La certification ISO/IEC 27001 Lead Auditor est celle qui vous habilite à auditer des systèmes de management de la sécurité de l'information. Avec Lead Implementer, ce sont les deux faces d'une même pièce. Dans cet article, je vous explique ce qu'elle couvre exactement, ce que vous apprendrez vraiment, quels débouchés elle ouvre et quand il est plus pertinent de choisir Lead Auditor plutôt que Lead Implementer.
Qu'est-ce que Lead Auditor et à quoi ça sert
Le cours PECB Certified ISO/IEC 27001 Lead Auditor vous habilite à planifier, diriger et restituer des audits de systèmes de management de la sécurité de l'information (SMSI) conformes à la norme ISO/IEC 27001 et au standard d'audit ISO 19011. C'est la certification qui distingue un professionnel capable de mettre en place un SMSI (Lead Implementer) de celui capable de l'auditer.
Le périmètre de la certification couvre trois types d'audit :
- Audit de première partie : interne, réalisé par l'organisation elle-même pour vérifier son propre SMSI.
- Audit de seconde partie : qu'une organisation mène chez ses fournisseurs ou partenaires pour vérifier le respect contractuel.
- Audit de tierce partie : réalisé par un organisme de certification indépendant (AFNOR, Bureau Veritas, DNV, etc.) pour délivrer le certificat officiel ISO 27001.
Ce que couvre le cours, jour par jour
Le cours est intensif et dure cinq jours. Voici les blocs principaux :
- Jour 1 : Fondamentaux du SMSI et de l'audit. Revue des exigences d'ISO/IEC 27001:2022, principes d'audit selon ISO 19011 et notions d'ISO/IEC 17021 pour les audits de certification.
- Jour 2 : Préparation de l'audit. Programme d'audit, plan d'audit, désignation de l'équipe d'audit, documents de travail, critères et périmètre.
- Jour 3 : Réalisation de l'audit. Réunion d'ouverture, recueil de preuves (entretiens, observation, revue documentaire), techniques d'échantillonnage, identification des constats.
- Jour 4 : Clôture et suivi. Classification des non-conformités (majeure, mineure, observation), rapport d'audit, réunion de clôture, actions correctives et suivi.
- Jour 5 : Révision intensive et examen officiel PECB.
L'approche est délibérément pratique : cas réels, exercices de rédaction de constats, jeux de rôle d'entretiens. Vous n'en sortirez pas avec de la seule théorie, vous en sortirez en ayant pratiqué.
Pour quels profils c'est pertinent
Lead Auditor convient particulièrement bien à ces profils :
- Auditeur interne en entreprise. Si vous allez auditer le SMSI de votre propre organisation (obligation de la clause 9.2 d'ISO 27001).
- Consultant ou auditeur externe. Si vous voulez proposer des services de pré-audit, des simulations avant la certification, ou des audits de seconde partie chez des fournisseurs.
- Professionnel qui veut travailler en organisme de certification. C'est la première étape du parcours pour auditer pour AFNOR, Bureau Veritas, DNV, etc.
- Responsable conformité. Celui qui doit vérifier le respect, par son organisation, de ses propres politiques de sécurité.
Quand choisir Lead Auditor (et quand non)
Ma recommandation honnête, après avoir aidé beaucoup de professionnels à prendre cette décision :
Choisissez Lead Auditor si vous savez déjà que votre carrière s'oriente vers l'audit, la conformité ou la certification. Le profil d'auditeur diffère de celui d'implémenteur : il demande de la rigueur documentaire, la capacité de questionner sans heurter, une rédaction précise et un esprit de détective. Si ces traits vous correspondent, Lead Auditor est pour vous.
Ne choisissez pas Lead Auditor (pas encore) si vous n'avez jamais vu un SMSI de l'intérieur ou si vous voulez apprendre à en mettre un en place. Dans ce cas, commencez par Lead Implementer : apprendre d'abord à construire puis à auditer a plus de sens pédagogique que l'inverse.
L'examen et l'accréditation CPD
L'examen officiel PECB Lead Auditor dure trois heures, au format questions ouvertes (essay-style), et couvre sept domaines de compétence : fondamentaux du SMSI, principes d'audit, planification, exécution, constats, clôture et gestion du programme d'audit.
Le cours octroie 31 crédits CPD, valables pour le maintien de certifications comme CISA, CISM ou CISSP. Et, comme dans tous les cours PECB, l'examen inclut deux tentatives (la première plus une reprise gratuite dans les 12 mois).
Débouchés professionnels réels
Avec Lead Auditor en poche, les débouchés les plus courants sont :
- Auditeur interne de SMSI au sein d'une organisation grande ou réglementée.
- Consultant en audit et conformité dans des cabinets petits et moyens.
- Auditeur tierce partie après avoir accompli les heures et l'inscription IRCA/Exemplar Global.
- Responsable de la gestion des risques et de la conformité dans des secteurs réglementés (banque, santé, énergie).
- Évaluateur de prestataires TIC dans les grandes entreprises (particulièrement pertinent avec NIS2 et DORA).
Lead Implementer et Lead Auditor ne sont pas des produits de substitution : ils sont complémentaires. Qui détient les deux couvre les deux faces de la norme et multiplie ses options professionnelles.
Se former et se certifier
Si vous voulez franchir le pas vers la certification officielle PECB, le cours ISO/IEC 27001 Lead Auditor est la voie directe : Self-Study officiel PECB pour avancer à votre rythme et préparer l'examen de certification.