagement fort de la direction
Rédiger une politique de sécurité de l'information
Attribuer les rôles, responsabilités et autorités

🧠 Conseil : L'implication de la direction est l'un des points les plus vérifiés en audit.

Article 6 — Planification

✅ Ce qu'il faut faire :

Identifier et évaluer les risques et opportunités
Définir les objectifs de sécurité et leur plan d'action
Préparer les changements à venir (réorganisation, nouveaux outils, fusions...)

🧠 Clé d'examen : le lien entre appréciation des risques et déclaration d'applicabilité (DdA).

Article 7 — Support

✅ Ce qu'il faut faire :

Allouer les ressources nécessaires (budget, personnel, outils)
Assurer la compétence du personnel (formation, sensibilisation)
Gérer les communications internes et externes
Mettre en place une documentation adaptée (procédures, preuves, etc.)

🧠 Astuce : Trop de documents = bureaucratie. Trop peu = non-conformité.

Article 8 — Fonctionnement

✅ Ce qu'il faut faire :

Planifier, exécuter et contrôler les activités liées à la sécurité
Apprécier et traiter les risques de sécurité de l'information
Mettre en œuvre les mesures de l'annexe A pertinentes

🧠 Ne confonds pas : "planifier" ≠ "mettre en œuvre". L'examen teste cette nuance.

Article 9 — Évaluation de la performance

✅ Ce qu'il faut faire :

Réaliser des audits internes
Mettre en place des indicateurs de performance
Organiser des revues de direction

🧠 L'examen demande souvent : "Quels éléments entrent dans une revue de direction ?"

Article 10 — Amélioration

✅ Ce qu'il faut faire :

Gérer les non-conformités et les actions correctives
Mettre en œuvre l'amélioration continue du SMSI

🧠 Réflexe PDCA : si c'est cassé → on analyse, corrige, améliore et surveille !

📌 Aide-mémoire visuel pour les exigences 4 à 10 :

Article	Mot-clé	Astuce de révision
4	Contexte	SWOT, PESTEL, périmètre
5	Leadership	Politique + Direction
6	Planification	Risques + Objectifs
7	Support	Ressources + Compétence
8	Opérations	Traitement des risques + mesures A
9	Évaluation	Audit + Revue + Indicateurs
10	Amélioration	Non-conformités + Actions correctives

💡 Conseil : Ne les apprends pas par cœur. Comprends l'esprit de chaque domaine, et sois capable de donner des exemples concrets.

3. Focus sur l'annexe A

Les 4 domaines de l'annexe A

A.5 - Mesures de sécurité organisationnelles (37 mesures)

Politique de sécurité, gestion des risques, rôles et responsabilités

A.6 - Mesures de sécurité applicables aux personnes (8 mesures)

Sensibilisation, obligations contractuelles, départs

A.7 - Mesure de sécurité physiques (14 mesures)

Contrôle d'accès physique, surveillance, protection des équipements

A.8 - Mesures de securité technologiques (34 mesures)

Contrôle d'accès logique, chiffrement, protection contre les malwares

La Déclaration d'Applicabilité (DdA)

La DdA (ou SoA en anglais) est LE document central pour justifier l'application (ou non) de chaque mesure de l'annexe A.

Elle contient :

Une liste des 93 mesures
Le statut de chaque mesure (applicable ou non)
Une justification claire en cas d'exclusion
Une référence au risque traité par la mesure

Exemple :

Contrôle	Applicable ?	Justification	Risque traité
A.5.1 — Politique de sécurité	✔️ Oui	Politique déjà existante, mise à jour tous les ans	Risque de gouvernance floue
A.7.4 — Surveillance vidéo	❌ Non	Locaux partagés avec gardiennage externe	Risque physique déjà couvert

🎓 Ce que l'examen attend de toi

✅ Être capable de :

Lire et interpréter une mesure
L'associer à un scénario ou un risque
Expliquer comment la mettre en œuvre (procédure, contrôle, preuve)

❌ Ne fais pas ça :

Réciter les mesures sans contexte
Appliquer tous les contrôles "au cas où" (perte de pertinence + surcoûts)

🧠 Méthode pour les mémoriser efficacement

Classe-les par type (prévention / détection / réaction)
Regroupe-les en scénarios (ex : attaque interne, erreur humaine, perte de données)
Associe-les à des outils ou procédures :

A.8.27 = chiffrement → outil : VeraCrypt, TPM, KMS
A.6.3 = sensibilisation → supports internes, LMS, affiches

4. Concepts clés à maîtriser

Le cycle PDCA

Plan (Planifier)

Contexte, politique, objectifs, risques (Articles 4, 5, 6)

Do (Mettre en œuvre)

Mesures, processus, communication (Articles 7, 8)

Check (Vérifier)

Audits, revues, indicateurs (Article 9)

Act (Améliorer)

Actions correctives, amélioration continue (Article 10)

🧠 Conseil : lors d'une question de mise en situation, identifie où on se situe dans le cycle pour formuler une réponse logique.

🧠 L'appréciation et le traitement des risques

La gestion des risques est au cœur de la norme.

Étapes essentielles :

Identifier les actifs, menaces, vulnérabilités
Évaluer les risques (probabilité × impact)
Déterminer les niveaux acceptables (appétence au risque)
Décider des mesures à mettre en place (réduire, éviter, transférer, accepter)
Créer la DdA en conséquence

📌 Référence : ISO 27005 et ISO 31000 pour les bonnes pratiques de gestion du risque.

🧾 Politique & Objectifs de sécurité

Le Lead Implementer doit :

Définir une politique claire, réaliste et alignée sur les enjeux
Fixer des objectifs mesurables (SMART) pour le SMSI

🧠 Exemples :

Objectif : réduire les incidents liés au phishing de 50 % en 1 an
Indicateur : % de personnel formé / nombre d'incidents déclarés

📊 Indicateurs et performance

L'ISO 27001 demande de surveiller la performance du SMSI. Cela inclut :

Des indicateurs de performance (KPI) : efficacité des contrôles, taux d'incidents, conformité des audits...
Des revues régulières : notamment via la revue de direction

💡 Conseil pour l'examen : Sois capable de proposer des indicateurs adaptés à un objectif ou à une mesure de sécurité.

📍 Rôle du Lead Implementer

Un bon Lead Implementer doit :

Maîtriser la norme
Piloter le projet de mise en œuvre de manière structurée
Communiquer efficacement avec la direction, les équipes IT, les métiers
Être orienté amélioration continue

🎓 À l'examen : on attend de toi des réponses concrètes, réalistes, alignées avec les pratiques de terrain.

5. Format de l'examen

Caractéristiques de l'épreuve

Durée : Entre 1h30 et 2hOO en fonction de l'organisme
Format : QCM uniquement (Etude de cas + questions générales)
Nombre de questions : 80-100 en fonction de l'organisme
Seuil de réussite : 70%

🧪 Types de QCM rencontrés

🔸 1. Connaissance de la norme

Questions sur les clauses (4 à 10)

Exemples :

Quelle clause traite de la planification ?
Que contient la politique de sécurité de l'information ?

🔸 2. Concepts clés et terminologie

QCM sur le vocabulaire ISO (SMSI, DdA, risques, actifs, parties intéressées…)

Exemples :

Quel est l'objectif principal de l'annexe A ?
Que signifie "disponibilité" dans le contexte ISO 27001 ?

🔸 3. Application pratique (QCM sur cas)

Mise en situation simplifiée avec plusieurs choix

Exemples :

Une entreprise héberge ses données dans le cloud. Quelle mesure est la plus pertinente pour assurer la sécurité ?

👉 Ces cas sont rédigés sous forme de QCM, mais exigent réflexion et compréhension du contexte.

✅ Ce que l'examen évalue

Compétence	Ce qu'il faut savoir faire
📘 Maîtriser la structure de la norme	Clauses 4 à 10, PDCA, objectifs
🛡️ Comprendre les mesures de l'annexe A	Savoir à quoi sert chaque contrôle
📊 Apprécier et traiter les risques	Logique d'analyse + lien vers DdA
🗣️ Savoir comment mettre en œuvre	Associer des mesures à des cas concrets
💡 Penser comme un Lead Implementer	Réagir à des contextes variés avec pragmatisme

❌ Erreurs fréquentes à éviter

Choisir des réponses "théoriques" sans lien avec le cas
Confondre les clauses (ex : 6 = planification, 9 = performance)
Oublier le lien entre mesures ≠ automatiquement appliquées
Mal interpréter les termes ISO (efficacité ≠ efficience)

🔐 Conseil final : Mémoriser n'est pas suffisant. L'examen teste ta capacité à appliquer la norme intelligemment à des cas réalistes, même en format QCM.

6. Conseils pour réussir

🎯 Avant l'examen : bien se préparer

📘 1. Maîtrise des fondamentaux

Connaître les clauses 4 à 10
Comprendre la logique du PDCA
Être à l'aise avec les termes ISO (contexte, parties intéressées, actifs, etc.)
Savoir interpréter l'annexe A : objectifs, mesures, et justification

🧠 2. Utilise des moyens variés

Relis la norme + version simplifiée si possible
Fais des QCM blancs régulièrement
Regarde des vidéos explicatives sur les risques, la DdA, etc.
Crée des fiches de révision (PDF, cartes mémoire, post-its…)

📅 3. Révision en mode "Lead Implementer"

Pose-toi toujours la question : "Comment j'appliquerais cette exigence dans mon entreprise ?"

⏱️ Pendant l'examen : adopte une stratégie gagnante

✅ 1. Lis attentivement chaque question

Repère les mots-clés : "le plus approprié", "principal objectif", "selon la norme…"
Souvent, deux réponses sont proches : cherche celle qui correspond précisément à la norme

⛔ 2. Attention aux pièges classiques

"Sécuriser toutes les données de la même façon" ❌ → Non, c'est basé sur le risque
"Appliquer toutes les mesures de l'annexe A" ❌ → Non, seulement celles justifiées

🧮 3. Gère ton temps

Ne reste pas bloqué sur une question
Réponds à toutes, même par élimination
Marque celles à revoir à la fin si l'examen est informatisé

📋 Checklist mentale à l'examen

✓ Ai-je bien lu la question ?
✓ Y a-t-il un mot-clé trompeur ?
✓ Est-ce que cette réponse colle à l'esprit de la norme ?
✓ Est-ce que je raisonne en mode "Lead Implementer" ?

7. Lexique complet

SMSI

Système de Management de la Sécurité de l'Information

Contexte

Environnement interne et externe d'une organisation influençant la sécurité

Parties intéressées

Toute personne ou entité affectée par le SMSI (clients, DSI, fournisseurs, etc.)

Actif

Élément de valeur (info, système, RH, image, etc.) à protéger

Menace

Cause potentielle d'un incident de sécurité

Vulnérabilité

Faiblesse exploitable d'un actif (ex : mot de passe faible)

Risque

Combinaison entre probabilité et impact d'un incident

Traitement du risque

Action visant à réduire, transférer, éviter ou accepter un risque

Appétence au risque

Niveau de risque qu'une organisation accepte de prendre

DdA (SoA)

Déclaration d'Applicabilité : tableau listant les mesures de l'annexe A, leur statut, et les justifications

Mesure de sécurité

Action ou mécanisme pour réduire un risque (ex : chiffrement, contrôle d'accès)

Politique de sécurité

Document d'engagement formel de la direction en matière de sécurité

Objectif

Résultat mesurable que l'on souhaite atteindre avec le SMSI

Indicateur (KPI)

Valeur chiffrée permettant de mesurer l'efficacité d'un processus

Amélioration continue

Révision constante des actions en vue d'optimiser le SMSI (cycle PDCA)

PDCA

Planifier, Déployer, Contrôler, Améliorer – logique de fonctionnement du SMSI

Non-conformité

Écart entre une exigence (de la norme ou interne) et la réalité constatée

Audit interne

Évaluation systématique et indépendante du SMSI par l'organisation elle-même

Revue de direction

Réunion stratégique pour analyser les résultats du SMSI et décider des axes d'amélioration

Information documentée

Tout document ou enregistrement servant de preuve dans le SMSI

Disponibilité

L'information est accessible quand elle est nécessaire

Intégrité

L'information est exacte, complète et non altérée

Confidentialité

L'information est uniquement accessible aux personnes autorisées

Annexe A

Liste des 93 mesures de sécurité (A.5 à A.8) à considérer en fonction des risques

ISO 27001

Norme sur les exigences d'un SMSI

ISO 27002

Norme de référence pour les bonnes pratiques liées aux mesures de sécurité

ISO 31000

Norme sur le management du risque

Audit de certification

Évaluation externe pour vérifier la conformité de l'organisation à ISO 27001